Pfsense - "Dauerbewohner" identifizieren
Hallo verehrte Kollegen.
ich betreibe für meine Arbeitgeber ein WLAN mit rund 300 Access Points.
Auf Wunsch der Geschäftsführung kostenfrei ohne große Hürden, lediglich ein Mausklick um die AGB zu akzeptieren.
Das Accounting betreibe ich mit dem Captive Portal.
Die gesamte IP Infrastruktur kommt ebenfalls vom pfsense.
Nun zum Problem, die gesamte Belegschaft freut sich riesig über die neue Freiheit und loggt sich fröhlich ein.
Ebenso vermutlich irgendwelche umliegenden Nachbarn oder Cafes.
Wir sind mitten in Berlin und im Prinzip ein riesiger WLAN Leuchtturm, durch die Gebäudehöhe mit entsprechender Recichweite in die Nachbarschaft.
Ich habe Snort installiert und kann so schon eine Menge mehr sehen, regulieren aber kaum etwas.
Gern hätte ich nun ein Tool, welches mit die Camper auf dem System anzeigt, also im Prinzip die Logfiles auswerten.
Am besten einen Automatismus, der solche Leute beispielsweise nach 2 Wochen sperrt oder den Zugang beschränkt oder es zumindest meldet.
Hat jemand hier damit Erfahrung?
Viele Grüße von der Front
ich betreibe für meine Arbeitgeber ein WLAN mit rund 300 Access Points.
Auf Wunsch der Geschäftsführung kostenfrei ohne große Hürden, lediglich ein Mausklick um die AGB zu akzeptieren.
Das Accounting betreibe ich mit dem Captive Portal.
Die gesamte IP Infrastruktur kommt ebenfalls vom pfsense.
Nun zum Problem, die gesamte Belegschaft freut sich riesig über die neue Freiheit und loggt sich fröhlich ein.
Ebenso vermutlich irgendwelche umliegenden Nachbarn oder Cafes.
Wir sind mitten in Berlin und im Prinzip ein riesiger WLAN Leuchtturm, durch die Gebäudehöhe mit entsprechender Recichweite in die Nachbarschaft.
Ich habe Snort installiert und kann so schon eine Menge mehr sehen, regulieren aber kaum etwas.
Gern hätte ich nun ein Tool, welches mit die Camper auf dem System anzeigt, also im Prinzip die Logfiles auswerten.
Am besten einen Automatismus, der solche Leute beispielsweise nach 2 Wochen sperrt oder den Zugang beschränkt oder es zumindest meldet.
Hat jemand hier damit Erfahrung?
Viele Grüße von der Front
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307346
Url: https://administrator.de/forum/pfsense-dauerbewohner-identifizieren-307346.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
jetzt mal ganz abgesehen von deiner Frage...
Deiner Geschäftsführung ist das Wort Störerhaftung aber ein Begriff?
Ich finde das ehrlich gesagt - zumindest laut momentaner Rechtslage in Deutschland - (noch) grob fahrlässig.
Ich kann dich beruhigen, hier im Forum gibt es einige Profis was das CP von PfSense betrifft, die dir sicher weiter helfen werden können
Ich habe zwar ein PfSense aber das CP nie in Betrieb. Also einfach abwarten
Gruß
jetzt mal ganz abgesehen von deiner Frage...
Deiner Geschäftsführung ist das Wort Störerhaftung aber ein Begriff?
Ich finde das ehrlich gesagt - zumindest laut momentaner Rechtslage in Deutschland - (noch) grob fahrlässig.
Ich kann dich beruhigen, hier im Forum gibt es einige Profis was das CP von PfSense betrifft, die dir sicher weiter helfen werden können
Ich habe zwar ein PfSense aber das CP nie in Betrieb. Also einfach abwarten
Gruß
Zitat von @seltsam:
Nun zum Problem, die gesamte Belegschaft freut sich riesig über die neue Freiheit und loggt sich fröhlich ein.
Ebenso vermutlich irgendwelche umliegenden Nachbarn oder Cafes.
Wir sind mitten in Berlin und im Prinzip ein riesiger WLAN Leuchtturm, durch die Gebäudehöhe mit entsprechender Recichweite in die Nachbarschaft.
Nun zum Problem, die gesamte Belegschaft freut sich riesig über die neue Freiheit und loggt sich fröhlich ein.
Ebenso vermutlich irgendwelche umliegenden Nachbarn oder Cafes.
Wir sind mitten in Berlin und im Prinzip ein riesiger WLAN Leuchtturm, durch die Gebäudehöhe mit entsprechender Recichweite in die Nachbarschaft.
Und was ist daran ein problem? Wenn die Bosse sagen, alles frei -> selbst schuld.
Man kann nicht groß an die Tür schreiben "Eintritt frei" und dann erwarten, daß die Leute draußen bleiben.
Ansonsten reduziere einfach die Sendeleistung der APs, dann öst sich das problem der reichweite von selbst.
Udn wenn es einfach nur für die Belegschaft oder die besucher sein soll: Mach einfach ein einfaches Passwort udn häng das im ganzen Gebäude aus.
lks
Du kannst es ja auch abändern und ein Display am Eingang aufstellen das das Aktuelle Passwort für das Wlan Anzeigt und sich Täglich ändert nach 24 Uhr ;)
Da du jedoch 300 AP nennst scheint es ja eine größeres Gelände zu sein wo evtl noch 24/7 gearbeitet wird?
Monteure evtl auf dem Gelände ect?
Aber wenn was Angeboten wird und es von Leuten dann genutzt wird sollen die was auf die Finger bekommen?
Du kannst ja Abfragen welche Clients Verbunden sind und bekommst die IP (DHCP Vergabe? evtl nicht brauchbar) sowie die MAC Adresse womit du den Client zuordnen kannst.
Sowie anhand der MAC auch rausbekomms über welchen AP dieser verbunden ist und durch Logs oder Cron die Daten in eine DB schreiben kannst für eine Auswertung wie lange wer drin ist ggfs sogar noch mit Traffic...
Aber mit dem Sperren solltes du Aufpassen nicht das du am Ende des Handy vom Chef sperrst wegen Nutzung des Open Wlans *fg*
Da du jedoch 300 AP nennst scheint es ja eine größeres Gelände zu sein wo evtl noch 24/7 gearbeitet wird?
Monteure evtl auf dem Gelände ect?
Aber wenn was Angeboten wird und es von Leuten dann genutzt wird sollen die was auf die Finger bekommen?
Du kannst ja Abfragen welche Clients Verbunden sind und bekommst die IP (DHCP Vergabe? evtl nicht brauchbar) sowie die MAC Adresse womit du den Client zuordnen kannst.
Sowie anhand der MAC auch rausbekomms über welchen AP dieser verbunden ist und durch Logs oder Cron die Daten in eine DB schreiben kannst für eine Auswertung wie lange wer drin ist ggfs sogar noch mit Traffic...
Aber mit dem Sperren solltes du Aufpassen nicht das du am Ende des Handy vom Chef sperrst wegen Nutzung des Open Wlans *fg*
Ebenso vermutlich irgendwelche umliegenden Nachbarn oder Cafes.
Ha ha ha...das war klar. WLAN für Umme ist ja cool. Würden wohl alle so machen...Wäre ja auch ziemlich weltfremd und naiv davon auszugehen das du keinerlei Trittbrettfahrer hast in so einem Setup.
Das du damit in D in die Störerhaftung Falle rennst ist dir aber schon klar, oder ?
kann so schon eine Menge mehr sehen, regulieren aber kaum etwas.
Klar, logisch ohne jeder User Kontrolle...was erwartest du ?!Gern hätte ich nun ein Tool, welches mit die Camper auf dem System anzeigt
Ja, das würde Sinn machen. Wie aber denkst du dir denn soll das Tool zwischen "Campern" und zwischen gewollten Usern unterscheiden wenn du keinerlei User Klassifizierungen vornimmst ?Das Tool der Wahl heisst dann Kristallkugel !!
Die Kardinalsfrage die sich ja stellt ist die wie du Camper überhaupt identifizierst ?? Ein Tourist in einem Cafe der mal schnell ins Internet geht und nächsten Tag nach München reist ist ja bei deinen nicht vorhandenen Hürden zur User Klassifizierung unmöglich zu identifizieren.
Was erwartest du also für Wunder ??
Nebenbei bemerkt ist das schon recht naiv sowas so in dieser Art und Weise in D zu betreiben. Mit dem ersten der Kinderpornos über diesen Zugang hochlädt oder die berühmten Urheberrechtsverletzungen begeht wirst du dann viel Spaß haben. Das ist russisches Roulette !
Und daran wird auch die Novellierung der Störerhaftung in D keineswegs etwas ändern das du als Betreiber voll haftbar ist. Ausnahme ist nur wenn du das Privileg eines Service Providers hast. Aber auch dann bist du zum User Tracking gezwungen.
abnicken müssen, einfach rein, wer überhaupt das WLAn benutzen darf und daß die Besucher versichern müssen, zu dem erlauchten Personenkreis zu gehören
Das war sicher nur ironisch und nicht Ernst gemeint. So lächerlich wie das Hinweisschild. Davon wird sich doch kein normaler Besucher abhalten lassen, geschweige denn potentielle Straftäter die das als Zugangplattform ins Internet nutzen.Sinnvoll hält man die halt nur mit einem "Zaun" raus. Und zwar einem über den man nicht einfach springen oder klettern kann.
Es ist mal wieder der klassische Spagat zwischen Bequemlichkeit und Sicherheit. Da muss eben jeder seinen individuellen Break Even Punkt finden auf dieser Linie.
Beides maximale Bequemlichkeit mit maximaler Sicherheit scheitert weil sich beide Punkte diametral gegenüberstehen. Weis eigentlich auch ein WLAN Laie. Oder...das ist hier mal wieder ein Troll Thread um eine endlose Diskussion zu provozieren zu der eigentlich schon mehrfach alles gesagt wurde...
und nur den Gnus das Wasser zu erlauben, alles richtig.
Könnte klappen wenn man den Krokodilen im Wasser sagt das sie die Gnus in Ruhe lassen und nur auf alle anderen losgehen sollen Die Krokodile wäre dann eine sinnvolle User Klassifizierung
Zertifikate sind eine Möglichkeit für den TO ums für authorisierte User bequem zu machen. Aber vermutlich auch zuviel Aufwand für ihn als Admin...?!
Zitat von @seltsam:
Mir geht es darum, dass irgendwelche Dauersauger limitiert werden und nicht jedes private Smartphone der Mitarbeiter dauerhaft Bandbreite zerrt.
Mir geht es darum, dass irgendwelche Dauersauger limitiert werden und nicht jedes private Smartphone der Mitarbeiter dauerhaft Bandbreite zerrt.
Dann mach doch traffic shaping:
beschränke halt das maximum, was ein user ziehen darf auf ein zehntel (oder hundertstel) der Bandbreite udn die Leute die mehr brauchen, sollen sich bei Dir melden, nach dem Motto, jeder nur ein Kreuz.
Für Email-checken, und wbsurfen sollte das ausreichen. Für saugen zu unbequem sein.
lks
Moin,
Um das Thema Störerhaftung mal etwas zu vereinfachen: Gerade in Berlin gibt es eine sehr gut organisierte Freifunk Bewegung. Einfach mal mit denen Kurzschließen. Die haben auch ein schickes Backbone Netz über die Stadt gespannt.
Ich halte Freies WLAN so wie ihr es bereits praktiziert für eine Notwendigkeit in einer freien und modernen Gesellschaft. Solltest du dich ans Freifunknetz anbinden wollen müsstest du aber vermutlich ein bisschen was an deinem Setup umbauen. Zumindest das Logging ist in der Regel ein Nogo und ein "Captive Portal" wird auch eher argwöhnisch beäugt.
Aber am besten schaust du dir die Freifunker vor Ort mal selbst an ;)
Gruß
Chris
Um das Thema Störerhaftung mal etwas zu vereinfachen: Gerade in Berlin gibt es eine sehr gut organisierte Freifunk Bewegung. Einfach mal mit denen Kurzschließen. Die haben auch ein schickes Backbone Netz über die Stadt gespannt.
Ich halte Freies WLAN so wie ihr es bereits praktiziert für eine Notwendigkeit in einer freien und modernen Gesellschaft. Solltest du dich ans Freifunknetz anbinden wollen müsstest du aber vermutlich ein bisschen was an deinem Setup umbauen. Zumindest das Logging ist in der Regel ein Nogo und ein "Captive Portal" wird auch eher argwöhnisch beäugt.
Aber am besten schaust du dir die Freifunker vor Ort mal selbst an ;)
Gruß
Chris
Hallo zusammen,
oder ob morgens um drei Uhr bei Ihm die Kripo auftaucht und nach den Schlüsseln zur Firma fragt weil dort
einer Kinderpornos anbietet kann ich mir die Antwort auch gleich selber geben! Denkt einmal bitte beide
einmal nach!
- Kabel gebundene Geräte (intern) per LDAP Server absichern
- Label lose Geräte (intern) per Radius Server mit Zertifikat und Verschlüsselung absichern
- Kabel lose Geräte (extern (Gäste oder privat)) per Captive Portal mit Voucher absichern
Das was Du uns hier beschreibst ist ein völlig offenes WLAN für jedermann und alle die es finden und sich
einloggen können! Das ist wie mit einer Diskothek da lässt man auch nicht alle Leute herein und sucht dann
erst nach Grapschern, betrunkenen und Dealern! Die versucht man auch erst gar nicht herein zu lassen.
Also für interne Mitarbeiter, aber zur privaten Nutzung könnte man schon eine Gruppe anlegen
die dann bei den Vouchers eine Dauer von einem Monat oder länger eingetragen bekommen
und Gäste die Euch besuchen wie zum Beispiel externe Mitarbeiter oder Geschäftspartner
kommen dann in eine 24h Gruppe hinein, fertig. Vouchers verteilt man idealer weise in der
Kantine und dem Konferenzraum.
Man kann auch mittels Squid & SquidGuard & SARG oder gar auch noch Snort zusätzlich
für einige Funktionen sorgen die dann dazu führen dass der Admin auch Sachen auswerten
kann nur erst alle rein lassen und dann nach Dauergästen suchen ist auch nicht das Gelbe vom Ei.
Gruß
Dobby
Naja, in Wahrheit liest das ja kaum einer.
In Kaufhäusern wird ja auch geklaut...
Ja das ist uns auch klar nur wenn ich Deinen Chef frage ob er wegen Diebstahls verhaftet werden möchteIn Kaufhäusern wird ja auch geklaut...
oder ob morgens um drei Uhr bei Ihm die Kripo auftaucht und nach den Schlüsseln zur Firma fragt weil dort
einer Kinderpornos anbietet kann ich mir die Antwort auch gleich selber geben! Denkt einmal bitte beide
einmal nach!
Ist halt Schwierig, eine offene Wasserstelle anzubieten und nur den Gnus das Wasser zu erlauben,
alles richtig.
Ich weiß gar nicht was das Problem ist!? In der Regel sieht es doch heute wie folgt oder ähnlich aus;alles richtig.
- Kabel gebundene Geräte (intern) per LDAP Server absichern
- Label lose Geräte (intern) per Radius Server mit Zertifikat und Verschlüsselung absichern
- Kabel lose Geräte (extern (Gäste oder privat)) per Captive Portal mit Voucher absichern
Das was Du uns hier beschreibst ist ein völlig offenes WLAN für jedermann und alle die es finden und sich
einloggen können! Das ist wie mit einer Diskothek da lässt man auch nicht alle Leute herein und sucht dann
erst nach Grapschern, betrunkenen und Dealern! Die versucht man auch erst gar nicht herein zu lassen.
Also für interne Mitarbeiter, aber zur privaten Nutzung könnte man schon eine Gruppe anlegen
die dann bei den Vouchers eine Dauer von einem Monat oder länger eingetragen bekommen
und Gäste die Euch besuchen wie zum Beispiel externe Mitarbeiter oder Geschäftspartner
kommen dann in eine 24h Gruppe hinein, fertig. Vouchers verteilt man idealer weise in der
Kantine und dem Konferenzraum.
Man kann auch mittels Squid & SquidGuard & SARG oder gar auch noch Snort zusätzlich
für einige Funktionen sorgen die dann dazu führen dass der Admin auch Sachen auswerten
kann nur erst alle rein lassen und dann nach Dauergästen suchen ist auch nicht das Gelbe vom Ei.
Gruß
Dobby