autenticazione su hot spot con indirizzo MAC ?

[airfly]

Salve a tutti, devo realizzare un hot-spot in grado di consentire ad certo numero di utenti, sparsi su un'area di circa 4 km quadrati, attualmente non raggiunta da ADSL, la connessione ad internet.

Per quanto riguarda l'autenticazione dei vari utenti, avevo considerato che, se ben mi ricordo, ogni dispositivo per connessioni in rete, (e quindi anche le chiavette wi-fi) hanno un indirizzo MAC univoco nel mondo.
Una semplice domanda, quindi, sorge spontanea...non sarebbe possibile autenticare l'accesso ad un access point (e quindi ad un hotspot) non con una chiave WPA o altra PW (facilmente "trasferibili" fra utenti) ma con l'indirizzo MAC del dispositivo wi-fi?

Vorrei quindi sapere:

1) se la cosa è fattibile
2) se esiste un software in grado di creare una "access list" nella quale memorizzare la lista degli indirizzi MAC autorizzati
3) se tale sistema sarebbe in linea con le disposizioni di Legge sugli hot-spot
4) considerando che posso installare le apparecchiature dell'hot-spot e le relative antenne sul tetto di un palazzo di 8 piani che "vede" perfettamente tutta l'area in questione ( l'utente più lontano sarebbe a circa 3 km), quali sono le potenze RF in gioco richieste o che tipo di access point si può usare
5) che limiti ci sono al numero di utenti collegabili allo stesso tempo, considerando un collegamento ADSL Fastweb a 20 MB?

Vi sarei grato se mi faceste sapere qualcosa in merito.
Grazie e salutoni

[pierodj]

in genere per sicurezza si impostano entrambe le cose, chiave WPA e filtro sul MAC address; quest'ultimo si imposta dal router/access point

[gargamella]

Quello che vorresti fare tu è un problema a parecchi livelli.

1) l'autenticazione via MAC sarebbe ridicolmente semplice da aggirare,
senza contare il traffico in chiaro.
2) non si possono superare i 100mW EIRP in trasmissione e oltretutto
per attraversare il suolo pubblico avresti bisogno di specifico permesso.
3) non puoi fornire connettività a terzi senza incorrere nelle ire del decreto
Pisanu (oltre al fatto che tutto quello che farebbero sarebbe a nome dell'intestatario della connessione).
4) normalmente i contratti residenziali non prevedono la rivendita o anche la cessione gratuita a terzi.

[airfly]

Grazie per la risposta,per quanto riguarda il punto 1, il fatto è che l'utente finale dovrebbe capire che l'autenticazione avviene in tal modo, e non è detto che lo capisca, dovrebbe essere in grado di modificare l'indirizzo nelle mie pennette (che dovrebbe necessariamente acquistare da me per poter usufruire del servizio, e che potrebbero essere previste per evitare lo spoofing), inoltre sarebbe abbastanza facile capire dai log se un indirizzo MAC è stato "duplicato", e ovviamente in tal caso sarebbe subito disattivato.
Quello che mi piacerebbe sapere, in merito al punto 2 della tua risposta, è come mai vengano comunemente usati in molti hot-spot apparati da 500mW o anche 1 watt di potenza (+ il guadagno delle antenne), il cui segnale irradiato raggiunge sicuramente areee pubbliche.
Per esempio, a Civitavecchia, un hot-spot gratuito esercitato da MacDonalds, funziona a parecchie decine di metri fuori dal locale, (pertanto su suolo pubblico) per cui un utente si può collegare con un portatile o simili anche dalla parte opposta della strada o ancora da più lontano, senza essere identificato, in barba a Pisanu. Sempre nella stessa città alcuni sistemi usati nel porto sono facilmente collegabili, purchè si sia nel fascio delle antenne direttive e vi sono in città altri impianti parimenti facilmente utilizzabili senza identificazione documentale.
Se come tu mi dici, è vietato attraversare il suolo pubblico senza uno specifico permesso, vorrei capire come è possibile "confinare" le onde radio in uno specifico spazio...quando realizzo i ponti radio o i collegamenti fisso-mobile inVHF o UHF, il problema sta proprio nel limitare la portata (per esempio i 15 km minimi), per rimanere nei limiti della licenza ministeriale senza incorrere nei disservizi e perdite di segnale nelle fringe areas.
Inoltre, se "i contratti residenziali non prevedono la rivendita o anche la cessione gratuita a terzi", (punto 4) come fa il suddetto MD (e gli altri) a fornire il servizio di hot-spot? Esiste quindi un tipo di contratto specifico?
Credo che la questione sia di interesse abbastanza generale ed ogni consiglio sarà ben apprezzato, perchè ci sono poche risposte in giro sullo specifico argomento..
Un saluto a tutti

Quote:

Originariamente inviato da gargamella

Quello che vorresti fare tu è un problema a parecchi livelli.

1) l'autenticazione via MAC sarebbe ridicolmente semplice da aggirare,
senza contare il traffico in chiaro.
2) non si possono superare i 100mW EIRP in trasmissione e oltretutto
per attraversare il suolo pubblico avresti bisogno di specifico permesso.
3) non puoi fornire connettività a terzi senza incorrere nelle ire del decreto
Pisanu (oltre al fatto che tutto quello che farebbero sarebbe a nome dell'intestatario della connessione).
4) normalmente i contratti residenziali non prevedono la rivendita o anche la cessione gratuita a terzi.

[gargamella]

Quote:

Originariamente inviato da airfly

Grazie per la risposta,per quanto riguarda il punto 1, il fatto è che l'utente finale dovrebbe capire che l'autenticazione avviene in tal modo, e non è detto che lo capisca, dovrebbe essere in grado di modificare l'indirizzo nelle mie pennette (che dovrebbe necessariamente acquistare da me per poter usufruire del servizio, e che potrebbero essere previste per evitare lo spoofing), inoltre sarebbe abbastanza facile capire dai log se un indirizzo MAC è stato "duplicato", e ovviamente in tal caso sarebbe subito disattivato.
Quello che mi piacerebbe sapere, in merito al punto 2 della tua risposta, è come mai vengano comunemente usati in molti hot-spot apparati da 500mW o anche 1 watt di potenza (+ il guadagno delle antenne), il cui segnale irradiato raggiunge sicuramente areee pubbliche.
Per esempio, a Civitavecchia, un hot-spot gratuito esercitato da MacDonalds, funziona a parecchie decine di metri fuori dal locale, (pertanto su suolo pubblico) per cui un utente si può collegare con un portatile o simili anche dalla parte opposta della strada o ancora da più lontano, senza essere identificato, in barba a Pisanu. Sempre nella stessa città alcuni sistemi usati nel porto sono facilmente collegabili, purchè si sia nel fascio delle antenne direttive e vi sono in città altri impianti parimenti facilmente utilizzabili senza identificazione documentale.
Se come tu mi dici, è vietato attraversare il suolo pubblico senza uno specifico permesso, vorrei capire come è possibile "confinare" le onde radio in uno specifico spazio...quando realizzo i ponti radio o i collegamenti fisso-mobile inVHF o UHF, il problema sta proprio nel limitare la portata (per esempio i 15 km minimi), per rimanere nei limiti della licenza ministeriale senza incorrere nei disservizi e perdite di segnale nelle fringe areas.
Inoltre, se "i contratti residenziali non prevedono la rivendita o anche la cessione gratuita a terzi", (punto 4) come fa il suddetto MD (e gli altri) a fornire il servizio di hot-spot? Esiste quindi un tipo di contratto specifico?
Credo che la questione sia di interesse abbastanza generale ed ogni consiglio sarà ben apprezzato, perchè ci sono poche risposte in giro sullo specifico argomento..

Ti rispondo a quello che so:
In buona sostanza, solo un provider può fornire connettività a terzi, e tu
quindi dovresti diventarlo; qui trovi alcuni riferimenti, e forse potresti anche informarti con l'associazione ADD a riguardo.
Riguardo McDonald's: che io sappia forniscono credenziali di accesso gratuitamente, ma tramite un SMS, quindi hanno sempre un riferimento preciso.
Per quanto concerne l'identificazione, non credo che il MAC address sia una "misura minima" di sicurezza, e tu dovresti comunque tenere traccia di tutto quello che gli utenti fanno per averlo a disposizione in caso di eventuali indagini.
Per la connettività ce n'è per tutte le tasche, ovviamente non sono cose proposte al pubblico, e dovresti informarti con un commerciale di un qualche provider, ammesso che tu non voglia proprio diventare AS.
Inoltre le ADSL normali non sono adatte anche per via della banda in upload limitata (donde la "A").
Riguardo la potenza, a pensarci meglio, di solito i wisp non usano 802.11a/b/g, ma hiperlan, che ha dei limiti molto maggiori come emissioni (credo anche 1W come accennavi). Purtroppo è sopra i 5GHz, quindi dovrai essere proprio a vista, ma hai già detto di avere a disposizione un tetto.