M0n0wall - WLAN Zugang mit Captive Portal verschlüsselt oder unverschlüsselt?
Hi,
ich habe eine m0n0wall mit Captive Portal am Laufen. Funktioniert auch super. Ich habe aber KEIN WLAN-Passwort gesetzt. Es kann sich also jeder ins WLAN einloggen, kommt dann aber nur bis zum CP und braucht da ein Voucher-Passwort.
Sollte man trotzdem ein Passwort setzen, damit die Verbindung verschlüsselt ist? Wenn ja, am besten WPA2, oder?
Oder ist das insgesamt sinnlos da man nichts sniffen kann?
Danke!
Gabba
ich habe eine m0n0wall mit Captive Portal am Laufen. Funktioniert auch super. Ich habe aber KEIN WLAN-Passwort gesetzt. Es kann sich also jeder ins WLAN einloggen, kommt dann aber nur bis zum CP und braucht da ein Voucher-Passwort.
Sollte man trotzdem ein Passwort setzen, damit die Verbindung verschlüsselt ist? Wenn ja, am besten WPA2, oder?
Oder ist das insgesamt sinnlos da man nichts sniffen kann?
Danke!
Gabba
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 182067
Url: https://administrator.de/forum/m0n0wall-wlan-zugang-mit-captive-portal-verschluesselt-oder-unverschluesselt-182067.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
Du kannst es machen dann aber müsste dem Kunden das Passwort bekannt sein vorher. Wir haben es hier so geregelt das der Kunde vorher sich an der Rezeption ein Ticket kauft worauf das WLAN Passwort steht sowie seine Kennung die jeweils so und so lange gültig ist. Wir wechseln einmal die Woche das Passwort um hier auch die Sicherheit zu erhöhen. Es ist schon klar besser es zu Verschlüsseln weil man ja sonst auch eine Man in the Middle Attacke machen könnte.
LG
Sendmen
Du kannst es machen dann aber müsste dem Kunden das Passwort bekannt sein vorher. Wir haben es hier so geregelt das der Kunde vorher sich an der Rezeption ein Ticket kauft worauf das WLAN Passwort steht sowie seine Kennung die jeweils so und so lange gültig ist. Wir wechseln einmal die Woche das Passwort um hier auch die Sicherheit zu erhöhen. Es ist schon klar besser es zu Verschlüsseln weil man ja sonst auch eine Man in the Middle Attacke machen könnte.
LG
Sendmen
Der tiefere Sinn eines Hotspots ist ja gerade den Benutzern einen einfachen und problemlosen Zugang zu gewähren, der aber gleichzeitig für den Betreiber sicher ist. Also sind logischerweise alle Hotsports immer unverschlüsselt.
Setzt du ein WEP oder WPA Passwort fürhrst du so einen Hotspot damit natürlich sofort ad absurdum, denn dann muss jeder wieder umständlich nach dem Passwort fragen bei dir.
Und wenns einer weiss weiss es dann bald die ganze Welt spätestens nach 3 Bier an der Hotelbar. Und wie oft willst du dann wechseln im 5 Minutenrhytmus. In der Frequenz fragen dann die User wieder nach den Passwörtern....
Ziemlicher Unsinn also ein WLAN Passwort zu vergeben ! Dafür gibt es die Vouchers als Einmalpasswörter ! Und die Accessliste filtert bösen Traffic.
Für die Sicherheit der Daten ist jeder User selbst verantwortlich, was man mit einem kleinen Satz in der Portalseite ja auch kundtun kann für die Dummies unter den Benutzern.
Andernfalls bürdest du dir die Sicherheitsprobleme deiner User gleich mit auf und machst das CP mehr oder weniger sinnlos. Ganz falscher Denkansatz wenn man ein Hotspot CP betreibt. Vergiss das also !
Setzt du ein WEP oder WPA Passwort fürhrst du so einen Hotspot damit natürlich sofort ad absurdum, denn dann muss jeder wieder umständlich nach dem Passwort fragen bei dir.
Und wenns einer weiss weiss es dann bald die ganze Welt spätestens nach 3 Bier an der Hotelbar. Und wie oft willst du dann wechseln im 5 Minutenrhytmus. In der Frequenz fragen dann die User wieder nach den Passwörtern....
Ziemlicher Unsinn also ein WLAN Passwort zu vergeben ! Dafür gibt es die Vouchers als Einmalpasswörter ! Und die Accessliste filtert bösen Traffic.
Für die Sicherheit der Daten ist jeder User selbst verantwortlich, was man mit einem kleinen Satz in der Portalseite ja auch kundtun kann für die Dummies unter den Benutzern.
Andernfalls bürdest du dir die Sicherheitsprobleme deiner User gleich mit auf und machst das CP mehr oder weniger sinnlos. Ganz falscher Denkansatz wenn man ein Hotspot CP betreibt. Vergiss das also !
Ja natürlich wird er verschlüsselt nur den Sinn eines Hotspots für Gäste machst du damit dann wieder zunichte aus den o.a. Gründen.
Wenn du natürlich allgemein das WPA Passwort verrätst ist deine Verschlüsselung ja wieder für die Katz denn damit ist sie ja sofort knackbar oder wofür dachtest du ist das Passwort ?! "gast" knackt man so oder so mit der ersten Brute Force in 10 Sekunden bzw. das testet jeder ja eh zum Spass mal aus, da kannst du das auch gleich bleiben lassen...
Das eigentliche Geheimhalten eines Preshared Keys ist ja gerade der tiefere Sinn ! Besser also du liest nochmal die Grundlagen von Verschlüsselung nach.
http://de.wikipedia.org/wiki/Verschlüsselung
Diese Lösung ist dann so wenn du an deinem Tresor zu Hause ein Post It dranklebst wo draufsteht "Lieber Einbrecher die Kombination ist 1234567" Oder die PIN deiner Kreditkarte auf deren Rückseite schreibst...
Du erkennst vermutlich selber den Unsinn dieses Vorhabens.... ?!
Accessliste = Firewall Regel
Wenn du natürlich allgemein das WPA Passwort verrätst ist deine Verschlüsselung ja wieder für die Katz denn damit ist sie ja sofort knackbar oder wofür dachtest du ist das Passwort ?! "gast" knackt man so oder so mit der ersten Brute Force in 10 Sekunden bzw. das testet jeder ja eh zum Spass mal aus, da kannst du das auch gleich bleiben lassen...
Das eigentliche Geheimhalten eines Preshared Keys ist ja gerade der tiefere Sinn ! Besser also du liest nochmal die Grundlagen von Verschlüsselung nach.
http://de.wikipedia.org/wiki/Verschlüsselung
Diese Lösung ist dann so wenn du an deinem Tresor zu Hause ein Post It dranklebst wo draufsteht "Lieber Einbrecher die Kombination ist 1234567" Oder die PIN deiner Kreditkarte auf deren Rückseite schreibst...
Du erkennst vermutlich selber den Unsinn dieses Vorhabens.... ?!
Accessliste = Firewall Regel
Wenn dein Rootserver Linux basierend ist muss man nix empfehlen, denn Linux hat sowas von sich aus an Bord.
Sinn macht es darauf den kostenlosen Loganalyzer (ex PHPLogCon) zu installieren damit man es grafisch und etwas leichter hat
http://loganalyzer.adiscon.com/
Ist dein Server eine Winblows Gurke kannst du dir was aussuchen:
Mikrotik Syslog: http://www.mikrotik.com/archive.php
TFTP32: http://tftpd32.jounin.net/
Draytek Syslog: http://www.draytek.de/downloads/tools-utilities.html
Kiwi Syslog: http://www.kiwisyslog.com/kiwi-syslog-server-overview/
Such dir den Schönsten aus....
Was deine Angaben mit den LAN Buchsen auf dem ALIX anbetrifft ist das eine völlige Falschaussage oder du hast einen Fehler gemacht. Sie stimmt de facto NICHT !
Aktiv beim Startup ist immer vr0 und vr1 also der LAN Port und der WAN Port ! Der LAN Port IMMER mit aktiviertem DHCP Server !
Auf dem LAN Port bekommt man also IMMER eine gültige IP Adresse bei BEIDEN Firmwares um auf die Konfig Oberfläche zuzugreifen. Auch da irrst du also gewaltig oder machst etwas grundlegend falsch !
Richtig ist der 3te Port oder einen ggf. installierte WLAN miniPCI Karte, die beim initialen Starten deaktiviert sind ! Mit einem simplen Klick auf das + bei den Interfaces sind diese aber in 3 Sekunden aktiviert und fertig zum Konfigurieren !
Es ist Unsinn das man dafür das onboard Terminal bemühen muss. Das ist weder bei der MW noch bei pfSense der Fall !!
Sinn macht es darauf den kostenlosen Loganalyzer (ex PHPLogCon) zu installieren damit man es grafisch und etwas leichter hat
http://loganalyzer.adiscon.com/
Ist dein Server eine Winblows Gurke kannst du dir was aussuchen:
Mikrotik Syslog: http://www.mikrotik.com/archive.php
TFTP32: http://tftpd32.jounin.net/
Draytek Syslog: http://www.draytek.de/downloads/tools-utilities.html
Kiwi Syslog: http://www.kiwisyslog.com/kiwi-syslog-server-overview/
Such dir den Schönsten aus....
Was deine Angaben mit den LAN Buchsen auf dem ALIX anbetrifft ist das eine völlige Falschaussage oder du hast einen Fehler gemacht. Sie stimmt de facto NICHT !
Aktiv beim Startup ist immer vr0 und vr1 also der LAN Port und der WAN Port ! Der LAN Port IMMER mit aktiviertem DHCP Server !
Auf dem LAN Port bekommt man also IMMER eine gültige IP Adresse bei BEIDEN Firmwares um auf die Konfig Oberfläche zuzugreifen. Auch da irrst du also gewaltig oder machst etwas grundlegend falsch !
Richtig ist der 3te Port oder einen ggf. installierte WLAN miniPCI Karte, die beim initialen Starten deaktiviert sind ! Mit einem simplen Klick auf das + bei den Interfaces sind diese aber in 3 Sekunden aktiviert und fertig zum Konfigurieren !
Es ist Unsinn das man dafür das onboard Terminal bemühen muss. Das ist weder bei der MW noch bei pfSense der Fall !!
Ja, da hast du recht bei PC Plattformen ist das anders, da wird nach Interrupt oder PCI ID verfahren und da muss man etwas "probieren" wenn man nicht das Terminal sprich einen Bildschirm dran hat und blind probiert.
Aber das ist ja in 10 Sekunden erledigt, denn immer da wo es eine IP per DHCP gibt ist auch der LAN Port....eigentlich recht einfach sofern man es mit probieren versucht.
Nachsehen ist bekanntlich besser...
Was das Booting anbetrifft hast du dann falsche Bootwerte gesetzt im BIOS. Normal muss man dort nichts fummeln und es bootet alles automatisch.
Du hast aber recht bei uralt Alix Boards mit echt altem BIOS gabs sowas mal. Mit den neuen 2D13, die es aber nun schon seit geraumer Zeit (1 Jahr) gibt, ist das aber alles Schnee von gestern.
Gut aber wenn nun alles klappt wie es soll
Aber das ist ja in 10 Sekunden erledigt, denn immer da wo es eine IP per DHCP gibt ist auch der LAN Port....eigentlich recht einfach sofern man es mit probieren versucht.
Nachsehen ist bekanntlich besser...
Was das Booting anbetrifft hast du dann falsche Bootwerte gesetzt im BIOS. Normal muss man dort nichts fummeln und es bootet alles automatisch.
Du hast aber recht bei uralt Alix Boards mit echt altem BIOS gabs sowas mal. Mit den neuen 2D13, die es aber nun schon seit geraumer Zeit (1 Jahr) gibt, ist das aber alles Schnee von gestern.
Gut aber wenn nun alles klappt wie es soll
Nee, brauch man nicht. Man kann generell im Setup sagen das er alle eingehenden Syslog Messages annehmen soll !!
Das ist am sinnvollsten.
Außerdem solltest du uns auch endlich mal aufklären WELCHEN Syslog Daemon du auf deinem Server aktiv hast !! Sonst eiern wir hier weiter rum....
Wenns der Klassiker rsyslog ist dann findest du die Einstellung in der /etc/rsyslog.d/remote.conf Datei !
Die sieht dann so aus:
Da entfernst du das "#" Kommentarzeichen vor den beiden Zeilen:
$ModLoad imudp.so # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
Und startest dann mit
/etc/rc.d/./syslogd restart
Den Syslog neu um das zu aktivieren...fertisch !
Damit empfängt der Syslog dann alle remoten Messages.
Das ist am sinnvollsten.
Außerdem solltest du uns auch endlich mal aufklären WELCHEN Syslog Daemon du auf deinem Server aktiv hast !! Sonst eiern wir hier weiter rum....
Wenns der Klassiker rsyslog ist dann findest du die Einstellung in der /etc/rsyslog.d/remote.conf Datei !
Die sieht dann so aus:
# ######### Receiving Messages from Remote Hosts ##########
# TCP Syslog Server:
# provides TCP syslog reception and GSS-API (if compiled to support it)
#$ModLoad imtcp.so # load module
# Note: as of now, you need to use the -t command line option to
# enable TCP reception (e.g. -t514 to run a server at port 514/tcp)
# This will change in later v3 releases.
# UDP Syslog Server:
$ModLoad imudp.so # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
......
Da entfernst du das "#" Kommentarzeichen vor den beiden Zeilen:
$ModLoad imudp.so # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
Und startest dann mit
/etc/rc.d/./syslogd restart
Den Syslog neu um das zu aktivieren...fertisch !
Damit empfängt der Syslog dann alle remoten Messages.
Immer wieder die gleiche Leier aber niemand scheint das zu lernen !!!
Umlaute und Sonderzeichen haben in Passwörtern, WLANs usw. usw. NICHTS zu suchen !!!
Was deine Syslog Frage anbetrifft.
Das ist kein Thema mit den weiteren Firewalls. Jede andere hat ja eine separate Absender IP Adresse und wenn du Loganalyzer installiert hast filterst du danach oder lässt sie in separate Logfiles laufen mit rsyslogd ist das kein Thema und mit 2 Config Zeilen erledigt !
Guckst du hier:
http://www.heise.de/artikel-archiv/ct/2009/21/178_kiosk
Umlaute und Sonderzeichen haben in Passwörtern, WLANs usw. usw. NICHTS zu suchen !!!
Was deine Syslog Frage anbetrifft.
Das ist kein Thema mit den weiteren Firewalls. Jede andere hat ja eine separate Absender IP Adresse und wenn du Loganalyzer installiert hast filterst du danach oder lässt sie in separate Logfiles laufen mit rsyslogd ist das kein Thema und mit 2 Config Zeilen erledigt !
Guckst du hier:
http://www.heise.de/artikel-archiv/ct/2009/21/178_kiosk
Nein, das rennt ja in ein zentrales Log, es sei denn zu splittest das nach Absender IP oder noch besser setzt den Syslog Wert (local 0 bis local 7) entsprechend nach Endgerät.
http://de.wikipedia.org/wiki/Syslog
Dann kannst du je nach "local" Wert separieren unabhängig welche IP Adresse du bekommen hast. Das limitiert dann aber die Anzahl auf 8.
Ansonsten hast du natürlich wechselnde Absender das ist richtig. Anhand der Meldungen lässt sich aber auch erkennen welche FW was sendet, denn sie enthält ggf. lokale Namen.
Mit den kleinen Hürden musst du aber leben bei wechselnden IPs.
http://de.wikipedia.org/wiki/Syslog
Dann kannst du je nach "local" Wert separieren unabhängig welche IP Adresse du bekommen hast. Das limitiert dann aber die Anzahl auf 8.
Ansonsten hast du natürlich wechselnde Absender das ist richtig. Anhand der Meldungen lässt sich aber auch erkennen welche FW was sendet, denn sie enthält ggf. lokale Namen.
Mit den kleinen Hürden musst du aber leben bei wechselnden IPs.