profisturz
Goto Top

Kleines WLAN in komplett neue IT-Struktur

Hallo allerseits,

Im Rahmen meines Studiums der Wirtschaftsinformatik habe ich mit einer Gruppe eine Fallstudie zu bearbeiten. Hierbei geht es darum, eine komplett neue Netzwerk- und Sicherheitsinfrastruktur aufzubauen.

Derzeit hänge ich im Bereich WLAN. Gefordert wird ein WLAN, welches nur in der obersten Etage eines Gebäudes zu Konferenzzwecken benutzt werden soll. Die Etage soll einen WLAN -Zugang für mindestens 10 Personen bieten können. Zu den Konferenzen kommen natürlich auch Unternehmens-Externe.

Wir haben derzeit geplant, in der oberen Etage einen Access Point aufzubauen. Das WLAN könnte mit WPA(2) geschützt sein. Wäre das schon einmal sicher genug?

Nun hab ich noch Schwierigkeiten damit, wie ich die Benutzer ans Netz bekomme. Gerne würde ich als Netzwerkschlüssel einen 63-stelligen benutzen, wegen der Sicherheit. Dieser soll natürlich nicht einfach in die Laptops der Besucher eingetragen werden. Wie würdet ihr das für die Besucher regeln? Könnte man einen USB-Token verwendet, welcher den Sicherheitsschlüssel beinhaltet und eine temporäre Anmeldung zulässt? Oder was gibt es noch für Möglichkeiten? Ich habe auf diesem Gebiet leider kaum Erfahrungen...

Vielen Dank schon einmal im Vorraus face-smile

Gruß

Content-ID: 143363

Url: https://administrator.de/forum/kleines-wlan-in-komplett-neue-it-struktur-143363.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

dog
dog 21.05.2010 um 21:56:28 Uhr
Goto Top
Könnte man einen USB-Token verwendet, welcher den Sicherheitsschlüssel beinhaltet und eine temporäre Anmeldung zulässt

Lustige Idee, aber wird nix.

Hier kommst du wohl um RADIUS mit kurzzeitigen Benutzer-Konten nicht drumherum.
Das wiederum ist unter Windows so kompliziert einzustellen, dass ein täglich wechselnder WPA2-PSK-Key einfacher ist.
affabanana
affabanana 22.05.2010, aktualisiert am 18.10.2012 um 18:42:15 Uhr
Goto Top
Hallo Du

Mach doch ein Captiva Portal

hier noch eine Anleitung von ""aqui""
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Damit kannste das ja einfach in die Hände der Manageridioten geben.

gruass affabanana
DerSchorsch
DerSchorsch 22.05.2010 um 08:13:38 Uhr
Goto Top
Hallo,

da kann noch diese Anleitung ergänzen.

Wobei ich die Radius-Lösung unter Windows gar nicht so schlimm finde. Ist ja alles dabei, man muss ein Zertifikat erzeugen, den Internetauthentifizierungsdienst (IAS) installieren und konfigurieren (Assistent hilft) und die Benutzer im ActiveDirectory pflegen. Und auch da kann man scripten

Gruß,
Schorsch
Profisturz
Profisturz 22.05.2010 um 09:58:16 Uhr
Goto Top
Hey,

Danke schonmal für die Tipps face-smile Ich möchte es natürlich so einfach und praktisch wie möglich haben :P

Hab gestern bei Cisco ne Wireless-Lösung entdeckt, dort wird versprochen: "Sie haben außerdem die Möglichkeit, Besuchern einen sicheren Gastzugang zu bieten. "

Hier: http://www.cisco.com/web/DE/verticals/smb/products/wireless/500_series_ ...

So wie ich das verstanden habe, braucht man dafür den Cisco 526 Wireless Controller und den Cisco 521 Wireless Access Point. Auf den Controller kann ich dann per Software zugreifen und dort direkt Gastzugänge eintragen. o.O

Was haltet ihr davon?
2hard4you
2hard4you 22.05.2010 um 11:03:26 Uhr
Goto Top
Moin,

gib den externen einfach jeweils einen USB-Stick, dessen MAC-Adresse auf dem AP eingetragen ist, dazu ein fettes Paßwort und der Keks ist gegessen...

Gruß

24
DrAlcome
DrAlcome 22.05.2010 um 11:39:58 Uhr
Goto Top
@2hard4you: Hehe, die Methode ist so einfach das ich garnicht drauf gekommen wäre! face-smile
Stimmt, so könnte man es machen.

Ein Knackpunkt wäre dann allerdings, wenn die "Externen" auf ihren Notebooks über die Policys keine USB-Geräte zulassen.

Ich würde mich wohl für den täglich wechselnden WPA2-Key entscheiden, wird ja auch gerne mal z.B. in Hotels gemacht.
Der-Phil
Der-Phil 22.05.2010 um 11:56:43 Uhr
Goto Top
Hallo,

es gibt doch diverse kostenlose Hotspot-Dienste, mit denen das recht einfach möglich ist, "Tagestickets" herauszugeben.

Wie z.B.
http://www.dd-wrt.com/wiki/index.php/Chillispot
http://www.ip-phone-forum.de/showthread.php?t=86286
http://www.mikrotik.com/documentation/manual_2.6/IP/Hotspot.html

Dann gibst Du eben den Besuchern Tageszugänge und den "Managern" dauerhaft gültige Tickets oder Du nimmst nen Multi-SSID-Router, in dem Du von Anfang an Gäste und Manager trennst.

Phil
k4p00d
k4p00d 22.05.2010 um 12:38:23 Uhr
Goto Top
Ich würde das über eine. Router/AccessPoint von Lancom erledigen. Dieser Hat selbst den Radius Server bereits integriert. Somit kannst du ganz einfach ein 802.1x verschlüsseltes WLANmit EAP-TTLS oder EAP-PEAP aufziehen.

Sollte eine HotSpot Lösung gewünscht sein, kaufst du einfach die PuicSpot Option dazu. Damit kann auch die Sekretärin WLAN Tickets ausstellen.

http://www.lancom-systems.de/LANCOM-Public-Spot.348.0.html
aqui
aqui 22.05.2010, aktualisiert am 18.10.2012 um 18:42:15 Uhr
Goto Top
Das WLAN integrierst du mit einer kleinen Firewall wie Pfsense oder Monowall.
Darin hängst du einen oder mehrere Accesspoints (je nachdem wie groß die Etage ist) der ESSIDs (virtuelle SSIDs) supportet und spannst 2 SSIDs auf die du in 2 VLANs integrierst.
Einmal ein offenes WLAN für die Besucher und Gäste der Meetings mit einem Captive Portal (Hotsport) und ein paar Filterregeln.
Das 2te WLAN/VLAN mit einer sichereren WPA Verschlüsselung und Authentisierung fpür die Firmenmitglieder. Denen kann man dann über die FW auch einen Teilzugang aufs Firmenentz geben um so an firmenrelevante Daten zu kommen. Beides lässt du zentral über Radius ggf. LDAP mit AD authentifizieren.
Die Hardware dazu findest du hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die ESSID/VLAN Integartion findest du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die sichere Firmen Authentifizierung findest du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Fertisch !!
Ganz einsperren wie in einen Käfig lassen sich die Funkwellen ja nicht, aber mit Tools wie inSSIDer und WLANINFO kannst du die Konferenzräume von der Funkfeldstärke bzw. HF Ausleuchtung her ausmessen und ggf. mit Sendeleistungsanpassung der APs es relativ genau auf die erste Etage limitieren.
Wenn dir das für deine Fallstudie zu professionell ist, lässt du einfach Teile davon weg ! Je nachdem was du meinst für die Studie nicht zu benötigen...wenn je nachdem die Studie nur ein Olli einfach Dödel WLAN beschreiben soll oder eine Firmen professionelle Lösung.