Mikrotik hotspot - ověřování uživatelů ??

jirkartj

Zdrav vespolek, provozuji pro jednu obec několik veřejných HOTSPOTů. V poslední době se jim donesla zpráva, že připojování k nezabezpečeným HS je nebezpečné apod a mělo nebo řekněme musí se to řešit/zabezpečit.

Připojení je realizované přes Mikrotik Hotspot přes nezabezpečené SSID a Trial funkci(časově omezené).

Jak je to bezpečná nezabezpečená WIFI asi nemá smysl moc řešit.

Objevují se čím dál více informace a tom, že by každý majitel WIFI Hospotu měl být schopen ukázat na toho kdo se připojil a případně tam dělal to či ono a čase X a Y... Prostě pokud někdo přes HS bude prodávat drogy, je potřeba aby to nebylo na majitele HS..

Řešíte nebo řešil jste někdo něco podobného?? Umí MK něco takového? Napadá mě ověřování přes MAIL, SMS ....

Díky Jirka

myghael

Neber si to osobně, ale to už jsi trochu zaspal, jakási odpovědnost provozovatelů hotspotů za uživatele už tu chvíli je. Když dojde bububu, provozovatel může nabonzovat daného uživatele, nebo ten průser vzít na sebe. U nás jim stačilo poskytnout MAC adresu a hostname připojeného zařízení a dali pokoj, ale nespoléhal bych, že to bude stačit vždy. Řešení na mikrotik hotspotu by mělo stačit. Něco podobného provozujeme v jedné dědině také, ověření je na telefonní číslo, kam přijde SMS s kódem, který se musí zadat, ale to ti nepomůže, máme to na UBNT UniFi. Na mikrotiku by to neměl být problém, my šli do UBNT kvůli snadnějšímu roamingu a kompatibilitě, než co jsme v té době dokázali s mikrotikem. Pouvažuj také nad možností nechat si to udělat od někoho externího, např. MIIA nebo jak se přesně jmenují - zde na fóru již zmíněno mnohokrát.

msfanousek

U nás se osvědčil koncept platební SMS -> záznam v mysql -> radius -> hotspot.

Jinak co se týče té povinnosti identifikace připojených osob. Tady si EU lehce sere do hnízda, když masivně podporuje veřejný internet.

rsaf

I když budu mít email/telefon uživatele, tak bych ještě potřeboval netflow data abych byl schopen identifikovat konkrétní provoz. Jsem jako provozovatel hotspotu vůbec povinen něco takového dělat? Můžu to vůbec dělat?

jirkartj

Jo vím, že už nějaký čas ta odpovědnost tu je, ale všichni na to kašleme/kašlou nebo tedy nevím. CZ je ráj WIFI hotspotů, tak to nás asi budou muset pozavírat, nebo pokutovat skoro všechny..

V mém případě impulz přišel od starosty, který na nějakém školení získal tuto informaci a žádá mne o řešení (ja to provozuji, servisuji, obec vlastní... A obec chce mít prostě vše maximálně v pořádku a v souladu s právem, nařízeními atd..

Netflow by asi šlo pořešit, ale správná otázka je zda je to mohu vůbec dělat. Podle GDPR by bylo lepší nic nesbírat, tím pádem ve vztahu k GDPR budu mít klid, ale zas jiné zákony, pravidla či co říkají opak...

Jsou zde tedy dvě otázky, musí provozovatel veřejné WIFI sítě mít přehled o tom kdo se k ní připojuje??

A když ano, jaké údaje jsou dostačující??

Druhá je technická:

Kdybych přemýšlel o autentizaci přes SMS tak jen s notebookem nebo tabletem to moc nepůjde.. Přes mail to nejde protože teoreticky nemám internet, když se chci připojit na hotspot...

Jak z toho ven lidi??

radik

Nevim jak ted, ale driv to bylo tak, ze stacilo mit na strance hotspotu zaskrtavatko s tim, ze udeaje co poskytnu jsou pravdive a formular na vyplneni jmena bydliste, tel. a to stacilo. Pokud byl problem tak se odevzdalo kdo tam kdy byl. Klidne to mohlo byt reseno i papirovym formularem s tim, ze po vyplneni dostal heslo.

Co se tyka netflow, tak kdo si cetl zakon tak vi, ze tam je to napsany uplne naprd (pokud nebyla zas nejaka zmena). Ano logovat se ma, ale jen proto, ze to rika zakon (a proto se na to bere "dotace"). Kdyz je to sdilena adresa, tak se muzou poslat vsichni co jsou za adresou a je to spravne. Kdyz policiie posle zadost, tak vzdy dosla s tim, ze pokud se jedna o sdilenou adresu, tak zaslat vsechny.

jirkartj

Tak se mi trochu ulevilo že nejsem já ten kterej musí určit jaka Ip /telefon to byl..

A prosím tě jak vyřešit tento formulář kde uživatel vyplňuje svoje udaje na ROS. Jde to vůbec??

radik

Nejjednodussi reseni je, ze se na mikroiku udela stranka dle https://wiki.mikrotik.com/wiki/Manual ... ng_Hotspot (cast External authentication). Na mikrotiku se jen udela stranka co se po otevreni presmeruje jinam a preda vsechny informace. Na serveru pak vis vse o klientovi, ktery pak jen vyplni formular a bud ho pustis a nebo ne. Po vyplneni to ulozis do db.

jirkartj

Dík, po rychlém přečtení z toho moc moudrej nejsem, ale snad to pochopím.. :-)

A kam to směrovat?? To bych si měl udělat nějaký WEB s tím formulářem nebo myslíš nějakou externí službu??