Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN sichern durch VPN und IPSEC

Mitglied: u0206084

u0206084 (Level 1) - Jetzt verbinden

02.04.2008, aktualisiert 08.04.2008, 10131 Aufrufe, 4 Kommentare

Hallo

bin gerade an einem Projekt in dem ich die Aufgabe habe 8 pc per WLAN über AP an das Hausnetz zu bringen, dies sollte mit der größt möglichen Sicherheits getan werden.

Das WLan befindet sich in unsererm Unternehmen also ebenfalls intern. Da wir ein Unternehmen sind das mit Personenbezogene Daten arbeitet ist eine sehr hohe Sicherheit von nöten.

Meine Frage ist wie kann ich am besten die kommunikation der WLan Kommponenten absichern. Hierbei geht es mir vornehmlich um die Kommunikation der WLAN- Komponenten über VPN in verbindung mit IPSEC.


Hoffe es hat schon jemand erfahrungen in diesem Gebiet.


Meine Vorstellung ist folgende:



die Verschlüsselung wird über WPA2 realisiert. Zusätzlich soll die Kommunikation der WLAN -Komponenten (PC'S und AP) über eine VPN Verbindung und IPSEC Kommunizieren. ? Ist das möglich ?

Zur Info es handelt sich dabei nicht um ein zugriff von außen auf ein Unternemensnetzwerk sondern der AP und die 8 PC' sind bestandteil des internen Netzwerkes.


Vielen Danke

Gruß Martin
Mitglied: aqui
02.04.2008 um 16:00 Uhr
Ja das wäre möglich ist aber eigentlich vollkommener Unsinn, da WPA2 als derzeit sicher gilt und eine zusätzliche IPsec Verschlüsselung auf dem WLAN den Overhead an Daten unnötigerweise erhöht, was auf Kosten eurer Nutzdatenbandbreite geht. Eure Daten sind also im Bezug auf die Übertragung auch mit WPA2 sehr sicher.
IPsec macht man nur über offene WLANs, wenn man sich das Handling mit WPA Schlüsseln etc. sparen will oder über ein sog. Captive Portal im WLAN geht, eine Zwangswebseite so wie du sie von Hotspots im Flughafen oder Hotels kennst, auf der man sich authentifizieren muss ansonsten aber in einem nicht verschlüsselten WLAN arbeitet. Dort macht man dann IPsec um die Daten zu veschlüsseln.
In einem WPA(2) Umfeld ist das nicht erforderlich !

Viel wichtiger ist hingegen die Identifizierung der Clients und der authentisierte Zugriff in diesem WLAN. Denn wenn einer der Sekretärin mit Hilfe eines Blumenstraußes oder was auch immer das Passwort entlockt liegt dem eurer Netzwerk zu Füssen egal ob du dann sinnloserweise über WPA2 nochmal IPsec machst.

Hier solltest du also mit einem Radius Server arbeiten und die Clients sicher anhand von Benutzernamen oder besser Zertifikaten identifizieren. Zertifikate haben den Vorteil, das sie Gerätebezogen sind und nicht Benutzerbezogen. In einem Windows Umfeld ist das sehr einfach mit dem IAS einzurichten. Der Freeradius bietet aber auch eine kostenlose Alternative mit dem das ebenfalls leicht zu machen ist.

Aus Sicht der Infrastruktur (LAN) betreibt man so ein WLAN auf der Switch/LAN Infrastruktur immer in einem separaten VLAN, damit es per se schon mal physisch vom Firmennetz getrennt ist.
Das WLAN VLAN wird dann über einen Layer 3 (Routing Switch) mindestens aber über eine Firewall mit dem Firmen LAN verbunden.
Der Layer 3 Switch oder die Firewall legt dann mit Hilfe von Access Control Listen genau fest welche Dienste die Clients auf welchem Server im Firmennetz benutzen dürfen.

Anhand dieser Authentifizierungen hast du immer ein Überblick wer im WLAN arbeitet und kannst Eindringlinge auch sofort sicher identifizieren !

So wird heutzutage so eine WLAN Infrastruktur an ein Firmennetz gekoppelt !
Bitte warten ..
Mitglied: u0206084
03.04.2008 um 12:47 Uhr
Hallo

vielen Dank für deine Ausführung. Es gibt doch auch Accesspoints der die funktion eines Radiusserver beinhaltet.

Es handelt sich um eine w2k3 Domäne. Wie läuft das technisch ab.

Ich melde mich an der Domäne an wie greift da der Radius Server und der AP zusammen ?

Ich will ja über eine XP Maschine WLAN und der AP auf das Netzwerk zugreifen, das heißt ja für mich das ich eine Server (Radius) dazwischen schalten muss oder kann hierfür der bestehende DC verwendet werden. ? Aber fakt ist doch das ich jedoch erst eine kommunikation mit dem AP aufbauen muss wo findet den die Authentifizierung statt ?

versteh den technischen Aufbau nicht ganz.



- w2k3 Domäne
- Kabelgebundenes Netzwerk
- 1 x AP WLAN
- 8 xp WLAN

Kannst du mir das bitte nochmals erläutern wie ich eine Radius Authentifizierung mit Zertifikat in einer W2k3 Domäne für die WLAN-Komponenten schaffe.

Vielen Danke
Bitte warten ..
Mitglied: aqui
04.04.2008 um 09:47 Uhr
Nein, einen Radius Server gibt es auf keinem Accesspoint der Welt, wohl aber einen Radius Client bzw. die meisten (guten) APs haben diesen an Bord. Den Radius Server hast du immer extern, z.B. den Windows IAS auf deinem Server oder den Freeradius wenn du es kostenlos haben möchtest.

Sowie ein Benutzer sich mit einem AP assoziieren möchte fragt dieser dann erstmal den Radius Server ob dieser Benutzer auch authentifiziert ist. Erst wenn die Antwort positiv ist wird der Benutzer erst auf die WLAN Infrastruktur gelassen.
Die Authentifizierung findet also auf dem AP statt oder über den AP auf dem Radius wenn man es technisch korrekt beschreiben sollte...

Die MS Knowledgebase hat einen Artikel zu diesem Thema:

http://www.microsoft.com/germany/technet/datenbank/articles/900017.mspx

Und....falls du nicht als Windows Knecht enden willst hier ist das HowTo wie man es mit Freeradius kostenfrei zum Laufen bekommt:

http://wiki.freeradius.org/WPA_HOWTO
Bitte warten ..
Mitglied: u0206084
08.04.2008 um 15:51 Uhr
Hallo

Vielen Dank für deine kompetente Ausführung. Ich werde es mal versuche in einem Test umzusetzten. Werde dich wenn ich darf bei Problemen nochmals anschreiben. Habe dies noch nie gemacht und bn nicht so firm mit Zertifikaten diese werden ja auch benötigt oder. Laut bsi wäre es sinnvoll (IP-VPN) oder wie siehst du das? Wenn du das auch für sinnvoll findest wäre ich dir dankbar wenn du kurz erläutern könntest wie ich das mit den xp clients und AP und Active Directroy im Groben angehen muss.

Vielen Dank

Gruß Martin
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Zugriff auf pfsense mit IPsec im WLAN
Frage von maddigRouter & Routing1 Kommentar

Guten Abend, Ich habe mal wieder eine verständnis Frage. Angenommen ich bin mit meinen iPhone in einem Fremden WLAN. ...

Windows Server
Frage bezüglich VPN und IPSec
gelöst Frage von ProtectedWindows Server5 Kommentare

Hallo, in einer Anleitung, wie man einen IPSec VPN Konfiguriert erscheint immer folgender Dialog: Leider erscheint bei meinem Windows ...

LAN, WAN, Wireless
VPN Verbindung L2TP IPSec
gelöst Frage von MasterBlaster88LAN, WAN, Wireless3 Kommentare

Hi Leute, ich hab folgendes Problem: ich habe seit neustem Windows 8.1. Jetzt hatte ich vorher auf meinem Win7 ...

MikroTik RouterOS
Mikrotik zu LANCOM, IPSec VPN
Frage von tantalosMikroTik RouterOS1 Kommentar

Hallo, hat schon mal jemand ein IPSec-VPN zwischen einem Mikrotik und einem LANCOM-Router (bspw. 1781AW) eingerichtet und hat ein ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 3 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement13 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware12 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android12 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...