Zabezpečení Wi-Fi pro hospodu

[Jan Kadera]

Zdravím,
byl jsem požádán o "nastavení a zabezpečení" sítě v jedné hospodě. Nevím, co všechno můžu chtít od routeru a pokud chci něco víc, tak jak to řešit.
Oni si v podstatě představují takovouhle situaci:
Mají linku a chtějí ji používat po kabelech pro kancelářskou činnost a přes wifi pro hosty. Do toho chtějí nějakou garantovanou rychlost pro ty kabely a nějak omezené jednotlivé wifi spojení.

Já bych si to představovat tak, že bych jim vyhradil třeba polovinu rychlosti pro ten kabel a na wifi bych buď dal omezení na rychlost pro každé spojení, nebo bych posílal nějakou výstražnou hlášku, když jedna MAC překročí nějaký objem dat/čas.

Je to v možnostech obyčejného routeru | lepšího routeru | je třeba nechat to routovat počítač a napsat si na to vlastní scripty?

Předem děkuji za reakce
Jan Kadera

[Reklama]

[Jenda]

Uroutuje to cokoli, v čem bude Linux. Zkusil bych nějaký router typu Asus WL500g, případně destičku jako Alix. Pro ten traffic shaping se ti bude hodit návod z http://lartc.org/.

PS: MAC adresa jde změnit, takže když někomu přijde varování, že překročil limit, tak to asi udělá…

[Jan Kadera]

Uroutuje znamená, že to bude umět, nebo že si v tom prostředí to budu moct napsat?

ad MAC: a jak jinak řešit zneužívání weřejné wifi?

[Fantomas]

Zneuzivani je silne slovo, kdyz neco davas k dispozici zadarmo, pak musis pocitat i s vedlejsimi efekty. Na wifine prirazuj ip adresy k urcitem rozmezi pres dhcp a pak celemu rozmezi nastavis maximalni rychlost, kterou budou moct fungovat. Vazat se na mac adresu nema smysl. Anebo pro hosty wifi zvlast a pro firmu taky zvlast, v dnesni dobe stoji tyto zarizeni par korun.

[hoved]

dd-wrt firmware, maji hot spot agenty

[Reklama]

[Jan Kadera]

Uroutuje to cokoli, v čem bude Linux. Zkusil bych nějaký router typu Asus WL500g, případně destičku jako Alix. Pro ten traffic shaping se ti bude hodit návod z http://lartc.org/.

PS: MAC adresa jde změnit, takže když někomu přijde varování, že překročil limit, tak to asi udělá…

Koukám na ten router co jsi popisoval a porad nejak nevim, co tim uroutuje...Linux myslis. To ze v tom je linux je sice hezke, ale stejne se k tomu pristupuje prej webove rozhrani a tak moc nechapu, jakou vyhodu mi ten linux inside da...

To si na to udelam sshcko a budu tam dopisovat nejake scripty?

[xmike1.cz]

Pridam svoji trosku do mlyna.

Ano, vetsina dnesnich SOHO routeru, rozumej, to co koupis v kazdym obchode, ma webove rozhrani.

Co to pohani te ani moc zajimat nemusi

Ve vyctu se divej, jestli to umi QoS (shapping). Dneska uz to umi i levny Edimax za 500,-

Priklad: QoSem nastavis omezeni trafficu na wifi (treba na 512kb/s max), nastavis nejaky sifrovani, DHCP omezeny pool treba na 10 stroju a nasledne, kdyz se bude chtit nejaky host pripojit, proste si u obsluhy pozada o heslo (passphrase) do tve site.

Co by te melo ale zajimat, jestli mi muze navstevnik hospody hacknout firemni sit. Na to uz je lepsi reseni pouzit nejaky FW/lepsi switch, na kterem se budou schazet site/vlany pro firmu a hospodu, v hospode bude AP a at uz na onom FW nebo switchi nebo AP budes QoSovat hospodu.
po emailu se to da lepe rozvest

[Fido]

Sel bych cestou dvou routeru. Jeden zabezpeceny a druhy volny pro hosty. Na to volnem nastavit omezeni rychlosti nebo omezeni na nektere porty. Tim se eliminuji stahovaci a tem kdo jen budou chtit brouzdat to pujde v pohode.

[UNIXak]

Nebo nastavit limit prenesenych dat, po preneseni treba 50MB tohoto uzivatele odriznout. Pro bezne surfovani to bohate staci. Pripadne povolit z kazdeho stroje pouze 1-3 uzavrenych soucasnych spojeni. Zmenena MAC adresa se da overit (vendor). Pokud se chcete vyhnout zneuzivani, da se to vyresit pres RADIUS server... Kazdy kdo by chtel na net by prisel k pultu, kde by mu vytvorili login - na to by se vytvoril skript aby to bylo jednoduche a rychle na obsluhu...

[Martin Zixo]

mozno pouzit squid.

[Jenda]

Uroutuje to cokoli, v čem bude Linux. Zkusil bych nějaký router typu Asus WL500g, případně destičku jako Alix. Pro ten traffic shaping se ti bude hodit návod z http://lartc.org/.

PS: MAC adresa jde změnit, takže když někomu přijde varování, že překročil limit, tak to asi udělá…

Koukám na ten router co jsi popisoval a porad nejak nevim, co tim uroutuje...Linux myslis. To ze v tom je linux je sice hezke, ale stejne se k tomu pristupuje prej webove rozhrani a tak moc nechapu, jakou vyhodu mi ten linux inside da...

To si na to udelam sshcko a budu tam dopisovat nejake scripty?

Jde do toho flashnout OpenWRT, což je úplně normální Linux se SSH, iptables atd.

[Jan Kadera]

Ad QoS - mate nejaky model routeru, ktery urcite umi veci jako omezeni rychlosti pridelene wifi? Protoze ja se ted hrabu v routerech doma a mam tu jeden ktery neumi repeater, coz mi prijde dost predpotopni a druhy, ktery sice qos ma, ale nic uzitecneho v nem.
Navic v te hospode uz routery maji, takze bych mohl vypnout wifi na nich a kdyz koupim nejake levne, co umi qos shaping, tak muzu pouzit reseni dvou routeru.

Ad UNIXak: 50MB a dost...to je taky soucas QoS?

Ad Login...tohle reseni se mi libi, ale to bych musel mit vsechny neprihlasene uzivatele presmerovane na loginovaci stranku a tam by to zadali a na to bych potreboval nejaky webovy server a tak, ne?

[Jenda]

QoS, QoS… Nu, chtělo by to nějaký router s plnohodnotným Linuxem. Ty krabičky s webovým rozhraním obvykle fungují různě.

Ad Login...tohle reseni se mi libi, ale to bych musel mit vsechny neprihlasene uzivatele presmerovane na loginovaci stranku a tam by to zadali a na to bych potreboval nejaky webovy server a tak, ne?

Autentizace přes webový formulář už z principu není bezpečná. Chceš-li bezpečnost, pak RADIUS, nechceš-li, pak to nech otevřené.

[ondra.novacisko.cz]

Autentizace přes webový formulář už z principu není bezpečná. Chceš-li bezpečnost, pak RADIUS, nechceš-li, pak to nech otevřené.

V čem je z principu nebezpečná?

[Krcmar]

zdar chlapi ! rada z jineho pohledu: v hospode nechat WiFi bez hesla, hosty to zbytecne prudi, a v dnesni dobe kazdej hladovej a ziznivej krk dobrej dalsi vec je ze pro obsluhu je sice z vaseho pohledu easy pridelit nejake heslo, ale verte mi ze obcas je to doost vopruz, nehlede na borce co jim na widlich wifi hapruje a ocekavaji support tim padem co nejjednodussi bez hesla. ohledne zneuziti, heslem si nepomuzete - staci zajit na kafe, ziskat heslo a pak sednout predkrcmu a skodit... Krcmar