12
Firewall oder Hotspot für kleines Hotel, welche ist die richtige
Hallo Leute,
ich benötige für ein kleines Hotel mit 16 Zimmern eine "Hotspot" Firewall Lösung hier die Vorgaben und mein erster Lösungsansatz:
Das Hotel hat 16 Zimmer aber keine Rezeption, diese wird über das Haupthotel gemanaged.
Vorhanden ist ein DSL 16000 Anschluss und ein Accesspoint. Das Problem ist das Gäste sich dort wohl XXX Videos per Bittorrent gezogen haben und an den Inhaber jetzt wchentlich Abmahn Schreiben kommen.
Mein Ansatz wäre nun folgender:
Einsatz einer Zyxel Zywall USG 100 mit APP Patrol Lizenz zum sperren von Diensten, sowie einem Zyxel NWA1100 Accesspoint.
Ich würde alle Dienste ausgehend auf der Firewall sperren ausser folgenden:
http/https - smtp - imap - pop3 - rdp - ftp
Leider funktioniert die Hotspot Lösung von Zyxel nicht, da die Tickets über den Drucker erstellt werden, dieser müsste ja dann im Haupthotel stehen.
Ich denke nicht dass man den Drucker über das Internet mit dem Hotspot verbinden kann.
Hat jemand noch einen anderen Ansatz?
Das Hauptproblem ist es die gängigen P2P Ports zu schliessen.
Ich weiss das es keine hundertprozentige Sicherheit gibt, aber ich denke das die meisten Gäste in dem Hotel nicht das Wissen haben die Firewall zu umgehen.
Preislich sollte das ganze so um die 750,- € liegen, dies wäre der Preis für dei Zyxel Lösung, günstiger wäre auch kein Problem
Gruß Marco
ich benötige für ein kleines Hotel mit 16 Zimmern eine "Hotspot" Firewall Lösung hier die Vorgaben und mein erster Lösungsansatz:
Das Hotel hat 16 Zimmer aber keine Rezeption, diese wird über das Haupthotel gemanaged.
Vorhanden ist ein DSL 16000 Anschluss und ein Accesspoint. Das Problem ist das Gäste sich dort wohl XXX Videos per Bittorrent gezogen haben und an den Inhaber jetzt wchentlich Abmahn Schreiben kommen.
Mein Ansatz wäre nun folgender:
Einsatz einer Zyxel Zywall USG 100 mit APP Patrol Lizenz zum sperren von Diensten, sowie einem Zyxel NWA1100 Accesspoint.
Ich würde alle Dienste ausgehend auf der Firewall sperren ausser folgenden:
http/https - smtp - imap - pop3 - rdp - ftp
Leider funktioniert die Hotspot Lösung von Zyxel nicht, da die Tickets über den Drucker erstellt werden, dieser müsste ja dann im Haupthotel stehen.
Ich denke nicht dass man den Drucker über das Internet mit dem Hotspot verbinden kann.
Hat jemand noch einen anderen Ansatz?
Das Hauptproblem ist es die gängigen P2P Ports zu schliessen.
Ich weiss das es keine hundertprozentige Sicherheit gibt, aber ich denke das die meisten Gäste in dem Hotel nicht das Wissen haben die Firewall zu umgehen.
Preislich sollte das ganze so um die 750,- € liegen, dies wäre der Preis für dei Zyxel Lösung, günstiger wäre auch kein Problem
Gruß Marco
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 159529
Url: https://administrator.de/contentid/159529
Ausgedruckt am: 25.11.2024 um 01:11 Uhr
12 Kommentare
Neuester Kommentar
Hi,
ich würde an deiner stelle als Gateway einen IPCop mit dem Addon "Bot" empfehlen,
so kannst du den kompletten Inetverkehr steuern.
Übrigens würde ich den Port 22 auch noch öffnen. Es gibt auch viele die per ssh arbeiten wollen, ebenso die Ports für VPN - User.
Gruß Lindi
ich würde an deiner stelle als Gateway einen IPCop mit dem Addon "Bot" empfehlen,
so kannst du den kompletten Inetverkehr steuern.
Übrigens würde ich den Port 22 auch noch öffnen. Es gibt auch viele die per ssh arbeiten wollen, ebenso die Ports für VPN - User.
Gruß Lindi
Welche Hardware würdest du für den IPCOP empfehlen?
Bei den Ports werde ich sicherlich noch den einen oder anderen öffnen müssen, aber die Zyxel arbeitet auf Anwendungsebene.
Gruß Marco
Bei den Ports werde ich sicherlich noch den einen oder anderen öffnen müssen, aber die Zyxel arbeitet auf Anwendungsebene.
Gruß Marco
Einfach nur Ports zu schließen ist nicht sinnvoll, da die Dienste auf verschiedensten Portranges operieren können. Ich würde an Deiner Stelle keine Blacklist, sondern eine Whitelist einrichten und nur die gängigen Dienste wie http(s) smtp imap pop3 und was ihr Euren Kunden anbieten wollt freischalten. Ich persönlich würde Dir IPFire ans Herz legen, da es wesentlich aktueller, performanter und sicherer als IPCop ist, da eine wesentlich größere Entwicklergemeinde dahintersteht.
Als Hardwareplattform würde ich ein Intel Atom ITX Board mit mindestens 2 Netzwerkkarten, 2 GB RAM und einer kleinen Notebookplatte bzw SSD (gibt’s schon für den Anwendungszweck um die 35€). Kannst auch gerne mal im wiki auf www.ipfire.org nachgucken, dort gibt es genügend Infos zur Hardware und Konfiguration.
Als Hardwareplattform würde ich ein Intel Atom ITX Board mit mindestens 2 Netzwerkkarten, 2 GB RAM und einer kleinen Notebookplatte bzw SSD (gibt’s schon für den Anwendungszweck um die 35€). Kannst auch gerne mal im wiki auf www.ipfire.org nachgucken, dort gibt es genügend Infos zur Hardware und Konfiguration.
Hi!
Habe gerade erst eine ähnliche Lösung in betrieb genommen.
Hardware/SW:
FW: http://shop.varia-store.com/product_info.php?info=p886_pfSense-Komplett ...
AP: Linksys WRT54gl - DD-WRT
Auf der Firewall das Captive-Portal und Syslog aktiviert.
Funktioniert bis jetzt ohne Probleme.
Jedes Zimmer hat einen eigenen Benutzernamen und PW - diese befinden sich in den Wilkommensmappen und dank der Syslog-Files kann nachvolzogen werden welches "Zimmer" wann online war.
Gruß
Yali0n
Habe gerade erst eine ähnliche Lösung in betrieb genommen.
Hardware/SW:
FW: http://shop.varia-store.com/product_info.php?info=p886_pfSense-Komplett ...
AP: Linksys WRT54gl - DD-WRT
Auf der Firewall das Captive-Portal und Syslog aktiviert.
Funktioniert bis jetzt ohne Probleme.
Jedes Zimmer hat einen eigenen Benutzernamen und PW - diese befinden sich in den Wilkommensmappen und dank der Syslog-Files kann nachvolzogen werden welches "Zimmer" wann online war.
Gruß
Yali0n
Noch einfacher und preiswerter geht es hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit kannst du dann über die FW Funktion XXX Videos gleich verbieten
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit kannst du dann über die FW Funktion XXX Videos gleich verbieten
Spar dir doch das ganze witzlose Filtern, das eh nie klappt
Ein DSL-Anschluss mit mehreren öffentlichen IPs ist unwesentlich teurer.
Dann wird jedem Kunden nach dem Login am Captive Portal eine öffentliche IP zugewiesen und protokolliert.
Und die Abmahnungen kannst du dann einfach weiterleiten
Ein DSL-Anschluss mit mehreren öffentlichen IPs ist unwesentlich teurer.
Dann wird jedem Kunden nach dem Login am Captive Portal eine öffentliche IP zugewiesen und protokolliert.
Und die Abmahnungen kannst du dann einfach weiterleiten
Hallo Marco,
Der SP-300E verfügt über einen Ethernetport und wird über TCP/IP angesprochen. Insofern sollte es kein Problem sein, ihn z.B. per VPN anzubinden.
Außerdem scheint sein Einsatz wohl nicht zwingend erforderlich zu sein - er macht es aber für das Personal besonders bequem.
Das nur zur Info - keine Aussage pro oder contra Zyxel Hotspot, denn diesen habe ich bislang noch nicht in den Händen gehabt.
Gruß
Steffen
Zitat von @MarcoBrueck:
Leider funktioniert die Hotspot Lösung von Zyxel nicht, da die Tickets über den Drucker erstellt werden, dieser
müsste ja dann im Haupthotel stehen.
Ich denke nicht dass man den Drucker über das Internet mit dem Hotspot verbinden kann.
Leider funktioniert die Hotspot Lösung von Zyxel nicht, da die Tickets über den Drucker erstellt werden, dieser
müsste ja dann im Haupthotel stehen.
Ich denke nicht dass man den Drucker über das Internet mit dem Hotspot verbinden kann.
Der SP-300E verfügt über einen Ethernetport und wird über TCP/IP angesprochen. Insofern sollte es kein Problem sein, ihn z.B. per VPN anzubinden.
Außerdem scheint sein Einsatz wohl nicht zwingend erforderlich zu sein - er macht es aber für das Personal besonders bequem.
Das nur zur Info - keine Aussage pro oder contra Zyxel Hotspot, denn diesen habe ich bislang noch nicht in den Händen gehabt.
Gruß
Steffen
Zitat von @dog:
Ein DSL-Anschluss mit mehreren öffentlichen IPs ist unwesentlich teurer.
Dann wird jedem Kunden nach dem Login am Captive Portal eine öffentliche IP zugewiesen und protokolliert.
Und die Abmahnungen kannst du dann einfach weiterleiten
Ein DSL-Anschluss mit mehreren öffentlichen IPs ist unwesentlich teurer.
Dann wird jedem Kunden nach dem Login am Captive Portal eine öffentliche IP zugewiesen und protokolliert.
Und die Abmahnungen kannst du dann einfach weiterleiten
Du kannst Dich aber auch mit nur einer öffentlichen IP-Adresse genauso gut exkulpieren, wenn das Logging die entsprechenden Infos hergibt (also welcher Login, zu welcher Zeit mit welcher Remote-IP Verbindung aufgenommen hat).
Gruß
sk
Also meine Entscheidung ist nun auf die Zyxel Firewall Lösung gefallen. Habe gerade die Konfiguration fertig gestellt.
Folgendes wurde eingerichtet:
Für jedes Zimmer einen User und alle Zimmer in eine Gruppe.
Firewall Regel erstellt, die alle DHCP Clients von Lan nach Wan sperrt.
Davor eine Regel welche der Gruppe mit den Zimmern den Zugang erlaubt.
Wenn der Gast sich auf die Seite https://internet.local begibt kann er sich mit seinem Zimmer anmelden, solange der Browser offen
bleibt ist der Zugang möglich.
Außerdem sind alle P2P Ports gesperrt, habe ich getestet funktioniert sehr gut, braucht man allerdings die IDP/ADP Lizenz.
Morgen wird installiert, wenn dann auch alles läuft, markiere als gelöst.
Konfiguration der Firewall und Accesspoint hat ca. 2 Stunden gedauert.
Die von Yali0n empfohlene pfsense Lösung hätte mich auch interessiert, allerdings muss ich morgen installieren und in dem Shop wäre eine Lieferung
erst nächste Woche möglich gewesen.
Gruß Marco
Die
Folgendes wurde eingerichtet:
Für jedes Zimmer einen User und alle Zimmer in eine Gruppe.
Firewall Regel erstellt, die alle DHCP Clients von Lan nach Wan sperrt.
Davor eine Regel welche der Gruppe mit den Zimmern den Zugang erlaubt.
Wenn der Gast sich auf die Seite https://internet.local begibt kann er sich mit seinem Zimmer anmelden, solange der Browser offen
bleibt ist der Zugang möglich.
Außerdem sind alle P2P Ports gesperrt, habe ich getestet funktioniert sehr gut, braucht man allerdings die IDP/ADP Lizenz.
Morgen wird installiert, wenn dann auch alles läuft, markiere als gelöst.
Konfiguration der Firewall und Accesspoint hat ca. 2 Stunden gedauert.
Die von Yali0n empfohlene pfsense Lösung hätte mich auch interessiert, allerdings muss ich morgen installieren und in dem Shop wäre eine Lieferung
erst nächste Woche möglich gewesen.
Gruß Marco
Die
Keine schlechte Wahl! Dazu ein paar Tips von mir:
1)
Zitat von @MarcoBrueck:
Firewall Regel erstellt, die alle DHCP Clients von Lan nach Wan sperrt.
Davor eine Regel welche der Gruppe mit den Zimmern den Zugang erlaubt.
Firewall Regel erstellt, die alle DHCP Clients von Lan nach Wan sperrt.
Davor eine Regel welche der Gruppe mit den Zimmern den Zugang erlaubt.
Wenn ich das richtig verstehe, beziehen sich diese Einstellungen nur auf den DHCP-Scope. Und wenn sich der Gast nun eine feste IP-Adresse außerhalb des Scopes aber innerhalb des Subnets gibt? Dann muss er sich nicht an der FW authentifizieren? Warum beziehst Du dich nicht auf das gesamte Subnetz?
Wenn es Rechner geben soll, die geringeren Restriktionen unterliegen, dann konfiguriere hierfür besser ein ein separates Interface und eine eigene Firewallzone. Ich hätte von vornherein die WLAN-Zone für die Gäste genommen - die ist doch schon fast optimal vorkonfiguriert.
2)
Zitat von @MarcoBrueck:
Wenn der Gast sich auf die Seite https://internet.local begibt kann er sich mit seinem Zimmer anmelden, solange der Browser offen
bleibt ist der Zugang möglich.
Wenn der Gast sich auf die Seite https://internet.local begibt kann er sich mit seinem Zimmer anmelden, solange der Browser offen
bleibt ist der Zugang möglich.
Mit einer entsprechenden Authentication Policy geht die Anmeldemaske beim ersten Mal von alleine auf, egal welche Seite die Gäste aufrufen...
3)
Außerdem sind alle P2P Ports gesperrt, habe ich getestet funktioniert sehr gut, braucht man allerdings die IDP/ADP Lizenz.
Genau genommen ist ADP sogar mehr oder minder kostenfrei. Man benötigt lediglich die IDP-Signaturen als Erkennungsmuster. Sprich: nach Lizenzablauf funktioniert ADP weiterhin, nur die Erkennungsmuster veralten halt mit der Zeit. Siehe Supportnotes Seite 159 und 163: ftp://ftp.zyxel.com/ZYWALL_USG_100/support_note/ZYWALL%20USG%20100_2.20.pdf
IDP stellt hingegen die Arbeit ein, wenn die Lizenz abläuft.
4)
Das A und O ist ein gutes Logging, um sich im Falle von Rechtsverstößen exkulpieren zu können. Seit dem 2. oder 3. Patch zu ZLD 2.20 kann man die Systemlogs endlich auch auf einen USB-Stick oder eine USB-HD schreiben lassen. Das erspart den Syslog-Server...
Gruß
Steffen
Hallo Steffen,
zu 1): Ich denke ich werde den Adressbereich noch anpassen. Auf der IP 192.168.2.10 bis 192.168.2.13 sind Kameras angeschlossen und auf .240 und.241 ist der Accesspoint und Telefonanlage.
zu 2 Werde ich heute bei der Installation noch testen.
zu 3): Cool hatte ich nicht gewusst, aber ich denke ich werde am 8.2. bei Allnet eine Zywall USG Schulung machen. Kostet 429,- € und eine Zywall USG 100 ist inklusive.
zu 4 Was würdest du alles loggen? Hast du Erfahrung wie weit man mit einem 8 GB USB Stick kommt? Oder lieber gleich eine 160er 2,5" Platte dranhängen.
Gruß Marco
zu 1): Ich denke ich werde den Adressbereich noch anpassen. Auf der IP 192.168.2.10 bis 192.168.2.13 sind Kameras angeschlossen und auf .240 und.241 ist der Accesspoint und Telefonanlage.
zu 2
Werde ich heute bei der Installation noch testen.zu 3): Cool hatte ich nicht gewusst, aber ich denke ich werde am 8.2. bei Allnet eine Zywall USG Schulung machen. Kostet 429,- € und eine Zywall USG 100 ist inklusive.
zu 4
Was würdest du alles loggen? Hast du Erfahrung wie weit man mit einem 8 GB USB Stick kommt? Oder lieber gleich eine 160er 2,5" Platte dranhängen.Gruß Marco
Hallo Marco,
alles gut gelaufen?
Auf die Kameras und die Telefonanlage sollen die Gäste doch bestimmt nicht zugreifen können, oder? Wenn nein, dann bitte separieren...
Minimum wären m.E. die Punkte "User" und "Firewall" (mit aktiviertem Logging auf der erlaubenden Firewallregel). Ersteres loggt u.a. die Anmeldung des Benutzers auf der Firewall (u.a. mit Source-IP). Das benötigst Du im Fall der Fälle, um die von der Firewall geloggten Zugriffe dem Benutzer zuordnen zu können.
Zum Volumen: Ich logge derzeit nur auf meiner USG im Homeoffice auf einen USB-Stick (allerdings auch alles was geht). Ich benötige bis zu 10MB pro Tag. Mit einem Hotel wird sich dies wohl eher nicht vergleichen lassen - hier ist Baselining angesagt.
Gruß
Steffen
alles gut gelaufen?
Zitat von @MarcoBrueck:
zu 1): Ich denke ich werde den Adressbereich noch anpassen. Auf der IP 192.168.2.10 bis
192.168.2.13 sind Kameras angeschlossen und auf .240 und.241 ist der Accesspoint und
Telefonanlage.
zu 1): Ich denke ich werde den Adressbereich noch anpassen. Auf der IP 192.168.2.10 bis
192.168.2.13 sind Kameras angeschlossen und auf .240 und.241 ist der Accesspoint und
Telefonanlage.
Auf die Kameras und die Telefonanlage sollen die Gäste doch bestimmt nicht zugreifen können, oder? Wenn nein, dann bitte separieren...
zu 4 Was würdest du alles loggen? Hast du Erfahrung wie weit man mit einem
8 GB USB Stick kommt?
Was würdest du alles loggen? Hast du Erfahrung wie weit man mit einem8 GB USB Stick kommt?
Minimum wären m.E. die Punkte "User" und "Firewall" (mit aktiviertem Logging auf der erlaubenden Firewallregel). Ersteres loggt u.a. die Anmeldung des Benutzers auf der Firewall (u.a. mit Source-IP). Das benötigst Du im Fall der Fälle, um die von der Firewall geloggten Zugriffe dem Benutzer zuordnen zu können.
Zum Volumen: Ich logge derzeit nur auf meiner USG im Homeoffice auf einen USB-Stick (allerdings auch alles was geht). Ich benötige bis zu 10MB pro Tag. Mit einem Hotel wird sich dies wohl eher nicht vergleichen lassen - hier ist Baselining angesagt.
Gruß
Steffen
