Wifi hotspot iskolában

ka at mayten.sch.bme.hu ka at mayten.sch.bme.hu
2016. Már. 4., P, 18:53:17 CET 

On 2016-03-04 17:28, Nemeth A wrote:

> Engem csak "magánemberként" érdekelne, hogy pl. MÁV-nál vagy egy-egy
> plázában stb., ahol "free wifi" van, ezt hogyan lehet technikailag
> megvalósítani.
> 

a tobbi reszt kivagtam, mert akkor nem relevans, ne arrol beszelgessunk. 
  epitettem mar par rendszert, eltero elvek menten, nyilvan ugye mindig 
annak vannak kivansagai, aki a vegen a szamlat fizeti.

Az ingyen wifi mindig szeparalt halozatot hasznal, ez azt jelenti, hogy 
a switcheken, amiken a forgalom athalad onallo vlanban halad, a 
routereken pedig onallo VRF-ben.  Alapvetoen harom nagy csoportba 
sorolhato a kialakitas.

1) semmilyen ellenorzo-autentikalo rendszer nincs

felcsapod a notebookot, felvillan a lehetoseg, csatlakozol, mukodik, 
kesz.  Szamtalan elonye van, ha TCO-t nezek, peldaul nem kell 
infrastrukturat uzemeltetnem a hozzaferes-korlatozashoz, nem kell azt 
tartalekolni sem, nem kell mernokot fizetnem az uzemeltetesre, sem 
rendszergazdat a felhasznalok tamogatasara.  A nyilt, kodolatlan wifi 
nem ordogtol valo, peldaul egy lapos teruleten egy viszonylag magas 
epulet tizedik emeleten annyira nem fontos a titkositas, de szinten nem 
fontos valami elhagyatott, tavoli helyen sem, mondjuk valami erdo 
kozepen egy hotelben, ahol a vendegeken kivul sok ember ugyse jar.  De 
lehet szandekos is, ha cel, hogy minel tobb ember tudja hasznalni a 
szolgaltatast.

2) a 802.11 protokoll megoldasait hasznaljuk ellenorzo-autentikalo 
rendszerre

Ilyen tipikusan a wep, wap, eap, eap-tls es hasonlo titkositasi 
megoldasok amik a vezeteknelkuli protokollba magaba vannak epitve.  
lehet hasznalni kozos titkot, lehet hasznalni egyeni titkot.  A jellemzo 
a kozos titok, amikor a blokkra ranyomtatjak a megosztott kulcsot, 
esetleg a pincertol kell elkerni, vagy az etlapra van nyomtatva, esetleg 
a pult mogott egy A4es lapon van kirakva.  Elonye, hogy valoszinuleg 
csak a vendegek, vagy valaha vendegek hasznaljak, nem mindenki.  
Kevesebb ember, nekik jobb minosegu szolgaltatast lehet nyujtani, 
egyszeru uzemeltetni, bar itt mar fellephetnek problemak (nyilvan 
mindenkinel volt mar, hogy a pincer adott egy jelszot, ami nem mukodott, 
a pincer meg csak vonogatta a vallat, o ennyit ert hozza).  Amennyiben 
egyedi megoldast hasznalunk, nyilvan infrastruktura mukodtetese 
szukseges (AAA szerver, stb).  A kovetkezo pontban lathato, miert nem 
jellemzo itt az egyedi azonositas hasznalata.


3) onallo megoldast hasznalunk (ilyen peldaul a captive portal, vagy a 
vpn hozzaferes)

A leggyakoribb manapsag a captive portal.  Azaz maga a wifi kapcsolat 
titkositatlan, siman lehet hozza csatlakozni, de ettol meg internet 
eleres nem lesz.  A csatlakozas utan egy buborekban, egy zart halozatban 
talalja magat a kliens, jellemzoen barmilyen HTTP weboldal elerese 
sikertelen, atiranyitas tortenik egy sajat portalra.  Ezen a portalon 
talalhatoak meg az azonositashoz szukseges lepesek.  Peldaul a szobaszam 
es a vezeteknev beirasa, esetleg ha fizetni kell az eleresert, az itt 
tortenhet meg, de akkor is ide jutunk, ha csak egy OK gombot kell 
megnyomni.  Ezeknek a hozzafereseknek leginkabb marketing erteke van, 
mondjuk egy starbucksban a starbucks logot toljak a szemem ele, valahol 
mashol meg nyilvan mast.  Amennyiben egyedi azonositokra van szukseg, 
itt a weboldalon reszletes leirast adnak arrol, ezeket hogy lehet 
beszerezni - erre a 2) pontnal nincs mod, mert a protokoll erre nem ad 
lehetoseget (nem lehet kiirni, hogy a WPA enterprise login a 
szobaszamod).  Az is lehet, hogy az elerest MAC cimhez kotik, ilyen 
esetben ha lejar, az arcodba tolnak egy informacios ablakot errol, ezt 
szinten nem lehet a 2) pontnal megtenni pusztan a protokoll elemeivel.  
A VPN hozzaferes hasonlo, csak biztonsagossa teszi az egeszet: tovabbi, 
szemelyre szabott azonositas kell ahhoz, hogy a burokbol egy masik 
burokba keruljunk ahol mar van internet eleres is.  Itt egy pptp 
kapcsolatra celszeru gondolni.  Kihaloban levo megoldas.  Ez aharmadik 
pont jellemzoen mernokot kivan a telepiteshez, uzemelteteshez, 
rendszergazdat viszont nem, a rendszer onjaro.  A szallodai foglalas 
rendszere automatikusan hozza letre, torli a hozzafereseket, etteremben 
a blokkra nyomtatodik a frissen letrehozott hozzaferes, amint az ido 
lejart, automatikusan torlodik, nincs szukseg igazabol emberre.  Mivel a 
felhasznaloi supportra eleg egy weboldal, ezert nem kell rendszergazda 
hozza.  Nepszeru ez a harmadik csoport azert is, mert hozzakotheto a 
fehasznalohoz vegulis a forgalom.  A portalon lehet regisztraciot is 
bonyolitani, jelszot es egyeb hozzaferesi adatokat pedig sms-ben 
kuldeni.  Igy garantaltan legalabb egy jo telefonszamot biztos tudunk a 
felhasznalorol es ha gyerekpornot nez, lesz kihez kotni.  Egy ilyen 
telepiteset epp a mult heten fejeztem be: uj felhasznalok regisztralnak 
a portalon (telefonszammal), sms-ben kapjak a nevet, jelszot a 
belepeshez ami 24 oraig jo.

A fentieken tul szokas meg korlatozni az elerheto weboldalakat, valamint 
portokat, peldaul 25, 465 stb portokat szoktak szurni, esetleg 
elofordulhat, hogy nem tiltas van, hanem engedelyezes, peldaul csak a 
80as port van engedve.  Meg ujabban alkalmazasokat engednek, peldaul 
porttol fuggetlenul web bongeszes mukodni fog de mas nem.  Ehhez nyilvan 
alkalmazasi reteget ismero tuzfal kell ami dragabb.

udv
adam

További információk a(z) Techinfo levelezőlistáról