Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Logování síťového provozu HotSpot

Právní problematika, závazná legislativa, provozní a lokalizační údaje, atd.
CrazyApe
Příspěvky: 790
Registrován: 9 years ago

Logování síťového provozu HotSpot

Příspěvekod CrazyApe » 4 years ago

Ahoj,
řeším tady jeden takový problém a to logování sítového provozu z HotSpot systému. Jedná se o HotSpot fungujici na unifi + cloud key generujici vouchery atp. + MikroTik router, ktery prideluje adresy + dela shaping. Vše schované za jednou veřejkou. Rozdává 240 vnitrnich IP adres s lease time 1h. V průměru je na tom tak 200 zarizeni +-
Na celou naši sít používáme na logovaní FlowPRO, jenže to mi na tohle neprijde dostatečné. Sice vím, která vnitřní IP komunikuje kam ven to si samozdrejme vyčtu z MikroTik routeru, ale uz nevím čí to zařízení je. Napadá mě snad jen rozdávat lease na půl roku a držet to v tom MikroTiku(je pod baterkama) jenže to bych zase musel mít pool jak blázen pač se tam za půl roku vysťřídá tak 5k zaŕízení :) ...
Neřešil jste někdo podobný problém?



Díky za každou radu
0 x

Noxus28
Příspěvky: 439
Registrován: 12 years ago

Příspěvekod Noxus28 » 4 years ago

To radšej z toho mikrotiku posielať LOG dhcp niekam k sebe ako držať lease pol roka.
My sme riešili podobnú vec len bol hotspot na mikrotiku takže sa posielali logy z hotspot akcií a dhcp akcií k nám na dude. Neviem či nemá náhodou takú možnosť aj unifi hotspot? Viem že vie posielať kompletný syslog ale či iba hotspot logy to už ti nepoviem.
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Ideálně s z Mikrotiku posílat netflow do FlowPRO (nevím, jestli to ta věc umí), příp. někde do nfcapd / ELK.
0 x

KoZLiCeK
Příspěvky: 1201
Registrován: 16 years ago
Bydliště: CZ

Příspěvekod KoZLiCeK » 4 years ago

rsaf píše:Ideálně s z Mikrotiku posílat netflow do FlowPRO (nevím, jestli to ta věc umí), příp. někde do nfcapd / ELK.

ano umi a funguje to.
0 x

CrazyApe
Příspěvky: 790
Registrován: 9 years ago

Příspěvekod CrazyApe » 4 years ago

Ano, netflow do FlowPra mam samozdrejme nastaveny ale to mi neprijde, ze by stacilo kdyby na neco doslo ... ja bych asi potreboval jeste vedet IP + MAC a to me nenapada nijak jinak nez lease nejak držet někde. Nevite jeslti by sel nejak jednou za den třeba zaslat LOG DHCP leasů v MK abych videl ktera macka kterou ip mela?
0 x

Dalibor Toman
Příspěvky: 1246
Registrován: 11 years ago

Příspěvekod Dalibor Toman » 4 years ago

CrazyApe píše:Ano, netflow do FlowPra mam samozdrejme nastaveny ale to mi neprijde, ze by stacilo kdyby na neco doslo ... ja bych asi potreboval jeste vedet IP + MAC a to me nenapada nijak jinak nez lease nejak držet někde. Nevite jeslti by sel nejak jednou za den třeba zaslat LOG DHCP leasů v MK ?


skriptem na MT co minutu monitorovat ARP tabulku, detekovat zmeny a ty posilat na syslog a pres nej do DB ci kamkoliv. Akorat pro 200 aktivnich MACek uz to nebude moct IMHO bejt RB4xx. A taky by to mohlo narazit na nejaky limity delky globalnich promen nych na MT
0 x

KoZLiCeK
Příspěvky: 1201
Registrován: 16 years ago
Bydliště: CZ

Příspěvekod KoZLiCeK » 4 years ago

CrazyApe píše:Ano, netflow do FlowPra mam samozdrejme nastaveny ale to mi neprijde, ze by stacilo kdyby na neco doslo ...

Nevím jak bys chtel logovat anonymni IP pokud je za hotspotem (teda pokud nevyplnuji nejaky formulař, kde jdou jednoznačne identifiovat), nebo snad ty klienti za hotspotem jsou přímí tvý klienti (máš snima smlouvu)? nebo ten hotspot je u tveho klienta?
0 x

CrazyApe
Příspěvky: 790
Registrován: 9 years ago

Příspěvekod CrazyApe » 4 years ago

Je tam 3011 teče prez to 200Mbps na to by 433 asi nestacila :) ... takze to je asi v pohode spis si rikam jeslti se na to nevyseru... :) vy to nikdo neresite u HotSpotů ? Jak by to vlastně mělo být ? Z netflow dat totiz zjistim max ze IP 192.168.X.X komunikovala tam a tam, ale uz nevim kdo(co) na te IP v te dobe bylo ... vím MACky z cloudcontroleru a i zpetně, ale zase MACky nesbira flowpro ... past :-/ Jak se to vlastně řeší u hotelů, hospod a tak kde je freewifi ?
0 x

CrazyApe
Příspěvky: 790
Registrován: 9 years ago

Příspěvekod CrazyApe » 4 years ago

KoZLiCeK píše:
CrazyApe píše:Ano, netflow do FlowPra mam samozdrejme nastaveny ale to mi neprijde, ze by stacilo kdyby na neco doslo ...

Nevím jak bys chtel logovat anonymni IP pokud je za hotspotem (teda pokud nevyplnuji nejaky formulař, kde jdou jednoznačne identifiovat), nebo snad ty klienti za hotspotem jsou přímí tvý klienti (máš snima smlouvu)? nebo ten hotspot je u tveho klienta?


Hotspot je dejme tomu ubytovna. Nase konektivita,unifi system na vouchery a voucher se páruje na MACku a vím, komu se jednotlive vouchery prodavaji. Voucher je treba na mesic/zarizeni. Nejsem uz ale schopen dopárovat IP -> MAC ... proto reseim jak to udelat. Smlouu s nima samozdrejme nemam... Je to tak jak v hotelu kdyz si koupis v Italii za 4E listek na net .. resim to z toho duvodu, ze tady se ptam na nejakou ubytovnu ale zajimalo by me jak by to bylo kdybych treba v hospode mel otevrenou wifi a smlouva na mě a někdo tam něco ... uz jsme resili v siti takovych pruserů od policajtu co lidi nadelali, ze bych nechtél aby se to stalo treba nám na zminené ubytovně a šlo to za náma...
0 x

Noxus28
Příspěvky: 439
Registrován: 12 years ago

Příspěvekod Noxus28 » 4 years ago

tak prečo si nepošleš z mikrotik DHCP log niekam ku sebe? Mikrotik tú možnosť má a u seba si spravíš čokolvek, čo vie načúvať poslaným logom, čo už v tejto dobe vedia aj obyčajné NASky podľa času budeš vedieť dopátrať IP- MAC
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

CrazyApe
Příspěvky: 790
Registrován: 9 years ago

Příspěvekod CrazyApe » 4 years ago

Asi to tak udělám, nějak mě to nenapadlo predtim ...
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

V netflow exportech jsou obsaženy i MAC adresy. Takže od všech AP to máme L2 až na Mikrotik, mikrotik dělá NAT na veřejnou + netflow. Pokud by přišla výzva na IP adresu hotspot GW tak jsem schopen (úplně stejně jako by to byl platící klient se smlouvou) určit jeho IP i MAC na hotspotu. To že ta mac ve FlowPRO (možná) není vidět je věc druhá.

https://www.cisco.com/en/US/technologie ... a3db9.html
Table 6. NetFlow Version 9 Field Type Definitions
IN_SRC_MAC 56 6 Incoming source MAC address
OUT_DST_MAC 57 6 Outgoing destination MAC address

Ovšem celkově je to asi trošku šedá zóna. Pokud hotspot provozuje hospoda, tak by asi logovat neměli (GDPR...), operátor by zase mohl mít problém s poskytováním neidentifikovaným účastníkům. Bylo by dobré ještě mít vyřešeno (zalogováno) na kterém hotpostu uživatel byl. Pokud policajtům sdělím že se jednalo o anonymního užovatele připojeného na hotspot na určité adrese a předám jim MAC adresu, v 99% to bude více, než k čemu se běžně dostanou a prudit by nemuseli.
Naposledy upravil(a) rsaf dne 30 Sep 2019 19:30, celkem upraveno 1 x.
0 x

CrazyApe
Příspěvky: 790
Registrován: 9 years ago

Příspěvekod CrazyApe » 4 years ago

rsaf píše:V netflow exportech jsou obsaženy i MAC adresy. Takže od všech AP to máme L2 až na Mikrotik, mikrotik dělá NAT na veřejnou + netflow. Pokud by přišla výzva na IP adresu hotspot GW tak jsem schopen (úplně stejně jako by to byl platící klient se smlouvou) určit jeho IP i MAC na hotspotu. To že ta mac ve FlowPRO (možná) není vidět je věc druhá.

https://www.cisco.com/en/US/technologie ... a3db9.html
Table 6. NetFlow Version 9 Field Type Definitions
IN_SRC_MAC 56 6 Incoming source MAC address
OUT_DST_MAC 57 6 Outgoing destination MAC address


Tato infirmace mě celkem potěšila :) díky pohrabu se v tom a zjistím ...
0 x

KoZLiCeK
Příspěvky: 1201
Registrován: 16 years ago
Bydliště: CZ

Příspěvekod KoZLiCeK » 4 years ago

Pokud je hotspot u klienta ktery ji provozuje v hospode nebo v ubytovne tak prechazi povinnost na nej.Pokud pcr chce data, predam info o klientovy co ma smlouvu a tim to pro me konci.Ze tam ma hotspot na verejne pripojeni tak to uz neni muj problem.
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

To ano, ale je dobré té hospodě alespoň trošku pomoci a třeba jim dát dvě veřejné adresy (nebo jen dvě vnitřní adresy abych to pak poznal z DR) ať existuje možnost odlišit provoz hotspotu od zbytku.
My ale třeba hotspoty provozujeme pro hospody - zařízení je naše, konektivita je naše oddělená od hospody, SSID je naše. Pro hospodu je to přidaná hodnota, pro nás trošku propagace... Pak se nedá zodpovědnost jen tak přehodit na hospodu.
0 x