Internetzugang auf einen Rechner im WLAN beschränken?

[Boothby]

Hallo,

ein Bekannter hat mich angesprochen, er wünscht sich eine andere Lösung für sein Büro.

Hintergrund:

Er führt ein Büro und hat dort als Internetzugang (bei Alice) für seine Mitarbeiter ein Passwort geschütztes WLAN. Diese haben ausschließlich eigene Notebooks und nutzen vor Ort logischer weise den Internetzugang über das WLAN.

Nun gab es vor einigen Wochen wiedereinmal ein Gerichtsurteil, was den Anschlußinhaber für alles zur Verantwortung zieht, was über seinen Interzugang gemacht wird. (also das aufrufen fragwürdiger Inhalte usw.)

Er macht sich verständlicher Weise ein wenig Gedanken wie er im Falle des Falles Beweise in der Hand hätte wenn mal die GEMA, Kripo oder sonst wer anklopfen sollte.

Bei meinen Recherchen bin ich auf den Janaserver gestossen. Der recht einfach zu administrieren ist und in der gewerblichen Version 50,- € kostet. Die Idee dahinter: Auf einem mit dem WLAN permanent verbundenem Rechner wird der Janaserver installiert und jeder andere Netzwerkteilnehmer muß diesen als Proxy verwenden. Problem hierbei: der WLAN Router müßte natürlich so konfiguriert werden das zukünftig nur noch ein Rechner (nämlich der Janaserver) Zugang zum Internet hat. Entweder läuft die Beschränkung über den Rechnername, IP oder am liebsten MAC Adresse. Leider kann ich auf dem von Alice zur Verfügung gestellten Router keine Einstellung dieser Art vornehmen, der Router bietet die Funktionaltät nicht.

So und nu meine Frage: Wer kann mir einen WLAN Router (nice to have: DSL Modem Funktion) empfehlen der ab Werk die Funktionalität bietet, den Internetzugang nur für einen einzigen Rechner freizugeben? Falls es Unterschiede zu den DSL Providern gibt: Der Router / das Modem sollte natürlich an einem Alice Anschluß funktionieren.

Danke und Gruß

[jeronimonino]

Hintergrund:

Er führt ein Büro und hat dort als Internetzugang (bei Alice) für seine Mitarbeiter ein Passwort geschütztes WLAN. Diese haben ausschließlich eigene Notebooks und nutzen vor Ort logischer weise den Internetzugang über das WLAN.

Nun gab es vor einigen Wochen wiedereinmal ein Gerichtsurteil, was den Anschlußinhaber für alles zur Verantwortung zieht, was über seinen Interzugang gemacht wird. (also das aufrufen fragwürdiger Inhalte usw.)

Er macht sich verständlicher Weise ein wenig Gedanken wie er im Falle des Falles Beweise in der Hand hätte wenn mal die GEMA, Kripo oder sonst wer anklopfen sollte.

Unwichtig da es schon per Passwort geschützt ist (Vielleicht prüfen ob es sicher genug ist)

Bei meinen Recherchen bin ich auf den Janaserver gestossen. Der recht einfach zu administrieren ist und in der gewerblichen Version 50,- € kostet. Die Idee dahinter: Auf einem mit dem WLAN permanent verbundenem Rechner wird der Janaserver installiert und jeder andere Netzwerkteilnehmer muß diesen als Proxy verwenden. Problem hierbei: der WLAN Router müßte natürlich so konfiguriert werden das zukünftig nur noch ein Rechner (nämlich der Janaserver) Zugang zum Internet hat. Entweder läuft die Beschränkung über den Rechnername, IP oder am liebsten MAC Adresse. Leider kann ich auf dem von Alice zur Verfügung gestellten Router keine Einstellung dieser Art vornehmen, der Router bietet die Funktionaltät nicht.

Ich bin mir nicht ganz sicher ob der JanaServer Active Directory unterstützung anbietet wenn nicht sollte es sehr schwer sein andere vom Internet auszuschliessen.

Was ich jetzt machen würde, ohne den Hintergrund zu verändern ist einen Wlanrouter zu kaufen (sollte er nicht vorhanden sein) der MAC-Adressen Filterung beherscht. Da trägst du dann alle Notebooks ein die in das Netzwerk dürfen.

[Boothby]

Unwichtig da es schon per Passwort geschützt ist (Vielleicht prüfen ob es sicher genug ist)

Es geht in meinem Anliegen nicht um den Schutz von Aussen sondern um eine Möglichkeit, zu protokollieren was von innen-nach-aussen geschieht, deshalb ja der Janaserver

Ich bin mir nicht ganz sicher ob der JanaServer Active Directory unterstützung anbietet wenn nicht sollte es sehr schwer sein andere vom Internet auszuschliessen.

Naja, sofern das Einwahlgerät nur einen Rechner zuläßt sollte AD nicht das Thema sein....

Was ich jetzt machen würde, ohne den Hintergrund zu verändern ist einen Wlanrouter zu kaufen (sollte er nicht vorhanden sein) der MAC-Adressen Filterung beherscht. Da trägst du dann alle Notebooks ein die in das Netzwerk dürfen.

Bingo! Und genau deshalb schrieb ich meinen ersten Eintrag: Ich weiß nicht welcher WLAN Router die von mir gewünschten Funktionen beherrscht. Ich suche quasi eine Kaufempfehlung. :confused:

[jeronimonino]

AVM FRITZ!Box WLAN 3270 - WLAN-Router + DSL-Modem WLAN-N 300MBit/s - Dual-Band - USB 2.0-Host - FRITZ!Mini Unterstuetzung - VPN

Der kann z.b. Mac Adressen Filterung.

[Boothby]

Super, danke. :valen

Weißt Du ob es von der DSL Modem Seite her irgendein Unterschied zwischen den Providern macht? Oder anders gefragt: Kann ich das Teil auch an einem Alice Anschluß betreiben?

[jeronimonino]

Sollte keine Probleme geben. Ausser du benutzt Unitimedia aber das tust du ja nicht.

[einfachgust]

ähm, vorsicht.

Im Normalfall filtern diese Tabellen direkt den Zugang zum LAN, was ja nicht der Sinn ist. Dann würden nämlich die Rechner überhaupt nicht ins WLAN kommen und nicht nur nicht ins Internet.

Ich würde mal sagen, da du nichts blocken willst sondern nur protokollieren kann doch jeder der im LAN ist wie er will ins Internet, der Janaserver soll nur loggen.

edit: und schön dran denken: die Mitarbeiter vorher informieren, dass alles mitgeloggt wird.

Bearbeitet 1. Juni 2010 von einfachgust

[Boothby]

Richtig, das soll er auch nur: Mitloggen

Ich hab den Janaserver getestet: Man kann auch Internetuser + Passwort vergeben und somit die Seitenaufrufe innerhalb des Logs auch einem bestimmten Account + Rechner zuordnen.

Sofern der Router nur den Janaserver ins Internet läßt ist jeder weitere Client gezwungen, diesen als Proxy zu verwenden. Der wiederum gibt dann die Internetverbindung nur frei wenn man sich an ihm authentifiziert hat.

[einfachgust]

Und genau deshalb bringen diese tollen MAC-Filter nichts.

Die bewirken nur, dass die entsprechenden Rechner gar nicht erst ins Lan reinkommen. Dann brauchste auch den Proxy nicht

Die funktion die du jetzt beschrieben hast mit dem Username und PW hört sich ja nach einer Art Radius-Server an. Dann brauchst du einen Router der 802.1x unterstützt.

[Boothby]

Jetzt verwirrt ihr mich. :confused:

Natürlich soll jeder der das WLAN Passwort besitzt auch ins WLAN kommen können.

Was ich suche ist eine beschränkung der Internetnutzung durch den Router, am liebsten über eine Einschränkung auf nur eine MAC Adresse. Kann das der oben erwähnte FRITZ!Box WLAN 3270 auch?

[flashpixx]

Wobei Du auf die richtige Struktur in Deinem Netz achten solltest. Wenn Jana Server und Router im gleichen Netz sind, dann stelle ich einfach in meinem TCP/IP Einstellungen die IP direkt auf den Router und fertig. Ich kann am Proxy vorbei kommen. Die meisten Boxen, die es gibt sind in der Konfiguration nicht so komplex wie eben ein Server.

Ich würde gar nicht den Jana Server nehmen, sondern Squid ggf mit Squidguard und das ganze als transparenten Proxy anlegen, dann muss auch kein Mitarbeiter seinen Browser konfigurieren. Es würde sich ggf anbieten den Proxy in einer DMZ zu betreiben und die Routen entsprechend zu legen. Soweit ich das weiß kann Squid auch über Single Sign-on bzw Kerberos die Anwender direkt authentifizieren.

[Boothby]

Squid läuft nur auf Linux, wir sprechen hier (leider) von einer reinen Windows Umgebung.

[einfachgust]

Also ich versteh immernoch nicht warum du überhaupt irgendwas blockieren willst. Es geht doch nicht um filterung von irgendwelchen inhalten sondern nur um das aufzeichnen von Beweisen für den falls das irgendjemand humbug treibt.

Du bist mit allen Rechnern in einem WLAN, also kann jeder Rechner die Pakete sniffen, du musst die nicht zwangsweise irgendwie über den janaserver oder wodrüber auch immer leiten!

[Boothby]

Die Blockierung einfach dafür das alle anderen den Janaserver als Proxy nutzen müssen.

Welche andere Möglichkeit habe ich denn sonst in einem WLAN um zuverlässig zu loggen, wer welche Inhalte aus dem Internet aufruft?

[flashpixx]

Squid läuft nur auf Linux, wir sprechen hier (leider) von einer reinen Windows Umgebung.

Das spielt doch keine Rolle, je nach technischer Ausstattung, kann man z.B. Linux mit Squid auf einen alten Rechner installieren oder theoretisch eine Virtualisierungslösung verwenden.

Warum soll ich den kompletten Datenverkehr sniffen !? Wenn ich gerade bei einem Proxy schon diverse Möglichkeiten zum Loggen oder auch Filtern habe? Zusätzlich kann man die Squidlogs auch mit diversen GUIs graphisch auswerten.

Das Ziel ist es ja letztendlich die URL Aufrufe zu einem User zuzuordnen. Die Idee mit dem Rechner halte ich für etwas dünn, denn wenn an dem Rechner mehrere User arbeiten, dann kannst Du zwar den Rechner, nicht aber den Benutzer zuordnen. Letztendlich müsste der Proxy so funktionieren, dass sobald der User sich anmeldet er automatisch auch am Proxy authentifiziert wird. Wobei eben der Proxy transparent arbeiten sollte, denn wenn z.B. ein Programm keine Proxykonfiguration unterstützt oder der User sie nicht eingerichtet hat, würde der Verbindungsaufbau trotzdem funktionieren.

Welche Systeme man nun einsetzt lasse ich mal außen vor, Squid mit IPtables würe eben eine Möglichkeit, die Windows Server Systeme bringen auch entsprechende Tools mit.

[jeronimonino]

Es war doch gar nicht die rede das die jetzigen User überwacht werden sollen sondern nur das externe nicht ins Internet bzw ins LAN kommen.

Was soll er dann mit einen Proxy ?

[Boothby]

genau umgekehrt:

Externe User sind nicht das Thema, es geht nur im die Protokollierung der Internetnutzung aus dem WLAN heraus.

[jeronimonino]

Dann Sorry für die verwirrung

[flashpixx]

Externe User sind nicht das Thema, es geht nur im die Protokollierung der Internetnutzung aus dem WLAN heraus.

Dann wäre wohl zunächst einmal der Proxy für das Logging sinnvoll. Dann musst Du ja im Grunde, wenn die Rechner nicht fest im WLAN integriert sind, auch dort fest stellen, wer wann online ist, d.h. Das WLAN Netz sollt ein eigenes Subnetz werden, wobei jeder, der es benutzt sich über eine entsprechende Kennung authentifizieren muss (Stichwort Radius). Der Proxy fragt dann den Radius ab, so dass Du hier dann die Zuordnung ziwschen User / Rechner und Logeintrag erhältst.

Für jeden, der Das Netz benutzen soll, generierst Du dann eine entsprechende Kennung, die z.B. auch zeitlich beschränkt ist (wird hier z.B. für Tagungen gemacht. Die Kennungen sind eben nur für die Tagung gültig und der User muss, wenn er sie abholt diese quittieren). Wenn Du den Proxy dann noch für andere Nutzer verwenden willst, musst Du eben nur die Netze bzw Authentifzierungen erweitern

[einfachgust]

Womit wir dann wieder beim Anfang wären

Also such dir schonmal einen Router der 802.1x unterstützt

[Boothby]

Jetzt habt ihr mich kalt erwischt.

Deshalb hab ich ja hier den Thread gestartet habe weil ich absolut keine ahnung habe wie ich so ein gerät finden soll.

Wie gesagt, es ist das Büro von einem bekannten und Router/WLAN sind nicht unbedingt meine Welt. Bei mir zu Hause steht seit Jahren ein Fiberline Kabelrouter der am DSL Modem der Telekom hängt, einmal die Verbindungsdaten eingegeben läuft und äuft und läuft er.

Welche Geräte unterstützen 802.1x?

Edit: der erwähnte FRITZ!Box WLAN 3270 unterstützt doch 802.1x....?

Bearbeitet 1. Juni 2010 von Boothby
Frage hinzugefügt

[flashpixx]

Wie gesagt, es ist das Büro von einem bekannten und Router/WLAN sind nicht unbedingt meine Welt. Bei mir zu Hause steht seit Jahren ein Fiberline Kabelrouter der am DSL Modem der Telekom hängt, einmal die Verbindungsdaten eingegeben läuft und äuft und läuft er.

Du denkst hier im SoHo Bereich und mit Deiner Vorstellung stößt nun mal an die Grenzen

Welche Geräte unterstützen 802.1x?

Ich will mal so sagen, da gibt es genügend Systeme die das unterstützen, wobei natürlich der Geldbeutel eine Rolle spielt. Ob man hier direkt in die Richtung Cisco geht oder evtl auf andere Geräte setzt, kommt auf das genaue Vorhaben an. Letztendlich willst Du eine Businesslösung, wobei Du dafür entsprechend finanziell etwas einplanen musst (ggf. auch derjenige der es einrichtet).

Du wirst mit einer einfachen Routerbox, die jeder Provider heute mit liefert, das so nicht erreichen können.

[Boothby]

Mir bzw dem Bekannten ist schon klar das dort etwas Geld in die Hand genommen werden muß. Die Bereitschaft dazu ist auch vorhanden.

Es sollte halt eine gewisse Verhältnismäßigkeit gegeben und dabei recht einfach zu konfigurieren sein.

[flashpixx]

Es sollte halt eine gewisse Verhältnismäßigkeit gegeben und dabei recht einfach zu konfigurieren sein.

Ich gehe nicht davon aus, dass es auf die Konfiguration via Webtoolkit hinausläuft, denn es müssen doch schon einige Schritte mehr unternommen werde.

Was die Kosten angeht, wird Dir hier niemand etwas nennen können, denn dafür braucht man die Größenordnung, in der das ganze laufen soll: Es macht einen Unterschied, ob man ein Firmengelände oder nur eine einzelne Abteilung entsprechend mit WLAN versorgen will. Bauliche Gegebenheiten sind auch entscheidend bzw. je nach Struktur muss auch das Kabelnetz verändert werden.

Das ganze wäre ein schönes Abschlussprojekt für einen FISI

[Boothby]

Welche Frage noch nicht zu 100% beantwortet ist:

Schafft es die FRITZ!Box WLAN 3270 das WLAN für alle nutzbar zu machen und nur die Internetnutzung ausschließlich auf einen Rechner (der gegebenenfalls auch direkt über Kabel verbunden werden kann) zu erlauben?