Netzwerktrennung in einem kleinen Hotel - via DMZ und Captive Portal?

Kollisionskurs
Hallo @ all,

ich habe ein Problem bzw. muss ich für ein kleines Hotel das Netzwerk neu konzipieren.

IST-Stand:

Eine DSL-Leitung, die Zimmer (ca. 10) und auch die Rezeption sind über den internen Switch des Routers miteinander verbunden. WLAN ist ebenfalls über den Router aktiviert.

D.h. keinerlei Sicherheit bzw. flache Netzhierachie - Rezeption und auch die einzelnen Zimmer könnten sich gegenseitig "in die Quere" kommen. Keinerlei Protokollierung über besuchte Seiten der einzelnen Gäste, keine Filterung etc. alles frei und offen! Auf gut deutsch: Baut einer der Gäste sch... - muss das Hotel als "Anbieter" gerade stehen (rechtliche Schritte etc.).

Allerdings habe ich ein ziemlich mageres Budget - ich habe mir jetzt überlegt das ich das Produktiv-Netz des Hotels und das Gäste-Netz über eine DMZ trennen möchte. Das die Gäste sich untereinander dann immer noch "sehen" können ist erst mal irrelevant. Das WLAN möchte ich generell abschalten bzw. nur noch bei Bedarf aktivieren. Das WLAN binde ich genauso wie das Gäste-Netz an die DMZ.

Das Netz ist somit getrennt / sicher...aber

damit habe ich immer noch das Problem das ich nicht nachweisen kann, wer zu welcher Zeit auf irgend einer Seite im Netz war. Ich habe auch keinen Server (momentan) der rund um die Uhr läuft bzw. auf welchem ich ein Portal / Proxy einrichten könnte etc.

Deshalb meine Frage:

1. Wie würdet Ihr unter den beschriebenen Bedingungen dieses Problem lösen??

2. Gibt es einen Router etc. mit welchem ich eine DMZ einrichten kann und auf dem schon eine Art Captive Portal (Protokollierung) eingerichtet ist. Somit hätte ich doch die Möglichkeit unter der Angabe der AGB's (wie an jedem öffentlichen HotSpot) die ganze Sache abzusichern, und kann die Aktivitäten der eingeloggten User cachen.

Vielen Dank im voraus!!!!

Grüße

Kollisionskurs

Content-Key: 90034

Url: https://administrator.de/contentid/90034

Ausgedruckt am: 20.01.2022 um 08:01 Uhr

Mitglied: Jere
Jere 17.06.2008 um 14:31:12 Uhr
Goto Top
zu 2 (und damit gleich ein teil von1):
bastel dir doch eine kleine kiste und pack dort ipcop drauf.
die software ist kostenlos, eine maschine als router ersatz ist auch günstig organisiert.


die nutzungsbedingungen kannst du als startmeldung über die registry anzeigen lassen,
oder noch besser per zugangsdaten und unterschriebenem dokument absichern
(kleine betriebe dürften dafür zeit finden, die orga ist auch überschaubar).

ergänzend wäre ein 24port switch mit vlan toll.
Mitglied: aqui
aqui 17.06.2008, aktualisiert am 18.10.2012 um 18:35:52 Uhr
Goto Top
Dieser Thread sollte dir auch ein paar gute Ansätze liefern:

https://www.administrator.de/forum/w-lan-f%c3%bcr-eine-campingplatz-8364 ...

Gleiches Szenario wie bei dir.
Ansonsten funktioniert das auch mit der "DMZ des kleinen Mannes" wie sie hier beschrieben ist:

http://www.heise.de/netze/Abruestung-gegen-Einbrecher--/artikel/78397

Oder eben eine Kombination dieser DMZ mit Zeroshell als Captive Portal für die Gäste !
Der Tipp von oben mit den Nutzungsbedingungen und Registry ist nicht wirklich elegant, schon aus der Tatsache das Mac User und Linux User unter deinen Gästen oder solche mit iPhones und PDAs gar keine Registry oder sowas haben...

Du musst auch das Verhalten der Gäste mitprotokollieren allein schon für deine rechtliche Absicherung, denn als Anschlussinhaber bist du verantwortlich !
Ein Captive Portal wie z.B. Zeroshell oder MonoWall stellt dir all das problemlos zur Verfügung !
Mitglied: Kollisionskurs
Kollisionskurs 17.06.2008 um 16:21:02 Uhr
Goto Top
Danke für die hilfreiche Antwort:

Interessante Sache mit der DMZ und den beiden Routern!

Was würdest Du vom Handling/Umfang bevorzugen:

Zeroshell oder MonoWall?

Mit diesem Embedded PC würde ich doch alles erschlagen, oder? - bzw. meine DMZ und auch das Portal wären integriert:

http://www.lansys.ch/index.html?nav=14
Mitglied: aqui
aqui 17.06.2008 um 16:46:18 Uhr
Goto Top
Zeroshell, denn es bietet mehr Features und stresst dein Budget nicht so.
Nimm einen alten PC mit 2 Netzwerkkarten besorgt dir den CF-zu-IDE_Adapter und kopiere Zeroshell auf einen Compact Flash Karte, die in dem PC dann die Platte ersetzt.

Damit ist der Portal Rechner sofort einsatzklar, hat keine beweglichen Teile wie Platten etc. mehr und ist für den Dauerbetrieb ausgelegt. Geht mal was kaputt steckst du einfach den CF zu IDE Adapter in einen nachkten PC und alles ist wieder sofort aktiv.
Auf dem Portal selber kannst du dann in der Portalwebseite Infos zum Hotel usw. dem Gast präsentieren. Auch das WLAN kannst du mit einem Mausklick darüber sperren ohne die APs ausschlaten zu müssen.
Dadurch das er 2 Karten hat trennt er den Gast vom Firmenbereich. Das bekommst du so zum Nulltarif.
Das Geld vom schmalen Budget kannst du besser in einen 2ten Switch und WLAN APs investieren, denn du musst die Gast Ports von den Verwaltungs Ports physisch trennen.
Mit VLANs geht das natürlich auch wenn dein derzeitiger Switch sowas kann (vermutlich aber wohl nicht...?!)
Verglichen mit dem Camping WLAN sähe dein Netz dann so aus:

2cf164e4b4c274a07725e7813f4efa23-hotellan

Das ist die "sichere" Lösung indem das Verwaltungs LAN mit einem DMZ Router gemäß dem o.a. Artikel abgetrennt ist.
Du könntest auch darauf verzichten und dann nur mit dem Captive Portal PC arbeiten aber dann wäre eine gewisse Verbindung möglich sofern es unter den Gästen mal böse Spieler gibt...
Mitglied: Kollisionskurs
Kollisionskurs 17.06.2008 um 17:20:31 Uhr
Goto Top
OK überzeugt! - Vielen Dank für Deine Mühe!!

Ich werde Deinen Rat mit dem alten PC und den zwei NIC's / Zeroshell umsetzen - was mir allerdings noch nicht ganz klar ist:

Kann ich es nicht so realisieren das der Captive Portal Server auch gleichzeitig die DMZ realisiert bzw. dem Gastbereich einen anderen Netzbereich zuweisen??

Kennst Du diese Flash-Module - oder geht es nur mit CF-Karten am IDE?

IDE Flash Modul, 0,5 GB (www.pollin.de Suche: Flash)
Mitglied: aqui
aqui 17.06.2008 um 18:40:28 Uhr
Goto Top
Ob du CF oder Flash Modul nimmst spielt keine Rolle. Auf beide lässt sich das Zeroshell Image aufspielen mit dem Tool was da auf der Seite ist ! Beide emulieren ja eine Festplatte !
Du kannst dir auch erstmal eine Boot CD brennen aus dem Zeroshell ISO Image, dann kannst du das auf jedem PC mit 2 Karten schon mal booten und ein bischen mit der Bedienung rumspielen.
Nur nach dem Reboot sind alle Einstellungen weg aber zum Üben ist das sehr bequem !

Ja, das CP kann auch gleich DMZ sein, allerdings ist das nicht wirklich eine DMZ, denn sobald das CP einen Benutzer freigibt mit dem Login könnte er auch aufs Verwaltungsnetz zugreifen sofern er die IPs dort ausspäht.
Nicht einfach aber machbar wenn man entsprechende kriminelle Energie hat.

Die 40 Euro die ein Linksys WRT54 z.B. als DMZ Router kostet sollte dir die Sicherheit der Verwaltung schon wert sein und auch noch im Budget drin sein, oder ???
Mitglied: Jere
Jere 17.06.2008 um 20:22:47 Uhr
Goto Top
aqui, danke auch von mir für diese super interessanten ansätze!
verrate mir doch bitte noch ob du die topologie mit visio gebastelt hast.

daumen hoch,
j
Mitglied: aqui
aqui 18.07.2008, aktualisiert am 21.11.2012 um 17:57:38 Uhr
Goto Top
Eine detaillierte Anleitung für ein Captive Portal (Hot Spot Lösung) findet sich jetzt hier:

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Mitglied: Stephs
Stephs 08.09.2011 um 20:15:58 Uhr
Goto Top
Ich habe mir nun so ein ALIX Board geholt und versuche schon die ganze Zeit eine CF Card so zu konfigurieren, das es von bootet mit der Zeroshell.....

Es gibt unzählige Anleitungen wie man die Daten auf die CF Card bringt, aber ich habe kein Linux System was die CF Card ansich um da das Image drauf zu tun. Hat jemand eine gute Anleitung, wie ich die Zeroshell bootfähig auf ne CF Card bringe? (CF Card ist 8 GB groß)

Ich habe auch einen Linux rechner zur verfügung mit Ubuntu 11.04 Server. Also keine Grafische Oberfläche. Wie gesagt, die CF Card wird aber bisher nicht erkannt und da fehlen mir auch die Fähigkeiten das hinzubekommen.
Mitglied: aqui
aqui 09.09.2011 um 15:31:15 Uhr
Goto Top
Ja das ist ganz einfach nimm dazu das physdiskwrite Tool von der Monowall, damit klappt das auf Anhieb !!
Unetbootin klappt aber auch:
http://unetbootin.sourceforge.net/

Noch ein Tip: Zeroshell ist nicht mehr ganz so up to date wie Monowall oder pfSense und auch komplizierter zu managen.
Wenn du ein Captive Portal aufbauen willst nimm besser eines dieser Varianten, da die erheblich stabiler arbeiten und einfacher zu managen sind.
Das o.a. Tutorial beschreibt dir die CP Installation detailiert in allen Schritten !
Mitglied: Stephs
Stephs 10.09.2011 um 12:25:08 Uhr
Goto Top
Ich danke dir ganz doll... das werde ich auf alle Fälle versuchen. Da das Netz noch im Aufbau ist und ich mich noch mit keinem Portal auskenne, ist der Tip für mich natürlich sehr wertvoll.

Danke schön. Ich melde mich.
Mitglied: aqui
aqui 11.09.2011 um 16:55:52 Uhr
Goto Top
Bis dahin ggf.
https://www.administrator.de/index.php?faq=32
nicht vergessen...
Heiß diskutierte Beiträge
question
Kaufempfehlung Switch für RZFenris14Vor 1 TagFrageSwitche und Hubs23 Kommentare

Hallo, ich bin auf der Suche nach zwei Switchen für ein relativ kleines aber feines Setup das in ein Rechenzentrum ausgelagert wird. Leider werde ich ...

question
USB-Datenträger vor Viren schützenrecon2021Vor 1 TagFrageWindows 1017 Kommentare

Hallo Freunde der IT, ich suche eine Software, mit der ich USB Stick oder USB Festplatten vor Viren schützen kann, falls ein Virus auf dem ...

question
Mögliches Sicherheitsrisiko erkannt - eigener Server wird abgelehnt gelöst napoleon123Vor 1 TagFrageWindows 104 Kommentare

Hallo, ich habe in meinem eigenen Netzwerk einen älteren Server. Bis vor Kurzem wurde er nur als Sicherheitsrisiko eingestuft, da: IP Adresse verwendet ein ungültiges ...

question
Windows XP: IE 8 zeigt keine Seiten mehr an :-) gelöst altmetallerVor 19 StundenFrageWindows XP15 Kommentare

Huhu, ich habe hier tatsächlich noch einen Dell Dimension 9100 (Pentium IV, 3Ghz) stehen, den ich mit einer NVIDIA Quadro FX 540 und 4GB RAM ...

question
Windows-Updates, spez. Server, wann macht ihr das?winackerVor 1 TagFrageWindows Server6 Kommentare

Hallo, ich habe mir abgewöhnt, die monatlichen Updates auf den Servern zu machen - ich hole mir meinen Nervenkitzel lieber woanders. Aber alle 3 Monate ...

question
Windows Server 2019 Hyper-V LizenzVanGoneVor 1 TagFrageWindows Server10 Kommentare

Guten Tag zusammen, ich habe einen frisch aufgesetzten Windows Server 2019 - Hyper-V Host mit 3 VM's VM1: Windows Server 2019 (DC, AD; DHCP) VM2: ...

question
Ethernet über TelefonleitungNet-ZwerKVor 18 StundenFrageLAN, WAN, Wireless6 Kommentare

Moin! Ich suche einen Konverter, mit dem ich auf eine Telefonleitung (2 Draht) ein Netzwerksignal legen kann. Geht darum, dass ich beim einem Kunden einen ...

question
Windows Updates - Vmware Snapshotsadrian138Vor 1 TagFrageWindows Server10 Kommentare

Hallo zusammen, Wie macht Ihr dies bei Windows Updates? Wir machen jeweils vor dem installieren der Windows Updates einen VMware Snapshot. z.b. Printserver, DC, Exchange ...