Безопасный портал?

Question

Мы хотели бы использовать беспроводную точку доступа для общего пользования. Однако в случае ненадлежащего поведения мы хотели бы, чтобы некоторая личная информация могла быть передана правоохранительным органам.

Предлагаемое решение включает в себя портал, на котором пользователи вводят свои адреса электронной почты, а затем им предоставляется десять минут для проверки своей электронной почты и проверки, после чего им предоставляется неограниченный доступ.

Проблема, на мой взгляд, состоит в том, что, как только пользователь проходит аутентификацию, любой может прийти, подделать MAC или IP, а затем получить доступ. Если они совершают преступление или нарушают авторские права, теперь виноват пользователь, который ввел адрес электронной почты.

Теперь мы можем решить эту проблему, используя WPA и требуя от пользователей предварительной регистрации. Но, как я уже сказал, мы бы хотели, чтобы кто-нибудь просто подъехал и использовал его, и мы не хотим предоставлять техническую поддержку.

Другой альтернативой является не сбор адресов электронной почты, но в случае расследования или судебного разбирательства нам не нужно будет ничего передавать, и, следовательно, мы рискуем быть закрытыми.

Есть ли выход из этой дилеммы?

Answer 1

Ответ заключается в том, чтобы не заботиться о неудовлетворенных требованиях правоохранительных органов в отношении личной информации ваших пользователей. Если это неприемлемый ответ, тогда нужно прекратить попытки предоставить общедоступную точку доступа. Если это также неприемлемый ответ, то ответом является предлагаемое решение, которое у вас уже есть. То, как вы будете жить с самим собой для сбора личной информации от законопослушных людей, которая когда-либо будет использоваться преступниками для сокрытия своих следов, является личным вопросом и выходит за рамки этого сайта. Удачи.

Answer 2

Наличие у конечного пользователя юридической оговорки о том, что вы (поставщик) не несете ответственности, а они (конечный пользователь) несут ответственность, и что они не должны совершать незаконные действия, как правило, достаточно хорошо. Просто войдите, чтобы они нажали «Я согласен» и их IP и MAC в то время. Им следует делать это каждый раз, когда они подключаются.

Просьба по электронной почте в основном ничего не стоит; многие будут использовать выдуманную электронную почту или вводят опечатку, а потом жалуются, что ее так и не получили - многие будут использовать одноразовую электронную почту - многие будут использовать нежелательную учетную запись, созданную у одного из бесплатных провайдеров веб-почты.

Система, которая отправляет на свой мобильный телефон сообщение TXT с уникальным (случайным) кодом и вводит его на странице портала для получения доступа, является лучшей системой IMHO. Я делал это раньше, и все работает хорошо, за исключением детей, у которых есть маминый iPad или другой планшет, но нет телефона. Вы сохраняете все эти данные в течение 90+ дней или столько времени, сколько ваши юристы сообщат вам.

Поймите, что реализация всего этого значительно снижает фактическое использование вашей точки доступа, у пользователей нет терпения, и они будут разочарованы и откажутся от процесса.

Большинство встроенных портальных продуктов могут регистрировать аренду MAC-адресов и IP-адресов, которые получает каждый клиент, и где они находятся в Интернете (по крайней мере, так я делаю), поэтому, если поступит законный запрос, вы можете предоставить правоохранительным органам данные, которые вы иметь. Правоохранительные органы должны затем вытащить или отследить устройство с этим MAC, что в зависимости от уровня их компетентности возможно или невозможно для них, так как в любом случае это не ваша работа - выполнять их работу за них.

Я также выступаю фильтрование очевидное порно и вредоносных доменов, а не только сэкономить на трафике, но ограничить вашу ответственность. Это может сделать любой хороший продукт портала.

Ваша общедоступная беспроводная сеть должна, по крайней мере, быть настроена на NAT для отдельного статического IP-адреса, чтобы вы могли различать юридические запросы, которые ссылаются на этот IP-адрес, а не на частную офисную сеть. Это можно сделать с помощью отдельных межсетевых экранов или межсетевого экрана, который поддерживает несколько интерфейсов локальной сети.

Answer 3

Сбор электронной почты также будет бесполезным, поскольку у вас нет хорошего способа подтвердить его, не предоставив при этом скомпрометированный доступ. Вы должны просто регистрировать трафик, который генерирует пользователь.