Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Watchguard XTM-26 Internet nur für autorisierte Benutzer

Mitglied: bahnhof

bahnhof (Level 1) - Jetzt verbinden

26.01.2014 um 16:40 Uhr, 2571 Aufrufe, 2 Kommentare

Hallo,
Ich möchte in dem Netzwerk einer Schule das Internet nur für autorisierte Benutzer freischalten damit das Logging des Traffics vernünftig zu analysieren ist.

Das Netzwerk besteht aus ca. 25 Computern die Über 3 Terminal Server laufen. Auf diesen habe ich auch schon den Terminal Server Client von Watchguard installiert. Das bedeutet, das die Internetverbindungen von den Terminal Servern schon mit Benutzername im Watchguard Traffic Log angezeigt werden.
Das Problem sind jetzt aber die Computer selber und das W-Lan. Damit der Video Stream vernünftig läuft ist es auf allen Computern auch möglich ohne den Terminal Server ins Internet zu gehen. Da dafür keine Eingabe der Benutzernamens erforderlich ist um die Anmeldezeit zu beschleunigen weiß die Watchguard natürlich nicht wer ins Internet geht.
Auch das W-lan unserer Schule läuft nicht über einen Radius Server sondern nur mit einem WPA-2 Passwort, da Radius W-lan eine zu Hohe Ausfallquote hat. Wir planen aber die baldige Freigabe des W-lan Passworts für die Schüler. Sobald dieses erfolgt ist können wir den Internetverlauf der W-Lan Geräte auch nicht Benutzerspezifisch loggen.

Meine Frage ist also, ob es möglich ist, das die Watchguard die Benutzer bei denen Sie nicht weiß, wer Sie sind erst auf eine Interne Seite leitet, auf der Sie sich anmelden können. Dabei dachte ich an eine Anbindung an die Active Directory.
Ich habe im Setup der Watchguard unter "Authentication Settings" -> "Autentication Portal" glaube ich schon so etwas gefunden. Aber trotz stundenlangem ausprobieren weiß ich nicht wie man es konfigurieren kann. Vielleicht bin ich da ja auch auf dem Holzweg. Die letzten beiden Bedingung die man am besten einstellen können müsste wären, das dieses System nur auf einem der 3 Netzwerk aktiviert ist, die die Watchguard aktiviert hat. Und außerdem sollte man die Terminal Server auch ausschließen können, da die Updates, die diese machen ohne eine Autorisierung gemacht werden. Das bedeutet, wenn Sie nicht ausgeschlossen werden würde, könnten Sie keine Updates mehr machen.

Ich hoffe, das meine Erklärung einigermaßen verständlich ist.
Grüße
bahnhof
Mitglied: aqui
27.01.2014, aktualisiert um 09:52 Uhr
da Radius W-lan eine zu Hohe Ausfallquote hat
Mmmhhh.... wie bitte kommst du auf sowas ?? Du hast die Möglichkeit 2 und mehr Radius Server im Netz zu betreiben und diese auch redundant bei der Authentisierung anzugeben.
Fällt einer aus, dann übernimmt automatisch der andere. Diese These von dir ist also nicht haltbar. Bei einer überschaubaren Anzahl von Usern kann der Radius (oder die Radius) Server sogar ein Raspberry_Pi sein so das du ein vollredundantes Szenario hast für nichtmal 60 Euro. Dadurch das die HW keine Verschleissteile hat ist sie sogar Langzeit geeignet Das ganze lässt sich auch mit dem NPS vollredundant aufbauen.
Dieses Argument zeugt also eher von wenig Verständnis der Technik, sorry.
Ebenso die Tatsache das Schul WLAN mit einem dummen statischen Passwort zu betreiben. Sowas ist eigentlich fahrlässig, denn es ist eine Frage von Minuten bis das Passwort in Schülerkreisen rum ist. Die Pfiffigen unter ihnen haben so oder so "aircrack-ng" auf dem Rechner. Da kann man es dann auch gleich mit einem Poster öffentlich an die Eingangstür pinseln, das hat den gleichen Effekt.
Du solltest das WLAN mit Multi SSID fähigen APs splitten in ein sicheres WLAN und eins für Schüler und Gäste und das auf 2 VLANs auftrennen die an einer Firewall hängen. Letzteres sollte sinnigerweise mit einem Einmalpasswort betrieben werden wie es z.B. hier beschrieben ist.
Das sichere WLAN sollte dann natürlich Zertifikats basierend installiert sein mit User Zertifikaten OHNE ein statisches Passwort. Minimal aber mit einer WPA Enterprise Lösung und einem Radius wie es z.B. hier beschrieben ist.
Damit lassen sich diese User nicht nur zentral verwalten und steuern sondern auch noch Restriktionen wie Zeitlimits usw. vergeben.
So wird eine wasserdichte Lösung daraus.
Bessere Firewalls wie z.B. die oben zitierte pfSense haben so eine Captive Portal Lösung die eine Web basierte User Abfrage realsiert. Über den Radius ist von der FW dann eine AD basierte User Authentisierung mit 3 Mausklicks erledigt. Die TS schliesst man ganz einfach mit einer Exclude Accessliste aus, auch das ist kein Thema !
Eigentlich sollte ein kommerzielles Produkt dieses Feature ebenso besitzen, da es heute so gut wie immer zu den simplen Grundausstattungen einer FW gehört. Sogar mittelpreisige LAN Switches haben solche Funktion mittlerweile standardtmäßig an Bord im Rahmen ihrer 802.1x Authentisierung !
Mit den richtigen Komponenten ist das was du willst in einer Viertelstunde lauffähig umgesetzt. Fragt sich was du da so kompliziert denkst.
Bitte warten ..
Mitglied: bahnhof
31.01.2014, aktualisiert um 16:49 Uhr
Ich habe jetzt ein Radius W-Lan mit Zertifikaten installiert. Als Radius Server läuft der Windows Server 2012 auf dem auch die Active Directory installiert ist. Die W-Lan Autorisierung läuft auch ganz gut. Mein Problem ist aber, das die Watchguard nicht weiß welcher Benutzer im Internet surft. Es also auch nicht loggen kann. Kennt jemand die richtige Einstellung dafür?
Bitte warten ..
Ähnliche Inhalte
Firewall
Config von XTM 26 auf XTM 25
Frage von Huibuh2010Firewall4 Kommentare

Hey Leute, ich wollte gern für den Übergang meine defekte XTM 26 gegen eine XTM 25 austauschen und die ...

Datenbanken

SQL Express - der Benutzer war nicht autorisiert

gelöst Frage von adm999Datenbanken11 Kommentare

Guten Abend allerseits, ich versuche über das Tool Microsoft PowerBI eine Verbindung über VPN zu einer SQL Express-Datenbank (WS2012) ...

Netzwerkmanagement

Pfsense Watchguard kein Internet auf LAN

gelöst Frage von medikopterNetzwerkmanagement19 Kommentare

Hallo, habe es ja nun endlich geschafft auf meiner Watchguard Pfsense zu installieren und auch eine Internet Verbindung über ...

Router & Routing

Watchguard Router Firewall Model XTM 22 XP3E6 auch ohne Lizenz brauchbar?

gelöst Frage von Amboss77Router & Routing5 Kommentare

Hallo Leute, wir bekommen bei uns in der Firma bald eine Watchguard XTM 5 Serie. Jetzt wollte ich mal ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 10 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 14 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Ubuntu
Ubuntu - Routing mit 2 Netzwerkkarten?
Frage von gabrixlUbuntu13 Kommentare

Hei Folgende Situation: Ich habe zwei virtuelle Maschinen: 1 - Server für DHCP, DNS und Routing - Netzwerkkarte 1: ...