Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall oder Hotspot für kleines Hotel, welche ist die richtige

Frage Sicherheit Firewall

Mitglied: MarcoBrueck

MarcoBrueck (Level 1) - Jetzt verbinden

27.01.2011, aktualisiert 18.10.2012, 12231 Aufrufe, 12 Kommentare

Hallo Leute,

ich benötige für ein kleines Hotel mit 16 Zimmern eine "Hotspot" Firewall Lösung hier die Vorgaben und mein erster Lösungsansatz:

Das Hotel hat 16 Zimmer aber keine Rezeption, diese wird über das Haupthotel gemanaged.
Vorhanden ist ein DSL 16000 Anschluss und ein Accesspoint. Das Problem ist das Gäste sich dort wohl XXX Videos per Bittorrent gezogen haben und an den Inhaber jetzt wchentlich Abmahn Schreiben kommen.

Mein Ansatz wäre nun folgender:
Einsatz einer Zyxel Zywall USG 100 mit APP Patrol Lizenz zum sperren von Diensten, sowie einem Zyxel NWA1100 Accesspoint.
Ich würde alle Dienste ausgehend auf der Firewall sperren ausser folgenden:

http/https - smtp - imap - pop3 - rdp - ftp

Leider funktioniert die Hotspot Lösung von Zyxel nicht, da die Tickets über den Drucker erstellt werden, dieser müsste ja dann im Haupthotel stehen.
Ich denke nicht dass man den Drucker über das Internet mit dem Hotspot verbinden kann.

Hat jemand noch einen anderen Ansatz?
Das Hauptproblem ist es die gängigen P2P Ports zu schliessen.

Ich weiss das es keine hundertprozentige Sicherheit gibt, aber ich denke das die meisten Gäste in dem Hotel nicht das Wissen haben die Firewall zu umgehen.

Preislich sollte das ganze so um die 750,- € liegen, dies wäre der Preis für dei Zyxel Lösung, günstiger wäre auch kein Problem

Gruß Marco
Mitglied: lindi200000
27.01.2011 um 08:59 Uhr
Hi,
ich würde an deiner stelle als Gateway einen IPCop mit dem Addon "Bot" empfehlen,
so kannst du den kompletten Inetverkehr steuern.

Übrigens würde ich den Port 22 auch noch öffnen. Es gibt auch viele die per ssh arbeiten wollen, ebenso die Ports für VPN - User.

Gruß Lindi
Bitte warten ..
Mitglied: MarcoBrueck
27.01.2011 um 09:09 Uhr
Welche Hardware würdest du für den IPCOP empfehlen?

Bei den Ports werde ich sicherlich noch den einen oder anderen öffnen müssen, aber die Zyxel arbeitet auf Anwendungsebene.

Gruß Marco
Bitte warten ..
Mitglied: Kim
27.01.2011 um 09:33 Uhr
Einfach nur Ports zu schließen ist nicht sinnvoll, da die Dienste auf verschiedensten Portranges operieren können. Ich würde an Deiner Stelle keine Blacklist, sondern eine Whitelist einrichten und nur die gängigen Dienste wie http(s) smtp imap pop3 und was ihr Euren Kunden anbieten wollt freischalten. Ich persönlich würde Dir IPFire ans Herz legen, da es wesentlich aktueller, performanter und sicherer als IPCop ist, da eine wesentlich größere Entwicklergemeinde dahintersteht.

Als Hardwareplattform würde ich ein Intel Atom ITX Board mit mindestens 2 Netzwerkkarten, 2 GB RAM und einer kleinen Notebookplatte bzw SSD (gibt’s schon für den Anwendungszweck um die 35€). Kannst auch gerne mal im wiki auf www.ipfire.org nachgucken, dort gibt es genügend Infos zur Hardware und Konfiguration.
Bitte warten ..
Mitglied: Yali0n
27.01.2011 um 09:35 Uhr
Hi!

Habe gerade erst eine ähnliche Lösung in betrieb genommen.

Hardware/SW:
FW: http://shop.varia-store.com/product_info.php?info=p886_pfSense-Komplett ...
AP: Linksys WRT54gl - DD-WRT

Auf der Firewall das Captive-Portal und Syslog aktiviert.

Funktioniert bis jetzt ohne Probleme.
Jedes Zimmer hat einen eigenen Benutzernamen und PW - diese befinden sich in den Wilkommensmappen und dank der Syslog-Files kann nachvolzogen werden welches "Zimmer" wann online war.


Gruß
Yali0n
Bitte warten ..
Mitglied: aqui
27.01.2011, aktualisiert 18.10.2012
Noch einfacher und preiswerter geht es hier:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
bzw.
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Damit kannst du dann über die FW Funktion XXX Videos gleich verbieten
Bitte warten ..
Mitglied: dog
27.01.2011 um 19:56 Uhr
Spar dir doch das ganze witzlose Filtern, das eh nie klappt

Ein DSL-Anschluss mit mehreren öffentlichen IPs ist unwesentlich teurer.
Dann wird jedem Kunden nach dem Login am Captive Portal eine öffentliche IP zugewiesen und protokolliert.
Und die Abmahnungen kannst du dann einfach weiterleiten
Bitte warten ..
Mitglied: sk
28.01.2011 um 22:45 Uhr
Hallo Marco,

Zitat von MarcoBrueck:
Leider funktioniert die Hotspot Lösung von Zyxel nicht, da die Tickets über den Drucker erstellt werden, dieser
müsste ja dann im Haupthotel stehen.
Ich denke nicht dass man den Drucker über das Internet mit dem Hotspot verbinden kann.

Der SP-300E verfügt über einen Ethernetport und wird über TCP/IP angesprochen. Insofern sollte es kein Problem sein, ihn z.B. per VPN anzubinden.
Außerdem scheint sein Einsatz wohl nicht zwingend erforderlich zu sein - er macht es aber für das Personal besonders bequem.

Das nur zur Info - keine Aussage pro oder contra Zyxel Hotspot, denn diesen habe ich bislang noch nicht in den Händen gehabt.

Gruß
Steffen
Bitte warten ..
Mitglied: sk
28.01.2011 um 22:55 Uhr
Zitat von dog:
Ein DSL-Anschluss mit mehreren öffentlichen IPs ist unwesentlich teurer.
Dann wird jedem Kunden nach dem Login am Captive Portal eine öffentliche IP zugewiesen und protokolliert.
Und die Abmahnungen kannst du dann einfach weiterleiten

Du kannst Dich aber auch mit nur einer öffentlichen IP-Adresse genauso gut exkulpieren, wenn das Logging die entsprechenden Infos hergibt (also welcher Login, zu welcher Zeit mit welcher Remote-IP Verbindung aufgenommen hat).

Gruß
sk
Bitte warten ..
Mitglied: MarcoBrueck
28.01.2011 um 22:57 Uhr
Also meine Entscheidung ist nun auf die Zyxel Firewall Lösung gefallen. Habe gerade die Konfiguration fertig gestellt.

Folgendes wurde eingerichtet:
Für jedes Zimmer einen User und alle Zimmer in eine Gruppe.

Firewall Regel erstellt, die alle DHCP Clients von Lan nach Wan sperrt.
Davor eine Regel welche der Gruppe mit den Zimmern den Zugang erlaubt.
Wenn der Gast sich auf die Seite https://internet.local begibt kann er sich mit seinem Zimmer anmelden, solange der Browser offen
bleibt ist der Zugang möglich.

Außerdem sind alle P2P Ports gesperrt, habe ich getestet funktioniert sehr gut, braucht man allerdings die IDP/ADP Lizenz.

Morgen wird installiert, wenn dann auch alles läuft, markiere als gelöst.

Konfiguration der Firewall und Accesspoint hat ca. 2 Stunden gedauert.

Die von Yali0n empfohlene pfsense Lösung hätte mich auch interessiert, allerdings muss ich morgen installieren und in dem Shop wäre eine Lieferung
erst nächste Woche möglich gewesen.

Gruß Marco

Die
Bitte warten ..
Mitglied: sk
28.01.2011 um 23:48 Uhr
Zitat von MarcoBrueck:
Also meine Entscheidung ist nun auf die Zyxel Firewall Lösung gefallen.

Keine schlechte Wahl! Dazu ein paar Tips von mir:


1)
Zitat von MarcoBrueck:
Firewall Regel erstellt, die alle DHCP Clients von Lan nach Wan sperrt.
Davor eine Regel welche der Gruppe mit den Zimmern den Zugang erlaubt.

Wenn ich das richtig verstehe, beziehen sich diese Einstellungen nur auf den DHCP-Scope. Und wenn sich der Gast nun eine feste IP-Adresse außerhalb des Scopes aber innerhalb des Subnets gibt? Dann muss er sich nicht an der FW authentifizieren? Warum beziehst Du dich nicht auf das gesamte Subnetz?
Wenn es Rechner geben soll, die geringeren Restriktionen unterliegen, dann konfiguriere hierfür besser ein ein separates Interface und eine eigene Firewallzone. Ich hätte von vornherein die WLAN-Zone für die Gäste genommen - die ist doch schon fast optimal vorkonfiguriert.


2)
Zitat von MarcoBrueck:
Wenn der Gast sich auf die Seite https://internet.local begibt kann er sich mit seinem Zimmer anmelden, solange der Browser offen
bleibt ist der Zugang möglich.

Mit einer entsprechenden Authentication Policy geht die Anmeldemaske beim ersten Mal von alleine auf, egal welche Seite die Gäste aufrufen...


3)
Außerdem sind alle P2P Ports gesperrt, habe ich getestet funktioniert sehr gut, braucht man allerdings die IDP/ADP Lizenz.

Genau genommen ist ADP sogar mehr oder minder kostenfrei. Man benötigt lediglich die IDP-Signaturen als Erkennungsmuster. Sprich: nach Lizenzablauf funktioniert ADP weiterhin, nur die Erkennungsmuster veralten halt mit der Zeit. Siehe Supportnotes Seite 159 und 163: ftp://ftp.zyxel.com/ZYWALL_USG_100/support_note/ZYWALL%20USG%20100_2.2 ...
IDP stellt hingegen die Arbeit ein, wenn die Lizenz abläuft.


4)
Das A und O ist ein gutes Logging, um sich im Falle von Rechtsverstößen exkulpieren zu können. Seit dem 2. oder 3. Patch zu ZLD 2.20 kann man die Systemlogs endlich auch auf einen USB-Stick oder eine USB-HD schreiben lassen. Das erspart den Syslog-Server...


Gruß
Steffen
Bitte warten ..
Mitglied: MarcoBrueck
29.01.2011 um 07:02 Uhr
Hallo Steffen,

zu 1): Ich denke ich werde den Adressbereich noch anpassen. Auf der IP 192.168.2.10 bis 192.168.2.13 sind Kameras angeschlossen und auf .240 und.241 ist der Accesspoint und Telefonanlage.

zu 2 Werde ich heute bei der Installation noch testen.

zu 3): Cool hatte ich nicht gewusst, aber ich denke ich werde am 8.2. bei Allnet eine Zywall USG Schulung machen. Kostet 429,- € und eine Zywall USG 100 ist inklusive.

zu 4 Was würdest du alles loggen? Hast du Erfahrung wie weit man mit einem 8 GB USB Stick kommt? Oder lieber gleich eine 160er 2,5" Platte dranhängen.

Gruß Marco
Bitte warten ..
Mitglied: sk
31.01.2011 um 17:10 Uhr
Hallo Marco,

alles gut gelaufen?


Zitat von MarcoBrueck:
zu 1): Ich denke ich werde den Adressbereich noch anpassen. Auf der IP 192.168.2.10 bis
192.168.2.13 sind Kameras angeschlossen und auf .240 und.241 ist der Accesspoint und
Telefonanlage.

Auf die Kameras und die Telefonanlage sollen die Gäste doch bestimmt nicht zugreifen können, oder? Wenn nein, dann bitte separieren...


zu 4 Was würdest du alles loggen? Hast du Erfahrung wie weit man mit einem
8 GB USB Stick kommt?

Minimum wären m.E. die Punkte "User" und "Firewall" (mit aktiviertem Logging auf der erlaubenden Firewallregel). Ersteres loggt u.a. die Anmeldung des Benutzers auf der Firewall (u.a. mit Source-IP). Das benötigst Du im Fall der Fälle, um die von der Firewall geloggten Zugriffe dem Benutzer zuordnen zu können.
Zum Volumen: Ich logge derzeit nur auf meiner USG im Homeoffice auf einen USB-Stick (allerdings auch alles was geht). Ich benötige bis zu 10MB pro Tag. Mit einem Hotel wird sich dies wohl eher nicht vergleichen lassen - hier ist Baselining angesagt.


Gruß
Steffen
Bitte warten ..
Ähnliche Inhalte
Firewall
Die richtige Firewall für unser kleines Unternehmen
gelöst Frage von madonischerFirewall24 Kommentare

Guten Morgen die Damen und Herren ich habe in den letzten Tagen sehr viel über verschiedene Lösungen gelesen und ...

Rechtliche Fragen
Hotspot im Hotel - Rechtliche Fragen
gelöst Frage von trisseRechtliche Fragen5 Kommentare

Guten Tag Zusammen! Ich bin reiner sysadmin und kein Rechtsverdreher. Wo, wenn nicht hier findet man die Leute, die ...

Router & Routing
Hotspot für Hotel was geht so
gelöst Frage von matrix-22Router & Routing11 Kommentare

Hallo Leute, ein Freund von kür überlegt sich ein Hotel zu kaufen. Nun steht da auch etwas Technik herum, ...

LAN, WAN, Wireless
"Hotel" Hotspot WLAN im Ferienpark
gelöst Frage von Kenny91LAN, WAN, Wireless7 Kommentare

Hallo zusammen, ich habe eine Anfrage bekommen Ferienhäuser auf einer Parkanlage mit WLAN auszustatten. Dies soll zentral zu verwalten ...

Neue Wissensbeiträge
Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Tipp von kgborn vor 3 StundenWindows 10

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 10 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 11 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1012 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Heiß diskutierte Inhalte
Windows Server
SCCM 2016: PXE Boot des Clients schlägt fehl
Frage von gabeBUWindows Server23 Kommentare

Hallo Zusammen Ich habe eine Testumgebung erstellt um über SCCM 2016 einen virtuellen Client aufzusetzen. Folgende Maschinen habe ich ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen19 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Exchange Server
Exchange empfängt Emails - Kann aber keine Senden
gelöst Frage von niklasschaeferExchange Server11 Kommentare

Hallo, ich stehe gerade bei mir zuhause vor folgender Problemstellung. Gegeben sind 2x Hyper-V Host mit Windows Server 2016 ...