Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Router mit 32 Ports die einzeln protokolliert werden?

Frage Netzwerke Router & Routing

Mitglied: phino-edv

phino-edv (Level 1) - Jetzt verbinden

01.11.2007, aktualisiert 24.01.2008, 3898 Aufrufe, 5 Kommentare

Hallo zusammen,
das hier ist mein erster Beitrag, also nicht böse sein, wenn ich versehentlich irgendwelche Regeln missachte.
Ich wurde heute vor ein Problem gestellt, in dem ich mich noch nicht wirklich auskenne.
Hier in Lübeck wird ein Hotel neu eröffnet, in jedes der 28 Zimmer führt ein eigenes CAT 7-Kabel. Über dieses soll den Gästen ein Zugang zum Internet bereitgestellt werden, ein Zugang über WLAN oder Stromnetz kommen nicht in Frage. Die Kabel laufen sternförmig zusammen und können dadurch ja problemlos an einen Swich mit Router angeschlossen werden. Der Zugang zum Netz ist also kein Problem. Nun muss aber aus Sicherheitsgründen ja protokolliert werden, wer wann ins Netz gegangen ist und am besten auch, welche Adressen angesteuert wurden, für den Fall dass etwas illegales passiert und der Gastwirt haftbar gemacht werden soll.
Wie kann ich das bewerkstelligen? Am besten wäre natürlich eine Lösung, bei der das Gerät des Gastes einfach in die Dose des Zimmers gesteckt wird, die IP vom DHCP bekommt und losgelegt werden kann. Dann müsste eben die Dose oder der Port am Swich protokolliert werden.
Denkbar wäre auch ein System, bei der der Kunde Benutzernamen und Kennwort eingeben muss. Dabei darf aber keine Softwareinstallation nötig sein.
Es wäre super, wenn jemand eine Tip hat und mich auf den richtigen Weg schubsen könnte...
Vielen Dank im Voraus.
Mitglied: aqui
01.11.2007 um 19:13 Uhr
Als allererstes brauchst du mal einen Switch und nicht einen Router wie du oben schreibst, denn der ist sinnlos in so einem Szenario aber das wirst du selber schon erkannt haben.. ?!
Zum Thema Switch ist es wichtig das du einen anschaffst der sog. private VLANs supportet oder einen dedizierten Uplink Port.
Das verhindert zuverlässig das eine any to any Kommunikation zwischen Gästen möglich ist und Gäste andere Gäste ausspionieren oder hacken können, denn mit einem dummen, nicht PVLAN fähigen Layer 2 Switch sind ja alle Gäste transparent in einem IP Netz.
Es gibt 2 Lösungen für die Authentifizierung:

1.) Einen Proxy Server wie z.B. den Squid Proxy. Dort muss sich jeder Benutzer authentifizieren und über die Logs bekommst du genau mit wer, wie lange, wohin gesurft hat. Infos zum Squid Proxy findest du hier:

http://www.squid-handbuch.de/hb/

Der Proxy hat aber den Nachteil das ggf. ein Teil der Benutzer nicht durchkommt mit VPN Protokollen die z.B. auf IPsec basieren (wenn Gäste z.B. remote auf Ihre Firmennetze zugreifen um dort Emails zu ziehen etc.) und auch andere direkte Dienste wie die Email Protokolle POP und IMAP da der Proxy meist nur FTP und HTTP bzw. HTTPS macht. Du kannst also in der Hauptsache nur webbasierende Dienste nutzen, bist deshalb auch bei Email auf Webinterfaces angewiesen was sicher nicht jeder Gast hat.
Hier musst du abwägen zwischen (rechtlicher) Sicherheit und Komfort..

2.) Möglichkeit 2 macht das etwas transparenter indem du ein sog. Captive Portal statt eines Proxys vor deinen Internet Zugang schaltest. Freeware Lösungen die das können sind z.B. M0n0wall und Zeroshell. Dort bekommst du einen Zwangswebseite z.B. mit Grafiken und lokalen Infos des Hotels präsentiert wenn du den Browser eröffnest und musst dich authentifizieren, was über einen lokalen Radius Server auf den Captive Portals gemacht wird. Auch hier hast du wieder die Möglichkeit über Logs zu protokollieren wer, wann, was macht.
Bei einem WLAN im Hotel hat man so nicht die Konfrontation mit Verschlüsselungsproblematiken und kann ohne Authentifizierung interne Seiten mit Hotel und lokalen Infos frei anzeigen und nur die ohne Authentifizierung. Mit hast du dann Zugriff aufs Internet. Genau so ein Verfahren wie du es von HotSpots auf Flughäfen und Bahnhöfen kennst.
Mit Authentifizierung ist der Zugang dann wie bereits gesagt transparent.
Sehr komfortabel ist sowas wenn man das noch mit einer SW kombinert die zeitlich begrenzte Einmalpasswörter vergibt nach dem Checkin oder per Automat. Auch sowas ist damit problemlos möglich...
Auch eine Kombination beider Verfahren ist denkbar, meist aber dann zuviel des Guten da zu kompliziert zu bedienen für die meisten Gäste...
Bitte warten ..
Mitglied: phino-edv
01.11.2007 um 22:19 Uhr
Wow,
ersteinmal vielen Dank für die schnelle Antwort und die viele Mühe, die Du Dir gegeben hast.
Ich bin gerade zu der Erkenntnis gekommen, dass das ganz doch mehr Aufwand ist, als gedacht. Aber sei es drum. Ich werde mir Deine Vorschläge mal durcharbeiten und ein kleines Netzwerk zusammenstellen, in dem ich das dann testen kann. Ich hoffe, dass ich soetwas in den nächsten Tagen hinbekomme und schreibe dann mal, was dabei herausgekommen ist...oder auch nicht... Dann nerve ich hier halt mit weiteren Fragen.
Wie gesagt, vielen Dank!
LG
Philipp
Bitte warten ..
Mitglied: phino-edv
28.11.2007 um 14:12 Uhr
Hallo nochmal,
noch ein kurzer Kommentar zum vorläufigen Abschluss...
Leider wurde das Projekt, zumindest vorläufig, auf Eis gelegt. Daher kann ich hier leider keine Erfahrungswerte oder Ergebnisse angeben. Ich möchte hier im Forum aber nicht gleich den Ruf haben, eine Frage zu stellen, die ich dann nie beantworte oder auch gar nicht benötige.
Daher also vorerst vielen Dank für die Antwort, die mich zumindest schlauer gemacht hat, auch wenn ich sie nie umgesetzt habe.
LG
Philipp
Bitte warten ..
Mitglied: aqui
30.11.2007 um 14:05 Uhr
Kein Problem aber dann bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: jlepscheid
24.01.2008 um 00:05 Uhr
Hallo!

Auch wenn der Thread nicht mehr wirklich aktuell ist, würde mich interessieren, wie man das Loggen für authentifizierte User in m0n0wall aktiviert.
Habe ein ähnliches Projekt wie phino-edv.
m0n0wall mit Captive Portal läuft - Authentifizierung über lokale User-Liste, aber in den, über die GUI zugänglichen Logs finde ich keine Informationen zu geöffneten Internetseiten.
Gerade vor dem Hintergrund der vorgeschriebenen Vorratsdatenspeicherung wird dieses Thema sicherlich in Zukunft noch andere Admins und HotSpot Betreiber, die M0n0wall nutzen, interessieren.
Also, immer her mit Links und Tips und Anleitungen

Gruß

jlepscheid
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Voice over IP
gelöst Modem + Router einzeln kaufen bei VOIP (3)

Frage von danielr1996 zum Thema Voice over IP ...

Router & Routing
2 Ports an EdgeMax Router zu Switch hinzufügen (8)

Frage von stephan902 zum Thema Router & Routing ...

Datenschutz
USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...