HotSpot - Gestione banda e legge

[alexmere]

In questo file è presentato sommariamente il necessario per fornire Internet al pubblico: http://www.netorange.it/AspettiLegaliDecretoPisanu.pdf

[alexmere]

Quote:

Originariamente inviato da koolio

...omissis...
in attesa del parere di uno studio legale interpellato dal mio cliente....quando avrò la loro risposta se volete la posso postare in questo forum...intanto ciao

C'è qualche novità?

[xool]

Ciao, ma con pfsense non sei più andato avanti?

[alexmere]

Quote:

Originariamente inviato da xool

Ciao, ma con pfsense non sei più andato avanti?

Non ho risolto il problema con il RADIUS, ma comunque fra qualche settimana (o giorno) si parte con il Captive Portal.

[xool]

Quindi farai la semplice autenticazione in locale? A me serviva qualcosa di più avanzato, tipo creazione di utenti alla bisogna tramite un form e sessioni a tempo. Penso che questa cosa la possa fare solo il Radius

[alexmere]

Quote:

Originariamente inviato da xool

Quindi farai la semplice autenticazione in locale? A me serviva qualcosa di più avanzato, tipo creazione di utenti alla bisogna tramite un form e sessioni a tempo. Penso che questa cosa la possa fare solo il Radius

Anche io vorrei farlo come te cosa, ma al proprietario interessa una roba semplice, anche se manuale, soprattutto lato utenti.

[mnovait]

Quote:

Originariamente inviato da alexmere

Anche io vorrei farlo come te cosa, ma al proprietario interessa una roba semplice, anche se manuale, soprattutto lato utenti.

riporto alla luce questo vecchio 3d,per sapere se gli utenti che hanno partecipato hanno qualche novità.

saluti..

[xool]

Si certo! Io alla fine ho optato per una piattaforma interamente su ubuntu server (anche se sono amante di Debian) seguendo questa guida che mi ha dato gli spunti

https://faberlibertatis.org/wiki/Hot...y_Server_HOWTO

All'inizio avevo iniziato con la Debian, mia preferita, ma installa pacchetti più obsoleti e il supporto è minore.

Ora non mi rimane che creare un piccolo tool in php per la gestione degli utenti, l'unico problema è che non ci capisco una mazza di php

Qualcuno potrebbe indicarmi una buona guida completa da cui partire per la creazione di form in PHP con interfacciamento su MySQL?

L'altro punto spinoso è il log, non si è ancora capito se si possono loggare solo gli indirizzi IP visitati dall'utente o bisogna solo tenere traccia di quando si è connesso/disconnesso e che IP aveva in locale e basta.

[mnovait]

Quote:

Originariamente inviato da xool

Si certo! Io alla fine ho optato per una piattaforma interamente su ubuntu server (anche se sono amante di Debian) seguendo questa guida che mi ha dato gli spunti

https://faberlibertatis.org/wiki/Hot...y_Server_HOWTO

All'inizio avevo iniziato con la Debian, mia preferita, ma installa pacchetti più obsoleti e il supporto è minore.

Ora non mi rimane che creare un piccolo tool in php per la gestione degli utenti, l'unico problema è che non ci capisco una mazza di php

Qualcuno potrebbe indicarmi una buona guida completa da cui partire per la creazione di form in PHP con interfacciamento su MySQL?

L'altro punto spinoso è il log, non si è ancora capito se si possono loggare solo gli indirizzi IP visitati dall'utente o bisogna solo tenere traccia di quando si è connesso/disconnesso e che IP aveva in locale e basta.

grazie per il link...veramente molto molto interessante.

per la questione legale quindi siamo ancora in alto mare..
io continuo a cercare.

domandina:ma come fa FON a essere legale?

[pegasolabs]

Infatti secondo me non lo è
il problema al solito sono le normative, che vengono analizzate e prese in considerazione solo quando succede qualcosa di grosso. Dopo tutti scoprono l'uovo...

[xool]

Pegasolabs ma tu non hai mai avuto esperienze in merito? Mi ricordo che tu partecipasti già ad una discussione su questo argomento del log.

Io dovrò consegnare il lavoro a breve e ancora non so se devo loggare anche i siti visitati (ma solo gli IP) o loggare solo l'accesso dell'user.

Sarebge interessante capire come fanno negli aeroporti dove ormai è da anni che vanno gli HOTSPOT

[pegasolabs]

Il problema è che quello che si faceva qualche anno fa potrebbe essere non valido ora. Cmq sto cercando di chiarire la questione dal punto di vista legale anche io, ma per ora non ho notizie certe.
In ogni caso anche sul sito da te linkato si dice:

4) Normativa

Per la normativa vigente è necessario mantenere traccia delle connessioni uscenti e degli utenti che le effettuano per un lungo periodo. Non vanno però tenute informazioni sul "cosa" visualizzano gli utenti (eventuali proxy dovranno essere no-cache)

Cosa che secondo me rimane insufficiente, ma sembrerebbe valido:
http://www.bobby-router.it/fromlogin57.pdf

Cmq ripeto appena avrò qualche riscontro legalmente attendibile sarò il primo a postarlo.

[xool]

E infatti è proprio da quella che guida che mi è nato il dubbio, se si dice che bisogna solo mantenere traccia delle connessioni uscenti e degli utenti che le effettuano per un lungo periodo e che non vanno tenute informazioni sul "cosa" visualizzano gli utenti (quindi immagino si riferisca a siti web visitati dall'utente), cosa spiega a fare l'installazione del proxy Squid in modalità transparent? Nella configurazione fa impostare il firewall e il proxy per far si che logghi solo gli IP dei siti visitati dall'utente e non la risoluzione del nome (che non capisco a cosa serva, visto che se hai l'IP ci metti 2nsec a sapere il nome).
Poi giustamente dice che eventuali proxy dovranno essere no-cache, quindi che non devono loggare? A che servirebbe un proxy allora?

[pegasolabs]

Appena posso leggo cosa consiglia la guida. Il transparent proxy può servire anche solo per fare che so...content filtering..

[alexmere]

Finalmente è arrivata la connessione Internet nella birreria, per cui ora sto smanettando (a casa) con due distribuzioni per vedere un po' che si può fare.
Dal punto di vista normativo non ho alcuna novità.
Dal punto di vista tecnico, sto provando pfSense e ZeroShell, che mi sembrano la cosa più veloce da utilizzare per mettere in piedi il servizio.
pfSense non offre il servizio di Certificare Authority, (che mi pare di aver capito essere) indispensabile per utilizzare il RADIUS e per crittografare le connessioni senza fili che si instaurano. ZeroShell lo offre, ma per il momento non sono ancora riuscito a rendere operativa la crittografia delle connessioni senza fili.

Quello che ho in mente è la seguente cosa.
- Il cliente arriva in birreria, viene a sapere che c'è il wi-fi (gratis!) e allora chiede di usarlo.
- Il gestore espleta gli obblighi legislativi: fotocopia di carta di identità e compilazione del registro cartaceo o informatizzato che associa l'identità del cliente all'account appena creato.
- Il cliente si collega alla rete senza fili pubblica (nel senso che si vede, cioè che il SSID è in broadcast) e scarica il certificato legato al suo account, che poi installa. Su questa rete senza fili è possibile effettuare esclusivamente la consultazione delle modalità di utilizzo del servizio e lo scarico del certificato.
- Il cliente inserisce manualmente il SSID privato (nel senso che non si vede, cioè che il SSID non è in broadcast), che gli serve per accedere all'esterno, e istruisce il browser ad utilizzare per quella rete wi-fi il certificato che ha appena installato (che contiene anche la password WPA (non nota), che serve per crittografare la connessione tra client e Access Point).
- Se tutto funziona a dovere, il cliente può navigare.

Ciò che non mi è chiaro è se con ZeroShell riesco a fornire questo tipo di servizio, oppure se è necessario smanettare con qualche altro software per creare delle applicazioni basate su web fatte apposta per questo scopo (in questo secondo caso, sarei nella m...).

Nel frattempo, io continuo a smanettare...

[xool]

Ci sono un pò di punti oscuri in quello che vuoi fare, almeno da quello che ho capito io.

Ci sono passato anch'io da Zeroshell ma poi l'ho abbandonata perchè non prevede l'accouting degli utenti e quindi la vedo difficile implementarlo visto che dubito si possa installare apache e quant'altro per creace un applicato doc (ad esempio in PHP) per la gestione degli utenti.

Intanto ti segnalo il mio post dove sto cercando aiuti per la realizzazione di quell'applicativo di cui penso abbia bisogno pure tu:

http://www.hwupgrade.it/forum/showthread.php?t=1863989

Veniamo ai punti oscuri secondo me:

Quote:

- Il cliente si collega alla rete senza fili pubblica (nel senso che si vede, cioè che il SSID è in broadcast) e scarica il certificato legato al suo account, che poi installa. Su questa rete senza fili è possibile effettuare esclusivamente la consultazione delle modalità di utilizzo del servizio e lo scarico del certificato.

tu dici che il cliente si scarica il certificato legato al suo account, ma a che serve? Solitamente il certificato è unico e il server lo usa per identificare i client e lo manda quando l'autenticazione è fatta in SSL (connessione protetta). Poi può andar bene la storia di far navigare la gente solo fra le pagine che vuoi tu che magari spiegano il servizio.
Se usi il Captive Portal appena un utente cerca di andare fuori dalla tua rete, viene sparata la schermata di login oltre la quale non vai...

Quote:

- Il cliente inserisce manualmente il SSID privato (nel senso che non si vede, cioè che il SSID non è in broadcast), che gli serve per accedere all'esterno, e istruisce il browser ad utilizzare per quella rete wi-fi il certificato che ha appena installato (che contiene anche la password WPA (non nota), che serve per crittografare la connessione tra client e Access Point)

Da quello che si capisce da qui tu vuoi realizzare un altra rete wifi che servirà per andare su internet dopo aver ricevuto questo certificato di cui parli, a mio parere è troppo macchinoso e inutile.
Tu fai un'unica rete alla quale può connettersi chiunque, ma allo stesso tempo chi si connette non va da nessuna parte perchè come detto prima appena apre una pagina sbatte contro il server che avrà il Captive Portal e gli uscirà una pagina di login...

spero di aver chiarito qualche dubbio e ti consiglio di leggere la guida che ho postato poco sopra

[alexmere]

In ZeroShell sarà previsto l'accounting prossimamente (nella versione 1.0beta11 c'è il link: se ci clicchi sopra, ti informano che la funzione sarà inserita prima o poi). Scusa, ma allora la domanda sorge spontanea! L'accounting è condizione necessaria?
Oggi pomeriggio smanettando con ZeroShell sono riuscito a creare un certificato digitale per l'accesso ad Internet di un ipotetico utente. Nella pagina di login del captive portal è richiesto l'inserimento di username e password, oppure basta cliccare sul bottone "X.509 Login" (se il certificato con chiave pubblica è stato installato sul proprio client) per navigare direttamente (vedi gli screenshots nel messaggio di wgator del 28/06/2008 in questa stessa discussione). Se poi a parte fai fotocopia di carta di identità e associ i dati di essa alle credenziali di accesso che crei subito (memorizzandola su un registro cartaceo o su supporto elettronico) per permettere l'utilizzo del servizio, non sei a posto?
Comunque sia, non sono ancora riuscito a far funzionare la rete wireless con crittografia...

[alexmere]

Quote:

Originariamente inviato da xool

...
tu dici che il cliente si scarica il certificato legato al suo account, ma a che serve? Solitamente il certificato è unico e il server lo usa per identificare i client e lo manda quando l'autenticazione è fatta in SSL (connessione protetta). Poi può andar bene la storia di far navigare la gente solo fra le pagine che vuoi tu che magari spiegano il servizio.
Se usi il Captive Portal appena un utente cerca di andare fuori dalla tua rete, viene sparata la schermata di login oltre la quale non vai...

In effetti se creo delle credenziali di accesso che mi servono anche per scaricare il certificato, basta un furto delle credenziali perché qualcun'altro possa usare il mio certificato. A questo punto sarebbe meglio che quando il gestore crea le credenziali, dia il certificato dell'utente tramite chiavetta USB o via email o in qualche altro modo.

Quote:

Da quello che si capisce da qui tu vuoi realizzare un altra rete wifi che servirà per andare su internet dopo aver ricevuto questo certificato di cui parli, a mio parere è troppo macchinoso e inutile.
Tu fai un'unica rete alla quale può connettersi chiunque, ma allo stesso tempo chi si connette non va da nessuna parte perchè come detto prima appena apre una pagina sbatte contro il server che avrà il Captive Portal e gli uscirà una pagina di login...

spero di aver chiarito qualche dubbio e ti consiglio di leggere la guida che ho postato poco sopra

Mi sono spiegato malissimo, perché ho in mente come funziona il servizio al Politecnico di Milano
http://www.asi.polimi.it/rete/wifi/i...a%20Utente.pdf
e volevo ispirarmi ad esso, ma lì ci sono un sacco di risorse (hardware e software) che una birreria (secondo me) non può permettersi. Comunque non demordo, ormai la strada è tracciata...

[mnovait]

Quote:

Originariamente inviato da alexmere

Mi sono spiegato malissimo, perché ho in mente come funziona il servizio al Politecnico di Milano
http://www.asi.polimi.it/rete/wifi/i...a%20Utente.pdf
e volevo ispirarmi ad esso, ma lì ci sono un sacco di risorse (hardware e software) che una birreria (secondo me) non può permettersi. Comunque non demordo, ormai la strada è tracciata...

secondo me per una rete di quelle dimensioninon è necessaria quella trafila con certificato e quindi con wpa entereprise.
se si riuscisse a trovare un modo per cui l'accesso sia consentito solamente con credenziali sarebbe il massimo, e secondo me è sufficiente.

ps:allora per il log basta id utente, ora inizio/fine connessione?

[xool]

Quote:

Originariamente inviato da alexmere

In ZeroShell sarà previsto l'accounting prossimamente (nella versione 1.0beta11 c'è il link: se ci clicchi sopra, ti informano che la funzione sarà inserita prima o poi). Scusa, ma allora la domanda sorge spontanea! L'accounting è condizione necessaria?
Oggi pomeriggio smanettando con ZeroShell sono riuscito a creare un certificato digitale per l'accesso ad Internet di un ipotetico utente. Nella pagina di login del captive portal è richiesto l'inserimento di username e password, oppure basta cliccare sul bottone "X.509 Login" (se il certificato con chiave pubblica è stato installato sul proprio client) per navigare direttamente (vedi gli screenshots nel messaggio di wgator del 28/06/2008 in questa stessa discussione). Se poi a parte fai fotocopia di carta di identità e associ i dati di essa alle credenziali di accesso che crei subito (memorizzandola su un registro cartaceo o su supporto elettronico) per permettere l'utilizzo del servizio, non sei a posto?
Comunque sia, non sono ancora riuscito a far funzionare la rete wireless con crittografia...

Ok ora è più chiaro il tutto

Il sistema che dovrò creare io sarà dato completamente in mano al cliente che dovrà gestirlo nel futuro, quindi onde evitare che mi chiamano ogni 5 sec è cosa saggia darli un sistema stand alone facilissimo da usare, in maniera tale che l'utente arriva, da la sua carta d'identità, la segretaria immette i dati e fornisce un foglio con tutto il necessario per connettersi...

Il problema rimane la creazione di User e Password (che a mio parere rimane il miglior metodo per la sicurezza), non gli si può chiedere al cliente di inventarsi un User e Password ogni volta che qualcuno ne fa richiesta.