9
Internetzugang per WLAN-LTE Netz für Mitarbeiter
Guten Tag. Ich arbeite in einem mittelständischen Unternehmen und habe nun einige Aufgaben bekommen um die "Zukunft" auch zu uns ins Unternehmen zu holen.
Zusätzlich zu einem Sharepoint/Server Projekt, habe ich nun die Aufgabe ein WLAN<-> LTE Netz zu Planen.
Es soll in jedem der 3 Bürogebäude (in 3 deutschen Städten) ein WLAN Netz aufgebaut werden.
Die Mitarbeiter sollen u.a. das WLAN-Netz auch für privates Surfen nutzen können.
allerdings ist der Unternehmensführung die Sicherheit sehr wichtig!! Es herrscht einfach die Angst von Missbrauch und evtl. rechtlichen Konsequenzen. Das deutsche Recht ist da ja nun ja etwas "suboptimal".
Das WLAN Netz wird über die herkömmlichen Methoden verschlüsselt.
Allerdings habe ich ein Problem wie ich den Zugang zum Netz sinnvoll gestalten kann.
Sicherheitsmaßnahme 1: Proxy (für Benutzerkonten/Passwörter)
Soweit mir bekannt haben LTE/Router keine öffentliche IP, heißt wenn ich das über nen Proxy machen will, müsste ich in jedem der Bürogebäude nen eigenen Proxy aufbauen, den ich dann allerdings auch nicht aus der "Ferne" administrieren kann.
Oder irre ich da? bzw. gibt es da andere Lösungsansätze?
Pro Netz sind ca. 70-100 Geräte geplant.
Sicherheitsmaßnahme 2: MAC-Filter
Leider bieten die Standard LTE Router von z.B. Vodafone bieten diese Möglichkeit nur bis maximal 30 Geräte.. das ist für unsere Zwecke einfach zu wenig. Welche Geräte bieten sich hier an?
Gibt es eine Möglichkeit MAC Adresse / Und Nutzerkonto + Passwort zu koppeln ,so das eine Zugangsdatenweitergabe praktisch nutzlos wird?
Sicherheitsmaßnahme 3: Nutzungsbedingungen
Von nem Anwalt für Medienrecht ausgearbeitete Nutzungsbedingungen mit einer aktenkundigen Belehrung des jeweiligen Nutzers.
Dies ist durch die Unternehmensführung bereits in Planung.
Und wieder ein DANKE!! von mir im Voraus.
Zusätzlich zu einem Sharepoint/Server Projekt, habe ich nun die Aufgabe ein WLAN<-> LTE Netz zu Planen.
Es soll in jedem der 3 Bürogebäude (in 3 deutschen Städten) ein WLAN Netz aufgebaut werden.
Die Mitarbeiter sollen u.a. das WLAN-Netz auch für privates Surfen nutzen können.
allerdings ist der Unternehmensführung die Sicherheit sehr wichtig!! Es herrscht einfach die Angst von Missbrauch und evtl. rechtlichen Konsequenzen. Das deutsche Recht ist da ja nun ja etwas "suboptimal".
Das WLAN Netz wird über die herkömmlichen Methoden verschlüsselt.
Allerdings habe ich ein Problem wie ich den Zugang zum Netz sinnvoll gestalten kann.
Sicherheitsmaßnahme 1: Proxy (für Benutzerkonten/Passwörter)
Soweit mir bekannt haben LTE/Router keine öffentliche IP, heißt wenn ich das über nen Proxy machen will, müsste ich in jedem der Bürogebäude nen eigenen Proxy aufbauen, den ich dann allerdings auch nicht aus der "Ferne" administrieren kann.
Oder irre ich da? bzw. gibt es da andere Lösungsansätze?
Pro Netz sind ca. 70-100 Geräte geplant.
Sicherheitsmaßnahme 2: MAC-Filter
Leider bieten die Standard LTE Router von z.B. Vodafone bieten diese Möglichkeit nur bis maximal 30 Geräte.. das ist für unsere Zwecke einfach zu wenig. Welche Geräte bieten sich hier an?
Gibt es eine Möglichkeit MAC Adresse / Und Nutzerkonto + Passwort zu koppeln ,so das eine Zugangsdatenweitergabe praktisch nutzlos wird?
Sicherheitsmaßnahme 3: Nutzungsbedingungen
Von nem Anwalt für Medienrecht ausgearbeitete Nutzungsbedingungen mit einer aktenkundigen Belehrung des jeweiligen Nutzers.
Dies ist durch die Unternehmensführung bereits in Planung.
Und wieder ein DANKE!! von mir im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 223006
Url: https://administrator.de/contentid/223006
Ausgedruckt am: 26.11.2024 um 02:11 Uhr
9 Kommentare
Neuester Kommentar
hi,
wie weit sind denn die Bürogeb. auseinander? Sind die evtl. miteinander so verbunden, dass man an einer zentralen Stelle eine FW hinstellen kann?
Dann könnte man das Netz komplett trennen und dann ein CaptivePortal aufbauen.
Gruß
wie weit sind denn die Bürogeb. auseinander? Sind die evtl. miteinander so verbunden, dass man an einer zentralen Stelle eine FW hinstellen kann?
Dann könnte man das Netz komplett trennen und dann ein CaptivePortal aufbauen.
Gruß
Oh da habe ich mich schlecht ausgedrückt.
Es handelt sich um je ein Bürogebäude an 3 verschiedenen Standorten in Deutschland. (Berlin, Bonn und München)
Gruss
Es handelt sich um je ein Bürogebäude an 3 verschiedenen Standorten in Deutschland. (Berlin, Bonn und München)
Gruss
Moin,
nur dass ich das richtig verstehe: Du willst 300 Geräte per WLAN anbinden? Und die sollen alle via LTE nach aussen gehen? Habt Ihr keine strukturierte Verkabelung innerhalb Eurer Firma? Was soll das überhaupt für ein LTE-Angebot werden - denke daran, dass i.d.R. recht knappe Contentmengen verkauft werden.
Insgesamt habe ich aber nicht den Eindruck, dass Du das fachliche know how hast, das Projekt so zu stemmen - ist nicht böse gemeint.
LG, Thomas
nur dass ich das richtig verstehe: Du willst 300 Geräte per WLAN anbinden? Und die sollen alle via LTE nach aussen gehen? Habt Ihr keine strukturierte Verkabelung innerhalb Eurer Firma? Was soll das überhaupt für ein LTE-Angebot werden - denke daran, dass i.d.R. recht knappe Contentmengen verkauft werden.
Insgesamt habe ich aber nicht den Eindruck, dass Du das fachliche know how hast, das Projekt so zu stemmen - ist nicht böse gemeint.
LG, Thomas
Zitat von @keine-ahnung:
Moin,
nur dass ich das richtig verstehe: Du willst 300 Geräte per WLAN anbinden? Und die sollen alle via LTE nach aussen gehen?
Habt Ihr keine strukturierte Verkabelung innerhalb Eurer Firma? Was soll das überhaupt für ein LTE-Angebot werden -
denke daran, dass i.d.R. recht knappe Contentmengen verkauft werden.
Insgesamt habe ich aber nicht den Eindruck, dass Du das fachliche know how hast, das Projekt so zu stemmen - ist nicht böse
gemeint.
LG, Thomas
Moin,
nur dass ich das richtig verstehe: Du willst 300 Geräte per WLAN anbinden? Und die sollen alle via LTE nach aussen gehen?
Habt Ihr keine strukturierte Verkabelung innerhalb Eurer Firma? Was soll das überhaupt für ein LTE-Angebot werden -
denke daran, dass i.d.R. recht knappe Contentmengen verkauft werden.
Insgesamt habe ich aber nicht den Eindruck, dass Du das fachliche know how hast, das Projekt so zu stemmen - ist nicht böse
gemeint.
LG, Thomas
Hallo, um deine Frage zu beantworten.
Nein es sollen nicht 300 Geräte per WLAN in einem WLAN angebunden werden, sondern in jedem der Bürogebäude soll es je ein WLAN Netz geben. Und pro WLAN netz soll es bis zu 100 "registrierte" geräte geben. (Stichwort MAC Filter).
Der ganze Spaß ist von der Firmenleitung erdacht worden um den Mitarbeitern eine Möglichkeit zu geben, im Internet zu surfen, und dies vollkommen getrennt vom eigentlichen Firmennetz bzw., der eigentlichen Verkabelung.
Die Kontingentmengen sind mit 40 GB pro Monat (pro Gebäude) ausreichend, geht ja nicht um "P..schauen", Zocken oder Downloads... sondern Email, Recherche und dergleichen
Moin,
Und 40GB/Monat für 100 Devices mit privater Nutzung? Das wird nix :P
Sicherheit im WLAN bedeutet idR die Verwendung von VPN, und wenn das VPN dann steht dann geht's darüber ins Internet. Das wird sich aber mit den (Consumer) Routern von Vodafone nicht machen lassen.
Und dann ist noch die Frage wie groß die Bürogebäude sind (bei ~100 MA nicht unbedingt klein). Da wird also auch eine anständige WLAN Infrastruktur her müssen - Stichwort WLAN Roaming.
Zusätzlich solltest Du auch noch über Bandbreitenmanagement nachdenken, sonst macht dir der erste mit Privatlappi und jDownloader das LTE komplett dicht.
Frei nach Murphy: Alles was möglich (erlaubt) ist, wird gemacht.
lg,
Slainte
Die Mitarbeiter sollen u.a. das WLAN-Netz auch für privates Surfen nutzen können.
...
geht ja nicht um "P..schauen", Zocken oder Downloads...
Hui, ich glaub da steuerst Du auf einen ganz schön krassen Reality-Check zu......
geht ja nicht um "P..schauen", Zocken oder Downloads...
Und 40GB/Monat für 100 Devices mit privater Nutzung? Das wird nix :P
(Stichwort MAC Filter).
MAC Filter sind Schlangenöl! Die paar MACs die da in Frage kommen sind innerhalb von Minuten durchgetestet.Sicherheit im WLAN bedeutet idR die Verwendung von VPN, und wenn das VPN dann steht dann geht's darüber ins Internet. Das wird sich aber mit den (Consumer) Routern von Vodafone nicht machen lassen.
Und dann ist noch die Frage wie groß die Bürogebäude sind (bei ~100 MA nicht unbedingt klein). Da wird also auch eine anständige WLAN Infrastruktur her müssen - Stichwort WLAN Roaming.
Zusätzlich solltest Du auch noch über Bandbreitenmanagement nachdenken, sonst macht dir der erste mit Privatlappi und jDownloader das LTE komplett dicht.
Frei nach Murphy: Alles was möglich (erlaubt) ist, wird gemacht.
lg,
Slainte
Man könnte das ggf. auch noch mit einem Radius koppeln ala:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das ist dann zwar richtig wasserdicht, würde allerdings den Aufwand aber erheblich erhöhen. Zudem wärst du bei unterschiedlichen Lokationen dann von einer zentralen Zugangskontrolle abhängig. Ist die nicht erreichbar kommt keiner ins Netz.
OK, das wäre die sicherste Variante und letztlich musst du das entscheiden bzw. die Sicherheits Policies der Firma wie strikt eine User Authentisierung geschehen soll.
Das kann dir natürlich kein Forum beantworten….
Letztlich ist die o.a. Hotspot Lösung in Kombination mit einer Firewall ein guter Kompromiss wenn die Anforderungen nicht zu hoch sind.
Die Voucher Verwaltung ist clusterbar so das sie mit dem o.a. Modell synchronisiert werden kann was die Verwaltung von Passwörtern erleichtert.
WLANs für den privaten Gebrauch und Gäste sollte man aber tunlichtst mit einem User Logging versehen um nicht in rechtlichen Konflikt mit der Störerhaftung (in D) zu kommen. Die Captive Portal Page sollte entsprechende rechtliche Hinweise enthalten dazu.
Das und eine wasserdichte Whitelist mit der man bestimmte Netzwerk Anwendungen filtern sind ein Muss.
Die integrierte Firewall der Lösung von oben erlaubt das mit ein paar Mausklicks im Setup.
Damit ist sowas einfach umzusetzen auch in Kombination mit einem gesicherten Firmennetz wenn man sog. Multi SSID Accesspoints verwendet wie es hier im Kapitel "Praxisbeispiel" beschrieben ist.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das ist dann zwar richtig wasserdicht, würde allerdings den Aufwand aber erheblich erhöhen. Zudem wärst du bei unterschiedlichen Lokationen dann von einer zentralen Zugangskontrolle abhängig. Ist die nicht erreichbar kommt keiner ins Netz.
OK, das wäre die sicherste Variante und letztlich musst du das entscheiden bzw. die Sicherheits Policies der Firma wie strikt eine User Authentisierung geschehen soll.
Das kann dir natürlich kein Forum beantworten….
Letztlich ist die o.a. Hotspot Lösung in Kombination mit einer Firewall ein guter Kompromiss wenn die Anforderungen nicht zu hoch sind.
Die Voucher Verwaltung ist clusterbar so das sie mit dem o.a. Modell synchronisiert werden kann was die Verwaltung von Passwörtern erleichtert.
WLANs für den privaten Gebrauch und Gäste sollte man aber tunlichtst mit einem User Logging versehen um nicht in rechtlichen Konflikt mit der Störerhaftung (in D) zu kommen. Die Captive Portal Page sollte entsprechende rechtliche Hinweise enthalten dazu.
Das und eine wasserdichte Whitelist mit der man bestimmte Netzwerk Anwendungen filtern sind ein Muss.
Die integrierte Firewall der Lösung von oben erlaubt das mit ein paar Mausklicks im Setup.
Damit ist sowas einfach umzusetzen auch in Kombination mit einem gesicherten Firmennetz wenn man sog. Multi SSID Accesspoints verwendet wie es hier im Kapitel "Praxisbeispiel" beschrieben ist.
@ SlainteMhath
Danke für den Hinweis mit dem Bandbreitenmgmt, ausserdem werden aufgrund des max. Traffic wohl doch auch einige Ports gesperrt werrden müssen.
Ein Router reicht, soll ne art "Loungebereich" gemacht werden wo das WLAN aktiv ist.
@ brammer & aqui
Als das mit der M0n0wall / und Captive Protal klingt super! Weil Sicherheit ist den Chefs echt wichtig! In dem Fall da es sich um nen Netz für den privaten gebrauch der Mitarbeiter handelt, 90% in Richtung der Störerhaftung!!
Allerdings stellt sich hier die Frage (geht wohl eher in Richtung LTE), kann ich von einem zentralen Punkt dann alle 3 WLAN Netze administrieren? Soweit mir bekannt, gibt es keine Möglichkeit von aussen in, über einen per LTE verbundenen, "Proxy/Firewall/CaptivePortal" rechner reinzukommen?!!? Stichwort hier die "nicht öffentliche IP?!? oder irre ich da?
Danke für den Hinweis mit dem Bandbreitenmgmt, ausserdem werden aufgrund des max. Traffic wohl doch auch einige Ports gesperrt werrden müssen.
Ein Router reicht, soll ne art "Loungebereich" gemacht werden wo das WLAN aktiv ist.
@ brammer & aqui
Als das mit der M0n0wall / und Captive Protal klingt super! Weil Sicherheit ist den Chefs echt wichtig! In dem Fall da es sich um nen Netz für den privaten gebrauch der Mitarbeiter handelt, 90% in Richtung der Störerhaftung!!
Allerdings stellt sich hier die Frage (geht wohl eher in Richtung LTE), kann ich von einem zentralen Punkt dann alle 3 WLAN Netze administrieren? Soweit mir bekannt, gibt es keine Möglichkeit von aussen in, über einen per LTE verbundenen, "Proxy/Firewall/CaptivePortal" rechner reinzukommen?!!? Stichwort hier die "nicht öffentliche IP?!? oder irre ich da?
Zitat von @SmaxPT:
Soweit mir bekannt, gibt es keine Möglichkeit von aussen in, über einen per LTE verbundenen, "Proxy/Firewall/CaptivePortal" rechner reinzukommen?!!? Stichwort hier die "nicht öffentliche IP?!? oder irre ich da?
Du irrst Dich, da es durchaus LTE-Angebote mit öffentlichen Adressen gibt - es gibt auch Dienstleister, die Dir bei nichtöffentlichen Adressen den Zugang möglich machen. Trotzdem bleibe ich dabei --> Dir fehlen die Grundlagen, um so ein setup aufzubauen, hol Dir lieber Hilfe vor Ort, eh es Probleme mit Deinem Arbeitgeber gibt.Soweit mir bekannt, gibt es keine Möglichkeit von aussen in, über einen per LTE verbundenen, "Proxy/Firewall/CaptivePortal" rechner reinzukommen?!!? Stichwort hier die "nicht öffentliche IP?!? oder irre ich da?
LG, Thomas
