Kleines Hotel Wifi: Voucher / Guest Portal / Enterprise / PSK?

BurnerR · 19 Feb. 2017

Für ein kleines Gästehaus (6 Zimmer) modernisiere ich das Netzwerk / Wifi.
Jeder Gast soll einen zeitweisen Login kriegen. Diese Logins sollten einfach zu verwalten sein.
Bisher habe ich immer gerne mit Ubiquiti Produkten gearbeitet und sie bieten auch die Möglichkeit zu Voucher Codes für Gäste, die sich auch schön und simpel verwalten und ausdrucken lassen.

Mir stört daran aber, dass das zugehörige Wifi dann an sich unverschlüsselt ist und der Zugang nur über diese Codes reguliert wird. Eine Alternative wäre, WPA2-Personal vorzuschalten, aber das ist natürlich nicht so optimal, weil ein Gast sich dann zweimal einloggen müsste (einmal WPA2 Passwort, dann im Browser nochmal Voucher-Code eingeben).
Ich hatte alternativ noch über WPA2-Enterprise bzw. RADIUS nachgedacht. Aber das scheint mir für so einen konkreten Hotel Use Case ein Pain In The Ass zu werden, dass schön und simpel zu gestalten, dass die Verwaltungsfrau auf simple weise Logins generieren und ausdrucken kann. Oder irre ich mich da?

Wie würdet ihr das machen / Habt ihr gemacht? Einfach die doppelte Lösung mit WPA2-Personal und Voucher-Code?

keinbenutzername · 20 Feb. 2017

in einigen Hotels in denen ich war hatten die folgende Lösung:
http://www.iacbox.com/de/home/
kein Plan was das kostet.
Funktioniert hat es gut.

BurnerR · 20 Feb. 2017

So ein proprietäres System wäre höchstwahrscheinlich overkill, vom Installationsaufwand als auch von den Kosten her.
Ich hatte ganz zuerst ja an RADIUS mit WPA2-Enterprise gedacht, aber habe bisher nicht sehen können, dass es da eine wirklich simple Benutzerverwaltung für daily use gibt.
Dann habe ich gesehen, dass Ubiquiti das an sich mit den Voucher Tickets ganz schön gelöst hat und im Prinzip 1:1 das bietet, was ich suche:

Bildschirmfoto von »2017-02-19 14-54-44«.png

Das wäre für mich elegant, weil ich das innerhalb einer Stunde fertig konfiguriert kriege, inklusive angepasstem Gastportal für Codeeingabe mit Logo

.
Ich fürchte aber die Antwort könnte diesbezüglich lauten "PSK + Voucher Vode oder eine alternative"
Und das ist die zweite Frage, ob es nicht etwas vergleichbares für RADIUS gibt? Vllt kann FreeRADIUS sowas ja sogar von Haus aus? Konnte dazu aber nichts finden.

Andere Frage:
Gibt es überhaupt Client-freundliche WPA2-Enterprise Varianten? Damit meine ich, dass jeder ohne IT Kenntnisse sich mit Windows/Mac verbinden kann.

drfuture · 20 Feb. 2017

Was stört denn daran das das Wifi unverschlüsselt ist (in diesem Fall - nicht allgemein)?
Das man von einem Client nicht zum anderen kommt sollte sich einstellen lassen.

keinbenutzername · 20 Feb. 2017

war da nicht was mit Netzwerkverkehr mithören?

sia · 20 Feb. 2017

Bei SSL wird da nicht viel mitgehört und Clients trennen kann man ja, wie drfuture sagt, abstellen.

Alles, was nicht SSL ist, kann aber via Funk abgehört werden. Das Grundprinzip von WEP und WPA ist aber die Verschlüsselung mithilfe eines Passworts. Alternative wäre Radius etc, aber da wäre das dann Benutzername + Passwort – und eventuell unterstützen das die Endgeräte nicht.

drfuture · 20 Feb. 2017

ja schon @keinbenutzername - bei nicht ssl-verkehr - aber um ganz böse zu sein - die Datensicherheit ist nicht direkt die Aufgabe des Hotels.
Wenn das W-Lan durch ein Passwort geschützt ist - und das Passwort simpel ist (Hotelname oder ähnliches damit es der Kunde simpel eingeben kann) dann ist es auch nicht viel sicherer.

keinbenutzername · 20 Feb. 2017

stimmt eigentlich schon.
Wer so blöde ist und in nem Hotel-WLAN ohne SSL sicherheitsrelevante Dinge treibt der ist eh selbst schuld.

Wobei man natürlich eigentlich als Dienstleister auch von den größten DAUs ausgehen sollte und eben auch diese schützen müsste.
(wenn mit vertretbarem Aufwand möglich)

sia · 20 Feb. 2017

keinbenutzername schrieb:
Wobei man natürlich eigentlich als Dienstleister auch von den größten DAUs ausgehen sollte und eben auch diese schützen müsste.

aber warum? Es hat keine legalen Konsequenzen und moralisch ist es auch okay. Als ob jemand ein schlechtes Review verfassen würde, weil er im Hotel gescammt wurde. Man kann ja Infoblätter aushändigen.

BurnerR · 21 Feb. 2017

Reviews sind eher weniger das Problem, da sowieso keine richtige Werbung gemacht wird, das ganze ist eher für Menschen die sich beruflich im Nahen Osten aufhalten oder einen exotischeren Urlaub machen und von den Zimmern über drei Ecken gehört haben, also tendenziell Menschen, die mehr oder minder mit der Einrichtung verbunden sind.

Nur so rein informativ, bieten kommerzielle / propietäre Systeme eine vernünftige Lösung oder läuft das da in aller Regel genau so? Ich finds etwas überraschend, dass es da keine richtig gute Lösung zu geben scheint.

Ich denke ich werde Rücksprache mit der Leitung halten und die Optionen darlegen, sprich doppelte PW Eingabe oder halt unverschlüsselt.
Mir wurde heute auch mitgeteilt, dass das notwendige Budget erst gegen Herbst freigegeben wird.

nik · 21 Feb. 2017

Hotspots für Laufkundschaft sind in der Regel unverschlüsselt.

drfuture · 21 Feb. 2017

Kenne an sich auch nur entweder verschlüsselt und dann kein Token
Oder Token und dann offen.

BurnerR · 21 Feb. 2017

Wenn man davon ausgeht, dass das Wifi sowieso irgendwo in der hinterletzten Ecke ist, wo kein ehemaliger Gast mal eben so schnell hin tingelt um kostenlos Internet abzugreifen. Dann scheint mir ja die sinnvollste Lösung evtl. zu sein, einfach auf WPA2-Personal mit vernünftigem Password zu setzen, das dann auf halbjährlicher Basis geändert wird, oder wie seht ihr das?

Ich habe das eigentlich immer so gesehen, dass etwas, das man mit mehreren Menschen teilt nicht mehr als Geheimnis / Passwort taugt. Aber in diesem Fall?
Relevanter Angriffsvektor ist dann halt, dass ein Fremder irgendwie an das Password kommt und dann eben Zugang zum Internet hat bis das wieder geändert wird, was bei der Voucher-Lösung nicht so anfällt, da jeweils ein Code nicht weit verbreitet wird (nur jeweils dem Gast mitgegeeben) und sehr zeitnah wieder ungültig wird.

drfuture · 21 Feb. 2017

Nunja - es ist ja leider noch immer nicht zu 100% Sicher wie das mit Nachweis bei Fremdnutzung ist. Aktuell sieht es zwar wesentlich besser aus und ich würde persönlich so weit gehen und sagen wenn man eine Abmahnung bekommt und damit vor Gericht zieht dann bekommt man *irgendwann* einen Freispruch... nur man muss dafür vermutlich kämpfen.

Für mich würde meine persönliche Sicherheit / Die des Unternehmens aktuell höher wiegen als das vielleicht jemand dritter die E-Mails einer meiner Kunden mit liest weil dieser kein SSL verwendet und daher eher auf ein Token-System mit persönlichen Token > Diese auch dem Zimmer zuordnen / notieren - verwenden als das Netz zu Verschlüsseln.
Für das Personal selber würde ich dann eine zweite verschlüsselte (und vielleicht sogar unsichtbare) SSID aktivieren - das kann das System ja.

BurnerR · 21 Feb. 2017

Ja, da hast du absolut recht.
Zumal die rechtliche Lage im außereuropäischen Ausland erst recht unklar ist und auch noch schwieriger zu evaluieren ist.
Zweites internes Wifi - sowieso in jedem Fall.

HoneyBadger · 21 Feb. 2017

BurnerR schrieb:
Dann scheint mir ja die sinnvollste Lösung evtl. zu sein, einfach auf WPA2-Personal mit vernünftigem Password zu setzen, das dann auf halbjährlicher Basis geändert wird, oder wie seht ihr das?

Eigentlich macht es keinen Unterschied, ob Du in einem "geschlossenen" oder in einem offenen Netzwerk ohne SSL surfst. Wenn Gast A in dem WPA2-Netzwerk seine Mails unverschlüsselt abholt und Gast B im selben WPA2-Netzwerk man in the middle spielt, können die Daten genauso abgegriffen werden. Es ist und bleibt ein Netzwerk, das öffentlich genutzt wird.

Ich würde bei der Variante mit den Token bleiben. Als Gast nervt das zwar, ist juristisch aber glücklicher für das Hotel. Brain.exe muss dann jeder Nutzer selbst starten. Als nettes Hotel könnte man noch auf den Zimmern ein W-Lan-Info-Flyer in der Gästemappe auslegen, indem ausdrücklich darauf hingewiesen wird, dass das Netzwerk öffentlich ist und man daher als Gast selbst für die sichere Nutzung zuständig ist. Vielleicht noch eine aufklärende Website dazu und gut.

BurnerR · 21 Feb. 2017

Lässt sich mit Unifi auch alles schön konfigurieren, das Captive Portal, wo der Code eingegeben werden muss, dass da ne schöne mehrsprachige Terms of Use und Hinweise etc. erscheint

.

drfuture · 21 Feb. 2017

@HoneyBadger: Der Traffic muss bei WPA2 zumindest nachträglich entschlüsselt werden - so einfach ist das meines wissens auch bei bekanntem Passwort nicht.
Client a und b sollen im Netzwerk ja egal ob wpa oder offen von einander getrennt werden. Somit kann nur der gesamte Traffic ohne Teil des Netzwerks zu sein mitgeschnitten werden.

HoneyBadger · 21 Feb. 2017

@drfuture: Um Lücken in meinem Netzwerk zu finden, habe ich das schon einmal hier ausprobiert. Es ist kein Problem, sich per ARP-Spoofing in unverschlüsselte Verbindungen einzuklinken. WPA2 hin oder her. Von außen geht´s natürlich nicht. Sobald Du aber innerhalb des Netzwerkes angemeldet bist, ist diese abgeschlossene Umgebung in sich genauso unsicher.

keinbenutzername · 21 Feb. 2017

Könnte man nicht einfach jedem Client ein eigenes abgeschottetes vlan zuweisen?
Ich meine mich zu erinnern das das bei der von mir verlinkten Lösung so war.

Kleines Hotel Wifi: Voucher / Guest Portal / Enterprise / PSK?

Bot #0384479

gesperrt

Bot #0384479

Zeitreisender

gesperrt

gesperrt

Zeitreisender

gesperrt

gesperrt

Bot #0384479

肉まん

Zeitreisender

Bot #0384479

Zeitreisender

Bot #0384479

Aktiver NGBler

Bot #0384479

Zeitreisender

Aktiver NGBler

gesperrt