Jump to content

wie sicheres WLAN betreiben?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich weiß dass die Frage ein bisschen hinkt: WLAN und richtige IT-Sicherheit schließen sich nach Meinung vieler IT-Leute schlicht aus. Ich suche eine Möglichkeit unter Ausnutzung von Microsoft-Technologien, wenn das ginge, irgendwie Beides unter einen Hut zu bekommen. Ich habe folgendes Szenario:

Ich betreue ein Werkstatt-WLAN mit Windows-7-Pro-Clients und einiger kleinen Spezialgeräte. Das WLAN enthält Zugänge zu anderen schützenswerten Bereichen. Allerdings sind hier erst weitere Hürden wie Firewall oder Authentifizierung zu nehmen. Im WLAN selbst findet keine NTLM- oder ähnliche Authentifizierung statt; die Clients hängen nicht in einer Domäne. Das WLAN wird mittels Cisco-WLC bereit gestellt; alle Geräte authentifizieren sich mittels WPA2-PSK. Die kleinen Spezialgeräte können nichts anderes als WPA2-PSK.

 

Meine Idee: Ich baue eine eigene Domäne für die WLAN-Geräte auf. Die Geräte sollen dann in die Domäne gehoben werden. Besteht die Möglichkeit jetzt mittels Zertifikaten o.ä. zusätzlich zum WPA2 zu arbeiten? Wie verhält sich das mit den IP-Adressen? Sprich: Habe ich dann ein 2. IP-Netz? Gibt es evtl. Microsoft-Empfehlungen, Leitfäden o.ä. welche hier helfen könnten oder ist das evtl. mit dem Cisco-WLC allein lösbar und sinnvoll? Wie gehe ich mit den Spezial-Geräten um, sprich: Wie kann ich dafür sorgen dass die Geräte trotzdem noch untereinander (mit den Win7-Geräten) kommunizieren können?

 

Wie macht ihr das? Reicht evtl. WPA2 doch locker aus und ich sollte mir da keine weiteren Gedanken machen?

 

Ich weiß dass das recht viele Fragen sind; aber vielleicht mag der ein oder andere hier mal ebenso brainstorm-mäßig was in den Raum werfen worüber man diskutieren kann...

cu cjmatsel

bearbeitet von cjmatsel
Link zu diesem Kommentar

Lese dich mal in 802.1x ein (WPA-Enterprise). Jedoch benötigst Du hier einen Radius Server. Diesen gibt es für Linux auch als freie Variante.
Cisco WLC sollte damit umgehen können.
Das hat aber erstmal nichts mit IP Adressen zu tun.

Das wiederum könntest Du mit VLAN realisieren. Auch das sollte WLC können. Allerdings weiß ich nicht ob WLC direkt damit umgehen kann, oder Du eine weitere Komponenten benötigst.
Grundsätzlich könntest Du zum Beispiel VLANs einrichten:

VLAN 2= WLAN Werkstatt
VLAN 3= WLAN Geräte
VLAN 4 = WLAN Gäste
Alles in eigenen Netzen.

Ein Zugriff untereinander wäre dann eigentlich auch wieder am Ziel vorbei (weil, wozu trennt man vorher?), wobei auch dies ginge.

Mein Senf:
Ich hatte in meiner alten Umgebung Cisco APs. Die Dinger gingen mir irgendwann so sehr auf den Zwirn dass ich sie gegen managed APs ausgetauscht habe.

Link zu diesem Kommentar

Hi,

ganz lieben Dank!

Wir haben einige ältere Cisco-APs flashen lassen so dass diese zu managed APs wurden. Dazu haben wir weitere Managed APs gekauft und haben alles in der WLC mit VLANs drin: Unsere Gäste haben ein VLAN und kommen uns mit dem Werkstatt-Netz nicht in Berührung. Jedoch hat mein Azubi auf meinen Auftrag hin mit einem PineApple-board versucht unser internes WLAN zu hacken und wir haben uns über das Thema ausgetauscht; daher bin ich mir über die bisherige Lösung mittels WPA2-PSK sehr unsicher: bei einem gestohlenen Gerät oder einem einzigen (kriminellen) Mitarbeiter wäre der PSK für alle Geräte kompromittiert. Radius hatte ich auch schon überlegt; jedoch wäre es schön wenn der Mitarbeiter nichts extra eingeben müsste. Mit einer Domain mit Maschinen-Zertifikaten als Radius-Authentifizierung könnte ich mir die aktuell beste Lösung vorstellen; leider wüsste ich nicht wie man genau so etwas einrichtet. Radius mit PSK (also jeder hat seinen eigenen Account) habe ich im WLC probiert bin aber bisher nicht erfolgreich gewesen; wahrscheinlich entweder etwas überlesen oder zu wenig Erfahrung in der Materie...

bearbeitet von cjmatsel
Link zu diesem Kommentar

Schöne Lösungen gibt es immer. Lancoms neue Cloud Lösung ist auch ziemlich genial (sieht übrigens ähnlich aus wie Aruba).
Die WLAN Lösung von Sophos über die UTMs gefällt mir persönlich auch sehr. Allerdings glaube ich dass er seine Hardware behalten möchte.
 

Ich glaube das Problem ist immer die Einrichtung des Radius. Daran hakt es meistens.
 

cjmatsel: Im Grunde hast Du schon deine Lösung gefunden. Such mal nach 802.1x in Verbindung mit DD-WRT. Soweit ich mich erinnern kann gab es dafür mal eine Firmware die einen Radius bereitstellte und bestimmt auch ein HowTo dazu. Ich würde sogar fast wetten dass es einfacher ist den DD-WRT Radius zu konfigurieren als einen MS-Radius ;-)

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...