Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall oder Hotspot für kleines Hotel, welche ist die richtige

Frage Sicherheit Firewall

Mitglied: MarcoBrueck

MarcoBrueck (Level 1) - Jetzt verbinden

27.01.2011, aktualisiert 18.10.2012, 11811 Aufrufe, 12 Kommentare

Hallo Leute,

ich benötige für ein kleines Hotel mit 16 Zimmern eine "Hotspot" Firewall Lösung hier die Vorgaben und mein erster Lösungsansatz:

Das Hotel hat 16 Zimmer aber keine Rezeption, diese wird über das Haupthotel gemanaged.
Vorhanden ist ein DSL 16000 Anschluss und ein Accesspoint. Das Problem ist das Gäste sich dort wohl XXX Videos per Bittorrent gezogen haben und an den Inhaber jetzt wchentlich Abmahn Schreiben kommen.

Mein Ansatz wäre nun folgender:
Einsatz einer Zyxel Zywall USG 100 mit APP Patrol Lizenz zum sperren von Diensten, sowie einem Zyxel NWA1100 Accesspoint.
Ich würde alle Dienste ausgehend auf der Firewall sperren ausser folgenden:

http/https - smtp - imap - pop3 - rdp - ftp

Leider funktioniert die Hotspot Lösung von Zyxel nicht, da die Tickets über den Drucker erstellt werden, dieser müsste ja dann im Haupthotel stehen.
Ich denke nicht dass man den Drucker über das Internet mit dem Hotspot verbinden kann.

Hat jemand noch einen anderen Ansatz?
Das Hauptproblem ist es die gängigen P2P Ports zu schliessen.

Ich weiss das es keine hundertprozentige Sicherheit gibt, aber ich denke das die meisten Gäste in dem Hotel nicht das Wissen haben die Firewall zu umgehen.

Preislich sollte das ganze so um die 750,- € liegen, dies wäre der Preis für dei Zyxel Lösung, günstiger wäre auch kein Problem

Gruß Marco
Mitglied: lindi200000
27.01.2011 um 08:59 Uhr
Hi,
ich würde an deiner stelle als Gateway einen IPCop mit dem Addon "Bot" empfehlen,
so kannst du den kompletten Inetverkehr steuern.

Übrigens würde ich den Port 22 auch noch öffnen. Es gibt auch viele die per ssh arbeiten wollen, ebenso die Ports für VPN - User.

Gruß Lindi
Bitte warten ..
Mitglied: MarcoBrueck
27.01.2011 um 09:09 Uhr
Welche Hardware würdest du für den IPCOP empfehlen?

Bei den Ports werde ich sicherlich noch den einen oder anderen öffnen müssen, aber die Zyxel arbeitet auf Anwendungsebene.

Gruß Marco
Bitte warten ..
Mitglied: Kim
27.01.2011 um 09:33 Uhr
Einfach nur Ports zu schließen ist nicht sinnvoll, da die Dienste auf verschiedensten Portranges operieren können. Ich würde an Deiner Stelle keine Blacklist, sondern eine Whitelist einrichten und nur die gängigen Dienste wie http(s) smtp imap pop3 und was ihr Euren Kunden anbieten wollt freischalten. Ich persönlich würde Dir IPFire ans Herz legen, da es wesentlich aktueller, performanter und sicherer als IPCop ist, da eine wesentlich größere Entwicklergemeinde dahintersteht.

Als Hardwareplattform würde ich ein Intel Atom ITX Board mit mindestens 2 Netzwerkkarten, 2 GB RAM und einer kleinen Notebookplatte bzw SSD (gibt’s schon für den Anwendungszweck um die 35€). Kannst auch gerne mal im wiki auf www.ipfire.org nachgucken, dort gibt es genügend Infos zur Hardware und Konfiguration.
Bitte warten ..
Mitglied: Yali0n
27.01.2011 um 09:35 Uhr
Hi!

Habe gerade erst eine ähnliche Lösung in betrieb genommen.

Hardware/SW:
FW: http://shop.varia-store.com/product_info.php?info=p886_pfSense-Komplett ...
AP: Linksys WRT54gl - DD-WRT

Auf der Firewall das Captive-Portal und Syslog aktiviert.

Funktioniert bis jetzt ohne Probleme.
Jedes Zimmer hat einen eigenen Benutzernamen und PW - diese befinden sich in den Wilkommensmappen und dank der Syslog-Files kann nachvolzogen werden welches "Zimmer" wann online war.


Gruß
Yali0n
Bitte warten ..
Mitglied: aqui
27.01.2011, aktualisiert 18.10.2012
Noch einfacher und preiswerter geht es hier:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
bzw.
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Damit kannst du dann über die FW Funktion XXX Videos gleich verbieten
Bitte warten ..
Mitglied: dog
27.01.2011 um 19:56 Uhr
Spar dir doch das ganze witzlose Filtern, das eh nie klappt

Ein DSL-Anschluss mit mehreren öffentlichen IPs ist unwesentlich teurer.
Dann wird jedem Kunden nach dem Login am Captive Portal eine öffentliche IP zugewiesen und protokolliert.
Und die Abmahnungen kannst du dann einfach weiterleiten
Bitte warten ..
Mitglied: sk
28.01.2011 um 22:45 Uhr
Hallo Marco,

Zitat von MarcoBrueck:
Leider funktioniert die Hotspot Lösung von Zyxel nicht, da die Tickets über den Drucker erstellt werden, dieser
müsste ja dann im Haupthotel stehen.
Ich denke nicht dass man den Drucker über das Internet mit dem Hotspot verbinden kann.

Der SP-300E verfügt über einen Ethernetport und wird über TCP/IP angesprochen. Insofern sollte es kein Problem sein, ihn z.B. per VPN anzubinden.
Außerdem scheint sein Einsatz wohl nicht zwingend erforderlich zu sein - er macht es aber für das Personal besonders bequem.

Das nur zur Info - keine Aussage pro oder contra Zyxel Hotspot, denn diesen habe ich bislang noch nicht in den Händen gehabt.

Gruß
Steffen
Bitte warten ..
Mitglied: sk
28.01.2011 um 22:55 Uhr
Zitat von dog:
Ein DSL-Anschluss mit mehreren öffentlichen IPs ist unwesentlich teurer.
Dann wird jedem Kunden nach dem Login am Captive Portal eine öffentliche IP zugewiesen und protokolliert.
Und die Abmahnungen kannst du dann einfach weiterleiten

Du kannst Dich aber auch mit nur einer öffentlichen IP-Adresse genauso gut exkulpieren, wenn das Logging die entsprechenden Infos hergibt (also welcher Login, zu welcher Zeit mit welcher Remote-IP Verbindung aufgenommen hat).

Gruß
sk
Bitte warten ..
Mitglied: MarcoBrueck
28.01.2011 um 22:57 Uhr
Also meine Entscheidung ist nun auf die Zyxel Firewall Lösung gefallen. Habe gerade die Konfiguration fertig gestellt.

Folgendes wurde eingerichtet:
Für jedes Zimmer einen User und alle Zimmer in eine Gruppe.

Firewall Regel erstellt, die alle DHCP Clients von Lan nach Wan sperrt.
Davor eine Regel welche der Gruppe mit den Zimmern den Zugang erlaubt.
Wenn der Gast sich auf die Seite https://internet.local begibt kann er sich mit seinem Zimmer anmelden, solange der Browser offen
bleibt ist der Zugang möglich.

Außerdem sind alle P2P Ports gesperrt, habe ich getestet funktioniert sehr gut, braucht man allerdings die IDP/ADP Lizenz.

Morgen wird installiert, wenn dann auch alles läuft, markiere als gelöst.

Konfiguration der Firewall und Accesspoint hat ca. 2 Stunden gedauert.

Die von Yali0n empfohlene pfsense Lösung hätte mich auch interessiert, allerdings muss ich morgen installieren und in dem Shop wäre eine Lieferung
erst nächste Woche möglich gewesen.

Gruß Marco

Die
Bitte warten ..
Mitglied: sk
28.01.2011 um 23:48 Uhr
Zitat von MarcoBrueck:
Also meine Entscheidung ist nun auf die Zyxel Firewall Lösung gefallen.

Keine schlechte Wahl! Dazu ein paar Tips von mir:


1)
Zitat von MarcoBrueck:
Firewall Regel erstellt, die alle DHCP Clients von Lan nach Wan sperrt.
Davor eine Regel welche der Gruppe mit den Zimmern den Zugang erlaubt.

Wenn ich das richtig verstehe, beziehen sich diese Einstellungen nur auf den DHCP-Scope. Und wenn sich der Gast nun eine feste IP-Adresse außerhalb des Scopes aber innerhalb des Subnets gibt? Dann muss er sich nicht an der FW authentifizieren? Warum beziehst Du dich nicht auf das gesamte Subnetz?
Wenn es Rechner geben soll, die geringeren Restriktionen unterliegen, dann konfiguriere hierfür besser ein ein separates Interface und eine eigene Firewallzone. Ich hätte von vornherein die WLAN-Zone für die Gäste genommen - die ist doch schon fast optimal vorkonfiguriert.


2)
Zitat von MarcoBrueck:
Wenn der Gast sich auf die Seite https://internet.local begibt kann er sich mit seinem Zimmer anmelden, solange der Browser offen
bleibt ist der Zugang möglich.

Mit einer entsprechenden Authentication Policy geht die Anmeldemaske beim ersten Mal von alleine auf, egal welche Seite die Gäste aufrufen...


3)
Außerdem sind alle P2P Ports gesperrt, habe ich getestet funktioniert sehr gut, braucht man allerdings die IDP/ADP Lizenz.

Genau genommen ist ADP sogar mehr oder minder kostenfrei. Man benötigt lediglich die IDP-Signaturen als Erkennungsmuster. Sprich: nach Lizenzablauf funktioniert ADP weiterhin, nur die Erkennungsmuster veralten halt mit der Zeit. Siehe Supportnotes Seite 159 und 163: ftp://ftp.zyxel.com/ZYWALL_USG_100/support_note/ZYWALL%20USG%20100_2.2 ...
IDP stellt hingegen die Arbeit ein, wenn die Lizenz abläuft.


4)
Das A und O ist ein gutes Logging, um sich im Falle von Rechtsverstößen exkulpieren zu können. Seit dem 2. oder 3. Patch zu ZLD 2.20 kann man die Systemlogs endlich auch auf einen USB-Stick oder eine USB-HD schreiben lassen. Das erspart den Syslog-Server...


Gruß
Steffen
Bitte warten ..
Mitglied: MarcoBrueck
29.01.2011 um 07:02 Uhr
Hallo Steffen,

zu 1): Ich denke ich werde den Adressbereich noch anpassen. Auf der IP 192.168.2.10 bis 192.168.2.13 sind Kameras angeschlossen und auf .240 und.241 ist der Accesspoint und Telefonanlage.

zu 2 Werde ich heute bei der Installation noch testen.

zu 3): Cool hatte ich nicht gewusst, aber ich denke ich werde am 8.2. bei Allnet eine Zywall USG Schulung machen. Kostet 429,- € und eine Zywall USG 100 ist inklusive.

zu 4 Was würdest du alles loggen? Hast du Erfahrung wie weit man mit einem 8 GB USB Stick kommt? Oder lieber gleich eine 160er 2,5" Platte dranhängen.

Gruß Marco
Bitte warten ..
Mitglied: sk
31.01.2011 um 17:10 Uhr
Hallo Marco,

alles gut gelaufen?


Zitat von MarcoBrueck:
zu 1): Ich denke ich werde den Adressbereich noch anpassen. Auf der IP 192.168.2.10 bis
192.168.2.13 sind Kameras angeschlossen und auf .240 und.241 ist der Accesspoint und
Telefonanlage.

Auf die Kameras und die Telefonanlage sollen die Gäste doch bestimmt nicht zugreifen können, oder? Wenn nein, dann bitte separieren...


zu 4 Was würdest du alles loggen? Hast du Erfahrung wie weit man mit einem
8 GB USB Stick kommt?

Minimum wären m.E. die Punkte "User" und "Firewall" (mit aktiviertem Logging auf der erlaubenden Firewallregel). Ersteres loggt u.a. die Anmeldung des Benutzers auf der Firewall (u.a. mit Source-IP). Das benötigst Du im Fall der Fälle, um die von der Firewall geloggten Zugriffe dem Benutzer zuordnen zu können.
Zum Volumen: Ich logge derzeit nur auf meiner USG im Homeoffice auf einen USB-Stick (allerdings auch alles was geht). Ich benötige bis zu 10MB pro Tag. Mit einem Hotel wird sich dies wohl eher nicht vergleichen lassen - hier ist Baselining angesagt.


Gruß
Steffen
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
TK-Netze & Geräte
IP-Telefonielösung für kleines Hotel (5)

Frage von achklein zum Thema TK-Netze & Geräte ...

LAN, WAN, Wireless
AccessPoint und Sicherheitsupdate für kleines Hotel (11)

Frage von der-dodo zum Thema LAN, WAN, Wireless ...

Firewall
Exchange-Server - richtige Firewall (23)

Frage von yozora27 zum Thema Firewall ...

Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (7)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...