12
Umsetzung W-LAN in Firma im Bezug Sicherheit
Hi all,
heutzutage will ja jeder mobil sein und Inet Zugang haben. Gleichzeitig aber sollen ja die Firmendaten bzw. Rechner geschützt sein.
Wie setzt Ihr das um im Bezug auf WLAN und hauptsächlich Windows Umgebung? Plus ggfs. eigene devices wie Smartphones`?
Bei dem Kollegen bei dem wir diskutiert hatten, ist in Firma folgendes (alle Workstations sind noch mit AV Software betankt) :
2 SSIDs
1. Firmennetz + Internet (rein http und https) über Proxy und Firewall geht über RADIUS AD
2. Guest Netz mit voucher - voller Zugang Internet (Proxy und Firewall)
Welche Ideen oder Szenarien kann man nutzen - wenn man
- Sicherheit für das Intranet / Server haben will
- trotzdem Internet Zugang voll geben will (zumindest für die privaten Geräte)
Es kommen öfter Fremdfirmen oder Externe die natürlich kein AD Account haben.
Danke vorab
greets
Cyber
heutzutage will ja jeder mobil sein und Inet Zugang haben. Gleichzeitig aber sollen ja die Firmendaten bzw. Rechner geschützt sein.
Wie setzt Ihr das um im Bezug auf WLAN und hauptsächlich Windows Umgebung? Plus ggfs. eigene devices wie Smartphones`?
Bei dem Kollegen bei dem wir diskutiert hatten, ist in Firma folgendes (alle Workstations sind noch mit AV Software betankt) :
2 SSIDs
1. Firmennetz + Internet (rein http und https) über Proxy und Firewall geht über RADIUS AD
2. Guest Netz mit voucher - voller Zugang Internet (Proxy und Firewall)
Welche Ideen oder Szenarien kann man nutzen - wenn man
- Sicherheit für das Intranet / Server haben will
- trotzdem Internet Zugang voll geben will (zumindest für die privaten Geräte)
Es kommen öfter Fremdfirmen oder Externe die natürlich kein AD Account haben.
Danke vorab
greets
Cyber
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 339853
Url: https://administrator.de/contentid/339853
Printed on: April 18, 2024 at 00:04 o'clock
12 Comments
Latest comment
Hi Cyberurmel
Wir haben zwei verschiedene Internetleitungen von zwei verschiedenen Providern. (Die eine dient als Failover für das Hauptnetz.)
Alle Smartphones sowie alle Geräte der Besucher laufen über dieses Zweitnetz welches per Firewall vom anderen Netz abgeschirmt ist.
Mit diesem Szenenario kannst du deine beiden Anforderungen gut umsetzen.
Falls du eine detailliertere Erklärung wünschst, gerne melden!
LG
KMUlife
Wir haben zwei verschiedene Internetleitungen von zwei verschiedenen Providern. (Die eine dient als Failover für das Hauptnetz.)
Alle Smartphones sowie alle Geräte der Besucher laufen über dieses Zweitnetz welches per Firewall vom anderen Netz abgeschirmt ist.
Mit diesem Szenenario kannst du deine beiden Anforderungen gut umsetzen.
Falls du eine detailliertere Erklärung wünschst, gerne melden!
LG
KMUlife
Hi,
Zonierung. Firewall dazwischen. Also unterschiedliche Netze, zwischen welchen nicht geroutet wird. Proxy, Webfilter, DPI, Sandboxing, IntrusionPrevention etc. von der Firewall natürlich auch für das Gast-WLAN.
Alternativ "einfach" nen zweiten Internetanschluss für das Gast-WLAN kaufen, falls der Bedarf so üppig ausfällt.
Ansonsten mehr Infos, welche FW ist vorhanden, wie viele Gäste sind es effektiv, gibts schon ne DMZ usw...
Gruß c
Zonierung. Firewall dazwischen. Also unterschiedliche Netze, zwischen welchen nicht geroutet wird. Proxy, Webfilter, DPI, Sandboxing, IntrusionPrevention etc. von der Firewall natürlich auch für das Gast-WLAN.
Alternativ "einfach" nen zweiten Internetanschluss für das Gast-WLAN kaufen, falls der Bedarf so üppig ausfällt.
Ansonsten mehr Infos, welche FW ist vorhanden, wie viele Gäste sind es effektiv, gibts schon ne DMZ usw...
Gruß c
Hallo,
zu dem Thema hat @aqui ein super Tutorial geschrieben...
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
brammer
zu dem Thema hat @aqui ein super Tutorial geschrieben...
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
brammer
Und eagle2 hat die Super Lösung für die Einmalpasswörter dazu: 
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Es ist der immer und immer wiederkehrende simple Klassiker:
Weiss eigentlich schon der Azubi und muss man nicht nochmal als WLAN Sau durch den nächsten Thread treiben...
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Es ist der immer und immer wiederkehrende simple Klassiker:
- WLAN APs die MSSID fähig sind
- 2 SSIDs darüber ausstrahlen = 2 VLANs
- Das Gast Wlan mit Captive Portal und Einmalpasswörtern entweder als Bon Ausdruck am Empfang oder gleich per SMS / Push
- Das interne WLAN WPA-2 Enterprise verschlüsselt mit Zertifikaten. Oder
- Etwas weniger sicher: WPA-2 Enterprise mit User / Passwort über AD oder LDAP.
Weiss eigentlich schon der Azubi und muss man nicht nochmal als WLAN Sau durch den nächsten Thread treiben...
Thx erstmal,
ich glaube einer der Punkte war, dass die Firmen Devices so gut wie möglich abgeschottet sind. Und dann wohl auch nicht per Gast ins "offene" Internet dürfen um dann bei AD Login Malware etc zu verbreiten. Also quasi das das Gast Netzwerk nur mit den privaten devices genutze werden soll oder kann .
Oder ich habe das nicht so richtig verstanden wie er meinte.
Ja das mit der Trennung ist ja jetzt schon mit verschiedenen VLANS .
Greets
Cyber
ich glaube einer der Punkte war, dass die Firmen Devices so gut wie möglich abgeschottet sind. Und dann wohl auch nicht per Gast ins "offene" Internet dürfen um dann bei AD Login Malware etc zu verbreiten. Also quasi das das Gast Netzwerk nur mit den privaten devices genutze werden soll oder kann .
Oder ich habe das nicht so richtig verstanden wie er meinte.
Ja das mit der Trennung ist ja jetzt schon mit verschiedenen VLANS .
Greets
Cyber
Oder ich habe das nicht so richtig verstanden wie er meinte.
Nein, das ist üblicher Usus !!Zertifikate auf den Firmenrechnern und die bekommt man ja nicht so ohne weiteres aufs Private. Deshalb können die Privaten auch nur übers gastnetz einsteigen.
Idealerweise machst du da noch eine Mac Adress Abfrage dann kann man das auch noch kntrollieren wer da mit welchem privaten Gerät was macht.
Das ist dann aber wie immer eine Frage der Firmen Policy die immer verschieden ist.
Ah danke ...
werde das so nochmal mitnehmen zur nächsten Diskussion
Sollte man alles über nen eigenen DSL As machen .. Eine VDSL 50 Leitung wäre ausreichend für ca. wieviel devices in Summe?
Habt Ihr da Erfahrungswerte?
Thx
werde das so nochmal mitnehmen zur nächsten Diskussion
Sollte man alles über nen eigenen DSL As machen .. Eine VDSL 50 Leitung wäre ausreichend für ca. wieviel devices in Summe?
Habt Ihr da Erfahrungswerte?
Thx
Was ist ein "DSL As" ???
Die Frage ob eine VDSL 50 leitung reicht kann dir niemand auf der Welt schlüssig beantworten. Wenn du mal etwas nachdenkst wird dir das auch selber klar, denn dafür müsstest du wissen wie das Trafficaufkommen und Art pro User ist.
Du kannst sicher 200 Twitter User damit abfackeln aber keine 10 Leite die sich Gig große datenbanken oder Videos hin und herschieben.
Es ist wie immer alles relativ !
Einen separaten Anschluss braucht man in der Regel nicht. Gäste Traffic kann man auch entsprechend Rate Limiten auf dem Router oder Firewall. Die sollen ja arbeiten und sich nicht vergnügen im Office !!
Die Frage ob eine VDSL 50 leitung reicht kann dir niemand auf der Welt schlüssig beantworten. Wenn du mal etwas nachdenkst wird dir das auch selber klar, denn dafür müsstest du wissen wie das Trafficaufkommen und Art pro User ist.
Du kannst sicher 200 Twitter User damit abfackeln aber keine 10 Leite die sich Gig große datenbanken oder Videos hin und herschieben.
Es ist wie immer alles relativ !
Einen separaten Anschluss braucht man in der Regel nicht. Gäste Traffic kann man auch entsprechend Rate Limiten auf dem Router oder Firewall. Die sollen ja arbeiten und sich nicht vergnügen im Office !!
Telekom-Sprech für Anschluss ;)
Hallo,
Eine 2.te DMZ die nur Zugriff auf's Internet hat. Die Access Point schicken ihre Daten nur über die entsprechenden VLAN,s ins Internet und der Zugriff auf's Intranet (Internes Netzwerk) wird Strikt verweigert!
Desweiteren würde ich VLAN1 zum Managmand Netz machen (SNMP, Webinterfaces der Hardware, usw...) auf dieses wird nur von Admin Workstations zugegriffen und gut ist.
Ich würde das Native VLAN auf das Gäste Netz setzen (für offene Datendosen) + RADIUS und jeder Rechner muss sich am Netzwerk über RADIUS anmelden + autorisieren.
Und zu guter letzt bekommt jeder User ein RSA secureID Token um sich anzumelden.
Für den Übergang zu jeden Netzwerk würde ich davor ein Transfer Netz schalten mit mindestens 2 Firewalls unterschiedlicher Hersteller für den Fall dass bei einen Hersteller eine Sicherheitslücke existiert. So kann man zwar ins Transfer Netz muss aber ein komplett anderes System knacken um die letzte Firewall zu überwinden.
Gruß an die IT-Welt,
J Herbrich
Eine 2.te DMZ die nur Zugriff auf's Internet hat. Die Access Point schicken ihre Daten nur über die entsprechenden VLAN,s ins Internet und der Zugriff auf's Intranet (Internes Netzwerk) wird Strikt verweigert!
Desweiteren würde ich VLAN1 zum Managmand Netz machen (SNMP, Webinterfaces der Hardware, usw...) auf dieses wird nur von Admin Workstations zugegriffen und gut ist.
Ich würde das Native VLAN auf das Gäste Netz setzen (für offene Datendosen) + RADIUS und jeder Rechner muss sich am Netzwerk über RADIUS anmelden + autorisieren.
Und zu guter letzt bekommt jeder User ein RSA secureID Token um sich anzumelden.
Für den Übergang zu jeden Netzwerk würde ich davor ein Transfer Netz schalten mit mindestens 2 Firewalls unterschiedlicher Hersteller für den Fall dass bei einen Hersteller eine Sicherheitslücke existiert. So kann man zwar ins Transfer Netz muss aber ein komplett anderes System knacken um die letzte Firewall zu überwinden.
Gruß an die IT-Welt,
J Herbrich
Hallo,
LDAP - Kabel gebundene Geräte (intern)
Radius Server - Kabel lose Geräte (intern)
HotSpot oder Captive Portal - Kabel lose Geräte (Gäste)
Gruß
Dobby
- Sicherheit für das Intranet / Server haben will
VLANs und eventuell einmal über einen WLAN Controller mit Radius Server und HotSpot nachdenken!?- trotzdem Internet Zugang voll geben will (zumindest für die privaten Geräte)
VLANs!Es kommen öfter Fremdfirmen oder Externe die natürlich kein AD Account haben.
Eigenes VLAN für Gäste und nur Internetzugriff sollte ja auch passen.LDAP - Kabel gebundene Geräte (intern)
Radius Server - Kabel lose Geräte (intern)
HotSpot oder Captive Portal - Kabel lose Geräte (Gäste)
Gruß
Dobby
Hallo
Warum nicht einfach (falls die Switche es unterstützen) auch da RADIUS verwenden? Über eine Active Directory GPO ist alles schön konfigurierbar und ohne viel Aufwand im Betrieb und Radius macht eh LDAP im (Active Directory) im Hintergrund (Microsoft Windows Server NPS Rolle).
Alles was Radius nicht kann (Drucker und und und) kommt in ein anderes VLAN und da wird mit Firewall Regeln / ACL,s gearbeitet
Gruß an die IT-Welt,
J Herbrich
LDAP - Kabel gebundene Geräte (intern)
Warum nicht einfach (falls die Switche es unterstützen) auch da RADIUS verwenden? Über eine Active Directory GPO ist alles schön konfigurierbar und ohne viel Aufwand im Betrieb und Radius macht eh LDAP im (Active Directory) im Hintergrund (Microsoft Windows Server NPS Rolle).
Alles was Radius nicht kann (Drucker und und und) kommt in ein anderes VLAN und da wird mit Firewall Regeln / ACL,s gearbeitet
Gruß an die IT-Welt,
J Herbrich
