Hallo Leute!
Heute, nach einer langen Vorbereitungszeit, habe ich mein neues Netz in Betrieb genommen. Ich habe jetzt einen Netgear managed Switch und einen TP-Link mit OpenWRT, alle zusammen verbunden, mit insgesamt 3 VLANs (mein privates Netz, das Netz für das VDSL-Modem und ein Gästenetz). Im privaten Netz, egal ob man per Kabel oder per WLAN ankommt, müssen die Rechner sich gegen einen Radius-Server authentifizieren. So weit, so gut.
Nun habe ich, wie gesagt, auch ein Gäste-Netz, auch per Kabel oder WLAN erreichbar. Die Geräte im diesen Netz haben nur Zugriff auf Internet. Im normalen Fall sind nur Freunde oder Verwandten, die bei uns zu Besuch sind, und ich bin auch dabei, aber ich bin paranoid...
Also, gibt es eine Möglichkeit dass ich einen Hinweis (E-Mail) bekomme, wenn jemand in diesem Netz sich verbindet? Ich hätte gesagt, irgendwas vom DHCP-Server gesteuert, aber man kann auch bei dem Gerät eine feste IP definieren und dann wird dieser Trigger nicht aktiviert... Ich will nicht am OpenWRT was basteln, denn es kann auch eine Verbindung über Kabel an dem anderen Switch sein (und hier habe ich leider keine Möglichkeit was zu machen).
Der Radius-Server wird ebenso NICHT gefragt für das Gäste-VLAN, denn die Authentifizierung ist nicht MAC-Based sondern mit 802.1X, also es wird ein Supplicant gebraucht...
Ideen?
Danke Luca Bertoncello (lucabert@lucabert.de)
Ja, schau dir mal Arpwatch an. Das lameniert normalerweise nur bei neuen MAC-Adressen und wechselnden IP-Adressen, aber ich glaube man kann es auch so einstellen, dass es generell Laut gibt.
Gruß Thomas
Am 03.04.2015 18:53 schrieb Luca Bertoncello lucabert@lucabert.de:
Hallo Leute!
Heute, nach einer langen Vorbereitungszeit, habe ich mein neues Netz in Betrieb genommen. Ich habe jetzt einen Netgear managed Switch und einen TP-Link mit OpenWRT, alle zusammen verbunden, mit insgesamt 3 VLANs (mein privates Netz, das Netz für das VDSL-Modem und ein Gästenetz). Im privaten Netz, egal ob man per Kabel oder per WLAN ankommt, müssen die Rechner sich gegen einen Radius-Server authentifizieren. So weit, so gut.
Nun habe ich, wie gesagt, auch ein Gäste-Netz, auch per Kabel oder WLAN erreichbar. Die Geräte im diesen Netz haben nur Zugriff auf Internet. Im normalen Fall sind nur Freunde oder Verwandten, die bei uns zu Besuch sind, und ich bin auch dabei, aber ich bin paranoid...
Also, gibt es eine Möglichkeit dass ich einen Hinweis (E-Mail) bekomme, wenn jemand in diesem Netz sich verbindet? Ich hätte gesagt, irgendwas vom DHCP-Server gesteuert, aber man kann auch bei dem Gerät eine feste IP definieren und dann wird dieser Trigger nicht aktiviert... Ich will nicht am OpenWRT was basteln, denn es kann auch eine Verbindung über Kabel an dem anderen Switch sein (und hier habe ich leider keine Möglichkeit was zu machen).
Der Radius-Server wird ebenso NICHT gefragt für das Gäste-VLAN, denn die Authentifizierung ist nicht MAC-Based sondern mit 802.1X, also es wird ein Supplicant gebraucht...
Ideen?
Danke Luca Bertoncello (lucabert@lucabert.de)
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Hallo Luca, wenn Du das Gästenetz auch über RADIUS ziehst und den dabei immer mit accept antworten läßt, hast Du das gleiche setup. Nun kann der RADIUS für die Gastanmeldungen beliebige scripte starten.
Gruß Peter Hochgemuth
Zitat von Peter Hochgemuth peter.hochgemuth@entiresphaire.com:
Hallo Luca, wenn Du das Gästenetz auch über RADIUS ziehst und den dabei immer mit accept antworten läßt, hast Du das gleiche setup. Nun kann der RADIUS für die Gastanmeldungen beliebige scripte starten.
Nein, das Gästenetz wird NICHT über Radius gesteuert...
Andere Ideen?
Danke Luca Bertoncello (lucabert@lucabert.de)
Was spricht dagegen, es zu tun?
Zitat von Peter Hochgemuth peter.hochgemuth@entiresphaire.com:
Was spricht dagegen, es zu tun?
Nur eine: dass der Radius-Server vom Switch überhaupt NICHT angefragt wird, wenn eine Verbindung ins Gäste-VLAN (default) kommt. Also, der Switch spricht den Radius-Server nur an, wenn eine IEEE802.1x-Authentifizierung stattfindet. Bei Gäste-Netz das ist NICHT der Fall...
Grüße Luca Bertoncello (lucabert@lucabert.de)
Am 07.04.2015 um 10:06 schrieb Luca Bertoncello:
Zitat von Peter Hochgemuth peter.hochgemuth@entiresphaire.com:
Hallo Luca, wenn Du das Gästenetz auch über RADIUS ziehst und den dabei immer mit accept antworten läßt, hast Du das gleiche setup. Nun kann der RADIUS für die Gastanmeldungen beliebige scripte starten.
Nein, das Gästenetz wird NICHT über Radius gesteuert...
Andere Ideen?
Ohne wird es auch aus meiner Sicht schwer, da Du an verschiedenen stellen die Information abgreifen willst.
Prinzipiell kann arpwatch bei neuen MAC reagieren und Dir eine Mail senden. Das müsste dann aber auf einer Kiste laufen, die auf entsprechenden Layer in dem Netz läuft. In wie weit das also mit Deinem WLAN-Gäste-Setup funktioniert, kann ich nicht sagen. (Wollte jetzt auch Backlog nicht lesen).
ABER (und das mit fett und drei Ausrufezeichen): Willst Du wirklich diese Daten sammeln und weiter verarbeiten? Ich mein, nimmst du auch prophylaktisch Fingerabdrücke von Deinen Gästen? Informierst Du Deine Gäste darüber? Denk bitte nochmal drüber nach, ob Du das wirklich wirklich machen willst.
Gruß Frak
Zitat von Frank Lanitz frank@frank.uvena.de:
Ohne wird es auch aus meiner Sicht schwer, da Du an verschiedenen stellen die Information abgreifen willst.
Naja, auf der Firewall habe ich alles, oder? Letzten Endes, kommen alle Verbindungen da...
Prinzipiell kann arpwatch bei neuen MAC reagieren und Dir eine Mail senden. Das müsste dann aber auf einer Kiste laufen, die auf entsprechenden Layer in dem Netz läuft. In wie weit das also mit Deinem WLAN-Gäste-Setup funktioniert, kann ich nicht sagen. (Wollte jetzt auch Backlog nicht lesen).
Siehe oben...
ABER (und das mit fett und drei Ausrufezeichen): Willst Du wirklich diese Daten sammeln und weiter verarbeiten? Ich mein, nimmst du auch prophylaktisch Fingerabdrücke von Deinen Gästen? Informierst Du Deine Gäste darüber? Denk bitte nochmal drüber nach, ob Du das wirklich wirklich machen willst.
Gruß Frak
Am 07.04.2015 um 10:40 schrieb Luca Bertoncello:
Zitat von Frank Lanitz frank@frank.uvena.de:
Ohne wird es auch aus meiner Sicht schwer, da Du an verschiedenen stellen die Information abgreifen willst.
Naja, auf der Firewall habe ich alles, oder? Letzten Endes, kommen alle Verbindungen da...
Nein. Du willst eigentlich das auf Layer 2 abgreifen. Am Paketfilter kommt in der Regel nur Layer 3 vorbei. Und dann tendenziell auch nur das, was über das Gerät geht. Z.B. sollte Layer 3 von WLAN<->WLAN nicht vorbei kommen.
Gruß Frank
Zitat von Frank Lanitz frank@frank.uvena.de:
ABER (und das mit fett und drei Ausrufezeichen): Willst Du wirklich diese Daten sammeln und weiter verarbeiten? Ich mein, nimmst du auch prophylaktisch Fingerabdrücke von Deinen Gästen? Informierst Du Deine Gäste darüber? Denk bitte nochmal drüber nach, ob Du das wirklich wirklich machen willst.
Tut mir Leid, falsche Taste gedruckt... Also, weiter...
So, laut deutsche Gesetzt, bin ICH verantwortlich, wenn jemand in meinem Netz ist und was böses macht. Also, "JA ICH WILL" (und ich meine nicht, was ich vor 10 Jahre an die Frau in Standesamt gesagt habe... :D)
Grüße Luca
Am 07.04.2015 um 10:41 schrieb Luca Bertoncello:
So, laut deutsche Gesetzt, bin ICH verantwortlich, wenn jemand in meinem Netz ist und was böses macht. Also, "JA ICH WILL" (und ich meine nicht, was ich vor 10 Jahre an die Frau in Standesamt gesagt habe... :D)
Eigentlich reicht es, wenn Du Deine Gäste aufklärst und ggf. eine geeignet gesichertes WLAN anbietest.
Deine Datensammelei sorgt auf jeden Fall nicht dafür, dass Du aus der Störerhaftung raus fällst: Sie macht Dir nur Mühe, erhöht die Komplexität Deines Aufbaues und kann am Ende nicht nachweisen, dass DU es nicht warst. Entsprechend, um mal den Worst-Case weiter zu spinnen, kommen die Grünen^HBlauen trotzdem bei Dir eingeritten und nehmen erstmal alles mit. Auch gegen eventuelle Steitigkeiten im Privatrecht hilft Dir das wenig, da dort es Dir nicht oder nur marginal wenig zur Stärkung Deiner Position beiträgt.
Und noch ein Gedanke der mir dazu kommt: Je nachdem, wie man MAC-Adressen definiert -- als privates Datum oder nicht -- darfst Du die Daten gar nicht dauerhaft speichern. Im nicht privaten Bereich darf man Verbindungsdaten i.d.R. aktuell nur bis zur Rechnungsstellung aufheben. Ich kenne gerade keine Regelung für den privaten Bereich, würde da aber einfach mal analoges annehmen.
Gruß Frank
Wenn du deinen Gästen derart misstraust, dann ist eine MAC-Adresse sowieso nur STO, weil leicht fälschbar. Dann würde ich das Gäste-WLAN lieber über ein Captive Portal absichern. Klar, auch hier kommt man mit etwas lauschen und MAC-spoofing zum Zugang, aber nur wenn gerade jemand regulär angemeldet ist. Gruß Thomas
Am 07.04.2015 10:41 schrieb Luca Bertoncello lucabert@lucabert.de:
Zitat von Frank Lanitz frank@frank.uvena.de:
ABER (und das mit fett und drei Ausrufezeichen): Willst Du wirklich diese Daten sammeln und weiter verarbeiten? Ich mein, nimmst du auch prophylaktisch Fingerabdrücke von Deinen Gästen? Informierst Du Deine Gäste darüber? Denk bitte nochmal drüber nach, ob Du das wirklich wirklich machen willst.
Tut mir Leid, falsche Taste gedruckt... Also, weiter...
So, laut deutsche Gesetzt, bin ICH verantwortlich, wenn jemand in meinem Netz ist und was böses macht. Also, "JA ICH WILL" (und ich meine nicht, was ich vor 10 Jahre an die Frau in Standesamt gesagt habe... :D)
Grüße Luca
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
lug-dd@mailman.schlittermann.de
-
Frank Lanitz -
Luca Bertoncello -
Peter Hochgemuth -
Thomas Lindner