Protokollierung der IP-Adressen am Router

[paul peter]

Hallo zusammen,

für eine Schlicht-Wohnanlage mit mehreren Wohnungen soll gemeinsam ein TK-Internetanschluss genutzt werden, der von einer Kommune als Anschlussinhaber getragen wird.

Aus Nachweisgründen und der Schadensabwendung für den Anschlussinhaber im Fall des Falles ist es notwendig dass der interne Internetverkehr mit protokolliert wird, also welche IP/MAC-Adresse wann welche Internetseite aufruft, bzw Daten überträgt.
Es geht hier ausdrücklich nicht um den Inhalt der Daten, sondern nur wer wann welche Verbindung hergestellt hat.
Um keinen unnötigen Betreuungsaufwand zu generieren, soll diese Protokollierung automatisiert auf den zugangsgeschützten Router erfolgen und nach einigen Monaten automatisch überschrieben, bzw gelöscht werden. Zudem sollen nur zuvor hinterlegte Geräte (MAC-Adresse) über diesen Anschluss ins Netz hinein können.

Die Protokollierung soll direkt im Router geschehen, also keine weitere Hardware notwendig sein. Die Daten müssen natürlich im Router vor dem missbrächlichen Zugriff gut schützen lassen, also eine kryptografische Passworteingabe ermöglichen.

Gibt es solche Router, die dieses Kriterium erfüllen?

Bin für jede Antwort dankbar.
mfG
Paul Peter

 

[bitmuncher]

Jede Linux-Kiste mit ausreichend Platz für die Log-Dateien bietet diese Möglichkeiten.

 

[Tsjuder]

Zudem sollen nur zuvor hinterlegte Geräte (MAC-Adresse) über diesen Anschluss ins Netz hinein können.

MAC-Adressen lassen sich aber auch ziemlich leicht spoofen. Von daher kann man bei sowas zwischen Sinn und Unsinn streiten.

 

[paul peter]

Jede Linux-Kiste mit ausreichend Platz für die Log-Dateien bietet diese Möglichkeiten.

Das mag sein, aber ich habe keinen der die Dinger verwalten, bzw. sich groß darum kümmern kann.
Und wie geschrieben möglichst alles fertig im Router eingebaut und einfach, aber sicher bedienbar. Die ganze Sache muss einfach gehalten werden, sonst ist diese aus Kosten oder Aufwandsgründen gleich gestorben.
Der Hauswart muss in der Lage sein, neue Adressen zu hinterlegen ohne dass er einen mehrtägigen Lehrgang absolviert hat. Mehr braucht er auch nicht zu können, der Rest muss völlig automatisch ablaufen. Eine Auswertung der Daten findet im Normalfall nicht statt, brauchen daher im Vorwege nicht aufbereitet, sondern nur für einen gewissen Zeitraum gehalten werden.

mfG
Paul Peter

 

[bitmuncher]

Um das mal zusammenzufassen. Ihr braucht ein relativ professionelles Routing, aber es soll durch Laien machbar sein.

Und ja, ich kann Tsjuder nur zustimmen. MAC-Filter sind total unsinnig, da sie zu einfach umgehbar sind. Da würde ich eher ein Routerboard mit RouterOS hinstellen und eine AccessPoint-Lizenz dazu nehmen. Der hat alles inklusive (auch das gewünschte Verbindungslogging), aber selbst deren Webadmin-Interface dürfte jeden Laien überfordern.

Sonst nimm einiges mehr an Geld in die Hand und stell dir einen Cisco-Router hin. Die bieten auch Geräte an, die das gewünschte beherrschen. Einfach einzurichten sind die aber auch nicht.

 

[paul peter]

Vorhaben beerdigt!

Hallo zusammen,

ich habe den Gemeinderat empfohlen, vom Vorhaben in der ursprünglich geplanten Form Abstand zu nehmen, sondern nur die technische Voraussetzung zu schaffen, damit sich die Bewohner in Eigeninitiative um ein Netzzugang in Eigenverantwortung kümmern können.
Sprich es wird technisch ein Strom und ein TK-Anschluss zur Verfügung gestellt - mehr nicht. Das der TK-Anschluss mit Leben erfüllt wird und die Verteilung mittels Router müssen sich die Bewohner selber kümmern und auch für die Haftung eintreten.
Leider sind die haftungsrechtlichen Vorgaben heutzutage so, dass ein fertiger Anschluss mit anliegenden Internet nicht vertretbar ist.

Danke für eure Antworten
Paul Peter

 

[bitmuncher]

Eine weise Entscheidung. Würde ich in unserer Gemeinde nicht anders machen.

 

[SchwarzeBeere]

Ich liste das nochmal kurz auf:
- Jeder Bewohner bekommt einen LAN-Anschluss
- Alle Anschlüsse enden im Router
- Der Router besitzt einen MAC-Filter
- Verbindungsdaten sollen geloggt werden.

Ich würde prinzipiell 2 Möglichkeiten sehen:
- Mac-Filterung am Port in der Wohnung und nicht erst am Router. Dadurch ist es möglich, dass jeder Bewohner einen LAN-Anschluss gestellt bekommt und auch die Verantwortung dafür weitergegeben werden kann, da nun nur Bewohner der Wohnung (oder Einbrecher) Zugriff auf den Port haben können. Die Nutzung eines WLAN-APs ist dabei entweder verboten oder aber in der Verantwortung des Benutzers. MAC-Spoofing ist aufgrund der MAC-Port-Bindung nicht möglich.
- Authentifizierung am Port via EAP an einem RADIUS-Server mit eigenen Zugangsdaten pro Person/Wohnung und Zuweisung eines VLANs auf Basis der Authentisierung. Das wäre eine durchaus schöne Lösung, da über RADIUS bzw. andere AAA-Protokolle zusätzlich Accounting möglich wäre und die mittel zur Authentisierung endlos wären (MAC+Location, Username/Passwort, Zertifikate, Token,...). Gleichzeitig könnte man einzelne Häuserblöcke logisch voneinander trennen (z.B. Büros und Wohngebäude).

Interessant wäre noch das vorhandene Budget gewesen. Erstere Lösung kenne ich beispielsweise aus Studierendenwohnheimen und sollte preislich im Rahmen liegen, letztere habe ich bisher nur in Unternehmen oder in Unis gesehen. Die Einrichtung, Sperrung oder Entsperrung von Benutzern kann auch durch den Hausmeister erfolgen, bei der zweiten Lösung sogar in einem eigenen VLAN. Der größte Kostenfaktor wären Hardwareanschaffungen und vermutlich der Einkauf von Beratern und Implementierern..