5
Sicheres WLAN für Gäste eines Bildungszentrums
Hallo!!
ich habe hier schon gestöbert, aber leider keine für mich relevanten Posts gefunden. Ich hoffe, dass ich keinen überflüssigen Threat eröffne.
ich bin ehrenamtliches Mitglied eines Jugendverbandes, der auch ein Bildungszentrum unterhält, in denem Gäste ein und ausgehen. Nun möchte dieses Haus seinen Gästen einen WLAN-Zugang zum Internet ermöglichen und das möglichst sicher und kostengünstig. Das möchte ich aufsetzen.
Zur erforderten Sicherheit:
Die Gäste sollen sich ihre persönlichen Zugangsdaten abholen können und dann mittels verschlüsseltem WLAN (und vereinzelten LAN-Ports) ins Internet kommen.
Weiter soll der Traffic geloggt werden, damit im Falle eines Missbrauchs der entsprechende Gast ermittelt werden kann und nicht zwangsläufig das Haus die volle Verantwortung tragen muss. Das Netz soll nunmal fürs normale Surfen und EMail genutzt werden, nicht zum Filesharing und für illegale Aktivitäten.
Meine vorabplanerischen Ideen sind folgende:
Zwischen WLAN-Netz und Gateway schalte ich einen Rechner (alter std. Desktop-PC wegen geringer Auslastung), der eine sicheres Login gewährleistet. Dieser Rechner soll die Rechte der WLAN-Clients verwalten (Dienste, Portsperren etc.) und jeden Traffic loggen. Zudem könnte ich auf dem Server auch noch einen Apache installieren, um ungeschützt sowie geschützt auf bestimmte Angebote des Hauses zugreifen zu können (bspw. Willkommenseite, HowTo's, benötigte SW-Downloads etc).
Wäre da eine OpenVPN-Lösung sinnvoll? Wie lässt sich diese administrieren bezüglich auf flexible (und vor allen unkomplizierte) Vergabe und Löschung von Benutzeraccounts seitens des Betreibers? Gibt es Alternativen mit möglichst geringem Einstellungs- und SW-Aufwand bei den Clients?
Da ich soetwas noch nie bewerkstelligt habe, wäre ich ich für konkrete Lösungs- und/oder Literaturvorschläge sehr dankbar.
Gruß,
Wuggi
ich habe hier schon gestöbert, aber leider keine für mich relevanten Posts gefunden. Ich hoffe, dass ich keinen überflüssigen Threat eröffne.
ich bin ehrenamtliches Mitglied eines Jugendverbandes, der auch ein Bildungszentrum unterhält, in denem Gäste ein und ausgehen. Nun möchte dieses Haus seinen Gästen einen WLAN-Zugang zum Internet ermöglichen und das möglichst sicher und kostengünstig. Das möchte ich aufsetzen.
Zur erforderten Sicherheit:
Die Gäste sollen sich ihre persönlichen Zugangsdaten abholen können und dann mittels verschlüsseltem WLAN (und vereinzelten LAN-Ports) ins Internet kommen.
Weiter soll der Traffic geloggt werden, damit im Falle eines Missbrauchs der entsprechende Gast ermittelt werden kann und nicht zwangsläufig das Haus die volle Verantwortung tragen muss. Das Netz soll nunmal fürs normale Surfen und EMail genutzt werden, nicht zum Filesharing und für illegale Aktivitäten.
Meine vorabplanerischen Ideen sind folgende:
Zwischen WLAN-Netz und Gateway schalte ich einen Rechner (alter std. Desktop-PC wegen geringer Auslastung), der eine sicheres Login gewährleistet. Dieser Rechner soll die Rechte der WLAN-Clients verwalten (Dienste, Portsperren etc.) und jeden Traffic loggen. Zudem könnte ich auf dem Server auch noch einen Apache installieren, um ungeschützt sowie geschützt auf bestimmte Angebote des Hauses zugreifen zu können (bspw. Willkommenseite, HowTo's, benötigte SW-Downloads etc).
Wäre da eine OpenVPN-Lösung sinnvoll? Wie lässt sich diese administrieren bezüglich auf flexible (und vor allen unkomplizierte) Vergabe und Löschung von Benutzeraccounts seitens des Betreibers? Gibt es Alternativen mit möglichst geringem Einstellungs- und SW-Aufwand bei den Clients?
Da ich soetwas noch nie bewerkstelligt habe, wäre ich ich für konkrete Lösungs- und/oder Literaturvorschläge sehr dankbar.
Gruß,
Wuggi
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 59505
Url: https://administrator.de/forum/sicheres-wlan-fuer-gaeste-eines-bildungszentrums-59505.html
Ausgedruckt am: 12.04.2025 um 03:04 Uhr
5 Kommentare
Neuester Kommentar
Hey Wuggi,
sehe Dir mal einen Langom L-54ag an. Für das Gerät kann man noch eine Hot-Spot Option kaufen. Darüber steuerst Du den Zugang zum W-LAN. Über Paketfilter kannst Du dann z.B. nur Port 80 freigeben und all Deine Wünsche sind erfüllt. Das Gerät ist nicht ganz günstig, aber ich kann es Dir nur empfehlen. Wir sind Lancom-Partner und setzen die Geräte schon sehr lange und erfolgreich ein.
Gruß
Alex
sehe Dir mal einen Langom L-54ag an. Für das Gerät kann man noch eine Hot-Spot Option kaufen. Darüber steuerst Du den Zugang zum W-LAN. Über Paketfilter kannst Du dann z.B. nur Port 80 freigeben und all Deine Wünsche sind erfüllt. Das Gerät ist nicht ganz günstig, aber ich kann es Dir nur empfehlen. Wir sind Lancom-Partner und setzen die Geräte schon sehr lange und erfolgreich ein.
Gruß
Alex
Hallo,
ein VPN ist dafür wohl die geeignete Lösung.
Eine Lösung nur für einen WLAN-Hot-Spot reicht dir wohl nicht. Hier ist es auf auch schwer, dann "Bons" mit befristet gültigen Passwörtern auszudrucken, die du dann den einzelnen Nutzern geben kannst.
Für VPNs gibt es spezielle Hardware. Die ist oft leichter zu administrieren als ein selbst aufgesetzter Rechner (bzw. leichter Einzurichten, und sicherer als ein schlecht eingerichteter Rechner). Allerdings steigen die Preise mit zunehmender möglicher Nutzerzahl schnell an.
Für einen dafür konfigurierten "normalen" Rechner spricht, dass er einfacher um Funktionen zu erweitern ist. Der Anschluss eines Standard-Druckers beispielsweise ist problemlos möglich.
Die Anforderungen an die Clients sind unterschiedlich. Das WLAN selber könntest du bei einem VPN sogar unverschlüsselt laufen lassen (damit sind die Rechner der Nutzer potentiell anfälliger für Angriffe, nicht aber dein Netz selber), somit entfällt dieser Konfigurationsaufwand. Das VPN selber ist unterschiedlich aufwendig für die Nutzer. Die Cisco-Geräte erfordern beispielsweise die Installation eines speziellen Clients, dafür kann der Netzwerkadministrator hier noch diverse Sicherheitseinstellungen auch auf Client-Seite vornehmen. Andere Hardware erfordert lediglich wenige (relativ leichte) Einstellungen bei einem Client, der bereits im Lieferumgfang von Windows enthalten ist.
Soviel erstmal zu potentiellen Ansätzen. Literatur habe ich im Moment keine bei der Hand, aber ich denke, es das hilft schonmal zielgerichteter zu suchen.
Schönen Tag
Filipp
ein VPN ist dafür wohl die geeignete Lösung.
Eine Lösung nur für einen WLAN-Hot-Spot reicht dir wohl nicht. Hier ist es auf auch schwer, dann "Bons" mit befristet gültigen Passwörtern auszudrucken, die du dann den einzelnen Nutzern geben kannst.
Für VPNs gibt es spezielle Hardware. Die ist oft leichter zu administrieren als ein selbst aufgesetzter Rechner (bzw. leichter Einzurichten, und sicherer als ein schlecht eingerichteter Rechner). Allerdings steigen die Preise mit zunehmender möglicher Nutzerzahl schnell an.
Für einen dafür konfigurierten "normalen" Rechner spricht, dass er einfacher um Funktionen zu erweitern ist. Der Anschluss eines Standard-Druckers beispielsweise ist problemlos möglich.
Die Anforderungen an die Clients sind unterschiedlich. Das WLAN selber könntest du bei einem VPN sogar unverschlüsselt laufen lassen (damit sind die Rechner der Nutzer potentiell anfälliger für Angriffe, nicht aber dein Netz selber), somit entfällt dieser Konfigurationsaufwand. Das VPN selber ist unterschiedlich aufwendig für die Nutzer. Die Cisco-Geräte erfordern beispielsweise die Installation eines speziellen Clients, dafür kann der Netzwerkadministrator hier noch diverse Sicherheitseinstellungen auch auf Client-Seite vornehmen. Andere Hardware erfordert lediglich wenige (relativ leichte) Einstellungen bei einem Client, der bereits im Lieferumgfang von Windows enthalten ist.
Soviel erstmal zu potentiellen Ansätzen. Literatur habe ich im Moment keine bei der Hand, aber ich denke, es das hilft schonmal zielgerichteter zu suchen.
Schönen Tag
Filipp
Ja schonmal danke.
@alkuhn: ja, das Gerät habe ich auch schon mal ins Auge gefasst, aber erfüllt es denn auch den Zweck des personenbezogenen Zugriffs und Trafficlogs?
Ist schon wichtig, gerade weil dort öfter Jugendliche hinkommen, die auch auf dem Schulhof Handyvideos tauschen, wenn ihr versteht was ich meine. Mag mir nicht vorstellen, was die alles an nem öffentlichen Internetzugang veranstalten
@filippg: Zu OpenVPN oder ähnlichem kannst Du mir keine direkte Auskunft geben, oder?
@alkuhn: ja, das Gerät habe ich auch schon mal ins Auge gefasst, aber erfüllt es denn auch den Zweck des personenbezogenen Zugriffs und Trafficlogs?
Ist schon wichtig, gerade weil dort öfter Jugendliche hinkommen, die auch auf dem Schulhof Handyvideos tauschen, wenn ihr versteht was ich meine. Mag mir nicht vorstellen, was die alles an nem öffentlichen Internetzugang veranstalten
@filippg: Zu OpenVPN oder ähnlichem kannst Du mir keine direkte Auskunft geben, oder?
www.openvpn.org
Sollte dir da weiterhelfen.
Wenn du etwas versiert bist hilft dir auch eine gute Lösung mit einem Captive Portal also eine Zwangswebseite wie du sie von Hot Spots vom Flughafen, Hotels oder Bahnhof kennt.
Wie man sowas recht einfach und effektiv ohne große Kosten hinbekommt kannst du z.B. hier:
http://www.hotspot-ruhr.de/hotspot/doc/hotspot_howto.htm
oder
http://www.howtoforge.com/wireless_hotspot_howto
oder allgemein bei der Chilli Spot SW hier:
http://www.chillispot.org/
nachlesen !
Sollte dir da weiterhelfen.
Wenn du etwas versiert bist hilft dir auch eine gute Lösung mit einem Captive Portal also eine Zwangswebseite wie du sie von Hot Spots vom Flughafen, Hotels oder Bahnhof kennt.
Wie man sowas recht einfach und effektiv ohne große Kosten hinbekommt kannst du z.B. hier:
http://www.hotspot-ruhr.de/hotspot/doc/hotspot_howto.htm
oder
http://www.howtoforge.com/wireless_hotspot_howto
oder allgemein bei der Chilli Spot SW hier:
http://www.chillispot.org/
nachlesen !
noch ne Möglichkeit könnte IPCop sein.. mit dem AddOn BlockOutTraffic..
http://www.ipcop.org ... Addon: http://blockouttraffic.de/download.php
1. IPCop ist von vornherein sehr resourcenschonend, da das Installimage gerade mal 43 MB groß ist. Also alte Rechner funktionieren da tadellos.. Außerdem lässt sich auf dem IPCop jede Internet-Verbindung nur über den eingebauten Squid-Proxy realisieren.. und der protokolliert schonmal alles mit.
2. mit dem AddOn BlockOutTraffic (kurz: BOT) lässt sich jeglicher Datenverkehr nach außen kontrollieren. Jeder Port nach außen kann geschlossen werden. Auch hier wird alles sehr detailliert mitprotokolliert..
mfg
DocDOS
http://www.ipcop.org ... Addon: http://blockouttraffic.de/download.php
1. IPCop ist von vornherein sehr resourcenschonend, da das Installimage gerade mal 43 MB groß ist. Also alte Rechner funktionieren da tadellos.. Außerdem lässt sich auf dem IPCop jede Internet-Verbindung nur über den eingebauten Squid-Proxy realisieren.. und der protokolliert schonmal alles mit.
2. mit dem AddOn BlockOutTraffic (kurz: BOT) lässt sich jeglicher Datenverkehr nach außen kontrollieren. Jeder Port nach außen kann geschlossen werden. Auch hier wird alles sehr detailliert mitprotokolliert..
mfg
DocDOS
