Öffentlicher Hotspot - Berechtigungen und Sicherheit

[atomical]

Hallo!

Folgende Aufgabenstellung:

Eine Kneipe / Pension möchte ihren Gästen (sowohl denen im Biergarten als auch Übernachtern) einen WLAN Hotspot zwecks Internetzugang anbieten.

Das Ganze soll natürlich so einfach wie möglich funktionieren (ohne Installationen auf dem Gästenotebook) und NUR den Gästen bzw. berechtigten Personen zur Verfügung stehen.

Ich dachte, das es vielleicht eine Art Ethernet<->WLAN Brücke im Miniformat gibt (von einer funktionierenden Ethernetkarte im NB gehe ich aus), die man dann entsprechend konfiguriert an die Gäste aushändigt - leider haben die, die ich bisher gesehen habe immer ein Netzteil und nur WEP "Verschlüsselung".

Gibt es solche Brücken auch mit Stromversorgung per USB oder Batterie?

Gibt es für diesen Zweck (WLAN Hotspot in Hotels / Restaurants) vielleicht schon fertige Lösungen?

[EDIT]
Thread-Titel "Offenes WLAN absichern?" ausgebessert
[/EDIT]

[pdreker]

äh... Irgendwie habe ich den Eindruck, dass Du das ganze "verkehrt herum" angehst... Die WLAN-Ethernet Brücke ist normalerweise auf der HotSpot Seite zu finden. Eine funktionierende WLAN Karte im Notebook darf man getrost voraussetzen...

Dann solltest Du Dir 'mal http://www.chillispot.org/ anschauen. Das ist ein Portal/Login System für HotSpots, und OpenSource ist es ausserdem. Damit kann man ein Webbasiertes Login einrichten, so dass die Benutzer einfach ihr Notebook nehmen, den Browser starten, und sich dann in einem Webinterface am HotSpot anmelden können. Da die Autentifizierung über einen Radius Server läuft, ist man hier in der Implementierung recht flexibel. Man könnte z.B. stundenweisen Zugriff verkaufen. Wenn der User bezahlt hat, wird ein für eine Stunde gültiges Login/Pass generiert, mit dem er sich dann einloggen und Surfen kann...

Patrick

[atomical]

äh... Irgendwie habe ich den Eindruck, dass Du das ganze "verkehrt herum" angehst... Die WLAN-Ethernet Brücke ist normalerweise auf der HotSpot Seite zu finden. Eine funktionierende WLAN Karte im Notebook darf man getrost voraussetzen...

Schon klar - ich meinte "Brücke" in etwa so:

Notebook mit Ethernet -> "Mini-Ethernet-WLAN-Umsetzer" (was ich anhand der MAC freischalte und wo gleich der WPA-PSK gespeichert ist) -> Hotspot ... eben weil ich nicht wirklich voraussetzen wollte, das in jedem Gäste-NB eine passende Karte drin ist ...

Dann solltest Du Dir 'mal http://www.chillispot.org/ anschauen. Das ist ein Portal/Login System für HotSpots, und OpenSource ist es ausserdem. Damit kann man ein Webbasiertes Login einrichten, so dass die Benutzer einfach ihr Notebook nehmen, den Browser starten, und sich dann in einem Webinterface am HotSpot anmelden können. Da die Autentifizierung über einen Radius Server läuft, ist man hier in der Implementierung recht flexibel. Man könnte z.B. stundenweisen Zugriff verkaufen. Wenn der User bezahlt hat, wird ein für eine Stunde gültiges Login/Pass generiert, mit dem er sich dann einloggen und Surfen kann...

Sehr interessant ...

[pdreker]

Notebook mit Ethernet -> "Mini-Ethernet-WLAN-Umsetzer" (was ich anhand der MAC freischalte und wo gleich der WPA-PSK gespeichert ist) -> Hotspot ... eben weil ich nicht wirklich voraussetzen wollte, das in jedem Gäste-NB eine passende Karte drin ist ...

Naja... Ich würde erstmal WLAN Karte beim gast voraussetzen. 99% aller Notebooks haben WLAN eh integriert, das sollte also nicht das Problem sein.

Das mit der MAC Freischaltung taugt auch nicht viel: Man kann einfach den Traffic sniffen (egal ob verschlüsselt oder nicht), und eine gültige MAC Adresse dort herausfiltern. Dann ändert man die MAC seiner eigenen Netzwerkkarte, et voila... Man ist drin.

Ich würde auch die tatsache in Betracht ziehen, dass man die Bridges nicht zurückbekommt, ausser, wenn man eine Kaution nimmt, die höher als der Neupreis ist. Das wird dann allerdings dazu führen, dass viele leute es wohl lieber lassen...

Bei uns an der Uni kann man sich WLAN PCMCIA Karten leihen. Die Kaution entspricht dem Kaufpreis. Entweder man gibt die Karte also später zurück, oder man behält sie einfach (vorher Bescheid sagen wird gerne gesehen ) und dann gehört sie einem. WLAN USB Stick würden sich für dieses Prinzip auch anbieten.

Ich denke auch, dass eine konfigurierte Ethernetschnittstelle nicht so ohne weiteres vorausgesetzt werden sollte. Viele User werden das Ethernet an ihrem Notebook kaum nutzen, sondern eher das oft integrierte WLAN.

Dann: WPA-PSK ist nicht so clever für eine Hotspot Situation. PSK = Pre-Shared Secret, also eine Art "geheimes Passwort", das alle Clients kennen. Wenn man das einmal hat, kann man sich von fast überall einloggen, und Du musst ja bedenken, dass Du das bei einem HotSpot an jeden rausgeben musst, der sich einloggen will. ChilliSpot nutzt daher Radius (WPA-Radius), bei dem jeder Client einen automatisch generierten Key bekommt.

Wie schon gesagt: Ich denke Du arbeitest momentan an der falschen Baustelle: Setze erstmal einen WLAN HotSpot mit Chilli auf. Wenn die Kunden dann kein WLAN haben, kannst Du WLAN USB Sticks verleihen oder verkaufen. Das ist in jedem Fall einfacher, als irgendwelche Bridges zu verleihen, zumal die halt auch für den Ethernetteil Strom brauchen, und tendenziell auch recht teuer sind...

Patrick

[atomical]

Hm ... das macht soweit Sinn - ich werd mich mal mit chilli beschäftigen - nochmals Danke für den Tip - weitere sind willkommen

[atomical]

So - der prinzipielle Aufbau sowie die Absicherung des Betreibers ist erstmal klar.

Chillispot läuft als RADIUS-Client und FreeRADIUS entsprechend als RADIUS-Server auf einer Maschine, Chillispot fängt den TCP/IP Traffic des WLAN-Clients weg und zeigt per HTTP eine Login Seite an - nach erfolgreichem Login (von Chillispot über den RADIUS Server) kann der WLAN-Client ins Web.

Sorgen mach ich mir jetzt noch wegen WLAN-Clients - deren Traffic rauscht ja, wenn einmal an Chillispot authentifiziert, unverschlüsselt übers Netz - der Surfer müsste dann also selbst aufpassen, das er sich nur per HTTPS an seinen Mail / Bank / *-Konten anmeldet ...

[Zapod]

Sorgen mach ich mir jetzt noch wegen WLAN-Clients - deren Traffic rauscht ja, wenn einmal an Chillispot authentifiziert, unverschlüsselt übers Netz - der Surfer müsste dann also selbst aufpassen, das er sich nur per HTTPS an seinen Mail / Bank / *-Konten anmeldet ...

Ja, aber muss er das nicht immer? (Tschuldigung für die dumme Gegenfrage, aber ein Benutzer, der sich dazu noch nie Gedanken gemacht hat, wird es auch jetzt nicht tun.)

BTW: Hab ich nicht neulich mal in irgendeiner Zeitschrift (CT?) gelesen, wie man mit einem Radius auch Zertifikatsauthoritäten für WLan Verschlüsselung verenden kann ?

...such .... such ... such ....

Achja, hier ist es: CT 2004 Heft 18 Beitrag hieß Torwächter ... was das allerdings für einen Aufwand im Zusammenhang mit Chillispot bedeutet, kann ich Dir auch nicht sagen (weil weder Chillispot noch Torwächter jemals gemacht).

Gruß
Stefan