Rete scolastica wifi e autenticazione

[Fabio0776]

Salve a tutti,
in una rete scolastica wifi dove si alternano circa 100 utenti, l'autenticazione tramite nome utente e password si è rilevata alquanto complicata e poco reattiva (con pfsense). Un po' meglio con zeroshell, ma i problemi persistono. Risulta necessario tracciare gli utenti e assegnare un minimo di banda garantita. Mi chiedo se risulti possibile la seguente soluzione:
- inserire una password generale sul wifi unica
- disattivare il captive portal del firewall
- autenticare i dispositivi autorizzati tramite indirizzo MAC assegnando un indirizzo ip fisso
faccio presente che sul server è installato windows 2016 server.
Grazie mille a chi voglia rispondermi.

[peg1987]

Scusa ma questa soluzione mi sembra assolutamente inefficace. Prima di tutto non so se sia possibile fare l'autenticazione tramite MAC, ma anche se lo fosse, vorrebbe dire conoscere a priori tutti i mac address dei vari studenti. Senza contare che il MAC address si può facilmente clonare, quindi è proprio sbagliato come approccio.

Purtroppo a mio avviso il captive portal è la soluzione più semplice se volete monitore i singoli utenti.

In alternativa si può evitare il capitive portal e mettere su un'autenticazione WPA enteprise con server RADIUS, però poi bisogna anche dare delle guide agli studenti e spiegare loro come collegare i telefoni. E' come il captive portal, ma i parametri li devi mettere prima di collegarti e non hai la pagina di login.

Altra cosa. Vorrei capire anche cosa intendi per "tracciare". Considerando oramai il traffico viaggia in HTTPS è difficile tracciare quello che viene visitato. Potrete sapere al massimo il dominio.

Un altro software che potete provare è Sophos XG firewall. E' ancora giovane come sistema ma funziona abbastanza bene.
Io uso untangle, che però costa 50€ all'anno solo per utenti domestici, mentre per il business mi sembra che il prezzo sia attorno 600€ all'anno. Non so se per le scuole fanno degli sconti.

[Fabio0776]

Quote:

Originariamente inviato da peg1987

Scusa ma questa soluzione mi sembra assolutamente inefficace. Prima di tutto non so se sia possibile fare l'autenticazione tramite MAC, ma anche se lo fosse, vorrebbe dire conoscere a priori tutti i mac address dei vari studenti. Senza contare che il MAC address si può facilmente clonare, quindi è proprio sbagliato come approccio.

Purtroppo a mio avviso il captive portal è la soluzione più semplice se volete monitore i singoli utenti.

In alternativa si può evitare il capitive portal e mettere su un'autenticazione WPA enteprise con server RADIUS, però poi bisogna anche dare delle guide agli studenti e spiegare loro come collegare i telefoni. E' come il captive portal, ma i parametri li devi mettere prima di collegarti e non hai la pagina di login.

Altra cosa. Vorrei capire anche cosa intendi per "tracciare". Considerando oramai il traffico viaggia in HTTPS è difficile tracciare quello che viene visitato. Potrete sapere al massimo il dominio.

Un altro software che potete provare è Sophos XG firewall. E' ancora giovane come sistema ma funziona abbastanza bene.
Io uso untangle, che però costa 50€ all'anno solo per utenti domestici, mentre per il business mi sembra che il prezzo sia attorno 600€ all'anno. Non so se per le scuole fanno degli sconti.

grazie mille per la risposta. PReciso che non si tratta di studenti ma di circa 100 docenti. Preciso anche il fatto che per "tracciare " intendo quanti dati si scaricano, i domini visitati ecc

Potresti spiegarmi cortesemente cosa si intende per "In alternativa si può evitare il capitive portal e mettere su un'autenticazione WPA enteprise con server RADIUS" ?
Sbaglio o si tratta di una password uguale per tutti?
grazie ancora

[peg1987]

In pratica si crea una lista di utenti associando un username e una password. Questo si fa su un server radius (penso che Windows server abbia questa funzione). Puoi usare anche la stessa password per tutti ma, a mio avviso, sarebbe illogico perché se uno volesse, basterebbe prendere il nome utente di un altro ed usare la stessa password. Ma questo lo dovete valutare voi.
Poi servono degli Access Point che supportino il wpa Enterprise e gli si dice di andare a recupera gli utenti dal server radius. Poi per l'analisi del traffico dovete trovare voi il sistema che vi sia più congeniale. Cioè un sistema come Untangle o Sophos, oltre alla raccolta dati possono fare il web filtering (es: bloccare i siti porno), e anche application controll (es: bloccare i torrent o Netflix).
Dipende da cosa volete ottenere. Personalmente ritengo Untangle più semplice e completo (infatti ho scelto di pagare 50€, piuttosto che avere un sistema più complesso (ma comunque molto versatile) gratuitamente .

[Fabio0776]

Quote:

Originariamente inviato da peg1987

In pratica si crea una lista di utenti associando un username e una password. Questo si fa su un server radius (penso che Windows server abbia questa funzione). Puoi usare anche la stessa password per tutti ma, a mio avviso, sarebbe illogico perché se uno volesse, basterebbe prendere il nome utente di un altro ed usare la stessa password. Ma questo lo dovete valutare voi.
Poi servono degli Access Point che supportino il wpa Enterprise e gli si dice di andare a recupera gli utenti dal server radius. Poi per l'analisi del traffico dovete trovare voi il sistema che vi sia più congeniale. .

Quinsi, all'accensione di un pc da parte di un utente cosa accade? accede direttamente in rete senza inserire le credenziali?

[peg1987]

Si, se ha configurato correttamente le credenziali al primo accesso, non le richiede più. A meno che queste non vengano modificate dagli amministratori del sistema. Questo tipo di autenticazione vale solo per il wifi. In ogni caso visto che avete un server Windows, potete anche creare una active directory e farli registrare con quelle credenziali. Tuttavia non sono molto esperto in questo settore. Questo metodo però copre anche le connessioni cablate.