VPN-WLAN-Architektur: benötige Ratschlag zur Sicherheit

[Dak 10]

Hallo zusammen,

ich mache mir derzeit Gedanken über eine sinnvolle WLAN VPN Architektur.

 

Mein bisheriges Modell sah wie folgt aus:

 

[AP] <<<>>> [Windows Serevr 2003: VPN-Gateway; Router] <<<>>> [LAN]

 

Der VPN-Gateway verfügt also über zwei Netzwerkkarten, eine ist mit dem Access Point (AP) verbunden und eine mit dem LAN.

 

1. AP und VPN-Gateway liegen im IP-Netz 192.168.10.x (255.255.255.0)

2. VPN-Gateway und LAN befinden sich im IP-Netz 192.168.20.x

 

Damit die WLAN-Clients erstmals mit dem VPN-Gateway in Kontakt treten können, benötigen Sie eine IP-Adresse. Daher meine Idee: Auf dem VPN_Gateway wird ein DHCP-Server installiert, der un-authentifizierten WLAN-CLients eine IP-Adresse verpasst. Anschließend können die WLAN-CLients Ihren VPN-Tunnel aufbauen.

 

Haltet Ihr das für unsicher? - Was sind mögliche Gefahren? - Könnte sich nicht auch ein Client so in das Netzwerk reinschmuggeln (zB. mit fest IP-Adresse) und vorgaukeln, der VPN-Server zu sein?

 

Ich freue mich über Antworten

 

Dak.

[onewayticket 10]

Hallo,

 

die Frage ist benutzt Du PPTP oder L2TP?

Ich denke was Du brauchst sind Zertifikate, starke Kennwörter und L2TP dann sollte sich eigentlich niemand einschleichen können.

 

Wie soll sich denn jemand einschleichen können um den VPN-Srv "vorzugaukeln"?

Der muss ja erstmal reinkommen ohne Zert. wirds dann schwierig.

Dann wäre da noch die möglichkeit der Smartcard, wenn es wirlich supersicher sein soll würde ich diese Art der Authentifizierung wählen.

 

Ach ja ganz vergessen habe ich die Verschlüsselung des W-Lan die sollte schon WPA und keinesfalls WEP sein

 

MfG

Onewayticket