Einfaches Hotel-WLAN nachbauen
Hallo,
ich bin von einem befreundeten Pfarrer gefragt worden, wie man in seinem
Gemeindezentrum ein geschütztes WLAN einrichten kann, ohne den WPA-Key
preisgeben zu müssen.
Ich habe dann recherchiert und bin auf zwei Lösungen gestossen:
a) Radius -> kann der Accesspoint nicht
b) Transparenter Proxy mit Authentifizierung -> Geht nicht mit SSL-
Verbindungen
Ich suche jetzt nach Ideen, wie man die Aufgabe noch lösen kann. Ein
Debianserver mit Internetanschluss und drei Netzwerkkarten ist
vorhanden.
Vielleicht mal generell der Use-Case, wie ich mir das vorstelle:
* Eine Besprechung/Seminar/Whatever wird einberufen.
* Die Teilnehmer melden sich mit ihren Geräten an dem offenen WLAN an,
das ein eigenes private Subnetz bildet (192.168.x.y).
* Der Debianserver routet dieses Subnetz nur ins Internet. Das Büronetz
der Gemeinde ist tabu.
* Beim ersten Request wird geprüft, ob die MAC-Adresse schon eine
IPTables-Regel besitzt.
* Wenn nein, wird sie über eine Administrationsseite angezeigt und durch
den Pfarrer/Küster aktiviert. Im Hintergrund wird dann die Regel
erstellt.
* Die Regel soll x Stunden gültig sein. Danach ist wieder eine
Aktivierung nötig.
* Die MAC-Adresse des Endgerätes und das Erstellungsdatum der Regel wird
in einer einfachen Datenbank gespeichert
* Nach 24 Stunden wird die MAC-Adresse und die Regel wieder gelöscht.
* Die Datenbank wird entweder über besagte Administrationsseite oder per
Cronjob aktualisiert
Ich weiss, MAC-Adressen prüfen ist nicht der Weissheit letzter Schluss,
aber für diesen Anlass dürfte es sicher genug sein.
Ich habe nun überlegt, ob man nicht IPTables dafür einspannen kann. Dort
lassen sich Regeln basierend auf MAC-Adressen definieren. Ein Cronjob
liesst regelmäßig die Datenbank aus und setzt bzw. löscht die IPTables-
Regeln.
Ich habe nur keine Idee, wie man einen beliebigen Webseitenaufruf auf
eine lokale Loginseite umbiegt, wenn IPTables eine neue bzw.
unauthentifizierte MAC filtert. Vielleicht einfach die Ziel-IP für
unbekannte MAC-Adressenauf den internen Webserver umbiegen und 404-
Fehler auf die Loginseite leiten?
Wie würdet ihr die Aufgabe lösen? Wie gesagt, es sollte keine
zusätzliche Hardware notwendig sein und der Sicherheitsbedarf ist bzgl.
Manipulierbarkeit von MAC-Adressen nicht so dramatisch.
Ich bin sher gespannt auf die Vorschläge.
--
Viele Grüße
Euer Ferdi
Reply to: