Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst WLAN Benutzerauthentifizierung und Logging

Mitglied: Webkamer

Webkamer (Level 1) - Jetzt verbinden

30.05.2014 um 01:57 Uhr, 1905 Aufrufe, 6 Kommentare

Liebe Admin Gemeinde,

ich hab hier eine Frage zum Thema WLAN Sicherheit und Authentifizierung.
Zu meinem Vorhaben:
Ein Abgelegener Ort soll über WLAN Richtfunk an Breitbandinternet angebunden werden. Nur eben schnelles Internet per Richtfunk dorthin und dann Verteilen ist ja kein Problem. Nur kommt halt hier dieser Sicherheitsaspekt noch hinzu, da alle über eine Öffentliche IP Surfen.

Mich würde jetzt inzeressieren in welche Themen ich mich "einlesen" muss.
Einige Ideen habe ich schon dazu:
Das Internet per Richtfunk (Sind 2 Hops) zu einem zentralen Verteilpunkt. Von dort an dann weiter.
Alles kein Problem.
Dann an der Verteilet Station Client Isolation dass kein Zugriff untereinander möglich ist.
Meine Fragen beziehen sich auf das Mitloggen und der User Authentifizierung. So dass dann wenn jemand was illegales macht ich das in den Log Files sehe. Diesbezüglich habe ich noch nichts gmacht und würde gerne eine Testumgebung aufbauen.
Als Komponenten fürs WLAN würde ich UBNT Airmax Komponenten einsetzten. Als Firewall wäre mir PfSense/Monowall am liebsten.

Es handelt sich um max. 20 Enduser.

Danke und Grüße

Webkamer
Mitglied: 108012
LÖSUNG 30.05.2014, aktualisiert 02.06.2014
Moin,

Ein Abgelegener Ort soll über WLAN Richtfunk an Breitbandinternet angebunden werden.
Von welcher Strecke und wie viel Bandbreite reden wir denn hier?
Was nutzt Du denn dafür, AirFiber?

Dann an der Verteilet Station Client Isolation dass kein Zugriff untereinander möglich ist.
Packe jeden Kunden in ein eigenes VLAN und gut ist es, aber die VLANs verbrauchen
auch wieder Ressourcen und daher kommt es dann schon ein wenig darauf an wie viele
Kunden man hat.

Meine Fragen beziehen sich auf das Mitloggen und der User Authentifizierung. So dass dann wenn
jemand was illegales macht ich das in den Log Files sehe. Diesbezüglich habe ich noch nichts
gmacht und würde gerne eine Testumgebung aufbauen.
Stell doch einfach einen http Proxy wie Squid und dann hast Du auch gleich einen Cache mit dabei.

Als Komponenten fürs WLAN würde ich UBNT Airmax Komponenten einsetzten.
Auch für die Richtfunkstrecke!? Oder nur am Endpunkt bei den Kunden?

Als Firewall wäre mir PfSense/Monowall am liebsten.
Dann nimm doch lieber die pfSense, aber das macht auch jeder frei gusto.
Ubiquiti hat jetzt aber auch gute Router im Portfolio die auch mit einem Radisuserver
versehen werden können, direkt auf dem Router, ich meine wenn nur um 20 Kunden geht
wäre das doch auch eine Möglichkeit, oder?

Ansonsten in solchen Fällen vielleicht auch einmal bei MikroTik vorbei schauen
das wäre auch noch so ein Routerkandidat der in diesem Umfeld gut mitspielt.

Gruß
Dobby


P.S. Ist ein radiuszertifikat an alle Nutzer vergeben worden und ein http Proxy
wie Squid mit im Spiel kann man ganz genau sagen wer, wann, was gemacht hat.
Bitte warten ..
Mitglied: Webkamer
30.05.2014 um 08:51 Uhr
Danke Dobby für deine Antwort.

Bandbreitenmäßig ist das noch schwer zu sagen welche Dimensionen das dann annimmt. Für den Anfang mal 100 mbit.
AirFiber würde ich gerne einsetzen da muss ich aber noch ein paar Infos Sammeln, da ich was gelesen habe dass ich die 24 GHz variante in D nicht verwenden kann.
Hab erst gesehen dass es auch eine 5 GHz Variante auch gibt.

Die 100 MBit wären sonst mit den AirMax Komponenten für den Anfang auch möglich.
An den Endpunkten wären dann Nanostations.

Das mit den VLANs habe ich mir auch überlegt. Wenn pfsense dann muss die klar Leistungsfähig sein.

Noch eine Frage zu deine Ausführungen:
Brauche ich die Radius Authentofizierung noch zum Proxy dazu oder reicht eigentlich der Proxy?

Besten Gruß
Webcamer
Bitte warten ..
Mitglied: 108012
LÖSUNG 30.05.2014, aktualisiert 02.06.2014
AirFiber würde ich gerne einsetzen da muss ich aber noch ein paar Infos Sammeln,
da ich was gelesen habe dass ich die 24 GHz variante in D nicht verwenden kann.
Oh das wusste ich nicht.

Hab erst gesehen dass es auch eine 5 GHz Variante auch gibt.
Ist wohl eine Alternative dazu.

Noch eine Frage zu deine Ausführungen:
Brauche ich die Radius Authentofizierung noch zum
Proxy dazu oder reicht eigentlich der Proxy?
Ich würde einen kleinen Radius Server nehmen und einen Squid http Proxy
sicher kann man das auch alles auf die pfSense packen nur die sollte dann auch
potent genug sein , ich persönlich würde es nicht zusammen auf ein Gerät packen denn
dann kann man einen größeren Cache für den Proxy nutzen und einige Seiten beschleunigen.

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
LÖSUNG 30.05.2014, aktualisiert 02.06.2014
Die pfSense/Monowall kann selber PPPoE Server sein. Sie kann also die Enduser genau wie bei kommerziellen Providern per PPPoE authentisieren über einen zentralen Radius Server der die Benutzer Datenbank hält.
Abgesehen davon kannst du den PPPoE Server aber auch auf einem externen Server realisieren.

Alternativ dazu kannst du hier statt PPPoE auch Mac Adress basiertes DHCP machen und über den Radius dann eine User bezogenen IP verteilen oder aus einem IP Pool.
Dies birgt aber immer den Nachteil das Mac Adressen eben konfigurierbar sind und dort ein Angriffspunkt gegeben ist.

Beide Verfahren werden auch von kommerziellen Providern benutzt und die meisten Consumer Endgeräte supporten sie so das du damit kein Problem bekommst. Sofern du sicherstellen kannst das die WLAN CPEs (Zugangssysteme) nicht von den Endusern konfiguriert werden können können die die Mac dort auch nicht verbiegen.
Beide Verfahren sind dann sicher und die DHCP Geschichte dann sicher am einfachsten umzusetzen wenn deine Enduser einen "Zwangs" WLAN Rouetr von dir bekommen

Zum Rest hat Kollege Dobby ja schon alles gesagt.
Bitte warten ..
Mitglied: Webkamer
02.06.2014 um 22:35 Uhr
Danke euch 2 für die Infos. Ich werd dann mal eine kleine Testumgebung mit pfSense aufbauen.
Für die ersten Tests werde ich Squid auf der pfSense installieren.

Noch eine Frage zur Hardware:
Ich werd nochmal in meinem pfSense Guide nachlesen zu Dimensionierung.
Ich hätte aus dem Bauch heraus selbst eine kleine Firewall auf i3 bzw. i5 basis gebaut (oder mit der XEON E1200 Serie).
Natürlich hochwertigen NIC´s. Findet ihr das ok oder ist das mit Kanonen auf Spatzen geschossen?
Mir fehlt bei der pfSense Hardwaredimensionierung einfach noch das "Bauchgefühl"

Hier noch ein Link zu der Airfiber Thematik:
http://www.heise.de/netze/meldung/AirFiber-Gigabit-Richtfunk-mit-Haken- ...
Es gibt aber auch eine 5 GHz Variante.

Grüße

Webkamer
Bitte warten ..
Mitglied: 108012
02.06.2014 um 22:58 Uhr
Hier noch ein Link zu der Airfiber Thematik:
http://www.heise.de/netze/meldung/AirFiber-Gigabit-Richtfunk-mit-Haken- ...
Es gibt aber auch eine 5 GHz Variante.
Jo die kostet auch nur 950 € statt ~1500 €

Ich werd nochmal in meinem pfSense Guide nachlesen zu Dimensionierung.
Für 20 Leute kann man das auch alles in eine Appliance packen.
Also pfSense, Squid + SquidGuard oder ClamAV

Ich hätte aus dem Bauch heraus selbst eine kleine Firewall auf i3 bzw. i5 basis gebaut
(oder mit der XEON E1200 Serie).
Intel Xeon ist schon fett, dann kann man auch ECC RAM nehmen oder aber auch gleich eine
kleine fertige Appliance von Supermicro, alles drin und alles dran.
Die gehen so bei ~500 € los und enden bei ~1000 €.
Supermicro X9SCMSE3
Supermicro 5018D-MF

Oder aber ein kleines Alix Board Alix APU & Alix Gehäuse mit HDD
Auf eine mSATA das OS und dann eben eine kleine SSD im Gehäuse.

Natürlich hochwertigen NIC´s.
Das würde ich auf jeden fall machen wollen, denn wenn 20 Leute YouTube
gucken und oder eine DVD herunterladen ist das schon besser.

Findet ihr das ok oder ist das mit Kanonen auf Spatzen geschossen?
Ich nicht.

Mir fehlt bei der pfSense Hardwaredimensionierung einfach noch das "Bauchgefühl"
Das kommt aber auch immer darauf an was die 20 Leute da den ganzen Tag machen!

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Zahnarztpraxis Gäste WLAN logging, ist logging überhaupt notwendig?

Frage von TomJonesLAN, WAN, Wireless10 Kommentare

Hallo zusammen, und täglich grüßt das Murmeltier, werden die meisten jetzt wohl denken. Mal wieder ein Thema mit der ...

LAN, WAN, Wireless

WLAN Hotspot mit Ticketsystem, Abrechnung und Logging

Frage von detmold79LAN, WAN, Wireless6 Kommentare

Hallo zusammen, ich suche eine Lösung für die Umsetzung eines Hotspots für Gäste mit Ticketsystem (Abrechnung, Logging etc.). Das ...

Monitoring

Netzwerk Logging

Frage von nullpeilerMonitoring3 Kommentare

Hallo Admins, im zuge der Virtualisierung habich noch Resourcen frei und wollte mir eine VM erstellen mit der ich ...

Windows Server

Logging Benutzername - DHCP Adresse

Frage von awillingWindows Server10 Kommentare

Wir haben einen Windows 2008 R2 Server (Domain Controller) und müssen dort eine Möglichkeit finden, wie Benutzerlogins und die ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 5 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 7 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 7 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server
Route-Befehl Unterstützung (unter CMD)
Frage von FKRR56Server12 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...