marcobrueck
Goto Top

Firewall oder Hotspot für kleines Hotel, welche ist die richtige

Hallo Leute,

ich benötige für ein kleines Hotel mit 16 Zimmern eine "Hotspot" Firewall Lösung hier die Vorgaben und mein erster Lösungsansatz:

Das Hotel hat 16 Zimmer aber keine Rezeption, diese wird über das Haupthotel gemanaged.
Vorhanden ist ein DSL 16000 Anschluss und ein Accesspoint. Das Problem ist das Gäste sich dort wohl XXX Videos per Bittorrent gezogen haben und an den Inhaber jetzt wchentlich Abmahn Schreiben kommen.

Mein Ansatz wäre nun folgender:
Einsatz einer Zyxel Zywall USG 100 mit APP Patrol Lizenz zum sperren von Diensten, sowie einem Zyxel NWA1100 Accesspoint.
Ich würde alle Dienste ausgehend auf der Firewall sperren ausser folgenden:

http/https - smtp - imap - pop3 - rdp - ftp

Leider funktioniert die Hotspot Lösung von Zyxel nicht, da die Tickets über den Drucker erstellt werden, dieser müsste ja dann im Haupthotel stehen.
Ich denke nicht dass man den Drucker über das Internet mit dem Hotspot verbinden kann.

Hat jemand noch einen anderen Ansatz?
Das Hauptproblem ist es die gängigen P2P Ports zu schliessen.

Ich weiss das es keine hundertprozentige Sicherheit gibt, aber ich denke das die meisten Gäste in dem Hotel nicht das Wissen haben die Firewall zu umgehen.

Preislich sollte das ganze so um die 750,- € liegen, dies wäre der Preis für dei Zyxel Lösung, günstiger wäre auch kein Problem face-smile

Gruß Marco

Content-Key: 159529

Url: https://administrator.de/contentid/159529

Printed on: February 8, 2023 at 21:02 o'clock

Member: lindi200000
lindi200000 Jan 27, 2011 at 07:59:21 (UTC)
Goto Top
Hi,
ich würde an deiner stelle als Gateway einen IPCop mit dem Addon "Bot" empfehlen,
so kannst du den kompletten Inetverkehr steuern.

Übrigens würde ich den Port 22 auch noch öffnen. Es gibt auch viele die per ssh arbeiten wollen, ebenso die Ports für VPN - User.

Gruß Lindi
Member: MarcoBrueck
MarcoBrueck Jan 27, 2011 at 08:09:02 (UTC)
Goto Top
Welche Hardware würdest du für den IPCOP empfehlen?

Bei den Ports werde ich sicherlich noch den einen oder anderen öffnen müssen, aber die Zyxel arbeitet auf Anwendungsebene.

Gruß Marco
Member: Kim
Kim Jan 27, 2011 at 08:33:49 (UTC)
Goto Top
Einfach nur Ports zu schließen ist nicht sinnvoll, da die Dienste auf verschiedensten Portranges operieren können. Ich würde an Deiner Stelle keine Blacklist, sondern eine Whitelist einrichten und nur die gängigen Dienste wie http(s) smtp imap pop3 und was ihr Euren Kunden anbieten wollt freischalten. Ich persönlich würde Dir IPFire ans Herz legen, da es wesentlich aktueller, performanter und sicherer als IPCop ist, da eine wesentlich größere Entwicklergemeinde dahintersteht.

Als Hardwareplattform würde ich ein Intel Atom ITX Board mit mindestens 2 Netzwerkkarten, 2 GB RAM und einer kleinen Notebookplatte bzw SSD (gibt’s schon für den Anwendungszweck um die 35€). Kannst auch gerne mal im wiki auf www.ipfire.org nachgucken, dort gibt es genügend Infos zur Hardware und Konfiguration.
Member: Yali0n
Yali0n Jan 27, 2011 at 08:35:43 (UTC)
Goto Top
Hi!

Habe gerade erst eine ähnliche Lösung in betrieb genommen.

Hardware/SW:
FW: http://shop.varia-store.com/product_info.php?info=p886_pfSense-Komplett ...
AP: Linksys WRT54gl - DD-WRT

Auf der Firewall das Captive-Portal und Syslog aktiviert.

Funktioniert bis jetzt ohne Probleme.
Jedes Zimmer hat einen eigenen Benutzernamen und PW - diese befinden sich in den Wilkommensmappen und dank der Syslog-Files kann nachvolzogen werden welches "Zimmer" wann online war.


Gruß
Yali0n
Member: aqui
aqui Jan 27, 2011, updated at Oct 18, 2012 at 16:45:38 (UTC)
Goto Top
Noch einfacher und preiswerter geht es hier:
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
bzw.
https://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Damit kannst du dann über die FW Funktion XXX Videos gleich verbieten face-wink
Member: dog
dog Jan 27, 2011 at 18:56:04 (UTC)
Goto Top
Spar dir doch das ganze witzlose Filtern, das eh nie klappt face-smile

Ein DSL-Anschluss mit mehreren öffentlichen IPs ist unwesentlich teurer.
Dann wird jedem Kunden nach dem Login am Captive Portal eine öffentliche IP zugewiesen und protokolliert.
Und die Abmahnungen kannst du dann einfach weiterleiten face-wink
Member: sk
sk Jan 28, 2011 at 21:45:05 (UTC)
Goto Top
Hallo Marco,

Zitat von @MarcoBrueck:
Leider funktioniert die Hotspot Lösung von Zyxel nicht, da die Tickets über den Drucker erstellt werden, dieser
müsste ja dann im Haupthotel stehen.
Ich denke nicht dass man den Drucker über das Internet mit dem Hotspot verbinden kann.

Der SP-300E verfügt über einen Ethernetport und wird über TCP/IP angesprochen. Insofern sollte es kein Problem sein, ihn z.B. per VPN anzubinden.
Außerdem scheint sein Einsatz wohl nicht zwingend erforderlich zu sein - er macht es aber für das Personal besonders bequem.

Das nur zur Info - keine Aussage pro oder contra Zyxel Hotspot, denn diesen habe ich bislang noch nicht in den Händen gehabt.

Gruß
Steffen
Member: sk
sk Jan 28, 2011 at 21:55:06 (UTC)
Goto Top
Zitat von @dog:
Ein DSL-Anschluss mit mehreren öffentlichen IPs ist unwesentlich teurer.
Dann wird jedem Kunden nach dem Login am Captive Portal eine öffentliche IP zugewiesen und protokolliert.
Und die Abmahnungen kannst du dann einfach weiterleiten face-wink

Du kannst Dich aber auch mit nur einer öffentlichen IP-Adresse genauso gut exkulpieren, wenn das Logging die entsprechenden Infos hergibt (also welcher Login, zu welcher Zeit mit welcher Remote-IP Verbindung aufgenommen hat). face-wink

Gruß
sk
Member: MarcoBrueck
MarcoBrueck Jan 28, 2011 at 21:57:01 (UTC)
Goto Top
Also meine Entscheidung ist nun auf die Zyxel Firewall Lösung gefallen. Habe gerade die Konfiguration fertig gestellt.

Folgendes wurde eingerichtet:
Für jedes Zimmer einen User und alle Zimmer in eine Gruppe.

Firewall Regel erstellt, die alle DHCP Clients von Lan nach Wan sperrt.
Davor eine Regel welche der Gruppe mit den Zimmern den Zugang erlaubt.
Wenn der Gast sich auf die Seite https://internet.local begibt kann er sich mit seinem Zimmer anmelden, solange der Browser offen
bleibt ist der Zugang möglich.

Außerdem sind alle P2P Ports gesperrt, habe ich getestet funktioniert sehr gut, braucht man allerdings die IDP/ADP Lizenz.

Morgen wird installiert, wenn dann auch alles läuft, markiere als gelöst.

Konfiguration der Firewall und Accesspoint hat ca. 2 Stunden gedauert.

Die von Yali0n empfohlene pfsense Lösung hätte mich auch interessiert, allerdings muss ich morgen installieren und in dem Shop wäre eine Lieferung
erst nächste Woche möglich gewesen.

Gruß Marco

Die
Member: sk
sk Jan 28, 2011 at 22:48:31 (UTC)
Goto Top
Zitat von @MarcoBrueck:
Also meine Entscheidung ist nun auf die Zyxel Firewall Lösung gefallen.

Keine schlechte Wahl! Dazu ein paar Tips von mir:


1)
Zitat von @MarcoBrueck:
Firewall Regel erstellt, die alle DHCP Clients von Lan nach Wan sperrt.
Davor eine Regel welche der Gruppe mit den Zimmern den Zugang erlaubt.

Wenn ich das richtig verstehe, beziehen sich diese Einstellungen nur auf den DHCP-Scope. Und wenn sich der Gast nun eine feste IP-Adresse außerhalb des Scopes aber innerhalb des Subnets gibt? Dann muss er sich nicht an der FW authentifizieren? Warum beziehst Du dich nicht auf das gesamte Subnetz?
Wenn es Rechner geben soll, die geringeren Restriktionen unterliegen, dann konfiguriere hierfür besser ein ein separates Interface und eine eigene Firewallzone. Ich hätte von vornherein die WLAN-Zone für die Gäste genommen - die ist doch schon fast optimal vorkonfiguriert.


2)
Zitat von @MarcoBrueck:
Wenn der Gast sich auf die Seite https://internet.local begibt kann er sich mit seinem Zimmer anmelden, solange der Browser offen
bleibt ist der Zugang möglich.

Mit einer entsprechenden Authentication Policy geht die Anmeldemaske beim ersten Mal von alleine auf, egal welche Seite die Gäste aufrufen...


3)
Außerdem sind alle P2P Ports gesperrt, habe ich getestet funktioniert sehr gut, braucht man allerdings die IDP/ADP Lizenz.

Genau genommen ist ADP sogar mehr oder minder kostenfrei. Man benötigt lediglich die IDP-Signaturen als Erkennungsmuster. Sprich: nach Lizenzablauf funktioniert ADP weiterhin, nur die Erkennungsmuster veralten halt mit der Zeit. Siehe Supportnotes Seite 159 und 163: ftp://ftp.zyxel.com/ZYWALL_USG_100/support_note/ZYWALL%20USG%20100_2.20.pdf
IDP stellt hingegen die Arbeit ein, wenn die Lizenz abläuft.


4)
Das A und O ist ein gutes Logging, um sich im Falle von Rechtsverstößen exkulpieren zu können. Seit dem 2. oder 3. Patch zu ZLD 2.20 kann man die Systemlogs endlich auch auf einen USB-Stick oder eine USB-HD schreiben lassen. Das erspart den Syslog-Server... face-wink


Gruß
Steffen
Member: MarcoBrueck
MarcoBrueck Jan 29, 2011 at 06:02:57 (UTC)
Goto Top
Hallo Steffen,

zu 1): Ich denke ich werde den Adressbereich noch anpassen. Auf der IP 192.168.2.10 bis 192.168.2.13 sind Kameras angeschlossen und auf .240 und.241 ist der Accesspoint und Telefonanlage.

zu 2face-smile Werde ich heute bei der Installation noch testen.

zu 3): Cool hatte ich nicht gewusst, aber ich denke ich werde am 8.2. bei Allnet eine Zywall USG Schulung machen. Kostet 429,- € und eine Zywall USG 100 ist inklusive.

zu 4face-smile Was würdest du alles loggen? Hast du Erfahrung wie weit man mit einem 8 GB USB Stick kommt? Oder lieber gleich eine 160er 2,5" Platte dranhängen.

Gruß Marco
Member: sk
sk Jan 31, 2011 at 16:10:20 (UTC)
Goto Top
Hallo Marco,

alles gut gelaufen?


Zitat von @MarcoBrueck:
zu 1): Ich denke ich werde den Adressbereich noch anpassen. Auf der IP 192.168.2.10 bis
192.168.2.13 sind Kameras angeschlossen und auf .240 und.241 ist der Accesspoint und
Telefonanlage.

Auf die Kameras und die Telefonanlage sollen die Gäste doch bestimmt nicht zugreifen können, oder? Wenn nein, dann bitte separieren...


zu 4face-smile Was würdest du alles loggen? Hast du Erfahrung wie weit man mit einem
8 GB USB Stick kommt?

Minimum wären m.E. die Punkte "User" und "Firewall" (mit aktiviertem Logging auf der erlaubenden Firewallregel). Ersteres loggt u.a. die Anmeldung des Benutzers auf der Firewall (u.a. mit Source-IP). Das benötigst Du im Fall der Fälle, um die von der Firewall geloggten Zugriffe dem Benutzer zuordnen zu können.
Zum Volumen: Ich logge derzeit nur auf meiner USG im Homeoffice auf einen USB-Stick (allerdings auch alles was geht). Ich benötige bis zu 10MB pro Tag. Mit einem Hotel wird sich dies wohl eher nicht vergleichen lassen - hier ist Baselining angesagt. face-wink


Gruß
Steffen