palmetshofer
Goto Top

Anmeldung am WLAN wie an HotSpots?

Hallo erstmal.

Wir haben vor in der Bibliothek unserer Schule ein WLAN
einzurichten.
Da die Bibliothek von der Straße durch 1m Stahlbeton abgetrennt ist
haben wir uns entschieden zu folgenen Sicherheitskonfigurationen:
. kein SSID Broadcast
. WEP
. MAC Adressenfreigabe

Da es nur für die 8. Klassen sein sollte und in unserer Schule
die Jüngeren Computertechnisch nicht versiert sind reichen diese Sicherheitsvorkehrungen aus und außerdem werden keine Daten übertragen. Nur Internetzugang.
Da wir, der jetzige Maturajahrgang (8. Klasse) sind wollten wir aber,
dass die Konfiguration des WLAN einfacher für die kommenden Jahrgänge
wird.
Ich habe einmal in einem Internetkaffee gesehen, dass man dort um das WLAN Internet zu benutzen einen Benutzernamen eingeben muss
und ein Passwort. Wie realisieren wir das auf einfache Weise in unserer
Schule auch so, dass Man zwar kein SSID Broadcast hat und WEP aber dass die authorisierung per MAC Adressen wegfällt und statt dessen,
wenn man den Internet Explorer startet, eine Maske zur Eingabe des Benutzernamens und Passwortes erscheint und erst dann die Internetverbindung möglich ist.

MfG Matthias Palmetshofer

Content-ID: 27730

Url: https://administrator.de/forum/anmeldung-am-wlan-wie-an-hotspots-27730.html

Ausgedruckt am: 25.12.2024 um 15:12 Uhr

RSRconnect
RSRconnect 08.03.2006 um 20:18:33 Uhr
Goto Top
Sowas realisiert man, indem man einen Proxy-Server zwischenschaltet. Ihr lasst also alles so wie es ist, installiert einen Proxy dazwischen und an dem muß man sich mit Benutzername/Paßwort authorisieren.

Das wars schon. Unter Windows und kostenpflichtig der ISA-Server oder AVM KEN! Unter Linux und kostenfrei Squid.
palmetshofer
palmetshofer 08.03.2006 um 20:24:32 Uhr
Goto Top
Mit bestem Dank.

Hab noch nicht soviel Ahnung von Netzwerktechnologie. Wie baue ich einen Proxy ein.
Wir werden den Netgear WG602 benutzen. Linux scheint mir am da am besten.
Dämpft der Proxy die Internetverbindung bzw. welche Systemanforderungen sollte
der Proxy erfüllen damit das auch gut läuft?
ITwissen
ITwissen 08.03.2006 um 21:14:17 Uhr
Goto Top
Wir loesen das folgendermassen.

1. Wireless offen betrieben (kein WEP, kein WPA, kein MAC-Access)
2. den Gatewayeintrag am WLAN Router auf einen Linux Rechner zeigen lassen.
3. OpenVPN Server auf dem Linux Rechner installieren
4. iptables so anpassen, dass nur VPN angemeldete user geroutet werden.

Auf den Rechnern, die sich ins Netz verbinden wollen, muss dann nur noch der OpenVPN Client installiert werden. Den gibts fuer nahezu jedes OS.

Im Detail wuerde das mehrere Tutorials fuellen. face-smile
Ragazzo
Ragazzo 08.03.2006 um 21:16:20 Uhr
Goto Top
Ich würde an Deiner Stelle lieber einen AccessPoint mit HotSpot-Option nehmen.
Damit geht es einfacher und Du brauchst keine Ahnung von Proxy etc. zuhaben.
Das eingste was benötigt wird, ist ein Radiusserver, der die Informationen zu den erlaubten Benutzern vorhält.
Den gibt es aber bei fast jedem Serverprodukt kostenlos dazu, meist mit entsprechenden Anleitungen.
ITwissen
ITwissen 08.03.2006 um 21:17:01 Uhr
Goto Top
Haette mich auch gewundert, wenn das nicht schonmal jemand im Web beschrieben haette.

http://www.newbie-net.de/anleitung_wlan_vpn.html
aqui
aqui 08.03.2006 um 21:43:46 Uhr
Goto Top
Für Schüler die wenig Erfahrung mit VPNs, Kryptogrphie, Firewalls (iptables) etc. haben ??? Wenn wirklich keine sicherheitsrelevanten Daten übertragen werden, ob Email oder wie auch immer, erscheint mir die Proxy Lösung am einfachsten zu realisieren. Da du dich am Proxy authentifizieren musst könnte sogar deine MAC Zugangsliste entfallen, allerdings ist dein WLAN dann weit offen wovon eher abzuraten ist.
Nachteil: MAC Zugriffslisten müssen gepflegt werden, hat aber den Charme das du immer weisst wer was macht bzw. jemand der nicht arbeiten kann oder mit einer neuen Maschine kommt zu dir kommen muss. Die Proxy Authentifizierung ist dann quasi eine doppelte Sicherheit und bietet dir ferner noch die Möglichkeit Webseiten mit zweifelhaftem Inhalt für Schüler zu blocken bzw. außerdem eine "Surfstatistik". Der Squid Proxy unter Linux wie oben empfohlen ist das Tool der Wahl:
http://www.squid-cache.org/

Über eine Access Liste im Router schaltest du lediglich den Proxy Server für den Internetzugang frei und hast auch so absolute Gewissheit das keine "Zaungäste" im WLAN die Internetverbindung unbefugt nutzen falls die Schüler mal MAC Adressen, WLAN Schlüssel usw. mit "Freunden" teilen....
"Hot Spot" spezifische Accesspoint gibt es nicht und ein Radius Server erzeugt dir keine Anmeldemasken sondern authentifiziert lediglich Benutzer und übergibt weitere Parameter an Clients oder Zertifikate extern und nicht mit preshared Keys wie auf dem Accesspoint direkt, hilft dir also nicht wirklich.
ITwissen
ITwissen 08.03.2006 um 22:06:20 Uhr
Goto Top
Computertechnik ist nicht einfach face-smile

Was mich noch interessieren wuerde, da ich mir das auch schon mal ueberlegt habe, ohne auf eine Loesung zu kommen.

Wie bekomme ich die Leute dazu den Proxy einzustellen, statt am Proxy vorbeizusurfen?
10545
10545 09.03.2006 um 06:31:35 Uhr
Goto Top
Moin,

Wie bekomme ich die Leute dazu den Proxy
einzustellen, statt am Proxy
vorbeizusurfen?

Wenn auf dem Router einzig und allein der Proxy-Server innerhalb der MAC-Liste als "Allowed" eingetragen ist, dann können die User nicht am Proxy vorbeisurfen, der Router würde sie sofort abweisen.
Wenn man einen Proxy im Netz hat und die User ohne Weiteres an diesem "drumrumkommen", dann hat man ein Konfigurationsproblem face-wink

Gruß, Rene
Ragazzo
Ragazzo 09.03.2006 um 10:03:53 Uhr
Goto Top
@aqiu

"Hot Spot" spezifische Accesspoint gibt es nicht und ein Radius Server erzeugt
dir keine Anmeldemasken sondern authentifiziert lediglich Benutzer und
übergibt weitere Parameter an Clients oder Zertifikate extern und nicht mit
preshared Keys wie auf dem Accesspoint direkt, hilft dir also nicht wirklich.

<f>Da liegst Du aber völlig daneben !!!!</f>

Klar doch, es gibt APs mit Hotspot-Option und auch komplette Out-the-Box-Lösungen für z.B. Gatronomie (d.h. AP mit Hotspot und Ticketdrucker).

Letzere Variante haben wir noch nicht eingerichtet, aber wo ich definitiv Erfahrung habe, ist ein LANCOM Router bzw. AccessPoint (egal welches WLAN-Produkt von http://www.lancom.de) mit der HotSpot-Option (http://www.mylancom.de/LANCOM_Public_Spot.348.0.html).

Wie gesagt, man benötigt nur noch einen Radius-Server !

So long face-smile
RSRconnect
RSRconnect 09.03.2006 um 10:23:10 Uhr
Goto Top
Warum das Rad neu erfinden. Die Proxy-Lösung ist absolut empfehlenswert und kann sicher auch leicht umgesetzt werden.
aqui
aqui 09.03.2006 um 10:53:45 Uhr
Goto Top
@Ragazzo

Mmmhhh, die angegebene LanCom Seite sagt interessanterweise nichts über das Produkt "Public Spot" als solches und zeigt auch keine Bilder oder Skizzen dieser Lösung. Warum eigentlich wenn es so toll ist ??!!
Die Vermutung liegt nahe das es eine Systemlösung ist, denn auch unter ihrer gesamten WLAN Produktpalette findet sich kein dedizierter Public Hot Spot Accesspoint ! Vermutlich also setzt Lancom einen ihrer Standard APs ein mit einer dedizierten Appliance auf Serverbasis, ggf. sogar eines speziellen WLAN Switches. Man kann ohne detailierte Information nur vermuten...
Ich kann mir nicht wirklich vorstellen das ein Radius Server und ein Webserver zusammen auf einem AP integriert ist. Und gerade bei öffentlichen Hot Spots besteht die Gefahr des Diebstahls. Passiert das wird die gesamte Security Policy und Hot Spot Konfiguration mitgestohlen und würde dann eine komplette Neukonfiguration der Zugangspolicy etc. eines solchen Hot Spots bedeuten. Da im Falle eines Diebstahl oder auch nur einer Fehlfunktion wie kaputtem Netzteil etc. der Radius Server dann auch nicht mehr vorhanden wäre, wäre dieser HotSpot unbrauchbar.
Ich kann mir nicht wirklich vorstellen das Lancom so ein Produkt verkauft. Kein realistischer Hot Spot Betreiber würde sich darauf einlassen denke ich.
Aber Produktbewertungen haben nichts mit dem eigentlichen Thema hier zu tun face-wink