Hotspot Rehberi

Hotspot Nedir?

Hotspot, kullanıcıların bir İnternet servis sağlayıcısına bağlı bir router ile kablosuz yerel alan ağı (WLAN) aracılığıyla, genellikle Wi-Fi teknolojisi kullanarak İnternet'e erişimini sağlayan bir teknolojidir. Targitas Hotspot konfigürasyonu, kullanıcıların hızlı ve kolay bir şekilde Wi-Fi bağlantısına bağlanmasını sağlar ve daha sonra bir authentication adımı için bir web arayüzüne yönlendirilerek, giriş denemeleri ve aktif kullanıcılar izlenebilir.

Bu Targitas Hotspot konfigürasyonu sayesinde, kullanıcıların bağlantı girişleri güvenli bir şekilde sağlanır ve ağa yetkisiz erişimler engellenir.Ayrıca, Hotspot kullanıcılarının oluşturduğu trafikte DPI analizi gerçekleştirilebilir ve bu sayede ağa zararlı trafiklerin girmesi önlenir. Ayrıca, Hotspot kullanıcıları için içerik filtreleme ve QoS hizmetleri de sunulabilir.

Bu özellikler, Targitas Hotspot'un ağ güvenliği konusundaki etkinliğini artırmaktadır. DPI analizi sayesinde, ağa giren tüm trafikler izlenerek zararlı içeriklerin engellenmesi sağlanır. Ayrıca, içerik filtreleme ve QoS hizmetleri sayesinde, kullanıcıların erişebileceği içerikler kontrol altında tutulur ve ağın performansı artırılır.

Hotspot Konfigürasyon adımları

Targitas arayüzünde Hotspot Konfigurasyonu 3 adımda gerçekleştirilir:

1- Yerel Alan Ağı Oluşturma

2- Hotspot Captive Portal Oluşturma

3- Firewall Kurallarını Oluşturma

Birinci adım Configuration -> Network -> Interface arayüzünde Vlan Interface sekmesinde gerçekleştirilecektir.

İkinci adım Configuration -> AAA -> Hotspot arayüzünde Captive Portal oluşturma gerçekleştirilecektir.

Üçüncü adım Configuration -> Firewall -> Rule arayüzünde gerekli Firewall kuralı oluşturulacaktır.

1- Yerel Alan Ağı Oluşturma

Firewall ve Vlan oluşturma adımlarında takibi kolaylaştırması için Configuration -> Network -> Zone -> New Zone arayüzünde Hotspot isimli bir Zone oluşturmamız faydalı olur.

Hotspot kurulumunun gerekliliklerinden birisi bir yerel alan ağı (LAN) oluşturulmasıdır. Hotspot cihazın kendisi ve Hotspot'a bağlanacak kullanıcıların IP adreslerinin yer alacağı VLAN oluşturmak için Configuration -> Network -> Interface -> Vlan -> New Vlan arayüzünde bir sanal yerel alan ağı(vlan) oluşturabiliriz.

Layer 2

Ports

Layer 3

Bu arayüzde Vlan ile ilgili 2. OSI Katmanı olan Data Link katmanı için gerekli olan konfigürasyonları belirleyebiliriz. Örnek Vlan oluşturmamızda aşağıdaki parametreleri belirlememiz yeterlidir.

ID

VLAN Interface için bir ID belirlenmiştir. Bu değer daha sonra değiştirilemeyecektir.

Name

VLAN Interface'e görevini ifade eden biri isim verilmesi gereklidir.

Zone

VLAN Interfac'in yer almasını istendiği Zone seçimleri yapılabilir.

Status

VLAN Interface'in aktif çalışabilmesi isteniyorsa seçilmesi gereklidir.

Ports sekmesinde Untagged Ports olarak Access Point(AP) veya Hotspot üzerinden internete bağlanması istenen cihazların bağlanacağı portların seçimi yapılmalıdır.

Bu arayüzde Vlan ile ilgili 3. OSI Katmanı olan Network katmanı için gerekli olan IP adresi, Gateway ve MTU gibi bilgileri belirleyebiliriz veya bu bilgileri DHCP sunucusundan almasını isteyebiliriz. Örneğimizde IPv4 adresi, netmask ve Gateway belirllememiz yeterli olacaktır.

Web arayüzünde gerçekleştirdiğimiz bu adımların Targitas CLI konfigürasyonu aşağıdaki gibidir.

!
interface vlan 50
 untagged ethernet 1/1/1 to 1/1/2 
 ip address 172.16.50.1/24
 gateway 172.16.50.1
 name HotSpot_Vlan
 spanning-tree stp
!

2- Hotspot Captive Portal Oluşturma

Bu adımda dikkat edilmesi gerekenler;

• Hotspot hangi OSI Layer üzerinde çalışacak.

• Hotspot Captive Portal'ın çalışacağı IP adresi ve portunun belirlenmesi

• Hotspot Captive Portal arayüzünde kullanıcılar hangi Authenticatin yöntemiyle giriş yapabilecekler.

Targitas Web arayüzünde Configuration -> AAA -> Hotspot arayüzünde Hotspot için gerekli konfigürasyon gerçekleştirilebilir.

General

Captive Portal

Status

Hotspot'un çalışması isteniyorsa aktifleştirilmelidir.

Simultaneous Use

Bir hesap bilgisi ile kaç cihazın giriş yapabileceğini belirtir. Aynı giriş bilgileri ile 5 cihaza kadar giriş yapılabileceğini belirledik.

Layer

Alttaki açıklamada da belirtildiği üzere Layer-2 veya Layer-3 tercihinin yapılması gereklidir.

Frequency

Yenilenme sıklığını belirtir.

Captive Portal menüsü altında Hotspot kullanıcı girişi arayüzünün konfigürasyonu gerçekleştirilir. Oluşturduğumuz örnek hotspot konfigürasyonu aşağıdadır.

Profile Name

Oluşturduğumuz Captive Portal profiline görevini ifade eden isim verilmesi önerilir.

Status

Hotspot Captive Portal'ın çalışması isteniyorsa aktifleştirilmelidir.

Listen IP

Captive Portal'ın hangi IP adresinde çalışacağı belirlenmelidir. Vlan oluşturma aşamasında belirlenen subnet içinden 172.16.50.1 IP adresi örnek olarak belirlenmiştir.

Port

Captive Portal'ın web arayüzünün 8585 port üzerinde çalışması örnek olarak belirlenmiştir.

Redirect Page After Login

Captive Portal arayüzünde başarılı bir şekilde kullanıcı girişi yapıldıktan sonra yönlendirilecek bir web sitesi belirlenebilir. Parta web sitesi örnek olarak belirlenmiştir.

Auth-order

Kimlik bilgileri ile doğrulamayı içeren tck-nvi-v1 doğrulama methodu örnek olarak belirlenmiştir.

Language alt menüsü altında kullanıcıya sunacağınız mesajları ve Logo alt menüsü altında web arayüzünü özelleştirebilirsiniz.

Web arayüzünde gerçekleştirdiğimiz bu adımların Targitas CLI konfigürasyonu aşağıdaki gibidir.

!
security hotspot
 enable
 layer-3
 frequency 5
 simultaneous-use 5
 captive-portal Example_Hotspot
  enable
  listen 172.16.50.1
  port 8585
  http-mode plaintext
  redirect-page-after-login https://parta.com.tr
  default-language tr
  auth-order tck-nvi-v1
  language-english
   login-ok "Login successful."
   logout-ok "Logout is successful."
   register-ok "Registration is complete. You can login using the password sent to your phone."
   page-disabled "Page Disabled."
   contact-administrator "Contact your system administrator for more info Berkay."
   page-unavailable "Page is unavailable"
   internet-access-ok "You are logged in. You have internet access."
   page-left-title "Parta Networks"
   page-left-content "Welcome, Log on to our network, and this device will automatically connect to internet."
  language-turkish
   login-ok "Kimlik Doğrulama Başarılı"
   logout-ok "Çıkış başarılı."
   register-ok "Kayıt tamamlandı. Telefonunuza gelen şifreyi kullanarak giriş yapabilirsiniz."
   page-disabled "Sayfa kapatılmıştır."
   contact-administrator "Daha fazla bilgi için sistem yöneticinize başvurun."
   page-unavailable "Sayfaya erişilemiyor."
   internet-access-ok "İnternet bağlantınız sağlanmıştır."
   page-left-title "Parta Networks"
   page-left-content "Hoş geldiniz, ağımızda oturum açtığınızda cihazınız otomatik olarak internete bağlanacaktır."
!

3- Firewall Kurallarını Oluşturma

Hotspot Captive Portal üzerinden giriş yapmayan kullanıcıların Captive Portal IP adresine erişiminin olması ama internet erişiminin bulunmaması gereklidir. Captive Portal üzerinden giriş yapan kullanıcıların ise sonrasında internet erişiminin sağlanması gereklidir. Bunun sağlanması için 3 adet Firewall kuralı oluşturulması gereklidir. Configuration -> Firewall -> Rule arayüzünden Firewall kuralları oluşturulabilir.

1- Firewall Kuralı, Hotspot'a erişim sağlayan tüm kullanıcıların DNS sorgusu yapabilmesini sağlar.

2. Firewall Kuralı, Hotspot üzerinde aktif giriş yapmamış kullanıcıların internet erişimini engeller ve kullanıcıları giriş yapmaya yönlendirir. Bu Firewall kuralına geçmeden önce Configuration -> Object -> Ip Address -> Create IP yolunu takip ederek 1 adet HotspotUsers isimli object oluşturmamız gereklidir.

Oluşturduğumuz HotspotUsers objesi başarılı bir şekilde giriş yapan kullanıcıların bilgilerini tutacaktır. Bu sayede Hotspot üzerinden başarılı bir şekilde giriş yapan kullanıcılar Firewall kuralı içerisinde Source IP bölümünde Exclude(Hariç) olarak belirtilmelidir.

Yukarıdaki kuralın devamında Security Policy alt menüsünde Hotspot olarak oluşturduğumuz Hotspot Captive Portal Profilini seçmemiz gereklidir.

İkinci Firewall kuralı içerisindeki bu ayarlamalar sayesinde başarılı bir şekilde Hotspot girişi yapan kullanıcıların erişimlerinin aktif oldukları süreç boyunca 2. firewall kuralı tarafından engellenmeden 3. Firewall kuralı sayesinde internet erişimlerinin sağlanır.

3. Firewall Kuralı, başarılı bir şekilde giriş yapan Hotspot kullanıcılarının internet erişimlerine izin verir.

Web arayüzünde gerçekleştirdiğimiz bu adımların Targitas CLI konfigürasyonu aşağıdaki gibidir.

!
security firewall
 enable
 zone HotSpot
  zone-members vlan50
 rules
  fw-rule 15
   name "Dns_pass_for_hotspot"
   type access
   action allow
   source-zone HotSpot
   destination-zone egress
   service-in dns
   source-ip HotSpot.network 
   destination-ip any 
   log
   enable
  fw-rule 22
   name "Rdr_to_hotspot"
   type access
   action allow
   source-zone HotSpot
   destination-zone egress
   service-in any
   source-ip HotspotUsers except
   destination-ip any 
   nat-ip egress
   hotspot Example_Hotspot
   log
   enable
  fw-rule 24
   name "Hotspot_all_access"
   type access
   action allow
   source-zone HotSpot
   destination-zone egress
   service-in any
   source-ip HotSpot.network 
   destination-ip any 
   log
   enable
!

4- Sonuçlar

2.adımın ardından Hotspot Captive Portal oluşturmayı tamamlamıştık.

3.adımdaki Firewall kuralları ile birlikte Hotspot arayüzünde başarılı bir şekilde giriş yapan kullanıcının internet erişimi edinmesi de sağlandı.

Online kullanıcılar ve tüm giriş denemeleri Targitas web arayüzünde Monitoring -> AAA -> Hotspot üzerinden izlenebilir ve istenmeyen kullanıcıların bağlantıları sonlandırılabilir.