This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filtering: Anmeldungen protokollieren

Hallo,

da ich beruflich gute Erfahrungen mit den UTMs gemacht habe, frage ich mich,
ob das nicht auch für unseren Verein zur Absicherung des Internetzugangs das richtige wäre, eine Home Licence einzusetzen.

Wir haben eine Abmahnung wg. illegaler Downloads bekommen und jetzt soll der Zugang (WLAN und ein freier PC) reglementiert werden.

Ein Voucher-System wie in Hotels geht so einfach sicher nicht, oder?

Wenn nein genügt es aber auch, wenn sich jedes Vereinsmitglied (

This thread was automatically locked due to age.

0 Sascha Paris over 12 years ago

Ein Verein benötigt eine kostenpflichtige Lizenz.Deine Anforderungen sollten sich eigentlich bereits mit einer BasicGuard abdecken lassen (Utm 100 od 110). Mit Non Profit Rabatt sind das jährlich noch 200..300€, das erste Jahr ist mit der Appliance ohnehin schon dabei.

Lass Dir das mal offerieren

Home Licence ist nur für den privaten Gebrauch Zuhause.
Cancel
Vote Up 0 Vote Down

Cancel
0 FrankF_01 over 12 years ago

Danke.
Ich werde mich mal an Sophos wenden.

Aber dennoch. Wie und wo kann ich denn in Logs nachschaune, wer sich wann angemeldet hat und welche Seiten er angesurft hat?
Cancel
Vote Up 0 Vote Down

Cancel
0 GuyFawkes over 12 years ago
Ich denke, dass dir das hier weiterhelfen könnte.
Genau für diese Frage, habe ich vor kurzem eine Anleitung/Zusammenfassung geschrieben.

Mit einem Vouchersystem kannst du das durchführen.
Das Vouchersystem funktioniert ja nicht nur via WLAN, sondern man kann es auch bei LAN Interfaces anwenden.

Also erst einmal, bitte einmal dafür voten:
Guest WLAN (Hotspot) - "DHCP Address Assignment Required" Option
Denn aktuell ist es bei einer manuellen IP-Änderung nicht mehr möglich, nachzuvollziehen, wer Seite X angesurft hat (mehr dazu unten).

[SIZE="5"]1.[/SIZE]
Zuerst schauen wir in die Logs oder ins Reporting und sehen, dass jemand z.B. eine P0rnoseite geöffnet hat (angenommen, die ist nicht gesperrt), oder wir bekommen ein Brief und müssen am Datum X nachweisen, Seiten angesurft hat, oder Bittorent genutzt hat.
Wenn es um das Surfen geht, schauen wir erst einmal ins webfilter-log oder in das schön aufbereitete Reporting:

/var/log/http.log:2013:10:07-11:37:58 utm-1 httpproxy[8121]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.***.111" dstip="88.208.24.47" user="" statuscode="200" cached="0" profile="REF_HttProWlanGsteProfi (WLAN Gäste Profil)" filteraction="REF_HttCffFilteFrWlan (Filter für WLAN Gäste)" size="75752" request="0x194ca7f0" url="xhamster.com/.../html" application="http"

Nun haben wir die IP Adresse!

[SIZE="5"]2.[/SIZE]
Jetzt brauchen wir noch eine Zuordnung zur MAC/Hostname.
Der Client bekommt eine IP-Adresse durch den DHCP Server und wir schauen im Log, ob da jemand diese IP erhalten hat – dhcp-log

2013:10:07-11:16:50 utm-1 dhcpd: DHCPOFFER on 192.168.***.111 to e0:2a:82:xx:xx:xx (Gast-NB) via wlan13
2013:10:07-11:16:50 utm-1 dhcpd: DHCPREQUEST for 192.168.***.111 (192.168.***.1) from e0:2a:82:xx:xx:xx (Gast-NB) via wlan13
2013:10:07-11:16:50 utm-1 dhcpd: DHCPACK on 192.168.***.111 to e0:2a:82:xx:xx:xx (Gast-NB) via wlan13
2013:10:07-11:16:53 utm-1 dhcpd: DHCPINFORM from 192.168.***.111 via wlan13
2013:10:07-11:16:53 utm-1 dhcpd: DHCPACK to 192.168.***.111 (e0:2a:82:xx:xx:xx) via wlan13

Hier sehen wir die Anfrage des Clients der diese IP-Adresse erhalten hat, ggf. den PC Namen und die MAC Adresse.
In diesem Fall hat der PC „Gast-NB“ die IP 192.168.***.111 erhalten.

[SIZE="5"]3.[/SIZE]
Jetzt brauchen wir noch eine Zuordnung vom PC bzw. von der MAC zum Voucher – dazu schauen wir ins hotspot-log

2013:10:07-11:17:30 utm-1 hshttpd[18990]: portal="REF_HotPorHotspFrWlan" user="tuxnetbot66" mac="e0:2a:82:xx:xx:xx" comment="Max Mustermann - WLAN Forensik" action="login"

Hier wird im Kommentar angezeigt, der im UserPortal hinterlegt ist. Wurde das nicht gepflegt, muss man halt die Liste mit den Vouchern rauskramen und den entsprechend raussuchen und man hat einen Namen zum Voucher.

[SIZE="5"]4.[/SIZE]
Ihr habt hoffentlich dokumentiert, wer diesen Voucher hatte, denn hier endet die Kette der UTM Logs und der Mensch muss aktiv dran sein.
Ist hier kein Name in irgendeiner Form dem Voucher zuzuordnen... dann ist das Pech und man kann sich das Ganze auch sparen!

[SIZE="5"]5.[/SIZE]
Ähnlich gehen wir vor, wenn jemand Bittorrent nutzt, dann schauen wir anfangs ins firewall-log und wir gehen denselben Weg wieder zurück.
Im Firewall Log steht dann auch direkt schon die Source MAC und die Source IP, somit können wir wieder direkt im Hotspot Log nachschauen, wer diese MAC hatte.
Hier auch ganz klar die Empfehlung - aktivieren des Loggings bei erfolgreichen Verbindungen.

Ein Punkt gibt es leider, wie man dieses System etwas aushebeln kann/könnte.

Jemand erhält einen Voucher, meldet sich an und bekommt die Netzwerkinformationen. Jetzt ändert der Gast seine IP-Adresse z.B. anstatt 192.168.***.111 in 192.168.***.50.
Nutzt dieser Benutzer jetzt ausschließlich den Webproxy, wird hier nur die IP geloggt und nicht die MAC Adresse (die wir ja über den DHCP herausgefunden haben). Dann lässt es sich nicht mehr nachvollziehen, wem diese MAC gehört.
Wahrscheinlich wird dieser Client trotzdem irgendwelchen Datenverkehr ins Internet haben, der nicht über den Proxy läuft, dann wird wieder die MAC im Firewall Log mitgeloggt und wir wissen anhand der MAC/IP, wer es war.
Aber dennoch sollte man hier etwas tun, bei Cisco WLCs gibt es genau diese Funktion.

Nice greetings
Cancel
Vote Up 0 Vote Down

Cancel
0 FrankF_01 over 12 years ago

Danke für die ausführliche Anleitung.
Leider nur ist es tatsächlich so, daß die Home Edition nicht eingesetzt werden darf
und kosten darf es bei einem chronisch klammen Verein auch nichts.
Von daher muß ich wohl auf pfSense mit einem Captive Portal setzen.
Cancel
Vote Up 0 Vote Down

Cancel