gabbagandalf
Goto Top

M0n0wall - WLAN Zugang mit Captive Portal verschlüsselt oder unverschlüsselt?

Hi,
ich habe eine m0n0wall mit Captive Portal am Laufen. Funktioniert auch super. Ich habe aber KEIN WLAN-Passwort gesetzt. Es kann sich also jeder ins WLAN einloggen, kommt dann aber nur bis zum CP und braucht da ein Voucher-Passwort.

Sollte man trotzdem ein Passwort setzen, damit die Verbindung verschlüsselt ist? Wenn ja, am besten WPA2, oder?
Oder ist das insgesamt sinnlos da man nichts sniffen kann?

Danke!

Gabba

Content-ID: 182067

Url: https://administrator.de/forum/m0n0wall-wlan-zugang-mit-captive-portal-verschluesselt-oder-unverschluesselt-182067.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

mrtux
mrtux 16.03.2012 um 10:50:16 Uhr
Goto Top
Hi !

Also die meisten öffentlichen Hotspots (z.B. Telekom) sind unverschlüsselt, weshalb die Beitreiber meist in den Portalseiten auch darauf hinweisen, einen VPN Client zu verwenden oder zumindest "sicherheitsrelevante" Dinge per SSL durchzuführen...

mrtux
Sendmen
Sendmen 16.03.2012 um 12:09:04 Uhr
Goto Top
Hallo,

Du kannst es machen dann aber müsste dem Kunden das Passwort bekannt sein vorher. Wir haben es hier so geregelt das der Kunde vorher sich an der Rezeption ein Ticket kauft worauf das WLAN Passwort steht sowie seine Kennung die jeweils so und so lange gültig ist. Wir wechseln einmal die Woche das Passwort um hier auch die Sicherheit zu erhöhen. Es ist schon klar besser es zu Verschlüsseln weil man ja sonst auch eine Man in the Middle Attacke machen könnte.

LG

Sendmen
aqui
aqui 16.03.2012 um 14:38:44 Uhr
Goto Top
Der tiefere Sinn eines Hotspots ist ja gerade den Benutzern einen einfachen und problemlosen Zugang zu gewähren, der aber gleichzeitig für den Betreiber sicher ist. Also sind logischerweise alle Hotsports immer unverschlüsselt.
Setzt du ein WEP oder WPA Passwort fürhrst du so einen Hotspot damit natürlich sofort ad absurdum, denn dann muss jeder wieder umständlich nach dem Passwort fragen bei dir.
Und wenns einer weiss weiss es dann bald die ganze Welt spätestens nach 3 Bier an der Hotelbar. Und wie oft willst du dann wechseln im 5 Minutenrhytmus. In der Frequenz fragen dann die User wieder nach den Passwörtern....
Ziemlicher Unsinn also ein WLAN Passwort zu vergeben ! Dafür gibt es die Vouchers als Einmalpasswörter ! Und die Accessliste filtert bösen Traffic.
Für die Sicherheit der Daten ist jeder User selbst verantwortlich, was man mit einem kleinen Satz in der Portalseite ja auch kundtun kann für die Dummies unter den Benutzern.
Andernfalls bürdest du dir die Sicherheitsprobleme deiner User gleich mit auf und machst das CP mehr oder weniger sinnlos. Ganz falscher Denkansatz wenn man ein Hotspot CP betreibt. Vergiss das also !
GabbaGandalf
GabbaGandalf 17.03.2012 um 10:19:23 Uhr
Goto Top
Hi,
ja - ansich habt ihr schon recht. Aber wird der Traffic nicht verschlüsselt wenn man eine WPA2 Verbindung nutzt? Oder geht es da einfach nur um das Passwort, um überhaupt einen WLAN-Zugang benutzt?

Ich meine so, falls der Traffic dann auch WPA2 verschlüsselt ist, könnte man doch einfach den Hotspot
"Gast WLAN Hotspot - Passwort: gast" nennen.

Zwar weiß dann jeder das Passwort, aber der Traffic ist dafür verschlüsselt, oder bringt das nichts?

Und was ist die "Accessliste"?

Danke!
aqui
aqui 17.03.2012 um 17:40:30 Uhr
Goto Top
Ja natürlich wird er verschlüsselt nur den Sinn eines Hotspots für Gäste machst du damit dann wieder zunichte aus den o.a. Gründen.
Wenn du natürlich allgemein das WPA Passwort verrätst ist deine Verschlüsselung ja wieder für die Katz denn damit ist sie ja sofort knackbar oder wofür dachtest du ist das Passwort ?! "gast" knackt man so oder so mit der ersten Brute Force in 10 Sekunden bzw. das testet jeder ja eh zum Spass mal aus, da kannst du das auch gleich bleiben lassen...
Das eigentliche Geheimhalten eines Preshared Keys ist ja gerade der tiefere Sinn ! Besser also du liest nochmal die Grundlagen von Verschlüsselung nach.
http://de.wikipedia.org/wiki/Verschlüsselung
Diese Lösung ist dann so wenn du an deinem Tresor zu Hause ein Post It dranklebst wo draufsteht "Lieber Einbrecher die Kombination ist 1234567" Oder die PIN deiner Kreditkarte auf deren Rückseite schreibst...
Du erkennst vermutlich selber den Unsinn dieses Vorhabens.... ?!
Accessliste = Firewall Regel
GabbaGandalf
GabbaGandalf 21.03.2012 um 01:49:09 Uhr
Goto Top
Dankeschön.

Nochwas.... ich betreibe einen Rootserver und derzeit 2 m0n0walls. Ich möchte aber demnächst auf pfSense umsteigen. Die Protokollierung soll nun wirklich dauerhaft stattfinden. Auf meinem Rootserver möchte ich nun einen Syslogserver einrichten. Kannst du einen empfehlen für mehrere Clients?

Vielen Dank!
Gabba
GabbaGandalf
GabbaGandalf 21.03.2012 um 03:27:11 Uhr
Goto Top
Und noch eine kleine Frage, bzw. Anmerkung (steht im m0n0wall Tutorial nämlich nicht ganz richtig)
Wenn man die pfSense neu auf das Alix Board haut, sind vermutlich die Netzwerkbuchsen noch nicht richtig eingerichtet, nicht wie es im Tutorial steht, dass man einfach Kabel reinsteckt und loslegen kann. Zumindest bekommt man auf keinem der 3 Anschlüsse eine IP bzw. kann auf das Webinterface zugreifen. Ich weiß noch, dass ichs damals mit "vr0" und "vr1" umkonfiguriert habe.
Im Prinzip müsste ich jetzt mit Nullmodemkabel und per Terminal das Teil konfigurieren.

Gehts auch anders? Ansonsten muss ich nochmal los und mir nen neues Kabel kaufen.
aqui
aqui 22.03.2012 um 12:31:00 Uhr
Goto Top
Wenn dein Rootserver Linux basierend ist muss man nix empfehlen, denn Linux hat sowas von sich aus an Bord.
Sinn macht es darauf den kostenlosen Loganalyzer (ex PHPLogCon) zu installieren damit man es grafisch und etwas leichter hat face-wink
http://loganalyzer.adiscon.com/
Ist dein Server eine Winblows Gurke kannst du dir was aussuchen:
Mikrotik Syslog: http://www.mikrotik.com/archive.php
TFTP32: http://tftpd32.jounin.net/
Draytek Syslog: http://www.draytek.de/downloads/tools-utilities.html
Kiwi Syslog: http://www.kiwisyslog.com/kiwi-syslog-server-overview/
Such dir den Schönsten aus....
Was deine Angaben mit den LAN Buchsen auf dem ALIX anbetrifft ist das eine völlige Falschaussage oder du hast einen Fehler gemacht. Sie stimmt de facto NICHT !
Aktiv beim Startup ist immer vr0 und vr1 also der LAN Port und der WAN Port ! Der LAN Port IMMER mit aktiviertem DHCP Server !
Auf dem LAN Port bekommt man also IMMER eine gültige IP Adresse bei BEIDEN Firmwares um auf die Konfig Oberfläche zuzugreifen. Auch da irrst du also gewaltig oder machst etwas grundlegend falsch !
Richtig ist der 3te Port oder einen ggf. installierte WLAN miniPCI Karte, die beim initialen Starten deaktiviert sind ! Mit einem simplen Klick auf das + bei den Interfaces sind diese aber in 3 Sekunden aktiviert und fertig zum Konfigurieren !
Es ist Unsinn das man dafür das onboard Terminal bemühen muss. Das ist weder bei der MW noch bei pfSense der Fall !!
GabbaGandalf
GabbaGandalf 22.03.2012 um 15:23:15 Uhr
Goto Top
Hi,
hast recht beim Alix wirds tatsächlich so gemacht:

vr0 => LAN
vr1 => WAN

Ich habs aber nochmal mit nem anderen Rechner (kein Alix Board) von mir probiert. Habe die pfSense aufen Stick gehauen und davon gebootet. Allerdings hatte er da eine komplett falsche Netzwerkkonfiguration. Da musste ich es dann neu konfigurieren.

Bei der pfSense hatte ich übrigens gerade auch nen Problem. Habe die pfSense ganz normal per physdiskwrite installiert. Danach die CF Karte auf das Alix Board gesteckt. Bei einer 38400er Baud, konnte ich dann zwar sehen wie das ALIX bootet, allerdings ging dann die pfSense nicht mehr (logisch, die braut ja auch ne Baud von 9600).
Habe ich aber gleich von Anfang an auf 9600 gestellt, konnte ich dann auch die pfSense sehen. Allerdings konnte ich keine Tastatureingaben machen - egal welche Taste ich gedrückt habe, es erschien immer nur eine # im TeraTerm. Dann habe ich ein BIOS-Update nach folgender Anleitung durchgeführt:
http://doc.pfsense.org/index.php/ALIX_BIOS_Update_Procedure
BIOS auf eine Baud von 9600 gesetzt - nun kann ich auch ganz normal Eingaben vornehmen.

Bei dem allerersten Start der pfSense, musste ich aber aufwählen wie pfSense booten soll. Ich musste einfach die "1" drücken, zur Auswahl gabs noch F6 (PXE Boot). Erst danach ist die pfSense normal hochgefahren. Das war auch der Grund, warum vorher die LAN-Anschlüsse nicht funktioniert haben. Nachdem ich jetzt auf die "1" gedrückt habe, bootet pfSense ganz normal.
aqui
aqui 22.03.2012 um 15:33:52 Uhr
Goto Top
Ja, da hast du recht bei PC Plattformen ist das anders, da wird nach Interrupt oder PCI ID verfahren und da muss man etwas "probieren" wenn man nicht das Terminal sprich einen Bildschirm dran hat und blind probiert.
Aber das ist ja in 10 Sekunden erledigt, denn immer da wo es eine IP per DHCP gibt ist auch der LAN Port....eigentlich recht einfach sofern man es mit probieren versucht.
Nachsehen ist bekanntlich besser... face-wink

Was das Booting anbetrifft hast du dann falsche Bootwerte gesetzt im BIOS. Normal muss man dort nichts fummeln und es bootet alles automatisch.
Du hast aber recht bei uralt Alix Boards mit echt altem BIOS gabs sowas mal. Mit den neuen 2D13, die es aber nun schon seit geraumer Zeit (1 Jahr) gibt, ist das aber alles Schnee von gestern.
Gut aber wenn nun alles klappt wie es soll face-wink
GabbaGandalf
GabbaGandalf 25.03.2012 um 03:55:44 Uhr
Goto Top
Danke!

Nochmal zum Thema Syslog:
Ich habe nen Linux Debian Rootserver bei OVH.

Ich wollte nun nach folgender Anleitung vorgehen:
http://doc.pfsense.org/index.php/Copying_Logs_to_a_Remote_Host_with_Sys ...

Allerdings muss ich in der Konfigurationsdatei die IP eingeben, wo m0n0wall drauf läuft. Aber die ändert sich ja alle 24 Stunden.

Was macht man da?
aqui
aqui 25.03.2012 um 16:24:47 Uhr
Goto Top
Nee, brauch man nicht. Man kann generell im Setup sagen das er alle eingehenden Syslog Messages annehmen soll !!
Das ist am sinnvollsten.
Außerdem solltest du uns auch endlich mal aufklären WELCHEN Syslog Daemon du auf deinem Server aktiv hast !! Sonst eiern wir hier weiter rum.... face-sad
Wenns der Klassiker rsyslog ist dann findest du die Einstellung in der /etc/rsyslog.d/remote.conf Datei !
Die sieht dann so aus:
# ######### Receiving Messages from Remote Hosts ##########
# TCP Syslog Server:
# provides TCP syslog reception and GSS-API (if compiled to support it)
#$ModLoad imtcp.so  # load module
# Note: as of now, you need to use the -t command line option to
# enable TCP reception (e.g. -t514 to run a server at port 514/tcp)
# This will change in later v3 releases.

# UDP Syslog Server:
$ModLoad imudp.so  # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
...... 

Da entfernst du das "#" Kommentarzeichen vor den beiden Zeilen:
$ModLoad imudp.so # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514

Und startest dann mit
/etc/rc.d/./syslogd restart
Den Syslog neu um das zu aktivieren...fertisch !
Damit empfängt der Syslog dann alle remoten Messages.
GabbaGandalf
GabbaGandalf 26.03.2012 um 20:14:47 Uhr
Goto Top
Hi aqui,
vielen Dank.

Ich nehme vielleicht demnächst die dritte pfSense / m0n0wall in Betrieb, wie kann man das denn am besten mit einem einzigen Server loggen? Muss ja irgendwie voneinander getrennt werden, damit ich möglichst halt einen Ordner mit den Logdateien von
pfSense 1
pfSense 2
m0n0wall 1

Wie bekommt man das am besten gelöst? Dieses Logging nervt mich irgendwie immer noch tierisch ^^ Dass man das nicht einfach auf der Flashkarte abspeichern kann -.-
GabbaGandalf
GabbaGandalf 26.03.2012 um 21:50:59 Uhr
Goto Top
Ich habe noch ein Problem.
Wenn ich Voucher erstellen möchte, funktioniert das nicht.

Im Log steht:
Mar 26 19:47:16 php[45174]: /services_captiveportal_vouchers_edit.php: XML error: Undeclared entity error at line 719 in /conf/config.xml
Mar 26 19:47:16 php[45174]: /services_captiveportal_vouchers_edit.php: pfSense is restoring the configuration /cf/conf/backup/config-1332791211.xml
Mar 26 19:47:16 php[45174]: /services_captiveportal_vouchers_edit.php: New alert found: pfSense is restoring the configuration /cf/conf/backup/config-1332791211.xml
Mar 26 19:47:17 check_reload_status: Syncing firewall
Mar 26 19:47:41 kernel: vr2: link state changed to DOWN
Mar 26 19:47:41 check_reload_status: Linkup starting vr2

Habe nochmal ein Backup eingespielt (das gleiche was ich dir schonmal geschickt habe aqui), dann die Voucher gelöscht und nochmal neu erstellt.
Dann tritt der Fehler wieder auf -.-

Mar 26 20:13:01 php[46268]: /services_captiveportal_vouchers_edit.php: XML error: Undeclared entity error at line 710 in /conf/config.xml
Mar 26 20:13:01 php[46268]: /services_captiveportal_vouchers_edit.php: pfSense is restoring the configuration /cf/conf/backup/config-1332792763.xml
Mar 26 20:13:01 php[46268]: /services_captiveportal_vouchers_edit.php: New alert found: pfSense is restoring the configuration /cf/conf/backup/config-1332792763.xml
Mar 26 20:13:02 check_reload_status: Syncing firewall

EDIT: Fehler gefunden!
Das liegt daran, wenn man im Commentfeld Umlaute eingibt. Da habe ich geschrieben "1 Jahr gültig". Dann kam der Fehler. Ohne Umlaute geht es face-wink
aqui
aqui 27.03.2012 um 13:28:26 Uhr
Goto Top
Immer wieder die gleiche Leier aber niemand scheint das zu lernen !!!
Umlaute und Sonderzeichen haben in Passwörtern, WLANs usw. usw. NICHTS zu suchen !!!
Was deine Syslog Frage anbetrifft.
Das ist kein Thema mit den weiteren Firewalls. Jede andere hat ja eine separate Absender IP Adresse und wenn du Loganalyzer installiert hast filterst du danach oder lässt sie in separate Logfiles laufen mit rsyslogd ist das kein Thema und mit 2 Config Zeilen erledigt !
Guckst du hier:
http://www.heise.de/artikel-archiv/ct/2009/21/178_kiosk
GabbaGandalf
GabbaGandalf 01.04.2012 um 22:33:38 Uhr
Goto Top
Hi,
ja klar hat jeder eine separate Absender IP - aber die ändert sich dann ja auch alle 24 Stunden.... hab ich dann nicht hunderte Logs mit jeweils unterschiedlichen IP-Adressen oder wie funktioniert das genau? Per IP-Range? Irgendwie muss das Ding ja die IP-Adressen (die sich ja alle 24 Stunden ändert) einem einzigen Rechner zuordnen können.

danke...
aqui
aqui 02.04.2012 um 09:57:37 Uhr
Goto Top
Nein, das rennt ja in ein zentrales Log, es sei denn zu splittest das nach Absender IP oder noch besser setzt den Syslog Wert (local 0 bis local 7) entsprechend nach Endgerät.
http://de.wikipedia.org/wiki/Syslog
Dann kannst du je nach "local" Wert separieren unabhängig welche IP Adresse du bekommen hast. Das limitiert dann aber die Anzahl auf 8.
Ansonsten hast du natürlich wechselnde Absender das ist richtig. Anhand der Meldungen lässt sich aber auch erkennen welche FW was sendet, denn sie enthält ggf. lokale Namen.
Mit den kleinen Hürden musst du aber leben bei wechselnden IPs.