6
Captive-Portal Login to MAC binding
Hallo zusammen,
ich bin gerade dabei ein Captive-Portal auf Basis von pfsense einzurichten. Dank dem Tutorial von aqui (WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)) eine super Sache. Das System wird in einem Mietshaus eingesetzt, dessen Wohnungen nur kurzzeitig an die Bewohner vermietet werden. Da es nicht viele Mietparteien sind, wollen wir die Nutzer über die eigene Benutzerverwaltung von pfsense anlegen. Soweit funktioniert das ganze auch schon.
Nun wollen wir aber zum Missbrauchsschutz eine Kontrolle einführen, damit wirklich nur derjenige Zugang zum Internet erhält, der auch dafür bezahlt hat. Es soll also nicht nur einer bezahlen, der dann seinen Zugang an beliebige Mitbewohner weitergibt. Ich habe schon Systeme gesehen, bei denen mit dem ersten Login dem Benutzer die MAC-Adresse zugeordnet wird, sodass er 1.) die Zugangsdaten nicht mehr eingeben muss und 2.) kein anderer sich mit diesem Zugang anmelden kann.
Dass pfsense die MAC-Adresse zwecks komfortablen Passthroug-Zugang speichert, habe ich bereits eingestellt. Das verhindert aber noch keine Mitbenutzung, da man hier einfach nur den Login erneut an einem anderen Gerät angeben muss. Hat denn jemand von euch schon Erfahrungen mit so einer Lösung auf Basis von pfsense oder m0n0wall? Und falls ja, wird das nativ, mit einem Plugin oder einem externen Radius-System unterstützt?
Besten Dank schon einmal für eure Mithilfe.
Matthias
ich bin gerade dabei ein Captive-Portal auf Basis von pfsense einzurichten. Dank dem Tutorial von aqui (WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)) eine super Sache. Das System wird in einem Mietshaus eingesetzt, dessen Wohnungen nur kurzzeitig an die Bewohner vermietet werden. Da es nicht viele Mietparteien sind, wollen wir die Nutzer über die eigene Benutzerverwaltung von pfsense anlegen. Soweit funktioniert das ganze auch schon.
Nun wollen wir aber zum Missbrauchsschutz eine Kontrolle einführen, damit wirklich nur derjenige Zugang zum Internet erhält, der auch dafür bezahlt hat. Es soll also nicht nur einer bezahlen, der dann seinen Zugang an beliebige Mitbewohner weitergibt. Ich habe schon Systeme gesehen, bei denen mit dem ersten Login dem Benutzer die MAC-Adresse zugeordnet wird, sodass er 1.) die Zugangsdaten nicht mehr eingeben muss und 2.) kein anderer sich mit diesem Zugang anmelden kann.
Dass pfsense die MAC-Adresse zwecks komfortablen Passthroug-Zugang speichert, habe ich bereits eingestellt. Das verhindert aber noch keine Mitbenutzung, da man hier einfach nur den Login erneut an einem anderen Gerät angeben muss. Hat denn jemand von euch schon Erfahrungen mit so einer Lösung auf Basis von pfsense oder m0n0wall? Und falls ja, wird das nativ, mit einem Plugin oder einem externen Radius-System unterstützt?
Besten Dank schon einmal für eure Mithilfe.
Matthias
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 269936
Url: https://administrator.de/contentid/269936
Printed on: April 19, 2024 at 21:04 o'clock
6 Comments
Latest comment
Nabend,
Du hast schon darüber nachgedacht, das ein Mieter nicht nur ein PC, sondern auch ein IPad, iPod, Handy etc.. haben könnte...
lg
Frank
Du hast schon darüber nachgedacht, das ein Mieter nicht nur ein PC, sondern auch ein IPad, iPod, Handy etc.. haben könnte...
lg
Frank
Das ist bei pfSense ganz einfach:
Setze im CP Setup ganz einfach den Haken bei Disable concurrent logins damit verhinderst du sofort multiple Logins über das CP falls ein User z.B. seine Daten weitergegeben haben sollte !
Genau das Gegenteil also was du willst. Da trägst du z.B. dein privates Laptop ein wenn du das Gastnetz mal nutzen willst ohne User Eintrag oder wenn du von remote mal auf die Administrationsseite deiner Accesspoints oder Switches willst im Gastnetz.
Handbuch lesen !!
Keiner muss die Zugangsdaten mehr mehrfach eingeben wenn man sie im Browser speichert. Jeder Browser macht das heutzutage...wo ist also dein Problem ?
Du legst den User an, trägst die Zeitperiode für die Gültigkeit ein und gut iss.
Alternative ist Radius erhöht aber den administrativen Aufwand. Das muss nicht zwingend extern sein, denn über die Package Verwaltung kannst du auch einen Radius Server auf der pfSense laufen lassen.
Alternative dann sonst Raspberry Pi:
Netzwerk Management Server mit Raspberry Pi
Setze im CP Setup ganz einfach den Haken bei Disable concurrent logins damit verhinderst du sofort multiple Logins über das CP falls ein User z.B. seine Daten weitergegeben haben sollte !
Dass pfsense die MAC-Adresse zwecks komfortablen Passthroug-Zugang speichert, habe ich bereits eingestellt.
??? Da verwechselst du wohl gefährlich etwas. Die Passthrough MACs sind die Adressen die das CP passieren dürfen OHNE jegliche Authorisierung !Genau das Gegenteil also was du willst. Da trägst du z.B. dein privates Laptop ein wenn du das Gastnetz mal nutzen willst ohne User Eintrag oder wenn du von remote mal auf die Administrationsseite deiner Accesspoints oder Switches willst im Gastnetz.
Handbuch lesen !!
Keiner muss die Zugangsdaten mehr mehrfach eingeben wenn man sie im Browser speichert. Jeder Browser macht das heutzutage...wo ist also dein Problem ?
Du legst den User an, trägst die Zeitperiode für die Gültigkeit ein und gut iss.
Alternative ist Radius erhöht aber den administrativen Aufwand. Das muss nicht zwingend extern sein, denn über die Package Verwaltung kannst du auch einen Radius Server auf der pfSense laufen lassen.
Alternative dann sonst Raspberry Pi:
Netzwerk Management Server mit Raspberry Pi
Vielen Dank für die Antworten.
@Vision2015:
Selbstverständlich habe ich auch in Erwägung gezogen, dass ein Benutzer mehrere Geräte hat. Dieser hätte bei einer MAC-Adressbindung eben einfach mehrere Zugänge bekommen - und, obwohl der Standort in Schwaben ist, ohne Aufpreis
.
@aqui:
Die Mehrfachlogins pro Benutzer hatte ich schon deaktiviert. Sorry, dass ich das nicht schon vorher erwähnt habe. Das Problem ist dann eben noch, wenn zwei oder drei Personen in gegenläufigen Schichten arbeiten. Die können sich dann ja trotzdem anmelden, ohne einen anderen Nutzer zu beeinträchtigen.
Mit dem Passthroug-Zugang meinte ich den Punkt "Pass-through MAC Auto Entry" in den Captive-Portal-Einstellungen. Mein Gedanke dazu war, dass es dann nicht mehr notwendig wäre, das Passwort im Browser zu hinterlegen. Klar, mit der Speicherfunktion des Browsers wäre das obsolet.
@Vision2015:
Selbstverständlich habe ich auch in Erwägung gezogen, dass ein Benutzer mehrere Geräte hat. Dieser hätte bei einer MAC-Adressbindung eben einfach mehrere Zugänge bekommen - und, obwohl der Standort in Schwaben ist, ohne Aufpreis
.@aqui:
Die Mehrfachlogins pro Benutzer hatte ich schon deaktiviert. Sorry, dass ich das nicht schon vorher erwähnt habe. Das Problem ist dann eben noch, wenn zwei oder drei Personen in gegenläufigen Schichten arbeiten. Die können sich dann ja trotzdem anmelden, ohne einen anderen Nutzer zu beeinträchtigen.
Mit dem Passthroug-Zugang meinte ich den Punkt "Pass-through MAC Auto Entry" in den Captive-Portal-Einstellungen. Mein Gedanke dazu war, dass es dann nicht mehr notwendig wäre, das Passwort im Browser zu hinterlegen. Klar, mit der Speicherfunktion des Browsers wäre das obsolet.
wenn zwei oder drei Personen in gegenläufigen Schichten arbeiten.
OK, das zu verifizieren ist schwierig.Wenn du deine Bank PIN rausgibst und einer nimmt dir die Karte wenn du schläfst kann der Bankoutomat auch nicht mehr unterschieden wer dran ist.
Dazu müsstest du mit Zertifikaten arbeiten oder Token Cards usw. was aber den Aufwand noch weiter erhöht. 100% wasserdicht ist das auch nicht, denn die kannst du auch weitergeben.
Du kannst auch Fingerabdrücke fälschen für Sensoren, da genügt Ponal Kleber und etwas Grafitspray.
Die Zertifikate sind an eine HW gebunden. Aber auch den Laptop kann man dem Freund geben. Wer will kann fast alles aushebeln.
Was du zusätzlich machen kannst:
Erfasse die Mac Adressen der Mieter Geräte und vergebe mit dem DHCP nur IPs an diese erfassten Macs (allow trusted only)
Diese IPs setzt du dann auch noch zusätzlich in eine Firewall Regel am Gastport.
Dann müsste ein Mieter sein Passwort UND seinen Rechner weitergeben. OK geht auch, aber die Hürden sind höher.
Merci für den Hinweis. Bei einer MAC-Bindung würde auch schon MAC-Spoofing zur Umgehung reichen. Es sollte einfach nur eine einigermaßen praktikable Lösung sein ohne den Verwalter zu überfordern (Das System, das ich im Eingangsthread beschrieben habe, kostet immerhin über 4k EUR).
Für den Zweck wird es also reichen, die IP-Adresse nur an eine erfasste MAC-Adresse per DHCP zu erteilen. Ja, dann müsste der Nutzer seine IP-Adresse und den Login weitergeben. Seine Netzwerkkarte müsste ebenfalls gerade nicht am Netz sein um das auszuhebeln. Aber wenn ich deinen Lösungsvorschlag richtig erfasst habe, müsste ich Sonst pro Client eine Firewallregel auf dem Gastzugang anlegen (einen Adressbereich auf dem Netzwerk hab ich auf die Schnelle nicht gesehen).
Noch einmal herzlichen Dank und einen schönen Abend noch.
Für den Zweck wird es also reichen, die IP-Adresse nur an eine erfasste MAC-Adresse per DHCP zu erteilen. Ja, dann müsste der Nutzer seine IP-Adresse und den Login weitergeben. Seine Netzwerkkarte müsste ebenfalls gerade nicht am Netz sein um das auszuhebeln. Aber wenn ich deinen Lösungsvorschlag richtig erfasst habe, müsste ich Sonst pro Client eine Firewallregel auf dem Gastzugang anlegen (einen Adressbereich auf dem Netzwerk hab ich auf die Schnelle nicht gesehen).
Noch einmal herzlichen Dank und einen schönen Abend noch.
müsste ich Sonst pro Client eine Firewallregel auf dem Gastzugang anlegen (einen Adressbereich auf dem Netzwerk hab ich auf die Schnelle nicht gesehen).
Ja, das ist so ! Würde die Hürden aber noch etwas höher legen.Um die Sache zu vereinafchen könntest du den IP Adressbereich in 16, 32 oder 64 etc. Schritten legen und dann mit einer CIDR Maske in der Regel arbeiten. So hättest du nur eine einzige Regel pro Range.
