Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WLAN-Gastnetzwerk mit Authentifizierung und Mitloggen der Verbindungen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Irie-Daily

Irie-Daily (Level 1) - Jetzt verbinden

17.09.2007, aktualisiert 08.12.2008, 16227 Aufrufe, 13 Kommentare

Hallo ihr Administratoren,

ich stehe hier seit eine Weile von einem Problem: Meine Aufgabe ist die Einrichtung eines Gastnetzwerkes über einen einfach ADSL-Anschluss.
Dafür habe ich bisher eine Firewall (PIX 501) für die DSL-Einwahl und DHCP konfiguriert. Der WLAN-AP (Aironet 1200) verschlüsselt die Daten bisher mit WPA-TKIP.

Nun besteht aber folgendes Problem:

Dieses kleine Netzwerk soll ja ein Gastnetzwerk werden. Meine Idealvorstellung wäre, dass jeder Gast ein Login (bestehend aus Username und Passwort) abholt und dieses für die Authentifizierung im Netzwerk verwendet. Dafür würde ein ACS/RADIUS (?)-Server an das Gastnetzwerk angebunden werden. Im Sekretariat würde er seinen Namen und Firma hinterlegen und das ganze mit einer Unterschrift bestätigen.

Hintergrund der Sache ist folgende: Es muss genau festgestellt werden können, welche Person am Anschluss der Firma welchen Traffic verursacht hat. Es wäre je vorstellbar, dass sich Leute in das Gastnetzwerk begeben, die auf ihrem Rechner SPAM-Programme installiert haben und nun von dem DSL-Anschluss, für den meine Firma zur Verantwortung gezogen werden kann. Auch diverse andere Szenarien sind theoretisch möglich, sodass auf jeden Fall genau feststellbar sein muss, welche Person zu welcher Zeit welchen Traffic verursacht hat.

Hat jemand eine Idee, wie ich dies realisieren könnte?

Wenn noch Fragen offen sind, bitte fragen.


Vielen Dank schon im Vorraus.
Mitglied: aqui
17.09.2007 um 18:03 Uhr
Normalerweise löst man heute sowas in WLANs mit einer Zwangswebpage die dem Gast präsentiert wird. Also genau das gleiche Verhalten wie du es vom Flughafen oder Bahnhof an öffentlichen Hotspots kennst.
Gute WLAN Lösungen renomierter Hersteller haben sowas immer mit an Bord. Bei Cisco sollten deren Lösungen das aber auch können...bei den Preisen .
Das Feature heisst Captive Portal. Es ist viel einfacher zu administrieren und die Authentifizierung geschieht ebenfalls über den klassischen Radius Server. Gäste werden dann von einer Webseite des captive Portals mit eurem Firmenlogo und rechtlichen Hinweisen (wichtig!) zur Benutzung dieses Anschlusses begrüsst. So ein Gast WLAN ist ja immer auch eine Visitenkarte des Unternehmens !
Der authentifizierende Radius Server lässt sich dann auch mit einem einfachen Web GUI versehen, der dem Empfangssekretariat es einfach macht temporäre Passwörter für die Gäste auszugeben. Das geschieht mit einem Einmalpasswort mit der Eingabe des Namens, was nach einer Zeitspanne ungültig wird. Die generierten Passwörter werden automatisch auf den Radius übertragen.

Falls dein Cisco Umfeld dies wider Erwarten nicht realisieren kann was eigentlich unwahrscheinlich ist, dann gibt es auch außer kommerziellen Lösungen einige Freeware Lösungen wie z.B. Chillispot.
Bitte warten ..
Mitglied: 51705
17.09.2007 um 20:38 Uhr
Ich würde noch den Hinweis auf den juristischen Aspekt lenken. Ggf. trittst du bzw. die Firma als Zugangprovider auf und bist entsprechenden Auflagen verpflichtet. Dies betrifft einerseits das Übertragen von privaten Daten (die du vielleicht nicht loggen/speichern darfst) und andererseits die Auflagen für Provider (Verbindungsdaten, etc.).

Eine ähnliche Gratwanderung ist im Übrigen generell bei privater Kommunikation in der Firma zu beachten.
Bitte warten ..
Mitglied: Irie-Daily
18.09.2007 um 08:34 Uhr
Danke euch beiden erstmal.

Also ich habe mir jetzt mal das Opensource-Projekt Coova und eine Lösung von Cisco angeschaut.

Ich brauche also anscheinend eine Software (siehe 1) auf einer Hardwarekomponente (müsste bei mir die PIX sein), die die Anfragen an einen Server sendet, der eine Website einblendet (siehe 2), auf welcher ich mich authentifizieren muss. Die eingegebenen Daten werden dann im RADIUS-Server (siehe 3) kontrolliert. Sind sie richtig wird der Zugriff aufs Netz gewährt, sind sie falsch, sperrt die Software auf der Hardwarekomponente weiterhin den Zugriff aufs Netzwerk.

1 = Cisco Service Selection Gateway / CoovaAP
2 = Cisco SESM (Subscriber Edge Services Manager) / CoovaChilli
3 = CiscoSecureACS / freeRADIUS.org

Die ellenlangen Namen bei Cisco gehen mir irgendwie auf die Nerven^^


Ich hoffe, dass ich das so erstmal richtig verstanden habe. Werd auf jeden Fall weiterlesen jetzt. Nur noch eine Frage: Wenn ich die Coova-Software nutzen möchte, muss ich dann unbedingt CoovaAP auf der Harware installieren? Das CoovaChilli auf nem Server zu installieren wird kein Problem sein, aber ich denk nicht, dass ich auf der PIX einfach mal so ne andere Software ausser das IOS installieren kann (?!?)

OK, weiterlesen. Danke nochmal
Bitte warten ..
Mitglied: aqui
18.09.2007 um 08:59 Uhr
Für die Coova Lösung oder die z.B. von Wifidog.org benötigst du einen Accesspoint mit der freien OpenWRT Firmware. Die läuft dann auf preiswerter Consumer AP Hardware von z.B. Linksys, Buffalo, Asus usw. zusammen mit einem Linux Rechner der dann zugleich Radius Authentifizierungsserver und Portal Webserver ist.
Bitte warten ..
Mitglied: Irie-Daily
18.09.2007 um 09:43 Uhr
ok, da es aber auch die möglichkeit geben soll, sich per kabel ins netz zu begeben (indem man sich direkt an die pix hängt) wäre die frage, ob es diese software nur für die APs oder auch für router/firewallls gibt?!?

auf der cisco-seite wäre das problem, dass meine pix scheinbar die gebrauchten funktionalität (ssg) nicht besitzt, sondern nur die cisco-router. da extra noch etwas zukaufen ist eher auch nicht gewünscht.
Bitte warten ..
Mitglied: aqui
18.09.2007 um 09:52 Uhr
Ja sowas gibt es auch als Switch Funktion und auch als Router/Firewall Funktion. Es gibt sogar kleine Stand Alone Appliances für kleines Geld, die das in Verbindung mit einem Webserver realisieren als out of the Box Lösung.
Bitte warten ..
Mitglied: Irie-Daily
18.09.2007 um 10:07 Uhr
hmm also kostet solch eine lösung so oder so noch ein wenig geld...entweder für ein cisco-gerät, dass SSG-funktionalität hat, oder für solch einen router/firewall auf die ich die coovaAP-aoftware installieren kann.

kanst du mir mal ein paar links posten oder namen nennen von router/firewalls, auf denen openWRT zum einsatz kommen kann?

/edit: brauchst nicht mehr suchen, hab die liste schon gefunden....

hab auch noch folgedes gefunden:

http://justuber.com/publicwifi:public_wireless_internet_access

nun muss ich nur mal sehen, ob ich das alles auf einer kiste installiert bekomme...mist hier, eigentlich soll das schon lange laufen und nun begeb ich mich auf linux-gebiet, wo ich noch nie was gemacht habe....huiuiui, na ma sehen..1,5 wochen hab ich noch
Bitte warten ..
Mitglied: aqui
19.09.2007 um 10:31 Uhr
Das kannst du selber auch sehr schnell. Dr. Google ist dein Freund
OpenWRT hat eine eigenen Webseite !

Hier ist eine Liste der supporteten Hardware:

http://wiki.openwrt.org/TableOfHardware

Die OpenWRT Seite ist hier: www.openwrt.org
Bitte warten ..
Mitglied: Irie-Daily
19.09.2007 um 14:25 Uhr
Jo danke, aber hatte ich doch geschrieben, dass ich die schon gefunden hatte ;)

Bin jetzt zur Zeit bei Zeroshell gelandet....einer Netzwerk-Linux-Distribution..bin dabei die Einzurichten, aber so richtig komm ich damit nicht klar. Da ist fast nicht dokumentiert, da sich der Entwickler eben noch mehr mit Entwickeln beschäftigt, als mit dokumentieren.
Bitte warten ..
Mitglied: Irie-Daily
25.09.2007 um 15:41 Uhr
OK, bin jetzt so ziemlich fertig und grade am Dokumentation schreiben.

Als Captive Portal hab ich jetzt die Linux Distribution ZeroShell genutzt. Diese befindet sich zwar noch in der Entwicklung, jedoch habe ich bis jetzt noch keine großen Macken gefunden.

Die Lösung ist jetzt nicht ganz an meine Optimalvorstellung rangekommen, aber ich bin trotzdem zufrieden.
Bitte warten ..
Mitglied: aqui
26.09.2007 um 13:27 Uhr
Klasse, danke für das Feedback ! Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: 65266
08.12.2008 um 12:21 Uhr
Hallo.
wir haben einen Cisco-WLAN-Controller für den Gast-Access.
Diesen nutze ich als Captive Portal. Danach gehts durch die BBSM (ist fürs Billing, und macht die Abfrage ans ActiveDirectory) ins Internet.
Da die BBSM (Building Broadband Service Manager) als proxy leider nicht alle Dienste unterstützt, mußte ich den proxy deaktivieren.
Dieser loggt nun natürlich nicht mehr!

Hat da wer ne Idee, wie man die besuchten Web-Seiten dennoch mitloggen kann?!
Evtl Syslog? Ein Account reicht nicht aus!

danke & Mit freundlichen Grüßen
florian
Bitte warten ..
Mitglied: GabbaGandalf
21.03.2009 um 19:56 Uhr
Hallo,
ich beschäftige mich derzeit mit einem ähnlichen Thema. Und zwar möchte ich meine beiden Ferienwohnungen mit Internet versorgen. Ich habe mir das so vorgestellt, das der Mieter zu mir kommt und ich (zB über ein Webapplikation im Browser) einen Account für beispielsweise 7 Tage erstelle und ich ihm Username und Passwort gebe. Über seinen selbst mitgebrachten PC/Notebook gelangt er über ein normales DSL-Kabel ans Internet. Sobald er den Browser öffnet, startet ein Login-Feld und der Mieter kann sich mit den von mir gegebenen Daten einloggen.

Was muss ich dazu tun? Das ganze soll möglichst einfach einzurichten und zu bedienen sein. Max. Kosten sollten sich auf etwa 250€ belaufen. Ich möchte kein Geld für die Internetnutzung, es soll einfach nur Kunden anlocken und ein gutes Feature sein.

Was gibt es für Möglichkeiten um mich selber noch abzusichern? Was passiert wenn der Mieter illegale Aktivitäten macht? Eine Logfunktion, beispielsweise über einen Proxy, würde zu tief in die Privatsphäre eingreifen. Andererseits muss ich selber auch geschützt werden, da ich keine Lust habe wegen anderer Leute Strafe zu zahlen oder noch schlimmeres.

Ich bitte um schnellstmögliche Rückantwort.
Viele Grüße
Michael
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
Hat On Networks PL500PS WLAN-Funktion? (4)

Frage von Andy1987 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Datenbankverbindung über WLAN? (5)

Frage von flyingKangaroo zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...