Referenzhandbuch
14 Public Spot
5
Sofern die Authentifizierung zusätzlich über die MAC-Adresse erfolgt (Authentifizierungs-Modus Anmeldung
mit Name, Passwort und MAC-Adresse), definieren Sie die MAC-Adresse über das Feld Rufende Station
in der Form 12:34:56:78:90:AB.
2. Setzten Sie den Dienst-Typ auf Anmeldung.
3. Heben Sie sämtliche Protokolleinschränkungen auf, indem Sie alle Auswahlkästchen deselektieren.
In einem Public Spot-Szenario findet eine Phase-2-Authentifizierung nicht statt. Diese kann lediglich für direkte
WLAN-Verbindungen abseits eines Public Spot-Betriebs und die dazugehörigen RADIUS-Benutzer sinnvoll sein.
5
Wenn Sie die Protokolleinschränkungen nicht komplett aufheben, kann sich ein Nutzer nicht über die
Login-Webseite Ihres Public Spots anmelden!
4. Optional: Auf Wunsch können Sie z. B. noch
1
im Abschnitt Gültigkeit/Ablauf ein relatives oder/und absolutes Ablaufdatum für die Gültigkeit des Benutzerkontos
angeben (relativ = Gültigkeit in Sekunden nach erstem Login);
1
unter TX/RX Bandbr.-Begrenzung Bandbreite den Uplink/Downlink begrenzen;
1
die Mehrfache Anmeldung aktivieren und die Maximale Anzahl der Endgeräte angeben, die gleichzeitig über
das Benutzerkonto angemeldet sein dürfen.
5. Speichern Sie die Konfiguation auf Ihrem Gerät.
Fertig! Ihre Public Spot-Nutzer können sich nun mit den von Ihnen festgelegten Zugangsdaten am Public Spot anmelden.
14.2.2 Sicherheitseinstellungen
Der Public Spot verfügt über zwei zusätzliche Schutzmechanismen, die ihn wirksam gegen Missbrauch absichern.
Traffic-Limit-Option
Um die Anmeldung am Public Spot über den Browser zu ermöglichen, ist es prinzipiell gestattet, dass auch unangemeldete
Benutzer Datenpakete (z. B. DNS-Anfragen) an das Public Spot-Gerät senden. In der Standardeinstellung ist diese
Datenmenge unbegrenzt. Daraus ergeben sich folgende Risiken:
1
Unberechtigte Nutzung des Public-Spots: Mit geeigneten Tools könnte ein Benutzer alle Daten in ein DNS-Paket
verpacken (also einen DNS-Tunnel aufbauen) und so einen Public Spot ohne Anmeldung nutzen.
1
Denial-of-Service: Der Angreifer könnte erhebliche Datenmengen an das angegriffene Gerät senden und auf diese
Weise versuchen, das Gerät bzw. den Public Spot zu blockieren.
1
Brute-Force: Der Angreifer könnte versuchen, Zugang zur Basis-Station zu erhalten, indem er einfach so lange alle
denkbaren Anmeldedaten durchprobiert, bis ihm der Zugang schließlich gelingt.
Die Traffic-Limit-Option ermöglicht, diese Risiken wirksam auszuschließen.
Sie aktivieren die Traffic-Limit-Option durch einen Wert ungleich "0". Der Wert bestimmt die maximale Datenmenge in
Byte, die eine unangemeldetes Endgerät an den Public Spot senden und von ihm empfangen darf.
1
LANconfig: Public-Spot > Server > Zugriff ohne Anmeldung ermöglichen > Maximales Datenvolumen
Sobald ein Endgerät dieses Transfervolumen überschreitet, sperrt der Public Sport dieses Gerät und verwirft fortan die
von ihm empfangenen Daten ungeprüft. Diese Sperre erlischt erst wieder, wenn der zum Gerät gehörige Eintrag in der
Stationstabelle verschwindet.
5
Bei WLAN-Geräten kann diese Löschung z. B. durch den Ablauf des allgemeinen Idle-Timeouts geschehen:
1
WEBconfig: LCOS-Menübaum > Setup > WLAN > Idle-Timeout
Bitte beachten Sie, dass bei eingeschalteter Stationsüberwachung die Sperre möglicherweise auch schon früher
entfernt wird. Ist eine Mobilstation 60 Sekunden lang unerreichbar, entfernt das Gerät dessen Eintrag aus der
Stationstabelle und damit auch die Sperre.
922