Absicherung von WLAN in Besprechungsräumen
Darum gehts:
- Zeitlich begrenzter Zugang zum WLAN mit Vouchern für Gäste, die nur bis zu einem bestimmten Tag gültig sind
- Kombinierte Anmeldeseite von Captive Portal für Gäste und Mitarbeiter sinnvoll?
- Zugriff durch Mitarbeiter nur mit bestimmten Geräten
Hallo,
ich suche zurzeit eine Lösung unsere Besprechungsräume mit WLAN auszustatten. Erst mal nur einen, später sollen es aber noch so um die 10 werden. Ich stelle mir eine Authentifizierung der Mitarbeiter per Domänenkennung vor und zusätzlich sollen Gäste einen zeitlich begrenzten Zugriff bekommen. Für die Gäste ist so eine Anmeldung mit Vouchern, wie Captive Portal oder Lancom mit der Public Spot Option sie bietet vorgesehen.
Dazu ergeben sich aber für mich noch ein paar Fragen:
- Gibt es eine Möglichkeit zu definieren, dass die Voucher z. B. nur an einem bestimmten Datum verwendet werden könnnen? etwa bei Captive Portal, Lancom Public Spot oder sonst einem Produkt??
- Wenn ich Mitarbeitern den Zugriff über die Windows-Domänenkennung ermögliche, wie verhindere ich dann am Besten, dass diese sich mit privaten Endgeräten einwählen?
- Gästen soll nur ein Internet-Zugriff ermöglicht werden, Mitarbeitern aber auch auf das Firmennetz, wie realisiere ich das am Besten?
- verschiedene SSIDs, Login der Gäste per Captive Portal und der Mitarbeiter ohne Login auf einer Website?
- eine einzelne SSID und Authentifizierung der Mitarbeiter (RADIUS) und Gäste (VOUCHER) per Website, anschließend dyamische VLAN-Zuweisung
- kann man überhaupt bei Captive Portal angeben, dass ein anderes VLAN genutzt werden soll, wenn sich ein User "eingeloggt" hat?
Gibt es noch andere sinnvolle Vorgehensweisen bzw. Möglichkeiten oder Verbesserungsvorschläge zur Realisierung? Die meisten Anleitungen zu Captive Portal, VLAN usw. hier im Forum dürfte ich schon gesehen haben.
Gruß
PSaR04
- Zeitlich begrenzter Zugang zum WLAN mit Vouchern für Gäste, die nur bis zu einem bestimmten Tag gültig sind
- Kombinierte Anmeldeseite von Captive Portal für Gäste und Mitarbeiter sinnvoll?
- Zugriff durch Mitarbeiter nur mit bestimmten Geräten
Hallo,
ich suche zurzeit eine Lösung unsere Besprechungsräume mit WLAN auszustatten. Erst mal nur einen, später sollen es aber noch so um die 10 werden. Ich stelle mir eine Authentifizierung der Mitarbeiter per Domänenkennung vor und zusätzlich sollen Gäste einen zeitlich begrenzten Zugriff bekommen. Für die Gäste ist so eine Anmeldung mit Vouchern, wie Captive Portal oder Lancom mit der Public Spot Option sie bietet vorgesehen.
Dazu ergeben sich aber für mich noch ein paar Fragen:
- Gibt es eine Möglichkeit zu definieren, dass die Voucher z. B. nur an einem bestimmten Datum verwendet werden könnnen? etwa bei Captive Portal, Lancom Public Spot oder sonst einem Produkt??
- Wenn ich Mitarbeitern den Zugriff über die Windows-Domänenkennung ermögliche, wie verhindere ich dann am Besten, dass diese sich mit privaten Endgeräten einwählen?
- Gästen soll nur ein Internet-Zugriff ermöglicht werden, Mitarbeitern aber auch auf das Firmennetz, wie realisiere ich das am Besten?
- verschiedene SSIDs, Login der Gäste per Captive Portal und der Mitarbeiter ohne Login auf einer Website?
- eine einzelne SSID und Authentifizierung der Mitarbeiter (RADIUS) und Gäste (VOUCHER) per Website, anschließend dyamische VLAN-Zuweisung
- kann man überhaupt bei Captive Portal angeben, dass ein anderes VLAN genutzt werden soll, wenn sich ein User "eingeloggt" hat?
Gibt es noch andere sinnvolle Vorgehensweisen bzw. Möglichkeiten oder Verbesserungsvorschläge zur Realisierung? Die meisten Anleitungen zu Captive Portal, VLAN usw. hier im Forum dürfte ich schon gesehen haben.
Gruß
PSaR04
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 179419
Url: https://administrator.de/forum/absicherung-von-wlan-in-besprechungsraeumen-179419.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
15 Kommentare
Neuester Kommentar
Eine Anleitung hier aus dem Forum:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Und zu deinen Sicherheitsfragen: Radius Server - damit kannst du granular einstellen wer alles Zugriff haben darf und wer nicht.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Und zu deinen Sicherheitsfragen: Radius Server - damit kannst du granular einstellen wer alles Zugriff haben darf und wer nicht.
Hallo PSAR04,
Ist ja wohl kein kleines Projekt - da gibt es Hilfen.
macmon_Zugangssicherheit
und Realisierungen via Datenbanken.
Wenn man die Fragen schon so formuliert muss man sich auch über weitere Konsequenzen Gedanken machen:
Wer war wann im Netz und von wo.
Und was ist mit den anderen Anschlüssen in den Besprechungsräumen - oder kommen die ohne Ethernet aus?
Gruß
Netman
Ist ja wohl kein kleines Projekt - da gibt es Hilfen.
macmon_Zugangssicherheit
und Realisierungen via Datenbanken.
Wenn man die Fragen schon so formuliert muss man sich auch über weitere Konsequenzen Gedanken machen:
Wer war wann im Netz und von wo.
Und was ist mit den anderen Anschlüssen in den Besprechungsräumen - oder kommen die ohne Ethernet aus?
Gruß
Netman
Zu dem o.a. Tutorial für den Besprechnugs Hotspot mit Vouchern ist ggf. das noch interessant was das Thema dyn. VLAN Zuweisung anbetrifft:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Mit dem Rüstzeug ist dann die Realisierung deines o.a. Vorhabens ein Kinderspiel.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Mit dem Rüstzeug ist dann die Realisierung deines o.a. Vorhabens ein Kinderspiel.
Nein böse sind wir nicht, denn die Lösung ist eine preiswerte Hotspot / Besprechungs Lösung für kleine und mittlere Unternehmen wo es nix kosten darf. Das sagt das Tutorial ja eindeutig.
Nicht zu vergleichen mit Controller basierten Lösungen von Cisco, Motorola, Aruba & Co. wo diese Voucher Erstellung Web basiert funktioniert mit allen Anforderungen wie du sie auch hast.
Allerdings muss dann logischerweise das Portemonaie etwas dicker sein, da hast du dann aber alles was du willst.
Das Sicherstellen das nur firmeneingene Geräte ins WLAN kommen erreicht man erstmal über die Infrastruktur indem du APs mit ESSID, also der Fähigkeit multiple WLANs pro AP aufzuspannen, verwendest.
Damit trennst du dann mit einer gemeinsamen Hardware schon einmal sicher Besucher und Gast WLAN und das firmeneigene. Das ist heutzutage üblicher Standard und sollte man aus Sicherheitsgründen immer so machen. Details dazu erklärt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ist das geschehen arbeitest du mit Zertifikaten auf den firmeneigenen Geräten. Damit hast du einen Bindung an die HW und nicht an den User. Also einfach mal das Passwort dann auf einem Post it Klebezettel weiterzugeben oder dem Kollegen zu verraten ist dann nicht möglich.
Damit hast du dann eine wasserdichte Kontrolle für die Firma.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Nicht zu vergleichen mit Controller basierten Lösungen von Cisco, Motorola, Aruba & Co. wo diese Voucher Erstellung Web basiert funktioniert mit allen Anforderungen wie du sie auch hast.
Allerdings muss dann logischerweise das Portemonaie etwas dicker sein, da hast du dann aber alles was du willst.
Das Sicherstellen das nur firmeneingene Geräte ins WLAN kommen erreicht man erstmal über die Infrastruktur indem du APs mit ESSID, also der Fähigkeit multiple WLANs pro AP aufzuspannen, verwendest.
Damit trennst du dann mit einer gemeinsamen Hardware schon einmal sicher Besucher und Gast WLAN und das firmeneigene. Das ist heutzutage üblicher Standard und sollte man aus Sicherheitsgründen immer so machen. Details dazu erklärt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ist das geschehen arbeitest du mit Zertifikaten auf den firmeneigenen Geräten. Damit hast du einen Bindung an die HW und nicht an den User. Also einfach mal das Passwort dann auf einem Post it Klebezettel weiterzugeben oder dem Kollegen zu verraten ist dann nicht möglich.
Damit hast du dann eine wasserdichte Kontrolle für die Firma.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Frage 1:
Nein, das kann keiner, nichtmal die teuren kommerziellen. Diese Voucher Erstellung geht einher mit einem Radius Server der sowas nicht zulässt !
Frage 2:
Ja, das kann man über die Gruppenfunktion der User machen und ihnen dann entsprechende Credentials zuweisen.
Frage 3:
Ja das ist ganz einfach möglich über eine Authentisierung mit 802.1x und dynamischer VLAN Zuweisung. Guckst du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Frage 4:
Ja klar geht das, dort ist ja ein embeddeter Web server am Laufen. Außerdem kannst du die Seiten auch auf einen externen Host redirecten !
Frage 5:
Ja natürlich geht das da die FW VLANs supportet:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Installier dir das doch mal mit einer Live CD und spiel damit etwas rum, das erspart dir die Fragerei hier ! Ein Bild sagt mehr als 1000 Worte....
Nein, das kann keiner, nichtmal die teuren kommerziellen. Diese Voucher Erstellung geht einher mit einem Radius Server der sowas nicht zulässt !
Frage 2:
Ja, das kann man über die Gruppenfunktion der User machen und ihnen dann entsprechende Credentials zuweisen.
Frage 3:
Ja das ist ganz einfach möglich über eine Authentisierung mit 802.1x und dynamischer VLAN Zuweisung. Guckst du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Frage 4:
Ja klar geht das, dort ist ja ein embeddeter Web server am Laufen. Außerdem kannst du die Seiten auch auf einen externen Host redirecten !
Frage 5:
Ja natürlich geht das da die FW VLANs supportet:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Installier dir das doch mal mit einer Live CD und spiel damit etwas rum, das erspart dir die Fragerei hier ! Ein Bild sagt mehr als 1000 Worte....
Die selben Fragen zu macmon
ABER: ADS Mitglieder sind ja wohl Firmenmitarbeiter und nicht Gäste. Also soll das Sicherheitskonzept doch etwas konsistenter sein und möglichst automatisiert ablaufen.
Gruß
Netman
- Gibt es beim Captive Portal die Möglichkeit zu definieren, dass die Voucher nur an einem bestimmten Datum verwendet werden
könnnen?
es ist auch ein automatisches Verfalldatum nutzbarkönnnen?
- lässt sich der Zugriff auf das Captive Portal auch so eingrenzen, dass bestimmte Personen zwar Voucher erstellen
können, aber an die sonstige Konfiguration (Firewall etc.) nicht ran kommen?
ja.können, aber an die sonstige Konfiguration (Firewall etc.) nicht ran kommen?
- es gibt ja die Captive Portal-Seiten auf denen ein Login entweder per RADIUS oder Voucher möglich ist, lässt sich dann
auch definieren, dass die per Voucher authentifizierten Benutzer z. B. in das VLAN 10 und die RADIUS-Nutzer in unterschiedliche
VLANs kommen, je nach ADS-Gruppenmitgliedschaft?
ja, das VLAN kann mit umziehen, automatisch.auch definieren, dass die per Voucher authentifizierten Benutzer z. B. in das VLAN 10 und die RADIUS-Nutzer in unterschiedliche
VLANs kommen, je nach ADS-Gruppenmitgliedschaft?
ABER: ADS Mitglieder sind ja wohl Firmenmitarbeiter und nicht Gäste. Also soll das Sicherheitskonzept doch etwas konsistenter sein und möglichst automatisiert ablaufen.
- lassen sich auf einem Captive-Portal-Server mehrere Portal-Seiten anlegen?
ja- angenommen ich schließe einen Access-Point mit mehreren SSIDs (unterschiedliche VLANs) direkt an einen
Captive-Portal-Server an, gibt es dann eine Möglichkeit die Schnittstelle in mehrere virtuelle mit unterschiedlichen
VLAN-tags zu unterteilen oder wie würde das sonst konfiguriert?
Ja, hängt vom AP ab.Captive-Portal-Server an, gibt es dann eine Möglichkeit die Schnittstelle in mehrere virtuelle mit unterschiedlichen
VLAN-tags zu unterteilen oder wie würde das sonst konfiguriert?
Gruß
Netman
OK, ein simples Standardkonzept wie man heutzutage WLANs in Firmen aufzieht und hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und was die Sicherheit betrifft hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
wie schon mehrfach zitiert auch genau erklärt.
Wo ist denn nun eigentlich deine Frage und dein Problem ?
Mit dem Komzept und 3 Mausklicks hast du das doch im Handumdrehen umgesetzt ?!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und was die Sicherheit betrifft hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
wie schon mehrfach zitiert auch genau erklärt.
Wo ist denn nun eigentlich deine Frage und dein Problem ?
Mit dem Komzept und 3 Mausklicks hast du das doch im Handumdrehen umgesetzt ?!
Ad 1:
Du kannst dort auch nur die Maximaldauer angeben in Tagen die dann auf das Enddatum verweist.
Eine spezifische Zeitspanne ist nur über eine Radius Authentifizierung möglich.
Ad 2:
Das geht nicht du kannst nur entweder Radius oder Voucher Roll. Beides kombiniert geht nicht.
Du musst das separat lösen wie du schon erkannt hast.
Du kannst dort auch nur die Maximaldauer angeben in Tagen die dann auf das Enddatum verweist.
Eine spezifische Zeitspanne ist nur über eine Radius Authentifizierung möglich.
Ad 2:
Das geht nicht du kannst nur entweder Radius oder Voucher Roll. Beides kombiniert geht nicht.
Du musst das separat lösen wie du schon erkannt hast.
Das löst man ganz einfach mit Zertifikaten bei der WLAN Anmeldung. Dann kann man sich das ganze Winblows Gedöns sparen und hat gleichzeitig auch eine Kontrolle das nur die Hardware ins WLAN darf die man "zertifiziert".
Eine Standardlösung die nicht nur bei Billigheimer HP und seinem zugekauften WLAN Geraffel funktioniert sondern überall...
Eine Standardlösung die nicht nur bei Billigheimer HP und seinem zugekauften WLAN Geraffel funktioniert sondern überall...