Office-Netzwerk, LAN und WLAN gleichzeitig
Hallo Zusammen
Wir haben ein kleines Büro Netzwerk mit Internetzugang (interner Bereich: 192.168.1.0).
Zusätzlich haben wir einen weiteren Internetzugang der mit einem Wireless-Router (WPA) verbunden ist (192.168.85.0), diese beiden Netze sind physikalisch komplett getrennt und das sollte auch so bleiben.
Der Wireless-Zugang ist für Gäste gedacht, welche nicht ans Büronetz dürfen. Ich möchte es aber auch unseren Leuten ermöglichen, dass diese WLAN benutzen können (z.B. für Meetings).
Was mir aber Unklar ist:
- Ist es ein Sicherheitsrisiko wenn en Notebook mit dem Büronetzwerk (LAN) und dem WLAN gleichzeitig verbunden ist (missbrauch des Notebooks als Gateway, etc.) ?
- Gibt es eine Domänenpolicy wo ich festlegen kann, dass nicht beide Netze gleichzeitig verwendet werden dürfen?
- Was gibt es sonst für Möglichkeiten dem Herr zu werden?
Vor Allem beim ersten Punkt bin ich sehr unsicher, was dass Sicherheitstechnisch bedeutet.
Vielen Dank für euere Hilfe
Gruss
Michael
Wir haben ein kleines Büro Netzwerk mit Internetzugang (interner Bereich: 192.168.1.0).
Zusätzlich haben wir einen weiteren Internetzugang der mit einem Wireless-Router (WPA) verbunden ist (192.168.85.0), diese beiden Netze sind physikalisch komplett getrennt und das sollte auch so bleiben.
Der Wireless-Zugang ist für Gäste gedacht, welche nicht ans Büronetz dürfen. Ich möchte es aber auch unseren Leuten ermöglichen, dass diese WLAN benutzen können (z.B. für Meetings).
Was mir aber Unklar ist:
- Ist es ein Sicherheitsrisiko wenn en Notebook mit dem Büronetzwerk (LAN) und dem WLAN gleichzeitig verbunden ist (missbrauch des Notebooks als Gateway, etc.) ?
- Gibt es eine Domänenpolicy wo ich festlegen kann, dass nicht beide Netze gleichzeitig verwendet werden dürfen?
- Was gibt es sonst für Möglichkeiten dem Herr zu werden?
Vor Allem beim ersten Punkt bin ich sehr unsicher, was dass Sicherheitstechnisch bedeutet.
Vielen Dank für euere Hilfe
Gruss
Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 157871
Url: https://administrator.de/contentid/157871
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
gut, du surfst jetzt also vermutlich ohne die Sicherheitsrichtlinien der Firma im WLAN (da das ja für die Gäste ist - d.h. die brauchen ggf. nen VPN-Tunnel usw...). Du hast nen Trojaner auf dem Laptop der auch darüber fröhlich munter die Daten raussendet und eine Remote-Steuerung erlaubt -> und gleichzeitig bist du am unternehmensinternen Netzwerk mit evtl. Freigaben usw. angemeldet.
Ich schicke nun dem Trojaner/Bot den Befehl: "Lösche alle doc, xls, ppt,... Dateien die du irgendwo auf einem der vorhandenen Laufwerke findest".
Beantwortet diese Vorstellung schon deine Frage ob das eine gute Idee ist an beiden Netzwerken zu hängen?
gut, du surfst jetzt also vermutlich ohne die Sicherheitsrichtlinien der Firma im WLAN (da das ja für die Gäste ist - d.h. die brauchen ggf. nen VPN-Tunnel usw...). Du hast nen Trojaner auf dem Laptop der auch darüber fröhlich munter die Daten raussendet und eine Remote-Steuerung erlaubt -> und gleichzeitig bist du am unternehmensinternen Netzwerk mit evtl. Freigaben usw. angemeldet.
Ich schicke nun dem Trojaner/Bot den Befehl: "Lösche alle doc, xls, ppt,... Dateien die du irgendwo auf einem der vorhandenen Laufwerke findest".
Beantwortet diese Vorstellung schon deine Frage ob das eine gute Idee ist an beiden Netzwerken zu hängen?
Moin,
die frage ist doch: Warum soll jemand gleichzeitig zu beiden Netzen verbinden können? Du willst doch dein internes Netz normalerweise gegen Angriffe schützen - d.h. du willst gar nicht das ein Gerät welches irgendwo im Netz surft in dein Netz kommt -> der könnte ja schon Trojaner, Viren usw. auf dem System haben.
Daher wird man das im normalfall so machen das nur Gäste ans WLAN dürfen -> für die Mitarbeiter ist der Zugang nicht nötig da die ja über das normale Kabel-Netzwerk überall (wo die es müssen) rankommen. Also brauchen die noch nicht mal den WLAN-Key kennen -> der wird eben durch die IT bei den Gäste-Geräten eingetragen und gut. Alles andere ist riskant -> da du gar nicht weisst was der im offenen WLAN alles macht... (Beim Gäste-Laptop is es dir ja egal ob derjenige sich grad den Rechner grillt -> das ist dann SEIN Problem!)
die frage ist doch: Warum soll jemand gleichzeitig zu beiden Netzen verbinden können? Du willst doch dein internes Netz normalerweise gegen Angriffe schützen - d.h. du willst gar nicht das ein Gerät welches irgendwo im Netz surft in dein Netz kommt -> der könnte ja schon Trojaner, Viren usw. auf dem System haben.
Daher wird man das im normalfall so machen das nur Gäste ans WLAN dürfen -> für die Mitarbeiter ist der Zugang nicht nötig da die ja über das normale Kabel-Netzwerk überall (wo die es müssen) rankommen. Also brauchen die noch nicht mal den WLAN-Key kennen -> der wird eben durch die IT bei den Gäste-Geräten eingetragen und gut. Alles andere ist riskant -> da du gar nicht weisst was der im offenen WLAN alles macht... (Beim Gäste-Laptop is es dir ja egal ob derjenige sich grad den Rechner grillt -> das ist dann SEIN Problem!)
Nein, das klappt nicht, den damit bist du auch nicht sicher ! Das Beste ist du machst eine simple User Abfrage mit 802.1x und benutzt einen WLAN AP der ESSIDs supportet und trennst beide WLANs. Die Gäste fackelst du dann über ein CP.
Hier findest du Infos wie es geht:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Damit kannst du dann beide Nutzer einwandfrei authentisieren und sie in die entsprechenden WLANs dynamisch verfrachten.
Hier findest du Infos wie es geht:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Damit kannst du dann beide Nutzer einwandfrei authentisieren und sie in die entsprechenden WLANs dynamisch verfrachten.
Ja, da hast du Recht. Wenn die unkontrolliert beide Adapter aktiv haben und einer Routing aktiviert oder sowas ist das natürlich möglich.
Du kannst aber die WLAN User ganz klar identifizieren. Gäste kommen nur ins Gäste WLAN und die MA in ein MA WLAN was nix mit dem Gäste WLAN zu tun hat.
Wenn du die MA Rechner auch noch per Mac filterst im Gäste WLAN können die sich damit nicht assoziieren.
OK umgehbar ist das alles wenn einer der Gäste den MAs das Passwort für das Gäste Portal verrät.
Solche Backdoor Router Gefahren sind schwer in den Griff zu bekommen...allerdings erfordern sie auch einen gehörigen Aufwand an Know How und damit ziemlicher krimineller Energie.
Du kannst aber die WLAN User ganz klar identifizieren. Gäste kommen nur ins Gäste WLAN und die MA in ein MA WLAN was nix mit dem Gäste WLAN zu tun hat.
Wenn du die MA Rechner auch noch per Mac filterst im Gäste WLAN können die sich damit nicht assoziieren.
OK umgehbar ist das alles wenn einer der Gäste den MAs das Passwort für das Gäste Portal verrät.
Solche Backdoor Router Gefahren sind schwer in den Griff zu bekommen...allerdings erfordern sie auch einen gehörigen Aufwand an Know How und damit ziemlicher krimineller Energie.