Zum Inhalt wechseln


Foto

wie sicheres WLAN betreiben?


  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1 cjmatsel

cjmatsel

    Senior Member

  • 417 Beiträge

 

Geschrieben 31. Mai 2017 - 14:56

Hi,

ich weiß dass die Frage ein bisschen hinkt: WLAN und richtige IT-Sicherheit schließen sich nach Meinung vieler IT-Leute schlicht aus. Ich suche eine Möglichkeit unter Ausnutzung von Microsoft-Technologien, wenn das ginge, irgendwie Beides unter einen Hut zu bekommen. Ich habe folgendes Szenario:
Ich betreue ein Werkstatt-WLAN mit Windows-7-Pro-Clients und einiger kleinen Spezialgeräte. Das WLAN enthält Zugänge zu anderen schützenswerten Bereichen. Allerdings sind hier erst weitere Hürden wie Firewall oder Authentifizierung zu nehmen. Im WLAN selbst findet keine NTLM- oder ähnliche Authentifizierung statt; die Clients hängen nicht in einer Domäne. Das WLAN wird mittels Cisco-WLC bereit gestellt; alle Geräte authentifizieren sich mittels WPA2-PSK. Die kleinen Spezialgeräte können nichts anderes als WPA2-PSK.

Meine Idee: Ich baue eine eigene Domäne für die WLAN-Geräte auf. Die Geräte sollen dann in die Domäne gehoben werden. Besteht die Möglichkeit jetzt mittels Zertifikaten o.ä. zusätzlich zum WPA2 zu arbeiten? Wie verhält sich das mit den IP-Adressen? Sprich: Habe ich dann ein 2. IP-Netz? Gibt es evtl. Microsoft-Empfehlungen, Leitfäden o.ä. welche hier helfen könnten oder ist das evtl. mit dem Cisco-WLC allein lösbar und sinnvoll? Wie gehe ich mit den Spezial-Geräten um, sprich: Wie kann ich dafür sorgen dass die Geräte trotzdem noch untereinander (mit den Win7-Geräten) kommunizieren können?

Wie macht ihr das? Reicht evtl. WPA2 doch locker aus und ich sollte mir da keine weiteren Gedanken machen?

Ich weiß dass das recht viele Fragen sind; aber vielleicht mag der ein oder andere hier mal ebenso brainstorm-mäßig was in den Raum werfen worüber man diskutieren kann...
cu cjmatsel

Bearbeitet von cjmatsel, 31. Mai 2017 - 14:57.


#2 heuchler

heuchler

    Senior Member

  • 394 Beiträge

 

Geschrieben 31. Mai 2017 - 15:14

Lese dich mal in 802.1x ein (WPA-Enterprise). Jedoch benötigst Du hier einen Radius Server. Diesen gibt es für Linux auch als freie Variante.
Cisco WLC sollte damit umgehen können.
Das hat aber erstmal nichts mit IP Adressen zu tun.

Das wiederum könntest Du mit VLAN realisieren. Auch das sollte WLC können. Allerdings weiß ich nicht ob WLC direkt damit umgehen kann, oder Du eine weitere Komponenten benötigst.
Grundsätzlich könntest Du zum Beispiel VLANs einrichten:

VLAN 2= WLAN Werkstatt
VLAN 3= WLAN Geräte
VLAN 4 = WLAN Gäste
Alles in eigenen Netzen.

Ein Zugriff untereinander wäre dann eigentlich auch wieder am Ziel vorbei (weil, wozu trennt man vorher?), wobei auch dies ginge.

Mein Senf:
Ich hatte in meiner alten Umgebung Cisco APs. Die Dinger gingen mir irgendwann so sehr auf den Zwirn dass ich sie gegen managed APs ausgetauscht habe.



#3 cjmatsel

cjmatsel

    Senior Member

  • 417 Beiträge

 

Geschrieben 31. Mai 2017 - 15:40

Hi,
ganz lieben Dank!
Wir haben einige ältere Cisco-APs flashen lassen so dass diese zu managed APs wurden. Dazu haben wir weitere Managed APs gekauft und haben alles in der WLC mit VLANs drin: Unsere Gäste haben ein VLAN und kommen uns mit dem Werkstatt-Netz nicht in Berührung. Jedoch hat mein Azubi auf meinen Auftrag hin mit einem PineApple-board versucht unser internes WLAN zu hacken und wir haben uns über das Thema ausgetauscht; daher bin ich mir über die bisherige Lösung mittels WPA2-PSK sehr unsicher: bei einem gestohlenen Gerät oder einem einzigen (kriminellen) Mitarbeiter wäre der PSK für alle Geräte kompromittiert. Radius hatte ich auch schon überlegt; jedoch wäre es schön wenn der Mitarbeiter nichts extra eingeben müsste. Mit einer Domain mit Maschinen-Zertifikaten als Radius-Authentifizierung könnte ich mir die aktuell beste Lösung vorstellen; leider wüsste ich nicht wie man genau so etwas einrichtet. Radius mit PSK (also jeder hat seinen eigenen Account) habe ich im WLC probiert bin aber bisher nicht erfolgreich gewesen; wahrscheinlich entweder etwas überlesen oder zu wenig Erfahrung in der Materie...

Bearbeitet von cjmatsel, 31. Mai 2017 - 15:41.


#4 Piranha

Piranha

    Senior Member

  • 508 Beiträge

 

Geschrieben 01. Juni 2017 - 16:19

Fuer das wuerde ich dir die Aruba Wi-Fi Instant Loesung vorschlagen.

Meiner Meinung nach geht es hier nicht mehr effektiver, sicherer und einfacher(!)

http://www.arubanetworks.com/products/networking/aruba-instant/


Alle sagten, das geht nicht, bis einer kam und es nicht wusste.


#5 heuchler

heuchler

    Senior Member

  • 394 Beiträge

 

Geschrieben 02. Juni 2017 - 07:53

Schöne Lösungen gibt es immer. Lancoms neue Cloud Lösung ist auch ziemlich genial (sieht übrigens ähnlich aus wie Aruba).
Die WLAN Lösung von Sophos über die UTMs gefällt mir persönlich auch sehr. Allerdings glaube ich dass er seine Hardware behalten möchte.
 

Ich glaube das Problem ist immer die Einrichtung des Radius. Daran hakt es meistens.
 

cjmatsel: Im Grunde hast Du schon deine Lösung gefunden. Such mal nach 802.1x in Verbindung mit DD-WRT. Soweit ich mich erinnern kann gab es dafür mal eine Firmware die einen Radius bereitstellte und bestimmt auch ein HowTo dazu. Ich würde sogar fast wetten dass es einfacher ist den DD-WRT Radius zu konfigurieren als einen MS-Radius ;-)

 


  • cjmatsel gefällt das

#6 magheinz

magheinz

    Newbie

  • 1.377 Beiträge

 

Geschrieben 02. Juni 2017 - 08:29

Kann der cisco-wlc nicht selber radius spielen?



#7 cjmatsel

cjmatsel

    Senior Member

  • 417 Beiträge

 

Geschrieben 06. Juni 2017 - 08:01

Hi, der Cisco-WLC kann problemlos Radius. Vermutlich bin ich selbst nur zu unwissend um es zum Laufen zu bringen... Es gab meines Wissens auch eine Anleitung hierzu...