seltsam
Goto Top

Pfsense - "Dauerbewohner" identifizieren

Hallo verehrte Kollegen.
ich betreibe für meine Arbeitgeber ein WLAN mit rund 300 Access Points.
Auf Wunsch der Geschäftsführung kostenfrei ohne große Hürden, lediglich ein Mausklick um die AGB zu akzeptieren.
Das Accounting betreibe ich mit dem Captive Portal.
Die gesamte IP Infrastruktur kommt ebenfalls vom pfsense.

Nun zum Problem, die gesamte Belegschaft freut sich riesig über die neue Freiheit und loggt sich fröhlich ein. face-smile
Ebenso vermutlich irgendwelche umliegenden Nachbarn oder Cafes.
Wir sind mitten in Berlin und im Prinzip ein riesiger WLAN Leuchtturm, durch die Gebäudehöhe mit entsprechender Recichweite in die Nachbarschaft.

Ich habe Snort installiert und kann so schon eine Menge mehr sehen, regulieren aber kaum etwas.
Gern hätte ich nun ein Tool, welches mit die Camper auf dem System anzeigt, also im Prinzip die Logfiles auswerten.
Am besten einen Automatismus, der solche Leute beispielsweise nach 2 Wochen sperrt oder den Zugang beschränkt oder es zumindest meldet.

Hat jemand hier damit Erfahrung?

Viele Grüße von der Front

Content-ID: 307346

Url: https://administrator.de/forum/pfsense-dauerbewohner-identifizieren-307346.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

michi1983
michi1983 16.06.2016 um 10:50:09 Uhr
Goto Top
Hallo,

jetzt mal ganz abgesehen von deiner Frage...
Deiner Geschäftsführung ist das Wort Störerhaftung aber ein Begriff?
Ich finde das ehrlich gesagt - zumindest laut momentaner Rechtslage in Deutschland - (noch) grob fahrlässig.

Ich kann dich beruhigen, hier im Forum gibt es einige Profis was das CP von PfSense betrifft, die dir sicher weiter helfen werden können face-wink
Ich habe zwar ein PfSense aber das CP nie in Betrieb. Also einfach abwarten face-smile

Gruß
Lochkartenstanzer
Lochkartenstanzer 16.06.2016 aktualisiert um 10:52:39 Uhr
Goto Top
Zitat von @seltsam:

Nun zum Problem, die gesamte Belegschaft freut sich riesig über die neue Freiheit und loggt sich fröhlich ein. face-smile
Ebenso vermutlich irgendwelche umliegenden Nachbarn oder Cafes.
Wir sind mitten in Berlin und im Prinzip ein riesiger WLAN Leuchtturm, durch die Gebäudehöhe mit entsprechender Recichweite in die Nachbarschaft.

Und was ist daran ein problem? Wenn die Bosse sagen, alles frei -> selbst schuld.

Man kann nicht groß an die Tür schreiben "Eintritt frei" und dann erwarten, daß die Leute draußen bleiben.

Ansonsten reduziere einfach die Sendeleistung der APs, dann öst sich das problem der reichweite von selbst. face-smile

Udn wenn es einfach nur für die Belegschaft oder die besucher sein soll: Mach einfach ein einfaches Passwort udn häng das im ganzen Gebäude aus.

lks
Looser27
Looser27 16.06.2016 um 11:08:29 Uhr
Goto Top
Oder wenn Du es auf die Belegschaft eingrenzen willst, setz nen Radius-Server auf. Dann kommen zumindest die Nachbarn nicht mehr rein.
seltsam
seltsam 16.06.2016 um 11:09:52 Uhr
Goto Top
Hallo und danke für Deinen Beitrag.
Glaub mir ruhig, dass ich Störerhaftung auf der Hirnrinde tätowiert habe.
Auch wiederholte Hinweise auf die Störerhaftung erzeugen eher Resitenz, weil "ich es immer so kompliziert mache".
Für ein ordentliches Logging habe ich schon aus Selbsterhaltungstrieb gesorgt, das akzeptieren die Gäste auch mit den AGB, die sie alle natürlich vorher lesen!
kaiand1
kaiand1 16.06.2016 um 11:14:35 Uhr
Goto Top
Du kannst es ja auch abändern und ein Display am Eingang aufstellen das das Aktuelle Passwort für das Wlan Anzeigt und sich Täglich ändert nach 24 Uhr ;)
Da du jedoch 300 AP nennst scheint es ja eine größeres Gelände zu sein wo evtl noch 24/7 gearbeitet wird?
Monteure evtl auf dem Gelände ect?

Aber wenn was Angeboten wird und es von Leuten dann genutzt wird sollen die was auf die Finger bekommen?

Du kannst ja Abfragen welche Clients Verbunden sind und bekommst die IP (DHCP Vergabe? evtl nicht brauchbar) sowie die MAC Adresse womit du den Client zuordnen kannst.
Sowie anhand der MAC auch rausbekomms über welchen AP dieser verbunden ist und durch Logs oder Cron die Daten in eine DB schreiben kannst für eine Auswertung wie lange wer drin ist ggfs sogar noch mit Traffic...

Aber mit dem Sperren solltes du Aufpassen nicht das du am Ende des Handy vom Chef sperrst wegen Nutzung des Open Wlans *fg*
Lochkartenstanzer
Lochkartenstanzer 16.06.2016 um 11:22:53 Uhr
Goto Top
Mal eine andere Idee:

Schreib doch in die Seite des CP, die die Besucher abnicken müssen, einfach rein, wer überhaupt das WLAn benutzen darf und daß die Besucher versichern müssen, zu dem erlauchten Personenkreis zu gehören. face-smile

lks
aqui
aqui 16.06.2016 aktualisiert um 11:37:37 Uhr
Goto Top
Ebenso vermutlich irgendwelche umliegenden Nachbarn oder Cafes.
Ha ha ha...das war klar. WLAN für Umme ist ja cool. face-big-smile Würden wohl alle so machen...
Wäre ja auch ziemlich weltfremd und naiv davon auszugehen das du keinerlei Trittbrettfahrer hast in so einem Setup.
Das du damit in D in die Störerhaftung Falle rennst ist dir aber schon klar, oder ?
kann so schon eine Menge mehr sehen, regulieren aber kaum etwas.
Klar, logisch ohne jeder User Kontrolle...was erwartest du ?!
Gern hätte ich nun ein Tool, welches mit die Camper auf dem System anzeigt
Ja, das würde Sinn machen. Wie aber denkst du dir denn soll das Tool zwischen "Campern" und zwischen gewollten Usern unterscheiden wenn du keinerlei User Klassifizierungen vornimmst ?
Das Tool der Wahl heisst dann Kristallkugel !! face-big-smile
Die Kardinalsfrage die sich ja stellt ist die wie du Camper überhaupt identifizierst ?? Ein Tourist in einem Cafe der mal schnell ins Internet geht und nächsten Tag nach München reist ist ja bei deinen nicht vorhandenen Hürden zur User Klassifizierung unmöglich zu identifizieren.
Was erwartest du also für Wunder ??
Nebenbei bemerkt ist das schon recht naiv sowas so in dieser Art und Weise in D zu betreiben. Mit dem ersten der Kinderpornos über diesen Zugang hochlädt oder die berühmten Urheberrechtsverletzungen begeht wirst du dann viel Spaß haben. Das ist russisches Roulette !
Und daran wird auch die Novellierung der Störerhaftung in D keineswegs etwas ändern das du als Betreiber voll haftbar ist. Ausnahme ist nur wenn du das Privileg eines Service Providers hast. Aber auch dann bist du zum User Tracking gezwungen.
abnicken müssen, einfach rein, wer überhaupt das WLAn benutzen darf und daß die Besucher versichern müssen, zu dem erlauchten Personenkreis zu gehören
Das war sicher nur ironisch und nicht Ernst gemeint. So lächerlich wie das Hinweisschild. Davon wird sich doch kein normaler Besucher abhalten lassen, geschweige denn potentielle Straftäter die das als Zugangplattform ins Internet nutzen.
Sinnvoll hält man die halt nur mit einem "Zaun" raus. Und zwar einem über den man nicht einfach springen oder klettern kann.
Es ist mal wieder der klassische Spagat zwischen Bequemlichkeit und Sicherheit. Da muss eben jeder seinen individuellen Break Even Punkt finden auf dieser Linie.
Beides maximale Bequemlichkeit mit maximaler Sicherheit scheitert weil sich beide Punkte diametral gegenüberstehen. Weis eigentlich auch ein WLAN Laie. Oder...das ist hier mal wieder ein Troll Thread um eine endlose Diskussion zu provozieren zu der eigentlich schon mehrfach alles gesagt wurde...
seltsam
seltsam 16.06.2016 um 11:31:46 Uhr
Goto Top
Naja, in Wahrheit liest das ja kaum einer.
In Kaufhäusern wird ja auch geklaut...
Ist halt Schwierig, eine offene Wasserstelle anzubieten und nur den Gnus das Wasser zu erlauben, alles richtig.
Mir geht es darum, dass irgendwelche Dauersauger limitiert werden und nicht jedes private Smartphone der Mitarbeiter dauerhaft Bandbreite zerrt.
Eigene Smartphones werden ohnehin in ein anderes VLAN (also auch andere SSID) gepackt.
Die Access Points einschränken ist aufgrund der Positionierung kaum möglich, das Funkfeld ist so ausbalanciert, dass alle Zimmer optimalen Empfang haben.
Das hört an der Wand nicht auf und im 7 Stock werden dann die Pakete eben aufgrund mangelnder Dämpfung in die gegenüberliegenden Gebäude geblasen. Muss ich eben Bäume Pflanzen :D
aqui
aqui 16.06.2016 aktualisiert um 11:36:43 Uhr
Goto Top
und nur den Gnus das Wasser zu erlauben, alles richtig.
Könnte klappen wenn man den Krokodilen im Wasser sagt das sie die Gnus in Ruhe lassen und nur auf alle anderen losgehen sollen face-wink
Die Krokodile wäre dann eine sinnvolle User Klassifizierung face-wink
Zertifikate sind eine Möglichkeit für den TO ums für authorisierte User bequem zu machen. Aber vermutlich auch zuviel Aufwand für ihn als Admin...?!
Lochkartenstanzer
Lochkartenstanzer 16.06.2016 aktualisiert um 11:42:27 Uhr
Goto Top
Zitat von @seltsam:

Mir geht es darum, dass irgendwelche Dauersauger limitiert werden und nicht jedes private Smartphone der Mitarbeiter dauerhaft Bandbreite zerrt.

Dann mach doch traffic shaping:

beschränke halt das maximum, was ein user ziehen darf auf ein zehntel (oder hundertstel) der Bandbreite udn die Leute die mehr brauchen, sollen sich bei Dir melden, nach dem Motto, jeder nur ein Kreuz. face-smile

Für Email-checken, und wbsurfen sollte das ausreichen. Für saugen zu unbequem sein.

lks
Kraemer
Kraemer 16.06.2016 um 11:41:52 Uhr
Goto Top
Ich weiß ja nicht, ob es sich bewerkstelligen lässt - ich denke aber gerade an die "Lösung" der Internetprovider. Die drosseln nach Menge X die Geschwindigkeit auf N. Damit wirst du zumindest die Poweruser los.

Gruß Krämer
seltsam
seltsam 16.06.2016 um 11:47:43 Uhr
Goto Top
Zitat von @aqui:

Ebenso vermutlich irgendwelche umliegenden Nachbarn oder Cafes.
Ha ha ha...das war klar. WLAN für Umme ist ja cool. face-big-smile Würden wohl alle so machen...
Wäre ja auch ziemlich weltfremd und naiv davon auszugehen das du keinerlei Trittbrettfahrer hast in so einem Setup.
Das du damit in D in die Störerhaftung Falle rennst ist dir aber schon klar, oder ?
Ist mir alles klar, und ja, ich würde ebenfalls jeden offenen Spot nutzen.
kann so schon eine Menge mehr sehen, regulieren aber kaum etwas.
Klar, logisch ohne jeder User Kontrolle...was erwartest du ?!
Gern hätte ich nun ein Tool, welches mit die Camper auf dem System anzeigt
Ja, das würde Sinn machen. Wie aber denkst du dir denn soll das Tool zwischen "Campern" und zwischen gewollten Usern unterscheiden wenn du keinerlei User Klassifizierungen vornimmst ?
Klassifizieren anhand vorhandener Daten, Meine eigenen Clients sind mir beispielsweise bekannt.
Das Tool der Wahl heisst dann Kristallkugel !! face-big-smile
Die Kardinalsfrage die sich ja stellt ist die wie du Camper überhaupt identifizierst ?? Ein Tourist in einem Cafe der mal schnell ins Internet geht und nächsten Tag nach München reist ist ja bei deinen nicht vorhandenen Hürden zur User Klassifizierung unmöglich zu identifizieren.
Der Gast, der eben Mails abruft ist unproblematisch.
Ebenso der Gast des Italieners gegenüber, der in der Pause kurz die Nichtigkeit seines Seins mit anderen teilt, indem er seine Pizza bei Instagramm postet.
Wenn ich erkenne, dass bestimmte devices zu bestimmten Zeiten über eine Schicht permanent angemeldet sind, kann ich die sperren, sofern sich niemand beschwert, ist alles gut und die Attraktivität sinkt.
Was erwartest du also für Wunder ??
Nebenbei bemerkt ist das schon recht naiv sowas so in dieser Art und Weise in D zu betreiben. Mit dem ersten der Kinderpornos über diesen Zugang hochlädt oder die berühmten Urheberrechtsverletzungen begeht wirst du dann viel Spaß haben. Das ist russisches Roulette !
Und daran wird auch die Novellierung der Störerhaftung in D keineswegs etwas ändern das du als Betreiber voll haftbar ist. Ausnahme ist nur wenn du das Privileg eines Service Providers hast. Aber auch dann bist du zum User Tracking gezwungen.
Ich tracke, und werde nicht aufhören zu tracken, eben aus solchen Gründen.
Hotels finden zukünftig die gesetzliche Anerkennung als Betreiber und geniessen damit ebenfalls das Betreiberprivileg.
Ebenfalls bekommst Du in der Dienstleistungsindustrie kaum die nötigen Dinge geregelt, wie beispielsweise das Erfassen von persönlichen Daten von Gästen, die nur ein Stück Kuchen verzehren und dabei auf Ihrem iPad wischen wollen.
WLAN wird in Hotels wie warmes Wasser erwartet und der Geschäftsreisende will einfach loslegen, danach sucht der seine Hotels aus.
Glaub mir, ich habe in der Branche als einer der wenigen die Fahne hoch gehalten was die Störerhaftung angeht und ich bin in allen Punkten Deiner Meinung.
Dennoch muss ich mich dem Anspruch beugen.

abnicken müssen, einfach rein, wer überhaupt das WLAn benutzen darf und daß die Besucher versichern müssen, zu dem erlauchten Personenkreis zu gehören
Das war sicher nur ironisch und nicht Ernst gemeint. So lächerlich wie das Hinweisschild. Davon wird sich doch kein normaler Besucher abhalten lassen, geschweige denn potentielle Straftäter die das als Zugangplattform ins Internet nutzen.
Sinnvoll hält man die halt nur mit einem "Zaun" raus. Und zwar einem über den man nicht einfach springen oder klettern kann.
Es ist mal wieder der klassische Spagat zwischen Bequemlichkeit und Sicherheit. Da muss eben jeder seinen individuellen Break Even Punkt finden auf dieser Linie.
Beides maximale Bequemlichkeit mit maximaler Sicherheit scheitert weil sich beide Punkte diametral gegenüberstehen. Weis eigentlich auch ein WLAN Laie.
Auch richtig. Aber ich kann meine Laien nicht überzeugen, weil User eben wie kleine Babys strampeln und ich Ihnen nicht den Hintern versohlen darf.
Sheogorath
Sheogorath 16.06.2016 aktualisiert um 12:23:23 Uhr
Goto Top
Moin,

Um das Thema Störerhaftung mal etwas zu vereinfachen: Gerade in Berlin gibt es eine sehr gut organisierte Freifunk Bewegung. Einfach mal mit denen Kurzschließen. Die haben auch ein schickes Backbone Netz über die Stadt gespannt.

Ich halte Freies WLAN so wie ihr es bereits praktiziert für eine Notwendigkeit in einer freien und modernen Gesellschaft. Solltest du dich ans Freifunknetz anbinden wollen müsstest du aber vermutlich ein bisschen was an deinem Setup umbauen. Zumindest das Logging ist in der Regel ein Nogo und ein "Captive Portal" wird auch eher argwöhnisch beäugt.

Aber am besten schaust du dir die Freifunker vor Ort mal selbst an ;)

Gruß
Chris
108012
108012 16.06.2016 um 13:31:09 Uhr
Goto Top
Hallo zusammen,

Naja, in Wahrheit liest das ja kaum einer.
In Kaufhäusern wird ja auch geklaut...
Ja das ist uns auch klar nur wenn ich Deinen Chef frage ob er wegen Diebstahls verhaftet werden möchte
oder ob morgens um drei Uhr bei Ihm die Kripo auftaucht und nach den Schlüsseln zur Firma fragt weil dort
einer Kinderpornos anbietet kann ich mir die Antwort auch gleich selber geben! Denkt einmal bitte beide
einmal nach!

Ist halt Schwierig, eine offene Wasserstelle anzubieten und nur den Gnus das Wasser zu erlauben,
alles richtig.
Ich weiß gar nicht was das Problem ist!? In der Regel sieht es doch heute wie folgt oder ähnlich aus;
- Kabel gebundene Geräte (intern) per LDAP Server absichern
- Label lose Geräte (intern) per Radius Server mit Zertifikat und Verschlüsselung absichern
- Kabel lose Geräte (extern (Gäste oder privat)) per Captive Portal mit Voucher absichern

Das was Du uns hier beschreibst ist ein völlig offenes WLAN für jedermann und alle die es finden und sich
einloggen können! Das ist wie mit einer Diskothek da lässt man auch nicht alle Leute herein und sucht dann
erst nach Grapschern, betrunkenen und Dealern! Die versucht man auch erst gar nicht herein zu lassen.

Also für interne Mitarbeiter, aber zur privaten Nutzung könnte man schon eine Gruppe anlegen
die dann bei den Vouchers eine Dauer von einem Monat oder länger eingetragen bekommen
und Gäste die Euch besuchen wie zum Beispiel externe Mitarbeiter oder Geschäftspartner
kommen dann in eine 24h Gruppe hinein, fertig. Vouchers verteilt man idealer weise in der
Kantine und dem Konferenzraum.

Man kann auch mittels Squid & SquidGuard & SARG oder gar auch noch Snort zusätzlich
für einige Funktionen sorgen die dann dazu führen dass der Admin auch Sachen auswerten
kann nur erst alle rein lassen und dann nach Dauergästen suchen ist auch nicht das Gelbe vom Ei.

Gruß
Dobby
seltsam
seltsam 16.06.2016 um 13:48:49 Uhr
Goto Top
Hi und danke für Dein Feedback.
Die Freifunker kenne ich bereits, ist für uns jedoch keine Option, da ich meine Infrastruktur hier nur schwer an die Bedürfnisse anpassen kann.
Aber den Ansatz finde ich schon interessant.
seltsam
seltsam 16.06.2016 um 15:14:47 Uhr
Goto Top
Hey Dobby,

Danke für Deine Kritik.
Wie gesagt, über die grundsätzlichen Dinge brauche ich in wenig Belehrungen.
Das ist eine dokumentierte Managemententscheidung, der ich mich beuge.

Das Problem liegt in der Einfachheit.
Das offene WLAN ist in der Bandbreite beschränkt und lässt die üblichen Dienste für einfaches Surfen zu.
Die eigenen Devices kann ich kontrollieren, es geht nur um die Nutzung des freien Netzwerks, ich wüsste nicht, wieso sich jemand melden soll, wenn ohnehin eine zwar beschränke, aber freie Möglichkeit bestehtg.

Danke übrigens für den Tip mit SARG, die Suche danach hat mich sofort wieder auf den Boden der Tatsachen geholt, ich überlege jetzt, wozu ich das überhaupt mache :D