Come posso prevenire l'abuso della nostra rete WiFi pubblica?

4

Uno dei nostri clienti gestisce un parco vacanze con < 100 utenti su di esso.

Al momento disponiamo di un mikrotik che previene torrenting, ecc., tuttavia la loro linea è stata interrotta perché qualcuno ha inviato email di spam e tentando di creare account online bruteforce.

Che cosa possiamo mettere in atto per prevenire attività dannose? Avrebbe funzionato un servizio come DYN dns? L'ISP non ci permetterà di tornare online finché non avremo mostrato loro che abbiamo preso provvedimenti per prevenire ulteriori abusi.

Grazie.

    
posta Matt Langstaff 29.08.2018 - 09:54
fonte

2 risposte

2

Non esiste una soluzione semplice per prevenire l'abuso di linee Internet condivise, specialmente se si vuole assicurarsi che la linea resti utile per gli utenti non abusivi.

Ciò che intendo è: molte persone che utilizzano un Wifi vorranno inviare e-mail da client di posta elettronica desktop, utilizzare connessioni VPN, messenger o effettuare chiamate utilizzando strumenti come Skype, ad esempio.

Se limiti le porte solo alle porte canoniche http / https non impedirai alcun attacco di forza bruta contro GMail / Facebook / lo chiami ma renderesti l'hotspot Wi-Fi inutilizzabile per molti utenti. Internet non è più solo il World Wide Web per molto tempo.

Le misure tipiche adottate sugli hotspot pubblici sono limitazioni in termini di quantità di dati consentiti per unità di tempo. Questo di solito significa implementare alcuni algoritmi di limitazione della velocità che sono ancora una volta tutt'altro che banali, perché se un client invia 100 MB in pochi secondi, questo sarà perfettamente ok se si tratta di una chat video, ma non si desidera consentire 100 MB di spam inviato in un minuto.

Nel caso in cui non si disponga delle competenze necessarie per affrontare questi problemi su base continuativa e non si pensi di voler sviluppare tale conoscenza, una decisione molto saggia potrebbe essere quella di delegare questo ad una società che lo fa per vivere.

Non voglio far cadere nessun nome qui, ma ci sono aziende specializzate in tutte le parti del mondo che gestiscono uno schema tramite il quale invii tutto il traffico dagli ospiti dei tuoi clienti attraverso una connessione VPN e faranno una specie di malintenzionato traffico e delegare il traffico legittimo a Internet utilizzando loro l'indirizzo IP indirizzato pubblicamente e non quello dell'ISP.

Il tuo ISP vedrà solo il traffico VPN e non ti biasimerà mai (taglia la linea) per tutto ciò che è stato inviato su quel link a meno che la pura quantità di traffico diventi un problema. Ma anche quello di solito può essere mitigato nel firmware del router che ti fornisce l'azienda con cui lavorerai.

    
risposta data 29.08.2018 - 11:38
fonte
0

Hai un sacco di opzioni.

La maggior parte dei migliori sono pagati, tuttavia inizia con il blocco di tutte le porte tranne 443 e 80, poiché in questo modo si limita al traffico web normale.

Utilizza OpenDNS e aggiungi un criterio che prevenga tutti i problemi noti noti.

Quindi un po 'più complesso, guarda i file bloccati sul tuo firewall (hai bisogno di layer 7 aware / NGFW), un proxy web come calamaro o un IPS. Avrai difficoltà con TLS e le preoccupazioni sulla privacy supererebbero il vantaggio.

Qualcosa come Sophos UTM o CISCO può fare tutto questo per circa £ 1k.

Userei il DNS e le porte per fornire un certo livello di protezione e forse limiti di larghezza di banda. Altrimenti diventa complesso, dal momento che puoi registrare informazioni sensibili e farti coinvolgere in problemi più grandi. Anche qualcosa di troppo complesso probabilmente non viene rilevato dall'ISP per gli stessi motivi.

    
risposta data 29.08.2018 - 10:11
fonte

Leggi altre domande sui tag