Einfaches Hotel-WLAN nachbauen

06/05/2015 - 20:10 von Ferdinand Flottmann | Report spam
Hallo,

ich bin von einem befreundeten Pfarrer gefragt worden, wie man in seinem
Gemeindezentrum ein geschütztes WLAN einrichten kann, ohne den WPA-Key
preisgeben zu müssen.

Ich habe dann recherchiert und bin auf zwei Lösungen gestossen:

a) Radius -> kann der Accesspoint nicht
b) Transparenter Proxy mit Authentifizierung -> Geht nicht mit SSL-
Verbindungen

Ich suche jetzt nach Ideen, wie man die Aufgabe noch lösen kann. Ein
Debianserver mit Internetanschluss und drei Netzwerkkarten ist
vorhanden.

Vielleicht mal generell der Use-Case, wie ich mir das vorstelle:

* Eine Besprechung/Seminar/Whatever wird einberufen.
* Die Teilnehmer melden sich mit ihren Geràten an dem offenen WLAN an,
das ein eigenes private Subnetz bildet (192.168.x.y).
* Der Debianserver routet dieses Subnetz nur ins Internet. Das Büronetz
der Gemeinde ist tabu.
* Beim ersten Request wird geprüft, ob die MAC-Adresse schon eine
IPTables-Regel besitzt.
* Wenn nein, wird sie über eine Administrationsseite angezeigt und durch
den Pfarrer/Küster aktiviert. Im Hintergrund wird dann die Regel
erstellt.
* Die Regel soll x Stunden gültig sein. Danach ist wieder eine
Aktivierung nötig.
* Die MAC-Adresse des Endgeràtes und das Erstellungsdatum der Regel wird
in einer einfachen Datenbank gespeichert
* Nach 24 Stunden wird die MAC-Adresse und die Regel wieder gelöscht.
* Die Datenbank wird entweder über besagte Administrationsseite oder per
Cronjob aktualisiert

Ich weiss, MAC-Adressen prüfen ist nicht der Weissheit letzter Schluss,
aber für diesen Anlass dürfte es sicher genug sein.

Ich habe nun überlegt, ob man nicht IPTables dafür einspannen kann. Dort
lassen sich Regeln basierend auf MAC-Adressen definieren. Ein Cronjob
liesst regelmàßig die Datenbank aus und setzt bzw. löscht die IPTables-
Regeln.

Ich habe nur keine Idee, wie man einen beliebigen Webseitenaufruf auf
eine lokale Loginseite umbiegt, wenn IPTables eine neue bzw.
unauthentifizierte MAC filtert. Vielleicht einfach die Ziel-IP für
unbekannte MAC-Adressenauf den internen Webserver umbiegen und 404-
Fehler auf die Loginseite leiten?

Wie würdet ihr die Aufgabe lösen? Wie gesagt, es sollte keine
zusàtzliche Hardware notwendig sein und der Sicherheitsbedarf ist bzgl.
Manipulierbarkeit von MAC-Adressen nicht so dramatisch.

Ich bin sher gespannt auf die Vorschlàge.
Viele Grüße

Euer Ferdi


Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: https://lists.debian.org/2015050619...otterferdi@gmail.com
 

Lesen sie die antworten

#1 Stefan Baur
06/05/2015 - 20:20 | Warnen spam
Am 06.05.2015 um 19:50 schrieb Ferdinand Flottmann:
Hallo,

ich bin von einem befreundeten Pfarrer gefragt worden, wie man in seinem
Gemeindezentrum ein geschütztes WLAN einrichten kann, ohne den WPA-Key
preisgeben zu müssen.



<viel Blabla>

google: captive portal

So heißt das, was Du willst, und es gibt diverse Open-Source-Lösungen dafür.

Gruß
Stefan


Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: https://lists.debian.org/

Ähnliche fragen