Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN sichern durch VPN und IPSEC

Mitglied: u0206084

u0206084 (Level 1) - Jetzt verbinden

02.04.2008, aktualisiert 08.04.2008, 10266 Aufrufe, 4 Kommentare

Hallo

bin gerade an einem Projekt in dem ich die Aufgabe habe 8 pc per WLAN über AP an das Hausnetz zu bringen, dies sollte mit der größt möglichen Sicherheits getan werden.

Das WLan befindet sich in unsererm Unternehmen also ebenfalls intern. Da wir ein Unternehmen sind das mit Personenbezogene Daten arbeitet ist eine sehr hohe Sicherheit von nöten.

Meine Frage ist wie kann ich am besten die kommunikation der WLan Kommponenten absichern. Hierbei geht es mir vornehmlich um die Kommunikation der WLAN- Komponenten über VPN in verbindung mit IPSEC.


Hoffe es hat schon jemand erfahrungen in diesem Gebiet.


Meine Vorstellung ist folgende:



die Verschlüsselung wird über WPA2 realisiert. Zusätzlich soll die Kommunikation der WLAN -Komponenten (PC'S und AP) über eine VPN Verbindung und IPSEC Kommunizieren. ? Ist das möglich ?

Zur Info es handelt sich dabei nicht um ein zugriff von außen auf ein Unternemensnetzwerk sondern der AP und die 8 PC' sind bestandteil des internen Netzwerkes.


Vielen Danke

Gruß Martin
Mitglied: aqui
02.04.2008 um 16:00 Uhr
Ja das wäre möglich ist aber eigentlich vollkommener Unsinn, da WPA2 als derzeit sicher gilt und eine zusätzliche IPsec Verschlüsselung auf dem WLAN den Overhead an Daten unnötigerweise erhöht, was auf Kosten eurer Nutzdatenbandbreite geht. Eure Daten sind also im Bezug auf die Übertragung auch mit WPA2 sehr sicher.
IPsec macht man nur über offene WLANs, wenn man sich das Handling mit WPA Schlüsseln etc. sparen will oder über ein sog. Captive Portal im WLAN geht, eine Zwangswebseite so wie du sie von Hotspots im Flughafen oder Hotels kennst, auf der man sich authentifizieren muss ansonsten aber in einem nicht verschlüsselten WLAN arbeitet. Dort macht man dann IPsec um die Daten zu veschlüsseln.
In einem WPA(2) Umfeld ist das nicht erforderlich !

Viel wichtiger ist hingegen die Identifizierung der Clients und der authentisierte Zugriff in diesem WLAN. Denn wenn einer der Sekretärin mit Hilfe eines Blumenstraußes oder was auch immer das Passwort entlockt liegt dem eurer Netzwerk zu Füssen egal ob du dann sinnloserweise über WPA2 nochmal IPsec machst.

Hier solltest du also mit einem Radius Server arbeiten und die Clients sicher anhand von Benutzernamen oder besser Zertifikaten identifizieren. Zertifikate haben den Vorteil, das sie Gerätebezogen sind und nicht Benutzerbezogen. In einem Windows Umfeld ist das sehr einfach mit dem IAS einzurichten. Der Freeradius bietet aber auch eine kostenlose Alternative mit dem das ebenfalls leicht zu machen ist.

Aus Sicht der Infrastruktur (LAN) betreibt man so ein WLAN auf der Switch/LAN Infrastruktur immer in einem separaten VLAN, damit es per se schon mal physisch vom Firmennetz getrennt ist.
Das WLAN VLAN wird dann über einen Layer 3 (Routing Switch) mindestens aber über eine Firewall mit dem Firmen LAN verbunden.
Der Layer 3 Switch oder die Firewall legt dann mit Hilfe von Access Control Listen genau fest welche Dienste die Clients auf welchem Server im Firmennetz benutzen dürfen.

Anhand dieser Authentifizierungen hast du immer ein Überblick wer im WLAN arbeitet und kannst Eindringlinge auch sofort sicher identifizieren !

So wird heutzutage so eine WLAN Infrastruktur an ein Firmennetz gekoppelt !
Bitte warten ..
Mitglied: u0206084
03.04.2008 um 12:47 Uhr
Hallo

vielen Dank für deine Ausführung. Es gibt doch auch Accesspoints der die funktion eines Radiusserver beinhaltet.

Es handelt sich um eine w2k3 Domäne. Wie läuft das technisch ab.

Ich melde mich an der Domäne an wie greift da der Radius Server und der AP zusammen ?

Ich will ja über eine XP Maschine WLAN und der AP auf das Netzwerk zugreifen, das heißt ja für mich das ich eine Server (Radius) dazwischen schalten muss oder kann hierfür der bestehende DC verwendet werden. ? Aber fakt ist doch das ich jedoch erst eine kommunikation mit dem AP aufbauen muss wo findet den die Authentifizierung statt ?

versteh den technischen Aufbau nicht ganz.



- w2k3 Domäne
- Kabelgebundenes Netzwerk
- 1 x AP WLAN
- 8 xp WLAN

Kannst du mir das bitte nochmals erläutern wie ich eine Radius Authentifizierung mit Zertifikat in einer W2k3 Domäne für die WLAN-Komponenten schaffe.

Vielen Danke
Bitte warten ..
Mitglied: aqui
04.04.2008 um 09:47 Uhr
Nein, einen Radius Server gibt es auf keinem Accesspoint der Welt, wohl aber einen Radius Client bzw. die meisten (guten) APs haben diesen an Bord. Den Radius Server hast du immer extern, z.B. den Windows IAS auf deinem Server oder den Freeradius wenn du es kostenlos haben möchtest.

Sowie ein Benutzer sich mit einem AP assoziieren möchte fragt dieser dann erstmal den Radius Server ob dieser Benutzer auch authentifiziert ist. Erst wenn die Antwort positiv ist wird der Benutzer erst auf die WLAN Infrastruktur gelassen.
Die Authentifizierung findet also auf dem AP statt oder über den AP auf dem Radius wenn man es technisch korrekt beschreiben sollte...

Die MS Knowledgebase hat einen Artikel zu diesem Thema:

http://www.microsoft.com/germany/technet/datenbank/articles/900017.mspx

Und....falls du nicht als Windows Knecht enden willst hier ist das HowTo wie man es mit Freeradius kostenfrei zum Laufen bekommt:

http://wiki.freeradius.org/WPA_HOWTO
Bitte warten ..
Mitglied: u0206084
08.04.2008 um 15:51 Uhr
Hallo

Vielen Dank für deine kompetente Ausführung. Ich werde es mal versuche in einem Test umzusetzten. Werde dich wenn ich darf bei Problemen nochmals anschreiben. Habe dies noch nie gemacht und bn nicht so firm mit Zertifikaten diese werden ja auch benötigt oder. Laut bsi wäre es sinnvoll (IP-VPN) oder wie siehst du das? Wenn du das auch für sinnvoll findest wäre ich dir dankbar wenn du kurz erläutern könntest wie ich das mit den xp clients und AP und Active Directroy im Groben angehen muss.

Vielen Dank

Gruß Martin
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Zugriff auf pfsense mit IPsec im WLAN
Frage von maddigRouter & Routing1 Kommentar

Guten Abend, Ich habe mal wieder eine verständnis Frage. Angenommen ich bin mit meinen iPhone in einem Fremden WLAN. ...

Windows Server
Frage bezüglich VPN und IPSec
gelöst Frage von ProtectedWindows Server5 Kommentare

Hallo, in einer Anleitung, wie man einen IPSec VPN Konfiguriert erscheint immer folgender Dialog: Leider erscheint bei meinem Windows ...

Netzwerke
ZyWALL Android IPSec VPN
Frage von itse92Netzwerke2 Kommentare

Moin zusammen, ich habe hier eine ZyWALL USG 50 sowie ein Samsung Galaxy S5. Ich möchte vom S5 eine ...

Router & Routing
PfSense IPsec VPN Routing
gelöst Frage von Philippe27Router & Routing10 Kommentare

Hallo zusammen Benötige eure Hilfe. Gegeben: Standort A pfSense LAN 172.16.200.0/24 VPN nach Standort B 192.168.5.0/24 VPN nach Standort ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 18 StundenSonstige Systeme4 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 21 StundenDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 1 TagWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 1 TagHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Werksreset HP 1920S-24G
gelöst Frage von HenereNetzwerkgrundlagen14 Kommentare

Servus zusammen, ich habe mir 2 neue Switche zugelegt, doch ich komme damit nicht ganz klar. Waren Vorführgeräte zum ...

Viren und Trojaner
Office365 Trojaner Analyse
Frage von ZeppelinViren und Trojaner14 Kommentare

Liebe Community, ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden ...

DSL, VDSL
DSL Monitoring Tool - Quick and dirty?
Frage von george44DSL, VDSL13 Kommentare

Liebe Gemeinde, ich suche ein einfaches und vor allem schnell zu installierendes Monitoring-Tool zur kontinuierlichen Dokumentation (nur) der Internetanbindung. ...

Firewall
Sophos UTM 9.5 Firewall Log-File durchsuchen
gelöst Frage von Leo-leFirewall13 Kommentare

Hallo zusammen, weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann? ...