[fli4l] Internetzugang blockieren?

Kay Martinen kay at martinen.de
Di Okt 2 23:42:14 CEST 2018 

Am 02.10.2018 um 20:09 schrieb Michael Wieser:
> On Tue, 2 Oct 2018 08:03:17 +0200, Alexander Dahl <lespocky at web.de>
> wrote:
> 
>> Moin,
>>
>> Michael Wieser schrieb Montag,  1. Oktober 2018, 23:31 (CEST):
>>> Damit müssen sich die Leute bei mir melden - oder sie lassen es sein,
>>> wenn sie merken das es wirklich nicht geht.
>>
>> Oder sie wissen, was MAC-spoofing ist und keinen eine der Adressen von
>> der Whitelist. ;-)
>>
>> Grüße
>> Alex
> 
> Naja, irgendwen gibt es immer der klüger ist als man selber. Aber wenn
> jemand in dem Setup das kann - dann bekommt er als Sanktion den Job 
> (kein Scherz)
> 
> Ich hab sonst keine brauchbare Idee wie ich ein x-beliebiges Gerät das
> ich nicht kenne zuverlässig aus dem LAN draussen halten kann, auch
> wenn es angesteckt wird.

Keine Dynamischen IP vergeben, alle bekannten CLients statisch. Jeden
Dienst nach möglichkeit nur per Login (z.b. mit Radius o.a.), DNS-Zugang
auch nur für Bekannte Clients und dann einen Zwangsproxy mit Auth
vorschalten. Falls das noch geht (https, MitM-Problem) ansonsten evtl.
mit Socks und Auth falls das Besser geht(?).

Wenn dann jemand ein unbekanntes Gerät an stöpselt dann bekommt er schon
mal keine IP zugewiesen und muß erst den Adressbereich ersniffen. Hat er
den, müsste er eine gültige MAC finden und sie spoofen und auch dann
noch einen login raus finden.

Und wenn er dies Hochsicherheits-LAN knackt... heuer ihn an bevor die
NSA es tut. :-)

> Das mein Plan mit  Whitelists lücken hat weiß ich, aber ich weiß nicht
> wie ich es anders lösen könnte...
> 
> Vorschläge wie man das besser lösen kann sind willkommen.
> 

Es gab; oder gibt; doch neben OAC auch ein OPT das ähnlich wie im
Internet-cafe den Zugang erlaubt/Blockiert nur über eine Portalseite auf
der man sich halt melden muß. Ich weiß leider nicht mehr wie es heißt,
ob es noch da ist und wie es funktioniert. Hängen geblieben ist mir nur
das darüber der Zugang geregelt werden kann.

Von Anderen Router-lösungen kenne ich nur begriffe wie Voucher
(xyz-sense/bsd) oder eben Portal (IMHO auch bei Zentyal oder UCS).

N.B. Wenn es so Problematisch ist das da dauernd leute BYOD machen
obwohl es untersagt ist - vielleicht sind Digitale Sanktionen nicht der
Richtige Ansatz. Wenn diese Option nicht da ist (wenn ich recht
verstehe) reicht es vielleicht schon die MAC des Gerätes zu speichern
das den Zugang versuchte oder nutzte - und NICHT zu den Erlaubten zählt.

Da bei der meisten Netzwerk-Hardware die MAC außen am Gerät (oder der
Steckkarte) dran steht ist das Gerät identifizierbar - und dessen
Besitzer. Ist auch eine nachträgliche Schelte/Sanktionierung (oder
Eintrag in Blacklist) nicht möglich?

Was ich meine, das liest sich in Summe so als würden da die Mäuse auf
dem Tisch tanzen weil keine Katze im Haus ist. Also ein Analoges Problem
das vielleicht mit einem Nachträglichen Tatzenhieb geregelt werden
könnte. ;)

Kay

-- 
Sent via SN (Eisfair-1)

Mehr Informationen über die Mailingliste Fli4L