13
WLAN-Gastnetzwerk mit Authentifizierung und Mitloggen der Verbindungen
Hallo ihr Administratoren,
ich stehe hier seit eine Weile von einem Problem: Meine Aufgabe ist die Einrichtung eines Gastnetzwerkes über einen einfach ADSL-Anschluss.
Dafür habe ich bisher eine Firewall (PIX 501) für die DSL-Einwahl und DHCP konfiguriert. Der WLAN-AP (Aironet 1200) verschlüsselt die Daten bisher mit WPA-TKIP.
Nun besteht aber folgendes Problem:
Dieses kleine Netzwerk soll ja ein Gastnetzwerk werden. Meine Idealvorstellung wäre, dass jeder Gast ein Login (bestehend aus Username und Passwort) abholt und dieses für die Authentifizierung im Netzwerk verwendet. Dafür würde ein ACS/RADIUS (?)-Server an das Gastnetzwerk angebunden werden. Im Sekretariat würde er seinen Namen und Firma hinterlegen und das ganze mit einer Unterschrift bestätigen.
Hintergrund der Sache ist folgende: Es muss genau festgestellt werden können, welche Person am Anschluss der Firma welchen Traffic verursacht hat. Es wäre je vorstellbar, dass sich Leute in das Gastnetzwerk begeben, die auf ihrem Rechner SPAM-Programme installiert haben und nun von dem DSL-Anschluss, für den meine Firma zur Verantwortung gezogen werden kann. Auch diverse andere Szenarien sind theoretisch möglich, sodass auf jeden Fall genau feststellbar sein muss, welche Person zu welcher Zeit welchen Traffic verursacht hat.
Hat jemand eine Idee, wie ich dies realisieren könnte?
Wenn noch Fragen offen sind, bitte fragen.
Vielen Dank schon im Vorraus.
ich stehe hier seit eine Weile von einem Problem: Meine Aufgabe ist die Einrichtung eines Gastnetzwerkes über einen einfach ADSL-Anschluss.
Dafür habe ich bisher eine Firewall (PIX 501) für die DSL-Einwahl und DHCP konfiguriert. Der WLAN-AP (Aironet 1200) verschlüsselt die Daten bisher mit WPA-TKIP.
Nun besteht aber folgendes Problem:
Dieses kleine Netzwerk soll ja ein Gastnetzwerk werden. Meine Idealvorstellung wäre, dass jeder Gast ein Login (bestehend aus Username und Passwort) abholt und dieses für die Authentifizierung im Netzwerk verwendet. Dafür würde ein ACS/RADIUS (?)-Server an das Gastnetzwerk angebunden werden. Im Sekretariat würde er seinen Namen und Firma hinterlegen und das ganze mit einer Unterschrift bestätigen.
Hintergrund der Sache ist folgende: Es muss genau festgestellt werden können, welche Person am Anschluss der Firma welchen Traffic verursacht hat. Es wäre je vorstellbar, dass sich Leute in das Gastnetzwerk begeben, die auf ihrem Rechner SPAM-Programme installiert haben und nun von dem DSL-Anschluss, für den meine Firma zur Verantwortung gezogen werden kann. Auch diverse andere Szenarien sind theoretisch möglich, sodass auf jeden Fall genau feststellbar sein muss, welche Person zu welcher Zeit welchen Traffic verursacht hat.
Hat jemand eine Idee, wie ich dies realisieren könnte?
Wenn noch Fragen offen sind, bitte fragen.
Vielen Dank schon im Vorraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 68818
Url: https://administrator.de/contentid/68818
Printed on: April 16, 2024 at 18:04 o'clock
13 Comments
Latest comment
Normalerweise löst man heute sowas in WLANs mit einer Zwangswebpage die dem Gast präsentiert wird. Also genau das gleiche Verhalten wie du es vom Flughafen oder Bahnhof an öffentlichen Hotspots kennst.
Gute WLAN Lösungen renomierter Hersteller haben sowas immer mit an Bord. Bei Cisco sollten deren Lösungen das aber auch können...bei den Preisen
.
Das Feature heisst Captive Portal. Es ist viel einfacher zu administrieren und die Authentifizierung geschieht ebenfalls über den klassischen Radius Server. Gäste werden dann von einer Webseite des captive Portals mit eurem Firmenlogo und rechtlichen Hinweisen (wichtig!) zur Benutzung dieses Anschlusses begrüsst. So ein Gast WLAN ist ja immer auch eine Visitenkarte des Unternehmens !
Der authentifizierende Radius Server lässt sich dann auch mit einem einfachen Web GUI versehen, der dem Empfangssekretariat es einfach macht temporäre Passwörter für die Gäste auszugeben. Das geschieht mit einem Einmalpasswort mit der Eingabe des Namens, was nach einer Zeitspanne ungültig wird. Die generierten Passwörter werden automatisch auf den Radius übertragen.
Falls dein Cisco Umfeld dies wider Erwarten nicht realisieren kann was eigentlich unwahrscheinlich ist, dann gibt es auch außer kommerziellen Lösungen einige Freeware Lösungen wie z.B. Chillispot.
Gute WLAN Lösungen renomierter Hersteller haben sowas immer mit an Bord. Bei Cisco sollten deren Lösungen das aber auch können...bei den Preisen
.Das Feature heisst Captive Portal. Es ist viel einfacher zu administrieren und die Authentifizierung geschieht ebenfalls über den klassischen Radius Server. Gäste werden dann von einer Webseite des captive Portals mit eurem Firmenlogo und rechtlichen Hinweisen (wichtig!) zur Benutzung dieses Anschlusses begrüsst. So ein Gast WLAN ist ja immer auch eine Visitenkarte des Unternehmens !
Der authentifizierende Radius Server lässt sich dann auch mit einem einfachen Web GUI versehen, der dem Empfangssekretariat es einfach macht temporäre Passwörter für die Gäste auszugeben. Das geschieht mit einem Einmalpasswort mit der Eingabe des Namens, was nach einer Zeitspanne ungültig wird. Die generierten Passwörter werden automatisch auf den Radius übertragen.
Falls dein Cisco Umfeld dies wider Erwarten nicht realisieren kann was eigentlich unwahrscheinlich ist, dann gibt es auch außer kommerziellen Lösungen einige Freeware Lösungen wie z.B. Chillispot.
Ich würde noch den Hinweis auf den juristischen Aspekt lenken. Ggf. trittst du bzw. die Firma als Zugangprovider auf und bist entsprechenden Auflagen verpflichtet. Dies betrifft einerseits das Übertragen von privaten Daten (die du vielleicht nicht loggen/speichern darfst) und andererseits die Auflagen für Provider (Verbindungsdaten, etc.).
Eine ähnliche Gratwanderung ist im Übrigen generell bei privater Kommunikation in der Firma zu beachten.
Eine ähnliche Gratwanderung ist im Übrigen generell bei privater Kommunikation in der Firma zu beachten.
Danke euch beiden erstmal.
Also ich habe mir jetzt mal das Opensource-Projekt Coova und eine Lösung von Cisco angeschaut.
Ich brauche also anscheinend eine Software (siehe 1) auf einer Hardwarekomponente (müsste bei mir die PIX sein), die die Anfragen an einen Server sendet, der eine Website einblendet (siehe 2), auf welcher ich mich authentifizieren muss. Die eingegebenen Daten werden dann im RADIUS-Server (siehe 3) kontrolliert. Sind sie richtig wird der Zugriff aufs Netz gewährt, sind sie falsch, sperrt die Software auf der Hardwarekomponente weiterhin den Zugriff aufs Netzwerk.
1 = Cisco Service Selection Gateway / CoovaAP
2 = Cisco SESM (Subscriber Edge Services Manager) / CoovaChilli
3 = CiscoSecureACS / freeRADIUS.org
Die ellenlangen Namen bei Cisco gehen mir irgendwie auf die Nerven^^
Ich hoffe, dass ich das so erstmal richtig verstanden habe. Werd auf jeden Fall weiterlesen jetzt. Nur noch eine Frage: Wenn ich die Coova-Software nutzen möchte, muss ich dann unbedingt CoovaAP auf der Harware installieren? Das CoovaChilli auf nem Server zu installieren wird kein Problem sein, aber ich denk nicht, dass ich auf der PIX einfach mal so ne andere Software ausser das IOS installieren kann (?!?)
OK, weiterlesen. Danke nochmal
Also ich habe mir jetzt mal das Opensource-Projekt Coova und eine Lösung von Cisco angeschaut.
Ich brauche also anscheinend eine Software (siehe 1) auf einer Hardwarekomponente (müsste bei mir die PIX sein), die die Anfragen an einen Server sendet, der eine Website einblendet (siehe 2), auf welcher ich mich authentifizieren muss. Die eingegebenen Daten werden dann im RADIUS-Server (siehe 3) kontrolliert. Sind sie richtig wird der Zugriff aufs Netz gewährt, sind sie falsch, sperrt die Software auf der Hardwarekomponente weiterhin den Zugriff aufs Netzwerk.
1 = Cisco Service Selection Gateway / CoovaAP
2 = Cisco SESM (Subscriber Edge Services Manager) / CoovaChilli
3 = CiscoSecureACS / freeRADIUS.org
Die ellenlangen Namen bei Cisco gehen mir irgendwie auf die Nerven^^
Ich hoffe, dass ich das so erstmal richtig verstanden habe. Werd auf jeden Fall weiterlesen jetzt. Nur noch eine Frage: Wenn ich die Coova-Software nutzen möchte, muss ich dann unbedingt CoovaAP auf der Harware installieren? Das CoovaChilli auf nem Server zu installieren wird kein Problem sein, aber ich denk nicht, dass ich auf der PIX einfach mal so ne andere Software ausser das IOS installieren kann (?!?)
OK, weiterlesen. Danke nochmal
Für die Coova Lösung oder die z.B. von Wifidog.org benötigst du einen Accesspoint mit der freien OpenWRT Firmware. Die läuft dann auf preiswerter Consumer AP Hardware von z.B. Linksys, Buffalo, Asus usw. zusammen mit einem Linux Rechner der dann zugleich Radius Authentifizierungsserver und Portal Webserver ist.
ok, da es aber auch die möglichkeit geben soll, sich per kabel ins netz zu begeben (indem man sich direkt an die pix hängt) wäre die frage, ob es diese software nur für die APs oder auch für router/firewallls gibt?!?
auf der cisco-seite wäre das problem, dass meine pix scheinbar die gebrauchten funktionalität (ssg) nicht besitzt, sondern nur die cisco-router. da extra noch etwas zukaufen ist eher auch nicht gewünscht.
auf der cisco-seite wäre das problem, dass meine pix scheinbar die gebrauchten funktionalität (ssg) nicht besitzt, sondern nur die cisco-router. da extra noch etwas zukaufen ist eher auch nicht gewünscht.
Ja sowas gibt es auch als Switch Funktion und auch als Router/Firewall Funktion. Es gibt sogar kleine Stand Alone Appliances für kleines Geld, die das in Verbindung mit einem Webserver realisieren als out of the Box Lösung.
hmm also kostet solch eine lösung so oder so noch ein wenig geld...entweder für ein cisco-gerät, dass SSG-funktionalität hat, oder für solch einen router/firewall auf die ich die coovaAP-aoftware installieren kann.
kanst du mir mal ein paar links posten oder namen nennen von router/firewalls, auf denen openWRT zum einsatz kommen kann?
/edit: brauchst nicht mehr suchen, hab die liste schon gefunden....
hab auch noch folgedes gefunden:
http://justuber.com/publicwifi:public_wireless_internet_access
nun muss ich nur mal sehen, ob ich das alles auf einer kiste installiert bekomme...mist hier, eigentlich soll das schon lange laufen und nun begeb ich mich auf linux-gebiet, wo ich noch nie was gemacht habe....huiuiui, na ma sehen..1,5 wochen hab ich noch
kanst du mir mal ein paar links posten oder namen nennen von router/firewalls, auf denen openWRT zum einsatz kommen kann?
/edit: brauchst nicht mehr suchen, hab die liste schon gefunden....
hab auch noch folgedes gefunden:
http://justuber.com/publicwifi:public_wireless_internet_access
nun muss ich nur mal sehen, ob ich das alles auf einer kiste installiert bekomme...mist hier, eigentlich soll das schon lange laufen und nun begeb ich mich auf linux-gebiet, wo ich noch nie was gemacht habe....huiuiui, na ma sehen..1,5 wochen hab ich noch
Das kannst du selber auch sehr schnell. Dr. Google ist dein Freund
OpenWRT hat eine eigenen Webseite !
Hier ist eine Liste der supporteten Hardware:
http://wiki.openwrt.org/TableOfHardware
Die OpenWRT Seite ist hier: www.openwrt.org
OpenWRT hat eine eigenen Webseite !
Hier ist eine Liste der supporteten Hardware:
http://wiki.openwrt.org/TableOfHardware
Die OpenWRT Seite ist hier: www.openwrt.org
Jo danke, aber hatte ich doch geschrieben, dass ich die schon gefunden hatte ;)
Bin jetzt zur Zeit bei Zeroshell gelandet....einer Netzwerk-Linux-Distribution..bin dabei die Einzurichten, aber so richtig komm ich damit nicht klar. Da ist fast nicht dokumentiert, da sich der Entwickler eben noch mehr mit Entwickeln beschäftigt, als mit dokumentieren.
Bin jetzt zur Zeit bei Zeroshell gelandet....einer Netzwerk-Linux-Distribution..bin dabei die Einzurichten, aber so richtig komm ich damit nicht klar. Da ist fast nicht dokumentiert, da sich der Entwickler eben noch mehr mit Entwickeln beschäftigt, als mit dokumentieren.
OK, bin jetzt so ziemlich fertig und grade am Dokumentation schreiben.
Als Captive Portal hab ich jetzt die Linux Distribution ZeroShell genutzt. Diese befindet sich zwar noch in der Entwicklung, jedoch habe ich bis jetzt noch keine großen Macken gefunden.
Die Lösung ist jetzt nicht ganz an meine Optimalvorstellung rangekommen, aber ich bin trotzdem zufrieden.
Als Captive Portal hab ich jetzt die Linux Distribution ZeroShell genutzt. Diese befindet sich zwar noch in der Entwicklung, jedoch habe ich bis jetzt noch keine großen Macken gefunden.
Die Lösung ist jetzt nicht ganz an meine Optimalvorstellung rangekommen, aber ich bin trotzdem zufrieden.
Klasse, danke für das Feedback ! Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
How can I mark a post as solved?
nicht vergessen !
Hallo.
wir haben einen Cisco-WLAN-Controller für den Gast-Access.
Diesen nutze ich als Captive Portal. Danach gehts durch die BBSM (ist fürs Billing, und macht die Abfrage ans ActiveDirectory) ins Internet.
Da die BBSM (Building Broadband Service Manager) als proxy leider nicht alle Dienste unterstützt, mußte ich den proxy deaktivieren.
Dieser loggt nun natürlich nicht mehr!
Hat da wer ne Idee, wie man die besuchten Web-Seiten dennoch mitloggen kann?!
Evtl Syslog? Ein Account reicht nicht aus!
danke & mfg
florian
wir haben einen Cisco-WLAN-Controller für den Gast-Access.
Diesen nutze ich als Captive Portal. Danach gehts durch die BBSM (ist fürs Billing, und macht die Abfrage ans ActiveDirectory) ins Internet.
Da die BBSM (Building Broadband Service Manager) als proxy leider nicht alle Dienste unterstützt, mußte ich den proxy deaktivieren.
Dieser loggt nun natürlich nicht mehr!
Hat da wer ne Idee, wie man die besuchten Web-Seiten dennoch mitloggen kann?!
Evtl Syslog? Ein Account reicht nicht aus!
danke & mfg
florian
Hallo,
ich beschäftige mich derzeit mit einem ähnlichen Thema. Und zwar möchte ich meine beiden Ferienwohnungen mit Internet versorgen. Ich habe mir das so vorgestellt, das der Mieter zu mir kommt und ich (zB über ein Webapplikation im Browser) einen Account für beispielsweise 7 Tage erstelle und ich ihm Username und Passwort gebe. Über seinen selbst mitgebrachten PC/Notebook gelangt er über ein normales DSL-Kabel ans Internet. Sobald er den Browser öffnet, startet ein Login-Feld und der Mieter kann sich mit den von mir gegebenen Daten einloggen.
Was muss ich dazu tun? Das ganze soll möglichst einfach einzurichten und zu bedienen sein. Max. Kosten sollten sich auf etwa 250€ belaufen. Ich möchte kein Geld für die Internetnutzung, es soll einfach nur Kunden anlocken und ein gutes Feature sein.
Was gibt es für Möglichkeiten um mich selber noch abzusichern? Was passiert wenn der Mieter illegale Aktivitäten macht? Eine Logfunktion, beispielsweise über einen Proxy, würde zu tief in die Privatsphäre eingreifen. Andererseits muss ich selber auch geschützt werden, da ich keine Lust habe wegen anderer Leute Strafe zu zahlen oder noch schlimmeres.
Ich bitte um schnellstmögliche Rückantwort.
Viele Grüße
Michael
ich beschäftige mich derzeit mit einem ähnlichen Thema. Und zwar möchte ich meine beiden Ferienwohnungen mit Internet versorgen. Ich habe mir das so vorgestellt, das der Mieter zu mir kommt und ich (zB über ein Webapplikation im Browser) einen Account für beispielsweise 7 Tage erstelle und ich ihm Username und Passwort gebe. Über seinen selbst mitgebrachten PC/Notebook gelangt er über ein normales DSL-Kabel ans Internet. Sobald er den Browser öffnet, startet ein Login-Feld und der Mieter kann sich mit den von mir gegebenen Daten einloggen.
Was muss ich dazu tun? Das ganze soll möglichst einfach einzurichten und zu bedienen sein. Max. Kosten sollten sich auf etwa 250€ belaufen. Ich möchte kein Geld für die Internetnutzung, es soll einfach nur Kunden anlocken und ein gutes Feature sein.
Was gibt es für Möglichkeiten um mich selber noch abzusichern? Was passiert wenn der Mieter illegale Aktivitäten macht? Eine Logfunktion, beispielsweise über einen Proxy, würde zu tief in die Privatsphäre eingreifen. Andererseits muss ich selber auch geschützt werden, da ich keine Lust habe wegen anderer Leute Strafe zu zahlen oder noch schlimmeres.
Ich bitte um schnellstmögliche Rückantwort.
Viele Grüße
Michael
