WLAN mit WPA absichern wenn VPN darüber geht?

[Minti 10]

Hallo zusammen.

Macht es Sinn ein WLAN mit WPA anzusichern, wenn darüber ein VPN aufgebaut wird?

Es wird also zuerst eine IP zugewiesen und anschließend kann das VPN aufgebaut werden.

Ich Frage weil es halt nicht sehr vertrauenswürdig ist wenn bei dem User ungeschützes WLAN auftaucht.

[Velius 10]

Wozu WPA wenn schon VPN? VPN an sich reicht schon als Sicherheit.

[Minti 10]

Es ist halt nur die Frage, weil bei den Usern immer unsicheres WLAN auftaucht. Die Sicherheit ist durch das VPN gegeben, das war mir klar. Gibt es denn Nachteile wenn ich zusätzlich WPA einsetze?

[Velius 10]

Gibt es denn Nachteile wenn ich zusätzlich WPA einsetze?

 

Eigentlich nicht.

[XP-Fan 215]

Macht es Sinn ein WLAN mit WPA anzusichern ....

 

Hallo Minti,

 

es macht in meinen Augen immer Sinn den Sicherheitsstandart so hoch wie möglich anzusetzen.

Was ist denn sichtbar von deinem Netzwerk wenn du die Verschlüsselung offen lässt ?

Wer kann dann was sehen und darauf zugreifen ?

 

Richtig ist das die Daten welche durch die VPN laufen abgesichert sind, aber wie siehts aus

mit dem kompletten Netzwerk ?

[Velius 10]

Hallo Minti,

 

es macht in meinen Augen immer Sinn den Sicherheitsstandart so hoch wie möglich anzusetzen.

 

 

Macht Sinn, frage ist nur, für welchen Verwendungszweck man das WLAN einsetzt. Wenn es für Jedermann sein soll, dann ist WPA schon aus administrativen Gründen eher ungeeignet. VPN allerdings schon, denn die Mitarbeiter können so auf's Firmennetzwerk während beispielsweise Gäste nur in's I-Net können.

 

Die andere Variante wäre verschiedene SSIDs und Verschlüsselungs Arten zu verwenden, kann aber auch zu Problemen führen.

[dippas 10]

Wozu WPA wenn schon VPN? VPN an sich reicht schon als Sicherheit.

 

Na, dem möchte ich aber mal ganz entschieden wiedersprechen.

 

Natürlich muss man das Gesamtkonzept anschauen und natürlich ist es so, dass VPN ja bereits verschlüsselt die Daten hin und herschiebt.

 

Allerdings ist es doch wohl so, dass obwohl der TO es nicht expliziet schrieb, via VPN eine Verbindung durch ein anderes Netz (z.B. I-Net) zu einem VPN-Endpunkt hergestellt wird.

 

Und wer es möchte, das jeder Hans und Franz vor der Tür das WLAN mitnutzt - weil ist ja nicht via WPA geschützt - kann die Verschlüsselung natürlich abschalten und auf Besuch der Jungs in Grün warten, weil Hans und Franz mein WLAN kräftig missbraucht haben und ich als Besitzer dafür zur Rechenschaft gezogen werde.

 

Ohne Verschlüsselung würde ich ein WLAN nur dann betreiben, wenn ich am Gateway dann einen Schutz habe (Content/Virus-Filter etc.).

 

Auf den möglicherweise erhöhten Einrichtrungsaufwand bei einem verschlüsselten WLAN kann man ja wohl lächelnd hinwegsehen, oder?

 

grüße

 

dippas

[Velius 10]

Na, dem möchte ich aber mal ganz entschieden wiedersprechen.

 

Natürlich muss man das Gesamtkonzept anschauen und natürlich ist es so, dass VPN ja bereits verschlüsselt die Daten hin und herschiebt.

 

Allerdings ist es doch wohl so, dass obwohl der TO es nicht expliziet schrieb, via VPN eine Verbindung durch ein anderes Netz (z.B. I-Net) zu einem VPN-Endpunkt hergestellt wird.

 

Und wer es möchte, das jeder Hans und Franz vor der Tür das WLAN mitnutzt - weil ist ja nicht via WPA geschützt - kann die Verschlüsselung natürlich abschalten und auf Besuch der Jungs in Grün warten, weil Hans und Franz mein WLAN kräftig missbraucht haben und ich als Besitzer dafür zur Rechenschaft gezogen werde.

 

 

grüße

 

dippas

 

 

Auf deine Hinweise hab ich schon im vorangehenden Post ähnlich geantwortet. Man kann ja auch WLAN mit Portfilter, sprich nur VPN Ports zulassen.:wink2:

 

Die Rechtslage sieht hier in der Schweiz sowieso anders aus als in DE.

 

 

 

Ohne Verschlüsselung würde ich ein WLAN nur dann betreiben, wenn ich am Gateway dann einen Schutz habe (Content/Virus-Filter etc.).

 

Das ist jetzt wohl ein Witz, oder? Je nach grösse der Organisation ist das mit Pre-shared ein Killer, und RADIUS und Zerts sind ja auch nicht grad ohne (machbar, aber nicht für Jeden).:suspect: :cool:

[dippas 10]

Auf deine Hinweise hab ich schon im vorangehenden Post ähnlich geantwortet. Man kann ja auch WLAN mit Portfilter, sprich nur VPN Ports zulassen.:wink2:

 

....

 

Das ist jetzt wohl ein Witz, oder? Je nach grösse der Organisation ist das mit Pre-shared ein Killer, und RADIUS und Zerts sind ja auch nicht grad ohne (machbar, aber nicht für Jeden).:suspect: :cool:

 

Ja, deinen späteren post habe ich auch gelesen. Dein erster Post hingegen scheint den geneigten Leser allerdings (beachte: ohne weitere Erläuterung) ein wenig zu sehr in Sicherheit zu wiegen ;)

 

Ein Witz ist es im Übringen nicht.

 

Ich habe einen Kunden, der es folgendermaßen macht:

 

- WLAN-APs offen, ohne Verschlüsselung

- diese WLAN-APs zusammen auf einem Switch und an einen DMZ-Port seiner Astaro ASG220

- in der Astaro für dieses "WLAN-DMZ-Netz" den Websecurity/Contend/Viren-Filter recht scharft eingestellt und die Kiste als transparenten Proxy konfiguriert

- die Zugangszeiten auf die Geschäftszeiten + 2/3 Stunden abends freigeschaltet

 

Ergebnis:

Besucher können kostenlos während der Geschäftszeiten das WLAN nutzen, werden aber dabei über den Proxy geschickt und bekommen auch nur Seiten zu Gesicht, die nicht thematisch gesperrt werden. Also nix Waffen, Gewalt, Sex usw.

 

Zur Gesetzgebung in der Schweiz:

Ist es wirklich so, dass ein Betreiber eines Internetzugangs nicht dafür haftbar bemacht werden kann, was seine User im I-Net so machen? Bei uns wirst Du als Betreiber schnell Ärger bekommen, wenn Schund über Deine Internet-Verbindung gezogen wird. Ich denke, jeder weis welchen Schund ich meine.

 

grüße

 

dippas

[Velius 10]

Ja, deinen späteren post habe ich auch gelesen. Dein erster Post hingegen scheint den geneigten Leser allerdings (beachte: ohne weitere Erläuterung) ein wenig zu sehr in Sicherheit zu wiegen ;)

 

Wieso "zu sehr in Sicherheit wiegen"? VPN gilt nach wie vor als Sicher und "ungebrochen", die nötige Know-How mal vorausgesetzt.

 

 

 

Ein Witz ist es im Übringen nicht.

 

Ich habe einen Kunden, der es folgendermaßen macht:

 

- WLAN-APs offen, ohne Verschlüsselung

- diese WLAN-APs zusammen auf einem Switch und an einen DMZ-Port seiner Astaro ASG220

- in der Astaro für dieses "WLAN-DMZ-Netz" den Websecurity/Contend/Viren-Filter recht scharft eingestellt und die Kiste als transparenten Proxy konfiguriert

- die Zugangszeiten auf die Geschäftszeiten + 2/3 Stunden abends freigeschaltet

 

Der "Witz" war eher auf den nicht zu unterschätzenden Verwaltungsaufwand von WPA(2) bezogen. Schliesslich muss jeder Rechner einzeln auf die SSID gestellt werden, oder man nimmt GPOs und/oder RADIUS, oder sonst welche Waffen.... bedeutet aber auch Aufwand, bloss woanders.

 

Zur Gesetzgebung in der Schweiz:

Ist es wirklich so, dass ein Betreiber eines Internetzugangs nicht dafür haftbar bemacht werden kann, was seine User im I-Net so machen? Bei uns wirst Du als Betreiber schnell Ärger bekommen, wenn Schund über Deine Internet-Verbindung gezogen wird. Ich denke, jeder weis welchen Schund ich meine.

 

Dazu kann und werde ich hier keine Aussagen machen (Rechtsfragen) - mein Bauchgefühl sagt mir nur, dass es einiges restriktiver ist in DE als in CH.

 

 

Gruss

Velius

[dippas 10]

Wieso "zu sehr in Sicherheit wiegen"? VPN gilt nach wie vor als Sicher und "ungebrochen", die nötige Know-How mal vorausgesetzt.

 

Klar, VPN ist sicher.

 

Ich meinte eher damit, dass man es schnell in den falschen Hals bekommen kann, wenn man der Meinung ist, WLAN-Verschlüsselung aussen vor lassen zu können, weil man ja VPN hat. Sinngemäß "Wozu WLAN-Verschlüsselung, habe VPN, also bin ich sicher?".

 

Das meine ich mit "zu sehr in Sicherheit wiegen". Ist vielleicht unglücklich formuliert.

 

Der "Witz" war eher auf den nicht zu unterschätzenden Verwaltungsaufwand von WPA(2) bezogen. Schliesslich muss jeder Rechner einzeln auf die SSID gestellt werden, oder man nimmt GPOs und/oder RADIUS, oder sonst welche Waffen.... bedeutet aber auch Aufwand, bloss woanders.

 

Naja, kann man so sehen. Allerdings würde ich es so machen, dass die SSID sichtbar ist und wenn ein User dran will, bekommt er von mir den Schlüssel.

 

Bei 50 APs ist der Verwaltungsaufwand sicherlich nicht zu unterschätzen, bei 5 APs würde ich mir dabei keine großen Gedanken machen.

 

Dazu kann und werde ich hier keine Aussagen machen (Rechtsfragen) - mein Bauchgefühl sagt mir nur, dass es einiges restriktiver ist in DE als in CH.

 

Na, Rechtsverdreher bin ich auch nicht ;) Konkrete Aussagen sollen die Leute treffen, die es auf der UNI im Rahme der Juristenausbildung gelernt haben.

 

Ich denke aber, gegen den Hinweis, dass man als Betreiber einer Internetverbindung für das, was damit gemacht wird durchaus belangt werden kann, spricht nichts. Das würde ich auch nicht unter der Rubrik "Rechtsberatung" fassen, sondern eher als Hinweis im Sinne von "Pass´ auf, da könnte es Probleme mit geben. Mach dich schlau".

 

Rechtberatung kann und werde ich natürlich nicht machen.

 

Off-Topic:

Wäre eine Aussage "Wer klaut, wird bestraft" eine Rechtsberatung? ;)

 

grüße

 

dippas

[xcode-tobi 10]

Die Frage ob man die WLAN-Verbindung verschlüsseln muss oder soll, ist eigentlich einfach: Wenn es ein öffentliches Netz sollte bzw. muss die Verbindung offen sein, kann ggf. über VPN verschlüsselt werden. Ist ein Firmennetz wo eigentlich kein anderer was zu suchen hat, sollte man auf WPA/WPA2 setzen! Basta...