113726
05.12.2014
4513
39
0
Nutzungsvereinbarung des WLANS im Unternehmen
Hallo,
wir haben in unserer Firma eine Fritzbox und einen TP-Link Router, beide gekoppelt.
Wir möchten das WLAN gerne für die Mitarbeiter zur Verfügung stellen.
Nun wissen wir nicht richtig, wie wir die nutzungsvereinbarung formulieren sollen bzw. ob wir noch an irgendwas denken mü+ssen vorher?
Es gibt ein WLAN Kennwort, alles ist per WPA2 gesichert und das Kennwort würden Nutzer dann erhalten, nachdem sie die Vereinbarung unterschrieben haben.
Alles, was man so im Netz findet, ist auf Hotelgäste usw. ausgelegt.
Habt ihr eine Idee oder einen Vordruck?
Müssen wir noch auf was achten?
Vielen Dank im Voraus.
Gruß
Manuel
wir haben in unserer Firma eine Fritzbox und einen TP-Link Router, beide gekoppelt.
Wir möchten das WLAN gerne für die Mitarbeiter zur Verfügung stellen.
Nun wissen wir nicht richtig, wie wir die nutzungsvereinbarung formulieren sollen bzw. ob wir noch an irgendwas denken mü+ssen vorher?
Es gibt ein WLAN Kennwort, alles ist per WPA2 gesichert und das Kennwort würden Nutzer dann erhalten, nachdem sie die Vereinbarung unterschrieben haben.
Alles, was man so im Netz findet, ist auf Hotelgäste usw. ausgelegt.
Habt ihr eine Idee oder einen Vordruck?
Müssen wir noch auf was achten?
Vielen Dank im Voraus.
Gruß
Manuel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 256850
Url: https://administrator.de/forum/nutzungsvereinbarung-des-wlans-im-unternehmen-256850.html
Ausgedruckt am: 25.12.2024 um 01:12 Uhr
39 Kommentare
Neuester Kommentar
Mach es doch so:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die Anleitung von aqui geht super und wenn Du nicht gerade 100 MA mit WLAN versorgen musst auch einfach nachzuhalten.
Das WLAN für die MA noch vom Produktivnetz abgetrennt und alles ist schick.
Gruß
Looser
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die Anleitung von aqui geht super und wenn Du nicht gerade 100 MA mit WLAN versorgen musst auch einfach nachzuhalten.
Das WLAN für die MA noch vom Produktivnetz abgetrennt und alles ist schick.
Gruß
Looser
Oder Captive Portal (wahlweise mit Radius) wo auf der Portalseite die Nutzungsvereinbarungen stehen die man rechtlich bindend abnicken muss.
Das wäre am sinnigsten.
Wie man das genau macht erklärt dir in allen Schritten dieses Forums Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Das wäre am sinnigsten.
Wie man das genau macht erklärt dir in allen Schritten dieses Forums Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Wenn du es so trennen möchtest, müsstest du verschiedene VLAN Netze erinchten, ob das dein Router kann, musst du prüfen
Mehr Informationen zu dem Thema:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mehr Informationen zu dem Thema:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs "fix" bei NetGear. Igitt, das sit die unverständlichste VLAN Konfig von allen am Markt. Aber wenn man weiss was man macht bekommt man das natürlich auch bei NetGear in den Griff !
Wie, das erklärt dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wie, das erklärt dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Also wenn ich das jetzt richtig gelesen habe, reicht mir so ein Radius Server aus, um die WLAN Autorisierung durchzuführen richtig?
Ja, richtig !Wir haben ein Synlogy NAS und im Link steht ja, dass auch die NAS Systeme Radius unterstützen, also benötige ich keine VM.
Auch das ist genau richtig !Klappt das so einfach?
Ja, ist mit dem Radius Server auf dem Synology in 15 Minuten erledigt....Dann muss ich ja noch im Router auf Enterprise stellen.
Ja, auch richtig und die Radius Server IP einstellen. Achtung: Der Radius muss dazu vom AP natürlich erreichbar sein !bei der Fritzbox allerdings nicht. Gibt es da eine alternative Firmware?
Ist klar, denn die FB ist ein Billiger Consumer Router der das nicht supportet. Wenn du eine alternative FW verwenden willst die das kann musst du Freetz nehmen: http://freetz.orgIst dir Frage ob das Sinn macht oder du dir nicht lieber für den Aufwand ein paar mehr TP-Link, Edimax usw. 20 Euro APs kaufst die den Enterprise Support problemlos können ?!
Und muss ich dann wirklich das Zertifikat auf dem Client installieren?
Das kannst du automatisiert mit einem Domain Login z.B. machen. Hast du sowas nicht musst du Hand anlegen... Du kannst natürlich auch im 802.1x Client die Zertifikatsüberprüfung ganz abschlaten (Sihe o.a. Tutorial !!)Das möchte ich mir schenken. I
Na ja... Ohne ein Server Zertifikat, und das wird sogar dir wohl auch als Laie sofort einleuchten, ist die ganze Radisu Authentisierung dann ja völliger Mumpitz !Da kann dann jeder beliebige User oder Eindringling einen kleinen Raspberry_Pi oder eine VM als Radius allen deinen APs unterjubeln da du ja nicht mehr die Authentizität des Servers prüft und erlangt dann damit sofortigen Zugang zum kompletten WLAN und allen angeschlossenen Resourcen.
Dann kannst du dir den Radius auch gleich ganz sparen, ein statische WPA Passwort nehmen und unten am Eingang ein Schild anbringen: "Liebe Besucher, das WLAN Passowrt lautet: xyz"
ICh möchte dem User einen Account geben, womit er sich dann im WLAn anmelden kann.
Genau das ist der Sinn eines WLANs mit Radius...aber sinnvollerweise auch mit dem Zertifikat. Wenn dir die Sicherheit des WLANs nichts wert ist und du das Risiko bewusst eingehen willst, dann schlate die Zertifikatsprüfung einfach ab !Das Forumstutorial erklärt dir alle Schritte dazu im Detail...wenn du es denn liest ?!
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Der Radius Server ollte auch beim 712+ NAS direkt aus der "Paketzentrale" nachinstallierbar sein ! Hast du das geprüft ??
Aktuelle Firmware auf dem 712er ?
Über die Webseite gehts aber natürlich auch. Muss der User dann anklicken und wird automatisch installiert.
Wenn du zusätzlich Accounting einstellst kannst du sogar genau sehen wieviel Datentraffic usw. im Netz generiert wurden per User.
Nicht 802.1x Endgeräte authentisierst du über dessen Mac Adresse mit dem Radius. Lies dir das Tutorial hier durch dort steht wies geht:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Kapitel: Anpassen der FreeRadius Server Konfigurations Dateien
Einfach die Mac als User und Pass in der Radisu User Konf eintragen, das wars.
Aktuelle Firmware auf dem 712er ?
Zumal es irgendwann abläuft, da´nn muss man wieder Hand anlegen.
Du generierst das Zertifikat ja selber. Dann stellst du dort ein Gültigkeit von 10 Jahren ein. Das wird vermutlich die Einsatzzeit des NAS dann auch überdauern ?! Sonst 20 Jahre ! Kommt man aber auch leicht von selber drauf wenn man mal etwas nachdenkt ?! ich besuche eine Webseite und dann wird das Zertifikat installiert richtig?
Nichtmal das... Mit dem Login wird automatisch das zertifikat im Hintergrund betankt ohne das der User das mitbekommt !Über die Webseite gehts aber natürlich auch. Muss der User dann anklicken und wird automatisch installiert.
Wie funktioniert das ganze auf Handys, weil das meiste Smartphones sind.
Dort sendet man das Zertifikat einfach und simpel per Mail... User klickt drauf...fertig installiert !Sehe ich dann mit dem Radius Server genau, wann wer online war und habe eine bessere übersicht?
Ja, das ist ja der Sinn.Wenn du zusätzlich Accounting einstellst kannst du sogar genau sehen wieviel Datentraffic usw. im Netz generiert wurden per User.
Muss der User sich jedes mal neu einloggen? Oder bleibt die Verbindung aktiv?
Verbindung bleibt aktiv !Wir haben auch einen WLAN Drucker (Brother 8950DW), wie tut der sich autorisieren? Er muss ja ständig erreichbar sein.
Tuten tut der Nachtwächter denn der hat ne Tute....Nicht 802.1x Endgeräte authentisierst du über dessen Mac Adresse mit dem Radius. Lies dir das Tutorial hier durch dort steht wies geht:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Kapitel: Anpassen der FreeRadius Server Konfigurations Dateien
Einfach die Mac als User und Pass in der Radisu User Konf eintragen, das wars.
ICh kenne das mit dem Zertifikatgenerierung nur von unserem SBS,
Das passiert leider vielen Winblows Knechten so die nur diese Welt sehen...oder sehen wollen. Aber glücklicherweise ämdert sich das ja jetzt dass er bei der Anmeldung im WLAN automatisch das zertifikat installiert
Da hast du was falsch verstanden...Das geht nur bei dem Einloggen in eine Winblows Domain über den Server. In das WLAN kommst du ohne Zertifikat ja erst gar nicht rein wenn du das umgestellt hast ! Wie sollte das auch gehen denn ein WLAN Logon kann ja nun mal nix automatisch auf einen Rechner spreichern...wie sollte das gehen ?!Alles in allem klingt das ja wirklich einfach,
Ist es auch ! Lies das Tutorial !Und die anderen User melden sich ja normal mit ihren Namen und Passwort an, was im AD hinterlegt ist, so kann ich nachvollziehen, wer wann drauf war.
Genau so ist es ! Das mit dem AD klappt aber nur wenn du den Radius per LDAP mit dem Synology verheiratest, damit sie beide eine gemeinsame User Datenbank nutzen.Noch einfacher geht es wenn du auf dem AD Server den NPS (Network Policy Server) installierst. So heisst der Radius Server von Winblows
Damit ersparst du dir die LDAP Kopplung zw. dem Synology und dem AD.
Ich habe aber keine Möglichkeit gefunden, "Accounting" zu alktivieren. Vermutlich geht das bei Synlogy nicht.
Das musst du auch nicht, denn das macht der Server automatisch (ist ein FreeRadius) Wenn dann musst du es auf dem Authneticatior sprich deinem AP aktivieren ! Dort ist meist ein Haken fürs Accounting.Wenn jetzt ein Gast kommt und kurz mal im WLAN was nachschauen möchte, wie müsste ich dann vorgehen?
Wenn du es einigermaßen sicher haben möchtest für Gäste dann so:WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Den User erstellst du dann im Web GUI. Besser ist es aber wenn du mit sog. "Einmalpasswörtern" arbeitest. Die kannst du dann vorab in eine Liste drucken und jedem Gast dann geben. Das ist ein sog. Ticket was eine zeitlimitierte Gültigkeit hat und danch automatisch verfällt.
Du kannst verschiedene Tickets mit verschiedenen Zeitspannen für Gäste erstellen...oder auch diese automatisch per SMS aufs Handy des Gastes senden lassen.
Wie all das schnell und unkompliziert geht erklärt dir das o.a. Tutorial und die folgenden Threads dadrin.
Sollte man irgendwelche speziellen Verbindungsanforderungen oder Netzwerkrichtlinienbedingungen eintragen?
Auf dem Gastnetz ??Ja, das ist anzuraten. In den Firewall Regeln des Gastportals solltest du nur das erlauben was Gäste in der Regel benötigen. Eine sog "Whitelist". Standard ist z.B. Mail und Browsen. Falls du Business Gäste hast erlaubst du noch VPN.
Alles andere insbesondere Filesharing usw. solltest du blocken um dich schon auf der Ebene rechtlich abzusichern.
Und Accounting finde ich leider auch nirgends. Wo kann ich z.b. dann sehen, wer was verbraucht hat etc? Ich sehe bisher lediglich in der Ereignisanzeige, wann sich wer eingeloggt hat.
Dort gibt es mehrere Optionen. Am einfachsten ist das wenn du das User Accounting über Radius aktivierst wenn du ein pro User Accounting haben willst.Noch detailierter geht das wenn du das Portal mit einem Proxy kombinierst. Bei der pfSense z.B. kannst du über die Paket Verwaltung zusätzlich einen Squid Proxy aktivieren.
Damit ist dann sogar eine Auswertung möglich welcher User wieviel Traffic und wohin gemacht hat. Was da rechtlich möglich und erlaubt ist musst du selber entscheiden.
Jetzt wäre noch die Frage von der Netztrennung, die ich stellen muss. Ich möchte nicht, dass ein Mitarbeiter seinen privaten Laptop mitbringt und mit WLAn in das interne Netz geht.
Das ist eine Frage die dir kein Forum der Welt beantworten kann ! Warum... ?Jedes Unternehmen hat eine dedizierte Sicherheits Policy. An diese musst du ja zwangsweise dieses Verhalten anpassen. Da du dazu rein gar nichts schreibst, was erwartest du sollen wir dir also antworten ??
Nur so viel:
Private HW eines Mitarbeiters solltest du IMMER als Gast behandeln. Du kannst niemals wissen was oder welche SW auf privater HW eines Gastes oder Mitarbeiters installiert ist und was er damit macht.
In so fern gelten immer die strengen Restriktionen die auch für Gäste gelten, das sollte klar sein ! Das Mitarbeiter mit privater HW auch Firmenresourcen nutzen ist bekanntlich ein NoGo da die Kontrolle fehlt (Virenbefall, Trojaner etc.)
Das sagt einem aber auch schon der gesunde Menschenverstand und dafür muss man kein Forum fragen !
Eine professionelle Lösung mit mSSID fähigen APs die eine Trennung gesichertes Firmen WLAN und Gast WLAN mit einer HW machen findest du z.B. hier im Praxisbeispiel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Unser WLAN Drucker (Brother 8950DW) hat sogar Enterprise Security (802.1x).
Also muss ich ja im AD nichts anlegen.
Richtig, da muss man dann nix machen und behandelt den als normalen "User".Also muss ich ja im AD nichts anlegen.
soll ich da das vom Administrator nehmen? Oder doch einen User dafür anlegen im AD?
Besser wohl letzteres wenn du dein Netz nicht kompromitieren willst !PS.: Wir haben jetzt einen TP-Link TD-W8970B hier, der untersatützt WPA2-Enterprise und sogar VLAN. Und eine Gäste WLAN.
Na perfekt !!Wie man das dann alles zusammenklöppelt kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Komm ich da nicht einfacher, wenn ich für die privaten Laptops und Smartphones das Gäste WLAN nutze
Ja, aber dann mit einem "richtigen" Gast WLAN. Niemals mit dem Spielkram auf billigen Chian APs. Das ist KEIN wirklich sicheres Gast WLAN und in minutenschnelle ausgehebelt !Ein richtiges Gäste WLAN das den Namen verdient richtest du mit einem Captive Portal und entsprechenden Filterregeln ein:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Ich möchte mir kein Linux irgendwie installieren. Was gibt es denn noch für andere Möglichkeiten?
Das musst du auch nicht !!Nimm einfach eine feste Appliance die einen Captive Portal Hotspot supportet wie eine pfSense:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
oder einen fertigen Router der das kann wie z.B. ein Mikrotik 750:
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
...und fertig ist der Lack !
dass sich die User mit ihren eigenen Kennwort und Namen einloggen und es keinen zentralen WPA2 Schlüssel mehr gibt..
Wenn sie das weitergeben ist das Gast WLAN aber auch kompromitiert. Besser sind hier immer zeitlich befristete Einmalpasswörter. Denk da immer an die rechtliche Störerhaftung !Jetzt habe ich z.B. einen Laptop, der nicht in der Domäne ist. Wie kann er über WLAN ins Internet gehen?
Über ein Gast WLAN mit Captive Portal und Einmalpasswörtern wie es oben beschrieben ist.Kann man für das GastWLAn nicht doch das integrierte nehmen?
Nicht wenn das ein billige Consumer Router ist. Das sind keine wirklichen Gast WLANs und diese Lösungen sind in sekundenschnelle überwunden.Was gibt es denn noch für Möglichkeiten, wenn man das nicht möchte?
Keine ! Du kannst es drehen und wenden wie du willst. Was sollten denn da noch für andere Wunderdinge da sein wenn segmentieren und Sicherung für dich scheinbar nicht greifen...oder greifen wollen.Wie gesagt ich bin da nicht so bewandert drin
Keine gute Voraussetzung für sowas Das siehst du ja schon an der Eierei hier... Geh zum Systemhaus und IT Partner deiner Wahl und hole dir dort fachkundige Hilfe wenn du es selber nicht leisten kannst !Kann ich die VLAN nicht nur über den Switch anlegen oder direkt im Router?
Klar ! Natürlich geht das wenn du die richtige HW hast die das auch supportet !Sieh dir dieses Tutorial an, das beschreibt alles so einfach das es auch für blutige Laien verständlich ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Also im Prinzip muss ich 2 VLANs anlegen (Am Switch). Im Router muss ich dann jeweils 1 VLAN 1er SSID zuordnen.
Nicht nur im Prinzip sondern auch in der Praxis ! Ja, das ist der richtige Weg !Wie sage ich dann dem VLAN, dass er nur aufs Internet zugreifen kann?
Das machst du am VLAN Router oder Switch mit IP Accesslisten bzw. Firewall regeln die den Zugriff reglementieren !Vielleicht kann man da ja irgendwas machen, um sich zusätzliche Arbeit zu ersparen?
Solche Einstellung ist sehr gefährlich und tödlich für die Unternehmenssicherheit. Diese riskierst du hier gerade.Etweder habt ihr eine Security Policy und du hälst dich dran oder es ist alles egal.
Dann machst du halt ein WLAN und druckst das Passwort am Empfang auf ein Poster. Das ist die einfachste Lösung und beseitigt alle deine Probleme !
Diese Diskussion wirst du in einem Forum nie lösen können ! Sagt auch einem auch schon der gesunde Menschenverstand...
Der TP-Link AP kann definitiv nicht Multi-SSID, VLAN und WPA2-Enterpsire gleichzeitig.
Ist normal für so billige Plastik Chinaböller... Beschaff dir was anständiges !Obwohl komisch ist das schon. Hier werkelt ein 20 Euro Teil von TP-Link uralt (2 Jahre) und das kann alles gleichzeitig ohne Probleme ?!
-> keinen auf die schnelle gefunden.
Sieh ins VLAN Tutorol was oben zitiert ist da hast du eine kleine Übersicht was man nehmen kann !