Plan voor gastenherberg

Kijk hier even naar: Ik heb helaas nog geen antw. gekregen op topic

[rml][ WLAN] Pheenet WAS-101[/rml]

Wat je ook kan proberen is m0n0wall icm de captive portal Ik weet alleen niet of je die ook wachtwoordbased kunt laten draaien, probeer het zou ik zeggen

Voor die log's kan je terecht bij 3com network administrator. Vrij uitgebreide tool, weet alleen niet de exacte naam ervan.

Nu wil ik het systeem erg goed beveilingen

Wat wil je precies beveiligen? Wil je alleen bepaalde mensen/ PC's toegang geven tot je draadloze netwerk of wil je bijvoorbeeld de internettoegang ook nog eens verder beperken, zoals bijvoorbeeld het blokkeren van P2P verkeer. Bedenk overigens dat MAC adressen te spoofen zijn en dat een authorisatie enkel op basis van MAC nooit afdoende is.

Pc met Win 2k3 Server Enterprise

Ik ben zeer benieuwd waarom je de enterprise edition van Windows 2003 zou willen kopen of welke meerwaarde deze versie biedt t.o.v. een andere versie. De enterprise edition is namelijk onbetaalbaar (onnodig duur) als je die extra functionaliteit niet nodig hebt.

Ik moet ook een goed overzicht kunnen hebben op hetgeen ze doen.

Wat wil je precies opslaan? Bedenk wel dat je niet alle verkeer kan loggen. Dat wordt technisch heel moeilijk en je wilt waarschijnlijk niet aan packet sniffing en/ of ARP cache poisining gaan doen, omdat dat waarschijnlijk illegaal is. Als je clients bijvoorbeeld gebruik maken van jouw mailserver, kun je die mail opslaan (even de juridische context buiten beschouwing gelaten, want daar weet ik te weinig van). Als je een proxyserver hebt staan, dan kun je gemakkelijk opslaan welke pagina's er opgevraagd worden. Als je een DNS server hebt staan, dan kun je DNS requests loggen en op die manier een indruk krijgen van waar het verkeer heen gaat. Je snapt waar ik heen wil. Zolang jij niet je eigen servers hebt staan, dan kun je weinig loggen tenzij je echt rare dingen gaat doen zoals packet sniffing.

als het alleen http stuff is kun je ook kijken naar een squid proxy met pw control of iets in die richting
verder is er ook een open-source project dat speciaal voor dit soort dingen (het delen van een wlan verbinding) onstaan is alleen ben ik momenteel de naam even vergeten.

Kijk eens naar WPA icm Radius anders Dat werkt ook als een trein, en zo kan je gebruikers gewoon authenticeren.

Kingskawn schreef op dinsdag 08 maart 2005 @ 15:57:
[...]

Ja laten we zeggen dat ik het internet wil aanbieden voor mensen die met hun eigen laptop komen en die graag willen werken op vakantie (kan gebeuren ). Ik wil dan ook enkele regels opzetten voor emule, azureus, kazaa, enz te kunnen blokkeren en andere gevaarlijke poorten die het netwerk zouden kunnen doen kantelen. MAC filtering is niet zo goed want ik moet telkens aan de mensen vragen wat hun MAC address is. Dan kies ik nog liever voor WEP of WPA (maar niet alle pc's ondersteunen WPA, of is dit veranderd )

[...]

Ik zou iets willen hebben zoals SpyWeb. dat is een programma dat we gebruiken op het werk en die alles opslaagd wat de bedienden bezocht hebben op internet. Je kan er gemakkelijk statistieken mee maken. Ik denk niet dat de klanten thuis aan packet sniffing gaan doen, op die enkele dagen dat ze bij ons logeren zullen ze niet genoeg packets kunnen opvangen om een passwoord te kraken. Ik zou dan ook een proxyserver willen opstarten. Ook een DNS server.

Spyweb is een client-side oplossing. Je moet software installeren op de PC's van je gasten. Dat zal je handmatig moeten doen of je kan het eventueel afdwingen (software distribution policy) in een ADS domain omgeving waarbij je active directory moet koppelen aan internettoegang. Een gast die weet welke macht hij jou als domain admin over een PC in die domeinomgeving geeft zal dat niet pikken. Daar komt nog eens bij dat je software gaat installeren op de PC's van je gasten. Zullen ze dat willen? Daar komt nog eens bij dat in beide gevallen (ook installatie via software distribution policy) dat gezien het karakter en de functionaliteit van de genoemde Spyweb software ze daar wettelijk gezien expliciet toestemming voor moeten geven en op de hoogte gebracht moeten worden van de functionaliteit van dit programma. Ik denk dat je gasten niet willen dat jij op wat voor manier dan ook volledig inzicht kan verwerven in hun handelen en al hun documenten zou kunnen bekijken. Een client-side oplossing lijkt mij daarom niet gewenst.

Wat jij wilt is een (waterdichte) authenticatie voor internettoegang en server-side oplossingen om de internettoegang te beperken en eventueel te registreren.

Het is absoluut onmogelijk om de internettoegang op welke manier dan ook te reguleren en te beperken zodat misbruik geheel onmogelijk wordt gemaakt. Je kan het wel héél moeilijk maken. Je kan slechts een beperkt aantal poorten opengooien. Je kan eventueel een blacklist maken van 'foute' IP adressen en er zijn ook wel databases beschikbaar op het internet van die adressen. Maar het verkeer is altijd om te leiden via andere poorten en (voor wat betreft HTTP/ FTP/etc. verkeer) ook via anonieme proxyservers elders in de wereld. De regulering zoals ik hierboven beschreef is voor wat betreft het blokkeren van poortranges al mogelijk met de iets duurdere router. Ook met de registratie wordt het lastig, tenzij JIJ (niet de klant) aan packet sniffing gaat doen o.i.d.