WLAN mit WPA2 trotz öffentlich bekanntem Schlüssel sinnvoll?

Moin,

selbst wenn wir mal annehmen das es sich um ne Schule o.ä. handelt bei dem jeder Schüler dann das Kennwort hätte dann macht das immernoch Sinn. Denn wenn ich vor der Schule halte dann habe ich das Passwort immernoch nicht. Also bringt mir das WLAN wenig.

Oder möchtest du das Passwort etwa einfach so am Zettel an die Haustür hängen? Wenn die Überprüfung jetzt per MAC erfolgt dann müssen sich die Teilnehmer ja eh irgendwo melden (damit du die MAC bekommst). Dann kann man an der Stelle auch gleich das Passwort rausgeben...

Ganz nebenbei: Guck mal im Bereich "Hotel" - auch dort hast du oft das WLAN gesichert obwohl das Passwort für jeden Gast sichbar im Zimmer hinterlegt ist... Aber auch da ist es eben nur jeder Gast der einmal da war - das Script-Kiddy was meint es kann ja "War-Driven" sieht nur das es verschlüsselt ist und geht gleich weiter... (Mit nen bisserl pipi in den Augen weil es zu blöd ist da noch weiterzukommen - aber das ist ein anderes Thema...)

Das wäre Unsinn mit einem öffentlich bekannten Schlüssel, dann kannst du die APs auch gleich offen betreiben wie es jetzt ist !
Die Frage ist WAS das für ein WLAN ist und da lässt du uns dummerweise im Dunkeln tappen
So kann man nur wild raten das das vermutlich ein Gästenetz ist oder eins für Schüler oder sowas....
Dort macht es dann Sinn alles offen zu lassen aber auf der Monowall wenigstens ein Captive Portal zu betreiben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Hier solltest du dann zentral die Mac Adressen aus dem WLAN verwalten was du ja auch schon machst. Zusätzlich solltest du auch noch die CP Authentisierung laufen lassen.
So hast du wenigstens 2 Hürden. Das CP Passwort kannst du zusätzlich wechseln in Abständen. Ganz wasserdicht wirst du es aber nie bekommen.
Das schaffst du nur wenn du eine Authentisierung mit einem Zertifikat machst. Dann kannst du absolut sicher sein das nur Geräte auf denen das Zertifikat rennt ins WLAN kommen. Ob du das dann offen machst oder mit der Authentisierung über die Mac Adresse kopplest ist Geschmackssache...
Wie man sowas schnell umsetzt kannst du hier nachlesen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

Hallo,
Ja. Bei der Installation des Zertifikates (eine datei) muss einmalig ein Kennwort eingegeben werden. Also sollte entweder dieses kennwort sicher sein oder die Datei niemand in die falschen Finger bekommen.
Stefan

Moin,

bei 300 Leuten ist das Passwort alles andere als öffentlich. Natürlich - jeder Schüler von euch kann das weitergeben. Aber jemand der eben nur bei euch vor der Schule mit nem Laptop hält wird das mit großer Sicherheit nicht kennen. Damit hast du schonmal eine Gefahr ausgeschaltet...

Allerdings ist natürlich auch klar das dein Passwort nicht wirklich sicher sein kann. Hier stellt sich dann die Frage warum der Support-Aufwand so hoch ist mit den Passwörtern für die Schüler? Ich persönlich glaube nämlich nicht das dich Zertifikate weiterbringen - diese musst du auch regelmäßig (nach Abgang eines Jahres z.B.) ändern / ablaufen lassen. Und die neuen Schüler brauchen dann hilfe beim Verwenden des Zertifikates...

Jetzt wäre also intressant was für eine Schule das ist. Aber wenn das irgendwas ab 6te Klasse ist dann darf man von den Leuten die Fähigkeit erwarten das die sich ein Passwort merken können. Hier kann man ja durchaus die Option schaffen das die das PW selbst ändern. Dies hat nämlich (je nach Log-Funktion bei euch) auch den Vorteil das jeder Schüler auch für seine Sache selbst verantwortlich ist. Nehmen wir mal den ganz harten Fall an: Schülerin x trennt sich von ihrem Typen weil die nen anderen gefunden hat (man munkelt das sowas in Schulen durchaus öfters mal der Fall ist). Dummerweise hat der Ex noch die schönen "privat-Bilder" und -Videos auf dem Rechner und stellt die jetzt online. Solang bei dir alles offen ist - rate mal wer jetzt einen Schlag vorm Schädel wegen Verbreitung von Kinderpornos bekommt? (Und sorry wenn ich das jetzt ganz hart sage - aber wenn ich mir angucke was heute teils da so rumrennt dann halte ich es für nicht SO unmöglich das Kiddys auf solche Ideen kommen...).

Von daher stelle ich bei sowas meine Sicherheit (nämlich das ich erst gar keine langen Probleme mit den Herrn vom Amt hab) nach oben. Wenn jemand dann meint er ist zu dämlich sich ein Passwort (was eben ggf. sogar selbst gewählt werden darf) zu merken - pech. Oder holst du auch jeden morgen alle Schüler ab weil die vergessen haben wie der Schulweg ist? Und wenn das Pausenbrot zuhause liegt - egal, gibt man denen halt ne Runde in der Pommes-Bude nebenan aus... Und wenn dann ein Schüler meint er muss als Nutzernamen "mike" und als Passwort "mike" nehmen - mir auch egal. DAS ist seine Entscheidung, nicht meine...

Gruß

Mike (und nein, das ist nicht mein Passwort... ;) )

Es geht auch nur mit Zertifikat. Du kannst dann zum User zertifikat die Mac Adressen der PCs nehmen. Das sollte dann einigermaßen sicher sein.
Jedenfalls kannst du davon dann ausgehen das nur mit diesen rechnern die das Zertifikat draufhaben und den Mac Adressen dann zugegriffen wird...
Das Zertifikat man man installiert nichtkopieren..

Hallo,
das kannst Du so machen, aber gedacht ist es natürlich so, dass jeder sein Zertifikat bekommt. Dann kannst Du die Benutzer in der Monowall identifizieren.
Stefan

Hallo,
ich kenne jetzt keine konkrete Software die das macht, aber es ist standard.
Ins WLAN kommt man unverschlüsselt ohne alles. Wenn man nun ins Internet geht, kommt man von der monowall immer nur auf eine Anmeldenseite. Dort gibt man Benutzername und Kennwort und wird für x Stunden freigeschaltet. So wirds bei den meisten kommerziellen Hotspots gemacht.
Stefan

Dann bleiben dir logischerweise nur Zertifikate oder Username / Passwort mit oder ohne Radius....andere Verfahren gibt es ja nicht am Markt !!