Hallo zusammen.
Macht es Sinn ein WLAN mit WPA anzusichern, wenn darüber ein VPN aufgebaut wird?
Es wird also zuerst eine IP zugewiesen und anschließend kann das VPN aufgebaut werden.
Ich Frage weil es halt nicht sehr vertrauenswürdig ist wenn bei dem User ungeschützes WLAN auftaucht.
Es ist halt nur die Frage, weil bei den Usern immer unsicheres WLAN auftaucht. Die Sicherheit ist durch das VPN gegeben, das war mir klar. Gibt es denn Nachteile wenn ich zusätzlich WPA einsetze?
es macht in meinen Augen immer Sinn den Sicherheitsstandart so hoch wie möglich anzusetzen.
Was ist denn sichtbar von deinem Netzwerk wenn du die Verschlüsselung offen lässt ?
Wer kann dann was sehen und darauf zugreifen ?
Richtig ist das die Daten welche durch die VPN laufen abgesichert sind, aber wie siehts aus
mit dem kompletten Netzwerk ?
es macht in meinen Augen immer Sinn den Sicherheitsstandart so hoch wie möglich anzusetzen.
Macht Sinn, frage ist nur, für welchen Verwendungszweck man das WLAN einsetzt. Wenn es für Jedermann sein soll, dann ist WPA schon aus administrativen Gründen eher ungeeignet. VPN allerdings schon, denn die Mitarbeiter können so auf's Firmennetzwerk während beispielsweise Gäste nur in's I-Net können.
Die andere Variante wäre verschiedene SSIDs und Verschlüsselungs Arten zu verwenden, kann aber auch zu Problemen führen.
Wozu WPA wenn schon VPN? VPN an sich reicht schon als Sicherheit.
Na, dem möchte ich aber mal ganz entschieden wiedersprechen.
Natürlich muss man das Gesamtkonzept anschauen und natürlich ist es so, dass VPN ja bereits verschlüsselt die Daten hin und herschiebt.
Allerdings ist es doch wohl so, dass obwohl der TO es nicht expliziet schrieb, via VPN eine Verbindung durch ein anderes Netz (z.B. I-Net) zu einem VPN-Endpunkt hergestellt wird.
Und wer es möchte, das jeder Hans und Franz vor der Tür das WLAN mitnutzt - weil ist ja nicht via WPA geschützt - kann die Verschlüsselung natürlich abschalten und auf Besuch der Jungs in Grün warten, weil Hans und Franz mein WLAN kräftig missbraucht haben und ich als Besitzer dafür zur Rechenschaft gezogen werde.
Ohne Verschlüsselung würde ich ein WLAN nur dann betreiben, wenn ich am Gateway dann einen Schutz habe (Content/Virus-Filter etc.).
Auf den möglicherweise erhöhten Einrichtrungsaufwand bei einem verschlüsselten WLAN kann man ja wohl lächelnd hinwegsehen, oder?
Na, dem möchte ich aber mal ganz entschieden wiedersprechen.
Natürlich muss man das Gesamtkonzept anschauen und natürlich ist es so, dass VPN ja bereits verschlüsselt die Daten hin und herschiebt.
Allerdings ist es doch wohl so, dass obwohl der TO es nicht expliziet schrieb, via VPN eine Verbindung durch ein anderes Netz (z.B. I-Net) zu einem VPN-Endpunkt hergestellt wird.
Und wer es möchte, das jeder Hans und Franz vor der Tür das WLAN mitnutzt - weil ist ja nicht via WPA geschützt - kann die Verschlüsselung natürlich abschalten und auf Besuch der Jungs in Grün warten, weil Hans und Franz mein WLAN kräftig missbraucht haben und ich als Besitzer dafür zur Rechenschaft gezogen werde.
grüße
dippas
Auf deine Hinweise hab ich schon im vorangehenden Post ähnlich geantwortet. Man kann ja auch WLAN mit Portfilter, sprich nur VPN Ports zulassen.
Die Rechtslage sieht hier in der Schweiz sowieso anders aus als in DE.
Ohne Verschlüsselung würde ich ein WLAN nur dann betreiben, wenn ich am Gateway dann einen Schutz habe (Content/Virus-Filter etc.).
Das ist jetzt wohl ein Witz, oder? Je nach grösse der Organisation ist das mit Pre-shared ein Killer, und RADIUS und Zerts sind ja auch nicht grad ohne (machbar, aber nicht für Jeden).
Auf deine Hinweise hab ich schon im vorangehenden Post ähnlich geantwortet. Man kann ja auch WLAN mit Portfilter, sprich nur VPN Ports zulassen.
....
Das ist jetzt wohl ein Witz, oder? Je nach grösse der Organisation ist das mit Pre-shared ein Killer, und RADIUS und Zerts sind ja auch nicht grad ohne (machbar, aber nicht für Jeden).
Ja, deinen späteren post habe ich auch gelesen. Dein erster Post hingegen scheint den geneigten Leser allerdings (beachte: ohne weitere Erläuterung) ein wenig zu sehr in Sicherheit zu wiegen
Ein Witz ist es im Übringen nicht.
Ich habe einen Kunden, der es folgendermaßen macht:
- WLAN-APs offen, ohne Verschlüsselung
- diese WLAN-APs zusammen auf einem Switch und an einen DMZ-Port seiner Astaro ASG220
- in der Astaro für dieses "WLAN-DMZ-Netz" den Websecurity/Contend/Viren-Filter recht scharft eingestellt und die Kiste als transparenten Proxy konfiguriert
- die Zugangszeiten auf die Geschäftszeiten + 2/3 Stunden abends freigeschaltet
Ergebnis:
Besucher können kostenlos während der Geschäftszeiten das WLAN nutzen, werden aber dabei über den Proxy geschickt und bekommen auch nur Seiten zu Gesicht, die nicht thematisch gesperrt werden. Also nix Waffen, Gewalt, Sex usw.
Zur Gesetzgebung in der Schweiz:
Ist es wirklich so, dass ein Betreiber eines Internetzugangs nicht dafür haftbar bemacht werden kann, was seine User im I-Net so machen? Bei uns wirst Du als Betreiber schnell Ärger bekommen, wenn Schund über Deine Internet-Verbindung gezogen wird. Ich denke, jeder weis welchen Schund ich meine.
Ja, deinen späteren post habe ich auch gelesen. Dein erster Post hingegen scheint den geneigten Leser allerdings (beachte: ohne weitere Erläuterung) ein wenig zu sehr in Sicherheit zu wiegen
Wieso "zu sehr in Sicherheit wiegen"? VPN gilt nach wie vor als Sicher und "ungebrochen", die nötige Know-How mal vorausgesetzt.
Zitat von dippas
Ein Witz ist es im Übringen nicht.
Ich habe einen Kunden, der es folgendermaßen macht:
- WLAN-APs offen, ohne Verschlüsselung
- diese WLAN-APs zusammen auf einem Switch und an einen DMZ-Port seiner Astaro ASG220
- in der Astaro für dieses "WLAN-DMZ-Netz" den Websecurity/Contend/Viren-Filter recht scharft eingestellt und die Kiste als transparenten Proxy konfiguriert
- die Zugangszeiten auf die Geschäftszeiten + 2/3 Stunden abends freigeschaltet
Der "Witz" war eher auf den nicht zu unterschätzenden Verwaltungsaufwand von WPA(2) bezogen. Schliesslich muss jeder Rechner einzeln auf die SSID gestellt werden, oder man nimmt GPOs und/oder RADIUS, oder sonst welche Waffen.... bedeutet aber auch Aufwand, bloss woanders.
Zur Gesetzgebung in der Schweiz:
Ist es wirklich so, dass ein Betreiber eines Internetzugangs nicht dafür haftbar bemacht werden kann, was seine User im I-Net so machen? Bei uns wirst Du als Betreiber schnell Ärger bekommen, wenn Schund über Deine Internet-Verbindung gezogen wird. Ich denke, jeder weis welchen Schund ich meine.
Dazu kann und werde ich hier keine Aussagen machen (Rechtsfragen) - mein Bauchgefühl sagt mir nur, dass es einiges restriktiver ist in DE als in CH.
