psar04
Goto Top

Absicherung von WLAN in Besprechungsräumen

Darum gehts:
- Zeitlich begrenzter Zugang zum WLAN mit Vouchern für Gäste, die nur bis zu einem bestimmten Tag gültig sind
- Kombinierte Anmeldeseite von Captive Portal für Gäste und Mitarbeiter sinnvoll?
- Zugriff durch Mitarbeiter nur mit bestimmten Geräten

Hallo,

ich suche zurzeit eine Lösung unsere Besprechungsräume mit WLAN auszustatten. Erst mal nur einen, später sollen es aber noch so um die 10 werden. Ich stelle mir eine Authentifizierung der Mitarbeiter per Domänenkennung vor und zusätzlich sollen Gäste einen zeitlich begrenzten Zugriff bekommen. Für die Gäste ist so eine Anmeldung mit Vouchern, wie Captive Portal oder Lancom mit der Public Spot Option sie bietet vorgesehen.
Dazu ergeben sich aber für mich noch ein paar Fragen:

- Gibt es eine Möglichkeit zu definieren, dass die Voucher z. B. nur an einem bestimmten Datum verwendet werden könnnen? etwa bei Captive Portal, Lancom Public Spot oder sonst einem Produkt??
- Wenn ich Mitarbeitern den Zugriff über die Windows-Domänenkennung ermögliche, wie verhindere ich dann am Besten, dass diese sich mit privaten Endgeräten einwählen?
- Gästen soll nur ein Internet-Zugriff ermöglicht werden, Mitarbeitern aber auch auf das Firmennetz, wie realisiere ich das am Besten?
- verschiedene SSIDs, Login der Gäste per Captive Portal und der Mitarbeiter ohne Login auf einer Website?
- eine einzelne SSID und Authentifizierung der Mitarbeiter (RADIUS) und Gäste (VOUCHER) per Website, anschließend dyamische VLAN-Zuweisung
- kann man überhaupt bei Captive Portal angeben, dass ein anderes VLAN genutzt werden soll, wenn sich ein User "eingeloggt" hat?


Gibt es noch andere sinnvolle Vorgehensweisen bzw. Möglichkeiten oder Verbesserungsvorschläge zur Realisierung? Die meisten Anleitungen zu Captive Portal, VLAN usw. hier im Forum dürfte ich schon gesehen haben.

Gruß
PSaR04

Content-ID: 179419

Url: https://administrator.de/forum/absicherung-von-wlan-in-besprechungsraeumen-179419.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

clSchak
clSchak 24.01.2012, aktualisiert am 18.10.2012 um 18:49:50 Uhr
Goto Top
Eine Anleitung hier aus dem Forum:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Und zu deinen Sicherheitsfragen: Radius Server - damit kannst du granular einstellen wer alles Zugriff haben darf und wer nicht.
MrNetman
MrNetman 24.01.2012 um 08:17:48 Uhr
Goto Top
Hallo PSAR04,

Ist ja wohl kein kleines Projekt - da gibt es Hilfen.
macmon_Zugangssicherheit
und Realisierungen via Datenbanken.
Wenn man die Fragen schon so formuliert muss man sich auch über weitere Konsequenzen Gedanken machen:
Wer war wann im Netz und von wo.
Und was ist mit den anderen Anschlüssen in den Besprechungsräumen - oder kommen die ohne Ethernet aus?

Gruß
Netman
aqui
aqui 24.01.2012, aktualisiert am 18.10.2012 um 18:49:50 Uhr
Goto Top
Zu dem o.a. Tutorial für den Besprechnugs Hotspot mit Vouchern ist ggf. das noch interessant was das Thema dyn. VLAN Zuweisung anbetrifft:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Mit dem Rüstzeug ist dann die Realisierung deines o.a. Vorhabens ein Kinderspiel.
PSaR04
PSaR04 24.01.2012 um 20:44:34 Uhr
Goto Top
Ne, klein ist das Projekt nicht, aber auch nicht riesig. Also grundsätzlich kann ich erst mal vorweg sagen, dass wir die Räume nicht an Externe vermieten, sondern die eigenen Mitarbeiter eigentlich immer in der Überzahl sind. Über eine NAC-Funktion habe ich auch schon nachgedacht, aber für Externe halte ich das nicht für notwendig, da auf den mobilen Geräten dann meist ein Client installiert werden muss und ich dies nicht zumutbar finde, wenn jemand nur eben schnell was im Internet nachsehen will. Außerdem sollen Externe ja gar nicht direkt ins Firmennetz sondern zumindest per VLAN hindurch geschleust werden. Für Mitarbeiter wäre eine NAC-Lösung auf Dauer gesehen bestimmt nicht verkehrt, dann aber nicht nur bei WLAN-Zugriff sondern auch für verkabelte Zugänge, sonst haben wir nur das Problem, dass am Arbeitsplatz alles läuft und im Besprechungsraum auf einmal nicht, da gerade noch ein Update fehlt oder so. Schierig ist es auch per NAC alle möglichen Gerätetypen und besonders Betriebssysteme abzudecken.
Bis jetzt ist es so, dass wir in einigen Räumen "besondere" Netzwerkdosen haben, die über einen separaten DSL-Zugang ins Internet kommen. Die Lösung per Captive Portal hört sich für mich auch sehr interessant an, allerdings sind mir nach und nach ein paar Einschränkungen bewusst geworden: Per Voucher kann ich zwar den Zugriff auf eine bestimmte Zeit (z. B. 120 Min.) begrenzen, aber anscheinend nicht festlegen, dass die 120 Min nur an einem bestimmten Datum eingelöst werden können. Und die Voucher-Erstellung ist per csv-Datei auch nicht so schön gelöst, was mir aber noch egal wäre, wenn man zumindest einstellen könnte, dass z. B. die Mitarbeiter vom Sitzungsdienst zwar Voucher drucken können, gleichzeitig aber nicht auch Zugriff auf die Konfiguration des Captive-Portals und der damit verbundenen Firewall haben.
Über diese "Bastellösung" Captive Portal (bitte nicht böse sein, wenn das gerade ein Programmierer liest) lässt sich das Ganze wohl nicht zufriedenstellend realisieren, zumindest nicht, wenn man auch noch ein Netzwerk mit 1400 PCs + weiterer Netzwerkhardware einigermaßen sicher betreiben will. Auf der Seite der Mitarbeiter bliebe noch die Frage, wie man sicherstellt, dass nur firmeneigene Geräte ins WLAN kommen. Ein Logging auf Seiten der Gäste wäre natürlich auch sinnvoll, die Mitarbeiter könnten über den bereits vorhanden Proxy laufen.
aqui
aqui 25.01.2012, aktualisiert am 18.10.2012 um 18:49:52 Uhr
Goto Top
Nein böse sind wir nicht, denn die Lösung ist eine preiswerte Hotspot / Besprechungs Lösung für kleine und mittlere Unternehmen wo es nix kosten darf. Das sagt das Tutorial ja eindeutig.
Nicht zu vergleichen mit Controller basierten Lösungen von Cisco, Motorola, Aruba & Co. wo diese Voucher Erstellung Web basiert funktioniert mit allen Anforderungen wie du sie auch hast.
Allerdings muss dann logischerweise das Portemonaie etwas dicker sein, da hast du dann aber alles was du willst.
Das Sicherstellen das nur firmeneingene Geräte ins WLAN kommen erreicht man erstmal über die Infrastruktur indem du APs mit ESSID, also der Fähigkeit multiple WLANs pro AP aufzuspannen, verwendest.
Damit trennst du dann mit einer gemeinsamen Hardware schon einmal sicher Besucher und Gast WLAN und das firmeneigene. Das ist heutzutage üblicher Standard und sollte man aus Sicherheitsgründen immer so machen. Details dazu erklärt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ist das geschehen arbeitest du mit Zertifikaten auf den firmeneigenen Geräten. Damit hast du einen Bindung an die HW und nicht an den User. Also einfach mal das Passwort dann auf einem Post it Klebezettel weiterzugeben oder dem Kollegen zu verraten ist dann nicht möglich.
Damit hast du dann eine wasserdichte Kontrolle für die Firma.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
PSaR04
PSaR04 26.01.2012 um 00:16:02 Uhr
Goto Top
Hast du auch bei der Entwicklung des Captive Portals mitgeholfen?? Also schlecht finde ich das System auch gar nicht, ganz im Gegenteil, ein Einsatz ist bisher auch noch nicht ausgeschlossen. Aber wir hören uns natürlich erst mal ein paar verschiedene Angebote an, ein Hersteller war schon da, hat auch "nur" 3 Stunden gedauert... Neben dem Captive Portal habe ich mir auch schon den FirstSpot angesehen, der ja auch Captive aufbaut und wohl noch ein paar Features mehr hat. Allerdings mit ca. 800 $ für die Advanced Edition auch schon deutlich mehr kostet. Ich persönlich würde dann lieber noch ein Bisschen mehr ausgeben und bei einem namhaften Netzwerkgerätehersteller einkaufen, wenn man schon mal beim Geld ausgeben dabei ist...
Aber noch was anderes, Du scheinst dich ja mit dem Captive Portal ganz gut auszukennen, kannst du (oder jemand anderes) mir folgende Fragen beantworten?
- Gibt es beim Captive Portal die Möglichkeit zu definieren, dass die Voucher nur an einem bestimmten Datum verwendet werden könnnen?
- lässt sich der Zugriff auf das Captive Portal auch so eingrenzen, dass bestimmte Personen zwar Voucher erstellen können, aber an die sonstige Konfiguration (Firewall etc.) nicht ran kommen?
- es gibt ja die Captive Portal-Seiten auf denen ein Login entweder per RADIUS oder Voucher möglich ist, lässt sich dann auch definieren, dass die per Voucher authentifizierten Benutzer z. B. in das VLAN 10 und die RADIUS-Nutzer in unterschiedliche VLANs kommen, je nach ADS-Gruppenmitgliedschaft?
- lassen sich auf einem Captive-Portal-Server mehrere Portal-Seiten anlegen?
- angenommen ich schließe einen Access-Point mit mehreren SSIDs (unterschiedliche VLANs) direkt an einen Captive-Portal-Server an, gibt es dann eine Möglichkeit die Schnittstelle in mehrere virtuelle mit unterschiedlichen VLAN-tags zu unterteilen oder wie würde das sonst konfiguriert?
aqui
aqui 26.01.2012, aktualisiert am 18.10.2012 um 18:49:53 Uhr
Goto Top
Frage 1:
Nein, das kann keiner, nichtmal die teuren kommerziellen. Diese Voucher Erstellung geht einher mit einem Radius Server der sowas nicht zulässt !
Frage 2:
Ja, das kann man über die Gruppenfunktion der User machen und ihnen dann entsprechende Credentials zuweisen.
Frage 3:
Ja das ist ganz einfach möglich über eine Authentisierung mit 802.1x und dynamischer VLAN Zuweisung. Guckst du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Frage 4:
Ja klar geht das, dort ist ja ein embeddeter Web server am Laufen. Außerdem kannst du die Seiten auch auf einen externen Host redirecten !
Frage 5:
Ja natürlich geht das da die FW VLANs supportet:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Installier dir das doch mal mit einer Live CD und spiel damit etwas rum, das erspart dir die Fragerei hier ! Ein Bild sagt mehr als 1000 Worte....
MrNetman
MrNetman 26.01.2012 um 18:29:55 Uhr
Goto Top
Die selben Fragen zu macmon
- Gibt es beim Captive Portal die Möglichkeit zu definieren, dass die Voucher nur an einem bestimmten Datum verwendet werden
könnnen?
es ist auch ein automatisches Verfalldatum nutzbar
- lässt sich der Zugriff auf das Captive Portal auch so eingrenzen, dass bestimmte Personen zwar Voucher erstellen
können, aber an die sonstige Konfiguration (Firewall etc.) nicht ran kommen?
ja.
- es gibt ja die Captive Portal-Seiten auf denen ein Login entweder per RADIUS oder Voucher möglich ist, lässt sich dann
auch definieren, dass die per Voucher authentifizierten Benutzer z. B. in das VLAN 10 und die RADIUS-Nutzer in unterschiedliche
VLANs kommen, je nach ADS-Gruppenmitgliedschaft?
ja, das VLAN kann mit umziehen, automatisch.
ABER: ADS Mitglieder sind ja wohl Firmenmitarbeiter und nicht Gäste. Also soll das Sicherheitskonzept doch etwas konsistenter sein und möglichst automatisiert ablaufen.
- lassen sich auf einem Captive-Portal-Server mehrere Portal-Seiten anlegen?
ja
- angenommen ich schließe einen Access-Point mit mehreren SSIDs (unterschiedliche VLANs) direkt an einen
Captive-Portal-Server an, gibt es dann eine Möglichkeit die Schnittstelle in mehrere virtuelle mit unterschiedlichen
VLAN-tags zu unterteilen oder wie würde das sonst konfiguriert?
Ja, hängt vom AP ab.

Gruß
Netman
PSaR04
PSaR04 26.01.2012 um 18:38:18 Uhr
Goto Top
Danke für die Antworten, ich habe mir das System mal in einer virtuellen Maschine installiert. Für alle, die es interessiert, hier ist noch ein Link zu einer Seite von Lancom, auf dem 2. Bild sieht man eine Option mit der man die Gültigkeitsdauer auf eine bestimmte Anzahl von Tagen einschränken kann. Ist dann zwar noch keine genaue Vorgabe des Datums bzw. der Uhrzeit, aber immerhin.
http://www2.lancom.de/kb.nsf/1275/7E28D30C751A0081C125744900389F1E?Open ...
PSaR04
PSaR04 26.01.2012 um 18:57:28 Uhr
Goto Top
- es gibt ja die Captive Portal-Seiten auf denen ein Login entweder per RADIUS oder Voucher möglich ist, lässt sich dann
auch definieren, dass die per Voucher authentifizierten Benutzer z. B. in das VLAN 10 und die RADIUS-Nutzer in unterschiedliche
VLANs kommen, je nach ADS-Gruppenmitgliedschaft?
ja, das VLAN kann mit umziehen, automatisch.
ABER: ADS Mitglieder sind ja wohl Firmenmitarbeiter und nicht Gäste. Also soll das Sicherheitskonzept doch etwas konsistenter sein und möglichst automatisiert ablaufen.

genau, die ADS-Mitglieder sind Mitarbeiter. Geplant sind min. 2 VLANs, das erste für Mitarbeiter, die sich per Radius authentifizieren und ein Zertifikat auf dem Endgerät haben (Zugriff auf die Ressourchen wie auch im LAN). In das zweite kommen dann noch bestimmte Leute (keine Mitarbeiter), die nur einen Internetzugriff benötigen, sich aber auch per Radius authentifizieren sollen, da sie in der Regel min. 1x pro Monat einen Zugriff benötigen und die 3. Benutzergruppe (vor allem Presse-Vertreter) soll eben per Voucher einen Zugang bekommen, ebenfalls nur für den Internetzugriff. Ob die 3. Gruppe dann mit ins 2. VLAN kommt oder nicht steht noch nicht fest, wäre aber bestimmt nicht verkehrt, da sich die Rechte dann bei Bedarf noch genauer steueren lassen.
aqui
aqui 27.01.2012, aktualisiert am 18.10.2012 um 18:49:54 Uhr
Goto Top
OK, ein simples Standardkonzept wie man heutzutage WLANs in Firmen aufzieht und hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und was die Sicherheit betrifft hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
wie schon mehrfach zitiert auch genau erklärt.
Wo ist denn nun eigentlich deine Frage und dein Problem ?
Mit dem Komzept und 3 Mausklicks hast du das doch im Handumdrehen umgesetzt ?!
PSaR04
PSaR04 28.01.2012 um 01:25:06 Uhr
Goto Top
Ich habe mir jetzt auch mal die Live-CD-Version von pfsense mit Captive Portal geholt, hatte vorher zwar schon die VMware-Version, aber die war schon wohl ein Bisschen älter und mit deutlich weniger Funktionen. Ok, jetzt ist mir das auch klarer, was ich aber nicht gefunden habe ist
- wo lässt sich das Enddatum der Voucher einstellen? Wenn ich eine Voucher-Rolle hinzufüge, dann kann ich immer nur die Dauer des Internetzugriffs eingeben
- wie kriege ich es hin, dass ich für die Authentifizierung über das Captive Portal einen Radius-Server und Voucher gleichzeitig einsetze? in der Konfiguration kann ich nur "Local User / Voucher" oder "RADIUS" wählen, aber nicht beides gleichzeitg. Alternativ wäre es natürlich auch in Ordnung, wenn ich mehrere verschiedene Portalseiten aktivieren kann und dann entweder Radius oder Local user /Voucher auswähle, dann gibt es halt für jede SSID eine eigene Seite, fänd ich auch nicht schlecht.
aqui
aqui 28.01.2012 um 22:50:00 Uhr
Goto Top
Ad 1:
Du kannst dort auch nur die Maximaldauer angeben in Tagen die dann auf das Enddatum verweist.
Eine spezifische Zeitspanne ist nur über eine Radius Authentifizierung möglich.
Ad 2:
Das geht nicht du kannst nur entweder Radius oder Voucher Roll. Beides kombiniert geht nicht.
Du musst das separat lösen wie du schon erkannt hast.
PSaR04
PSaR04 15.10.2012 um 20:20:31 Uhr
Goto Top
Hallo,

als kurzes Feedback, um diesen Thread schließen zu können: Für die Anforderungen wurde mitlerweile ein Lösung gefunden, eingesetzt werden Access Points und ein WLAN-Controller von HP. Am schwierigsten ist es auf die Eingangs erwähnte Anforderung "- Wenn ich Mitarbeitern den Zugriff über die Windows-Domänenkennung ermögliche, wie verhindere ich dann am Besten, dass diese sich mit privaten Endgeräten einwählen?" eine Lösung zu finden. Hier wird zunächst auf eine Überprüfung der Mitgliedschaft des Computerkontos in der AD zurück gegriffen. Nicht Windows-Endgeräte bekommen nur einen Internet-Zugriff über separate SSID, gesichert mit WPA2-Enterprise und MAC-Filter. Später, so der Plan soll dann auf zertifikatsbasierte Authentifizierung zurückgegriffen werden.
aqui
aqui 15.10.2012 aktualisiert um 21:38:01 Uhr
Goto Top
Das löst man ganz einfach mit Zertifikaten bei der WLAN Anmeldung. Dann kann man sich das ganze Winblows Gedöns sparen und hat gleichzeitig auch eine Kontrolle das nur die Hardware ins WLAN darf die man "zertifiziert".
Eine Standardlösung die nicht nur bei Billigheimer HP und seinem zugekauften WLAN Geraffel funktioniert sondern überall...