Absicherung von WLAN in Besprechungsräumen

Ne, klein ist das Projekt nicht, aber auch nicht riesig. Also grundsätzlich kann ich erst mal vorweg sagen, dass wir die Räume nicht an Externe vermieten, sondern die eigenen Mitarbeiter eigentlich immer in der Überzahl sind. Über eine NAC-Funktion habe ich auch schon nachgedacht, aber für Externe halte ich das nicht für notwendig, da auf den mobilen Geräten dann meist ein Client installiert werden muss und ich dies nicht zumutbar finde, wenn jemand nur eben schnell was im Internet nachsehen will. Außerdem sollen Externe ja gar nicht direkt ins Firmennetz sondern zumindest per VLAN hindurch geschleust werden. Für Mitarbeiter wäre eine NAC-Lösung auf Dauer gesehen bestimmt nicht verkehrt, dann aber nicht nur bei WLAN-Zugriff sondern auch für verkabelte Zugänge, sonst haben wir nur das Problem, dass am Arbeitsplatz alles läuft und im Besprechungsraum auf einmal nicht, da gerade noch ein Update fehlt oder so. Schierig ist es auch per NAC alle möglichen Gerätetypen und besonders Betriebssysteme abzudecken.
Bis jetzt ist es so, dass wir in einigen Räumen "besondere" Netzwerkdosen haben, die über einen separaten DSL-Zugang ins Internet kommen. Die Lösung per Captive Portal hört sich für mich auch sehr interessant an, allerdings sind mir nach und nach ein paar Einschränkungen bewusst geworden: Per Voucher kann ich zwar den Zugriff auf eine bestimmte Zeit (z. B. 120 Min.) begrenzen, aber anscheinend nicht festlegen, dass die 120 Min nur an einem bestimmten Datum eingelöst werden können. Und die Voucher-Erstellung ist per csv-Datei auch nicht so schön gelöst, was mir aber noch egal wäre, wenn man zumindest einstellen könnte, dass z. B. die Mitarbeiter vom Sitzungsdienst zwar Voucher drucken können, gleichzeitig aber nicht auch Zugriff auf die Konfiguration des Captive-Portals und der damit verbundenen Firewall haben.
Über diese "Bastellösung" Captive Portal (bitte nicht böse sein, wenn das gerade ein Programmierer liest) lässt sich das Ganze wohl nicht zufriedenstellend realisieren, zumindest nicht, wenn man auch noch ein Netzwerk mit 1400 PCs + weiterer Netzwerkhardware einigermaßen sicher betreiben will. Auf der Seite der Mitarbeiter bliebe noch die Frage, wie man sicherstellt, dass nur firmeneigene Geräte ins WLAN kommen. Ein Logging auf Seiten der Gäste wäre natürlich auch sinnvoll, die Mitarbeiter könnten über den bereits vorhanden Proxy laufen.

Hast du auch bei der Entwicklung des Captive Portals mitgeholfen?? Also schlecht finde ich das System auch gar nicht, ganz im Gegenteil, ein Einsatz ist bisher auch noch nicht ausgeschlossen. Aber wir hören uns natürlich erst mal ein paar verschiedene Angebote an, ein Hersteller war schon da, hat auch "nur" 3 Stunden gedauert... Neben dem Captive Portal habe ich mir auch schon den FirstSpot angesehen, der ja auch Captive aufbaut und wohl noch ein paar Features mehr hat. Allerdings mit ca. 800 $ für die Advanced Edition auch schon deutlich mehr kostet. Ich persönlich würde dann lieber noch ein Bisschen mehr ausgeben und bei einem namhaften Netzwerkgerätehersteller einkaufen, wenn man schon mal beim Geld ausgeben dabei ist...
Aber noch was anderes, Du scheinst dich ja mit dem Captive Portal ganz gut auszukennen, kannst du (oder jemand anderes) mir folgende Fragen beantworten?
- Gibt es beim Captive Portal die Möglichkeit zu definieren, dass die Voucher nur an einem bestimmten Datum verwendet werden könnnen?
- lässt sich der Zugriff auf das Captive Portal auch so eingrenzen, dass bestimmte Personen zwar Voucher erstellen können, aber an die sonstige Konfiguration (Firewall etc.) nicht ran kommen?
- es gibt ja die Captive Portal-Seiten auf denen ein Login entweder per RADIUS oder Voucher möglich ist, lässt sich dann auch definieren, dass die per Voucher authentifizierten Benutzer z. B. in das VLAN 10 und die RADIUS-Nutzer in unterschiedliche VLANs kommen, je nach ADS-Gruppenmitgliedschaft?
- lassen sich auf einem Captive-Portal-Server mehrere Portal-Seiten anlegen?
- angenommen ich schließe einen Access-Point mit mehreren SSIDs (unterschiedliche VLANs) direkt an einen Captive-Portal-Server an, gibt es dann eine Möglichkeit die Schnittstelle in mehrere virtuelle mit unterschiedlichen VLAN-tags zu unterteilen oder wie würde das sonst konfiguriert?

Danke für die Antworten, ich habe mir das System mal in einer virtuellen Maschine installiert. Für alle, die es interessiert, hier ist noch ein Link zu einer Seite von Lancom, auf dem 2. Bild sieht man eine Option mit der man die Gültigkeitsdauer auf eine bestimmte Anzahl von Tagen einschränken kann. Ist dann zwar noch keine genaue Vorgabe des Datums bzw. der Uhrzeit, aber immerhin.
http://www2.lancom.de/kb.nsf/1275/7E28D30 ...

genau, die ADS-Mitglieder sind Mitarbeiter. Geplant sind min. 2 VLANs, das erste für Mitarbeiter, die sich per Radius authentifizieren und ein Zertifikat auf dem Endgerät haben (Zugriff auf die Ressourchen wie auch im LAN). In das zweite kommen dann noch bestimmte Leute (keine Mitarbeiter), die nur einen Internetzugriff benötigen, sich aber auch per Radius authentifizieren sollen, da sie in der Regel min. 1x pro Monat einen Zugriff benötigen und die 3. Benutzergruppe (vor allem Presse-Vertreter) soll eben per Voucher einen Zugang bekommen, ebenfalls nur für den Internetzugriff. Ob die 3. Gruppe dann mit ins 2. VLAN kommt oder nicht steht noch nicht fest, wäre aber bestimmt nicht verkehrt, da sich die Rechte dann bei Bedarf noch genauer steueren lassen.

Ich habe mir jetzt auch mal die Live-CD-Version von pfsense mit Captive Portal geholt, hatte vorher zwar schon die VMware-Version, aber die war schon wohl ein Bisschen älter und mit deutlich weniger Funktionen. Ok, jetzt ist mir das auch klarer, was ich aber nicht gefunden habe ist
- wo lässt sich das Enddatum der Voucher einstellen? Wenn ich eine Voucher-Rolle hinzufüge, dann kann ich immer nur die Dauer des Internetzugriffs eingeben
- wie kriege ich es hin, dass ich für die Authentifizierung über das Captive Portal einen Radius-Server und Voucher gleichzeitig einsetze? in der Konfiguration kann ich nur "Local User / Voucher" oder "RADIUS" wählen, aber nicht beides gleichzeitg. Alternativ wäre es natürlich auch in Ordnung, wenn ich mehrere verschiedene Portalseiten aktivieren kann und dann entweder Radius oder Local user /Voucher auswähle, dann gibt es halt für jede SSID eine eigene Seite, fänd ich auch nicht schlecht.