Fragen zu halböffentlichem WLAN
Hallo zusammen,
aktuell bin ich damit beschäftigt, für eine Rotkreuz-Gruppierung eine stabile, kostengünstige Hotspot-Lösung einzurichten. Eingesetzt werden vermutlich pfSense (wohl auf Lex Neo CV700A) mit FreeRadius und Squid sowie zu Beginn ein Radius-fähiger WLAN-AP (im Anschluss möglicherweise zusätzliche, wenn die Abdeckung nicht reicht).
Nach einiger Recherche (auch Durchsicht der Tutorials von aqui!) sind noch immer einige Fragen offen, zu denen ich mich über Antworten sehr freuen würde.
1. Rechtliche Fragen (ich weiß, dass hier keine Rechtsberatung stattfinden darf - es soll lediglich als Grundlage für ein Fachgespräch mit einem IT-Anwalt dienen)
a) Welche Gesetze sind für diese Konstellation zu beachten? Reichen TMG, BDSG, RStV? (Stichwort Störerhaftung)
b) Werden an die Protokollierung von Nutzerdaten besondere Anforderungen gestellt? (Nutzungszeiträume werden auf jeden Fall protokolliert, je nach rechtlicher Erfordernis auch Seitenaufrufe der Nutzer) Müssen Protokolle beispielsweise revisionssicher ablegt werden, damit für den Fall von Ermittlungen (beispielsweise wg. Download urheberrechtlich geschützten Materials) bzw. vor Gericht diese Protokolle auch verwertet werden können? (Der Vollständigkeit halber: Jeder Nutzer wird zuvor eine entsprechende Nutzungsvereinbarung unterschreiben müssen, in der er auch über die Protokollierung und das Verbot illegaler Downloads informiert wird!)
2. Technische Fragen:
a) Für jede Nutzung die Geräte aufs Neue anmelden zu müssen, wie es zum Beispiel bei Vouchern der Fall wäre, sollte vermieden werden. Prinzipiell könnte man natürlich bei Einsatz eines Captive Portal nach einmaliger erfolgreicher Anmeldung die MAC-Adresse eines Geräts in die Liste der vertrauenswürdigen aufnehmen, und zukünftig automatisch durchlassen, allerdings lassen sich MAC-Adresse ja fälschen (und insbesondere in diesem Umfeld gibt es einige Kandidaten, die das durchaus versuchen würden).
Deshalb soll eigentlich jeder Benutzer einen personalisierten Zugang bekommen, den er auch auf verschiedenen Geräten nutzen kann. Bisher steht 802.1X mit PEAP und EAP-MSCHAPv2 oder (besser) EAP-TTLS oder EAP-TLS hoch im Kurs.
b) Bei der Protokollierung der Seitenaufrufe (so dies nötig ist - vgl. 1b) beispielsweise mittels Squid werden ja nur IP-Adressen gelogged. Um also den Zusammenhang mit einem User herstellen zu können, müsste ich diese IP mit den Authentifizierungsdaten verbinden.
Prinzipiell kann FreeRadius2 ja auch die IP-Adresse loggen (Attribut 8 - FramedIPAddress), allerdings weiß ich nicht (und konnte es bisher auch nicht ausprobieren), ob das bei der pfSense auch klappt - und vor allem, welche Voraussetzungen hierfür gegeben sein müssten; die wichtigste wird wohl sein, dass ein AP/Switch nach der erfolgreichen Authentifizierung auch entsprechende Accounting-Pakete schicken muss, oder?
Bisher ist es nämlich leider so, dass ich mich über drei Logs hangeln muss, um zum Schluss den Zusammenhang ermitteln zu können: von der Radiusprotokollierung (Benutzername → aktuelle MAC-Adresse) über das DHCP-Log (aktuelle MAC-Adresse → IP-Adresse) zum Squid-Log (IP-Adresse → aufgerufene Seite). Und diese Lösung ist zumindest sehr unkomfortabel...
Edit: IP-Zuweisung über RADIUS geht allem Anschein nach wohl nur bei Einsatz von PtP-Protokollen wie PPP(oE), das fällt also weg.
Vielen Dank im Voraus!
Grüße, kingkong
aktuell bin ich damit beschäftigt, für eine Rotkreuz-Gruppierung eine stabile, kostengünstige Hotspot-Lösung einzurichten. Eingesetzt werden vermutlich pfSense (wohl auf Lex Neo CV700A) mit FreeRadius und Squid sowie zu Beginn ein Radius-fähiger WLAN-AP (im Anschluss möglicherweise zusätzliche, wenn die Abdeckung nicht reicht).
Nach einiger Recherche (auch Durchsicht der Tutorials von aqui!) sind noch immer einige Fragen offen, zu denen ich mich über Antworten sehr freuen würde.
1. Rechtliche Fragen (ich weiß, dass hier keine Rechtsberatung stattfinden darf - es soll lediglich als Grundlage für ein Fachgespräch mit einem IT-Anwalt dienen)
a) Welche Gesetze sind für diese Konstellation zu beachten? Reichen TMG, BDSG, RStV? (Stichwort Störerhaftung)
b) Werden an die Protokollierung von Nutzerdaten besondere Anforderungen gestellt? (Nutzungszeiträume werden auf jeden Fall protokolliert, je nach rechtlicher Erfordernis auch Seitenaufrufe der Nutzer) Müssen Protokolle beispielsweise revisionssicher ablegt werden, damit für den Fall von Ermittlungen (beispielsweise wg. Download urheberrechtlich geschützten Materials) bzw. vor Gericht diese Protokolle auch verwertet werden können? (Der Vollständigkeit halber: Jeder Nutzer wird zuvor eine entsprechende Nutzungsvereinbarung unterschreiben müssen, in der er auch über die Protokollierung und das Verbot illegaler Downloads informiert wird!)
2. Technische Fragen:
a) Für jede Nutzung die Geräte aufs Neue anmelden zu müssen, wie es zum Beispiel bei Vouchern der Fall wäre, sollte vermieden werden. Prinzipiell könnte man natürlich bei Einsatz eines Captive Portal nach einmaliger erfolgreicher Anmeldung die MAC-Adresse eines Geräts in die Liste der vertrauenswürdigen aufnehmen, und zukünftig automatisch durchlassen, allerdings lassen sich MAC-Adresse ja fälschen (und insbesondere in diesem Umfeld gibt es einige Kandidaten, die das durchaus versuchen würden).
Deshalb soll eigentlich jeder Benutzer einen personalisierten Zugang bekommen, den er auch auf verschiedenen Geräten nutzen kann. Bisher steht 802.1X mit PEAP und EAP-MSCHAPv2 oder (besser) EAP-TTLS oder EAP-TLS hoch im Kurs.
b) Bei der Protokollierung der Seitenaufrufe (so dies nötig ist - vgl. 1b) beispielsweise mittels Squid werden ja nur IP-Adressen gelogged. Um also den Zusammenhang mit einem User herstellen zu können, müsste ich diese IP mit den Authentifizierungsdaten verbinden.
Prinzipiell kann FreeRadius2 ja auch die IP-Adresse loggen (Attribut 8 - FramedIPAddress), allerdings weiß ich nicht (und konnte es bisher auch nicht ausprobieren), ob das bei der pfSense auch klappt - und vor allem, welche Voraussetzungen hierfür gegeben sein müssten; die wichtigste wird wohl sein, dass ein AP/Switch nach der erfolgreichen Authentifizierung auch entsprechende Accounting-Pakete schicken muss, oder?
Bisher ist es nämlich leider so, dass ich mich über drei Logs hangeln muss, um zum Schluss den Zusammenhang ermitteln zu können: von der Radiusprotokollierung (Benutzername → aktuelle MAC-Adresse) über das DHCP-Log (aktuelle MAC-Adresse → IP-Adresse) zum Squid-Log (IP-Adresse → aufgerufene Seite). Und diese Lösung ist zumindest sehr unkomfortabel...
Edit: IP-Zuweisung über RADIUS geht allem Anschein nach wohl nur bei Einsatz von PtP-Protokollen wie PPP(oE), das fällt also weg.
Vielen Dank im Voraus!
Grüße, kingkong
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 232729
Url: https://administrator.de/contentid/232729
Ausgedruckt am: 22.11.2024 um 03:11 Uhr