Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WLAN Benutzerauthentifizierung und Logging

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Webkamer

Webkamer (Level 1) - Jetzt verbinden

30.05.2014 um 01:57 Uhr, 1843 Aufrufe, 6 Kommentare

Liebe Admin Gemeinde,

ich hab hier eine Frage zum Thema WLAN Sicherheit und Authentifizierung.
Zu meinem Vorhaben:
Ein Abgelegener Ort soll über WLAN Richtfunk an Breitbandinternet angebunden werden. Nur eben schnelles Internet per Richtfunk dorthin und dann Verteilen ist ja kein Problem. Nur kommt halt hier dieser Sicherheitsaspekt noch hinzu, da alle über eine Öffentliche IP Surfen.

Mich würde jetzt inzeressieren in welche Themen ich mich "einlesen" muss.
Einige Ideen habe ich schon dazu:
Das Internet per Richtfunk (Sind 2 Hops) zu einem zentralen Verteilpunkt. Von dort an dann weiter.
Alles kein Problem.
Dann an der Verteilet Station Client Isolation dass kein Zugriff untereinander möglich ist.
Meine Fragen beziehen sich auf das Mitloggen und der User Authentifizierung. So dass dann wenn jemand was illegales macht ich das in den Log Files sehe. Diesbezüglich habe ich noch nichts gmacht und würde gerne eine Testumgebung aufbauen.
Als Komponenten fürs WLAN würde ich UBNT Airmax Komponenten einsetzten. Als Firewall wäre mir PfSense/Monowall am liebsten.

Es handelt sich um max. 20 Enduser.

Danke und Grüße

Webkamer
Mitglied: Dobby
LÖSUNG 30.05.2014, aktualisiert 02.06.2014
Moin,

Ein Abgelegener Ort soll über WLAN Richtfunk an Breitbandinternet angebunden werden.
Von welcher Strecke und wie viel Bandbreite reden wir denn hier?
Was nutzt Du denn dafür, AirFiber?

Dann an der Verteilet Station Client Isolation dass kein Zugriff untereinander möglich ist.
Packe jeden Kunden in ein eigenes VLAN und gut ist es, aber die VLANs verbrauchen
auch wieder Ressourcen und daher kommt es dann schon ein wenig darauf an wie viele
Kunden man hat.

Meine Fragen beziehen sich auf das Mitloggen und der User Authentifizierung. So dass dann wenn
jemand was illegales macht ich das in den Log Files sehe. Diesbezüglich habe ich noch nichts
gmacht und würde gerne eine Testumgebung aufbauen.
Stell doch einfach einen http Proxy wie Squid und dann hast Du auch gleich einen Cache mit dabei.

Als Komponenten fürs WLAN würde ich UBNT Airmax Komponenten einsetzten.
Auch für die Richtfunkstrecke!? Oder nur am Endpunkt bei den Kunden?

Als Firewall wäre mir PfSense/Monowall am liebsten.
Dann nimm doch lieber die pfSense, aber das macht auch jeder frei gusto.
Ubiquiti hat jetzt aber auch gute Router im Portfolio die auch mit einem Radisuserver
versehen werden können, direkt auf dem Router, ich meine wenn nur um 20 Kunden geht
wäre das doch auch eine Möglichkeit, oder?

Ansonsten in solchen Fällen vielleicht auch einmal bei MikroTik vorbei schauen
das wäre auch noch so ein Routerkandidat der in diesem Umfeld gut mitspielt.

Gruß
Dobby


P.S. Ist ein radiuszertifikat an alle Nutzer vergeben worden und ein http Proxy
wie Squid mit im Spiel kann man ganz genau sagen wer, wann, was gemacht hat.
Bitte warten ..
Mitglied: Webkamer
30.05.2014 um 08:51 Uhr
Danke Dobby für deine Antwort.

Bandbreitenmäßig ist das noch schwer zu sagen welche Dimensionen das dann annimmt. Für den Anfang mal 100 mbit.
AirFiber würde ich gerne einsetzen da muss ich aber noch ein paar Infos Sammeln, da ich was gelesen habe dass ich die 24 GHz variante in D nicht verwenden kann.
Hab erst gesehen dass es auch eine 5 GHz Variante auch gibt.

Die 100 MBit wären sonst mit den AirMax Komponenten für den Anfang auch möglich.
An den Endpunkten wären dann Nanostations.

Das mit den VLANs habe ich mir auch überlegt. Wenn pfsense dann muss die klar Leistungsfähig sein.

Noch eine Frage zu deine Ausführungen:
Brauche ich die Radius Authentofizierung noch zum Proxy dazu oder reicht eigentlich der Proxy?

Besten Gruß
Webcamer
Bitte warten ..
Mitglied: Dobby
LÖSUNG 30.05.2014, aktualisiert 02.06.2014
AirFiber würde ich gerne einsetzen da muss ich aber noch ein paar Infos Sammeln,
da ich was gelesen habe dass ich die 24 GHz variante in D nicht verwenden kann.
Oh das wusste ich nicht.

Hab erst gesehen dass es auch eine 5 GHz Variante auch gibt.
Ist wohl eine Alternative dazu.

Noch eine Frage zu deine Ausführungen:
Brauche ich die Radius Authentofizierung noch zum
Proxy dazu oder reicht eigentlich der Proxy?
Ich würde einen kleinen Radius Server nehmen und einen Squid http Proxy
sicher kann man das auch alles auf die pfSense packen nur die sollte dann auch
potent genug sein , ich persönlich würde es nicht zusammen auf ein Gerät packen denn
dann kann man einen größeren Cache für den Proxy nutzen und einige Seiten beschleunigen.

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
LÖSUNG 30.05.2014, aktualisiert 02.06.2014
Die pfSense/Monowall kann selber PPPoE Server sein. Sie kann also die Enduser genau wie bei kommerziellen Providern per PPPoE authentisieren über einen zentralen Radius Server der die Benutzer Datenbank hält.
Abgesehen davon kannst du den PPPoE Server aber auch auf einem externen Server realisieren.

Alternativ dazu kannst du hier statt PPPoE auch Mac Adress basiertes DHCP machen und über den Radius dann eine User bezogenen IP verteilen oder aus einem IP Pool.
Dies birgt aber immer den Nachteil das Mac Adressen eben konfigurierbar sind und dort ein Angriffspunkt gegeben ist.

Beide Verfahren werden auch von kommerziellen Providern benutzt und die meisten Consumer Endgeräte supporten sie so das du damit kein Problem bekommst. Sofern du sicherstellen kannst das die WLAN CPEs (Zugangssysteme) nicht von den Endusern konfiguriert werden können können die die Mac dort auch nicht verbiegen.
Beide Verfahren sind dann sicher und die DHCP Geschichte dann sicher am einfachsten umzusetzen wenn deine Enduser einen "Zwangs" WLAN Rouetr von dir bekommen

Zum Rest hat Kollege Dobby ja schon alles gesagt.
Bitte warten ..
Mitglied: Webkamer
02.06.2014 um 22:35 Uhr
Danke euch 2 für die Infos. Ich werd dann mal eine kleine Testumgebung mit pfSense aufbauen.
Für die ersten Tests werde ich Squid auf der pfSense installieren.

Noch eine Frage zur Hardware:
Ich werd nochmal in meinem pfSense Guide nachlesen zu Dimensionierung.
Ich hätte aus dem Bauch heraus selbst eine kleine Firewall auf i3 bzw. i5 basis gebaut (oder mit der XEON E1200 Serie).
Natürlich hochwertigen NIC´s. Findet ihr das ok oder ist das mit Kanonen auf Spatzen geschossen?
Mir fehlt bei der pfSense Hardwaredimensionierung einfach noch das "Bauchgefühl"

Hier noch ein Link zu der Airfiber Thematik:
http://www.heise.de/netze/meldung/AirFiber-Gigabit-Richtfunk-mit-Haken- ...
Es gibt aber auch eine 5 GHz Variante.

Grüße

Webkamer
Bitte warten ..
Mitglied: Dobby
02.06.2014 um 22:58 Uhr
Hier noch ein Link zu der Airfiber Thematik:
http://www.heise.de/netze/meldung/AirFiber-Gigabit-Richtfunk-mit-Haken- ...
Es gibt aber auch eine 5 GHz Variante.
Jo die kostet auch nur 950 € statt ~1500 €

Ich werd nochmal in meinem pfSense Guide nachlesen zu Dimensionierung.
Für 20 Leute kann man das auch alles in eine Appliance packen.
Also pfSense, Squid + SquidGuard oder ClamAV

Ich hätte aus dem Bauch heraus selbst eine kleine Firewall auf i3 bzw. i5 basis gebaut
(oder mit der XEON E1200 Serie).
Intel Xeon ist schon fett, dann kann man auch ECC RAM nehmen oder aber auch gleich eine
kleine fertige Appliance von Supermicro, alles drin und alles dran.
Die gehen so bei ~500 € los und enden bei ~1000 €.
Supermicro X9SCMSE3
Supermicro 5018D-MF

Oder aber ein kleines Alix Board Alix APU & Alix Gehäuse mit HDD
Auf eine mSATA das OS und dann eben eine kleine SSD im Gehäuse.

Natürlich hochwertigen NIC´s.
Das würde ich auf jeden fall machen wollen, denn wenn 20 Leute YouTube
gucken und oder eine DVD herunterladen ist das schon besser.

Findet ihr das ok oder ist das mit Kanonen auf Spatzen geschossen?
Ich nicht.

Mir fehlt bei der pfSense Hardwaredimensionierung einfach noch das "Bauchgefühl"
Das kommt aber auch immer darauf an was die 20 Leute da den ganzen Tag machen!

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
WLAN Hotspot mit Ticketsystem, Abrechnung und Logging (6)

Frage von detmold79 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Hat On Networks PL500PS WLAN-Funktion? (4)

Frage von Andy1987 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Datenbankverbindung über WLAN? (5)

Frage von flyingKangaroo zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...