Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Watchguard XTM-26 Internet nur für autorisierte Benutzer

Frage Sicherheit Firewall

Mitglied: bahnhof

bahnhof (Level 1) - Jetzt verbinden

26.01.2014 um 16:40 Uhr, 2377 Aufrufe, 2 Kommentare

Hallo,
Ich möchte in dem Netzwerk einer Schule das Internet nur für autorisierte Benutzer freischalten damit das Logging des Traffics vernünftig zu analysieren ist.

Das Netzwerk besteht aus ca. 25 Computern die Über 3 Terminal Server laufen. Auf diesen habe ich auch schon den Terminal Server Client von Watchguard installiert. Das bedeutet, das die Internetverbindungen von den Terminal Servern schon mit Benutzername im Watchguard Traffic Log angezeigt werden.
Das Problem sind jetzt aber die Computer selber und das W-Lan. Damit der Video Stream vernünftig läuft ist es auf allen Computern auch möglich ohne den Terminal Server ins Internet zu gehen. Da dafür keine Eingabe der Benutzernamens erforderlich ist um die Anmeldezeit zu beschleunigen weiß die Watchguard natürlich nicht wer ins Internet geht.
Auch das W-lan unserer Schule läuft nicht über einen Radius Server sondern nur mit einem WPA-2 Passwort, da Radius W-lan eine zu Hohe Ausfallquote hat. Wir planen aber die baldige Freigabe des W-lan Passworts für die Schüler. Sobald dieses erfolgt ist können wir den Internetverlauf der W-Lan Geräte auch nicht Benutzerspezifisch loggen.

Meine Frage ist also, ob es möglich ist, das die Watchguard die Benutzer bei denen Sie nicht weiß, wer Sie sind erst auf eine Interne Seite leitet, auf der Sie sich anmelden können. Dabei dachte ich an eine Anbindung an die Active Directory.
Ich habe im Setup der Watchguard unter "Authentication Settings" -> "Autentication Portal" glaube ich schon so etwas gefunden. Aber trotz stundenlangem ausprobieren weiß ich nicht wie man es konfigurieren kann. Vielleicht bin ich da ja auch auf dem Holzweg. Die letzten beiden Bedingung die man am besten einstellen können müsste wären, das dieses System nur auf einem der 3 Netzwerk aktiviert ist, die die Watchguard aktiviert hat. Und außerdem sollte man die Terminal Server auch ausschließen können, da die Updates, die diese machen ohne eine Autorisierung gemacht werden. Das bedeutet, wenn Sie nicht ausgeschlossen werden würde, könnten Sie keine Updates mehr machen.

Ich hoffe, das meine Erklärung einigermaßen verständlich ist.
Grüße
bahnhof
Mitglied: aqui
27.01.2014, aktualisiert um 09:52 Uhr
da Radius W-lan eine zu Hohe Ausfallquote hat
Mmmhhh.... wie bitte kommst du auf sowas ?? Du hast die Möglichkeit 2 und mehr Radius Server im Netz zu betreiben und diese auch redundant bei der Authentisierung anzugeben.
Fällt einer aus, dann übernimmt automatisch der andere. Diese These von dir ist also nicht haltbar. Bei einer überschaubaren Anzahl von Usern kann der Radius (oder die Radius) Server sogar ein Raspberry_Pi sein so das du ein vollredundantes Szenario hast für nichtmal 60 Euro. Dadurch das die HW keine Verschleissteile hat ist sie sogar Langzeit geeignet Das ganze lässt sich auch mit dem NPS vollredundant aufbauen.
Dieses Argument zeugt also eher von wenig Verständnis der Technik, sorry.
Ebenso die Tatsache das Schul WLAN mit einem dummen statischen Passwort zu betreiben. Sowas ist eigentlich fahrlässig, denn es ist eine Frage von Minuten bis das Passwort in Schülerkreisen rum ist. Die Pfiffigen unter ihnen haben so oder so "aircrack-ng" auf dem Rechner. Da kann man es dann auch gleich mit einem Poster öffentlich an die Eingangstür pinseln, das hat den gleichen Effekt.
Du solltest das WLAN mit Multi SSID fähigen APs splitten in ein sicheres WLAN und eins für Schüler und Gäste und das auf 2 VLANs auftrennen die an einer Firewall hängen. Letzteres sollte sinnigerweise mit einem Einmalpasswort betrieben werden wie es z.B. hier beschrieben ist.
Das sichere WLAN sollte dann natürlich Zertifikats basierend installiert sein mit User Zertifikaten OHNE ein statisches Passwort. Minimal aber mit einer WPA Enterprise Lösung und einem Radius wie es z.B. hier beschrieben ist.
Damit lassen sich diese User nicht nur zentral verwalten und steuern sondern auch noch Restriktionen wie Zeitlimits usw. vergeben.
So wird eine wasserdichte Lösung daraus.
Bessere Firewalls wie z.B. die oben zitierte pfSense haben so eine Captive Portal Lösung die eine Web basierte User Abfrage realsiert. Über den Radius ist von der FW dann eine AD basierte User Authentisierung mit 3 Mausklicks erledigt. Die TS schliesst man ganz einfach mit einer Exclude Accessliste aus, auch das ist kein Thema !
Eigentlich sollte ein kommerzielles Produkt dieses Feature ebenso besitzen, da es heute so gut wie immer zu den simplen Grundausstattungen einer FW gehört. Sogar mittelpreisige LAN Switches haben solche Funktion mittlerweile standardtmäßig an Bord im Rahmen ihrer 802.1x Authentisierung !
Mit den richtigen Komponenten ist das was du willst in einer Viertelstunde lauffähig umgesetzt. Fragt sich was du da so kompliziert denkst.
Bitte warten ..
Mitglied: bahnhof
31.01.2014, aktualisiert um 16:49 Uhr
Ich habe jetzt ein Radius W-Lan mit Zertifikaten installiert. Als Radius Server läuft der Windows Server 2012 auf dem auch die Active Directory installiert ist. Die W-Lan Autorisierung läuft auch ganz gut. Mein Problem ist aber, das die Watchguard nicht weiß welcher Benutzer im Internet surft. Es also auch nicht loggen kann. Kennt jemand die richtige Einstellung dafür?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...