Sicherheit der Clients untereinander im öffentlichen WLAN
Hallo,
ich plane im moment ein mehr oder weniger öffentliches WLAN, das durch eine m0n0wall mit Captive Portal betrieben wird.
Der Aufbau ist ja recht einfach:
9 APs --> Switch --> M0n0wall --> Internet
Die APs haben logischerweise kein WPA-Passwort oder ähnliches, da die Anmeldung ja die m0n0wall übernimmt. (Selbst mit wüsste es ja jeder innerhalb von einer Woche)
Damit ist sichergestellt, dass man sich erst anmelden muss, um das Internet zu nutzen.
Eine Sorge habe ich allerdings noch: Wie ist das mit den Client-Geräten untereinander? Verbinden zum WLAN kann sich ja erstmal jeder...kann man irgendwie verhindern, dass sich dann ein potentieller "Böser" verbindet und nach Freigaben oder Ähnlichem bei den anderen Clients sucht?
Klar, ich werde die Menschen darauf hinweisen, dass man in einem öffentlichen WLAN vorsichtig sein muss, und nicht gerade C:\ freigibt oder sein O-Banking betreibt, aber irgendwie sehe ich da eine unschöne Lücke im System die ich schließen möchte.
Ideal wäre so eine Art "Jeder muss erst durch die Firewall, wenn er sich zu nem anderen PC verbinden will"-Modus bei den APs. (Das sind übrigens alle Linksys WRT54GL)
Gruß
Tobias
ich plane im moment ein mehr oder weniger öffentliches WLAN, das durch eine m0n0wall mit Captive Portal betrieben wird.
Der Aufbau ist ja recht einfach:
9 APs --> Switch --> M0n0wall --> Internet
Die APs haben logischerweise kein WPA-Passwort oder ähnliches, da die Anmeldung ja die m0n0wall übernimmt. (Selbst mit wüsste es ja jeder innerhalb von einer Woche)
Damit ist sichergestellt, dass man sich erst anmelden muss, um das Internet zu nutzen.
Eine Sorge habe ich allerdings noch: Wie ist das mit den Client-Geräten untereinander? Verbinden zum WLAN kann sich ja erstmal jeder...kann man irgendwie verhindern, dass sich dann ein potentieller "Böser" verbindet und nach Freigaben oder Ähnlichem bei den anderen Clients sucht?
Klar, ich werde die Menschen darauf hinweisen, dass man in einem öffentlichen WLAN vorsichtig sein muss, und nicht gerade C:\ freigibt oder sein O-Banking betreibt, aber irgendwie sehe ich da eine unschöne Lücke im System die ich schließen möchte.
Ideal wäre so eine Art "Jeder muss erst durch die Firewall, wenn er sich zu nem anderen PC verbinden will"-Modus bei den APs. (Das sind übrigens alle Linksys WRT54GL)
Gruß
Tobias
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 123642
Url: https://administrator.de/contentid/123642
Ausgedruckt am: 25.11.2024 um 14:11 Uhr
5 Kommentare
Neuester Kommentar
Eine andere Möglichkeit das unabhängig von den APs zu lösen, wäre noch einen Switch mit dem Private VLAN" oder wie es auch oft genannt wirdisolated VLAN// Feature zu verwenden.
Dort werden Broadcast Pakete nur auf einen Uplink Port geforwardet und damit ist eine Kommunikation der Clients untereinander unmöglich.
Solche Switches sind aber immer managebar und dann meist teuerer als die "vom Blödmarkt vom Grabbeltisch" !
Mit der o.a. Lösung ist es eben einfacher wenns nur WLAN ist
Dort werden Broadcast Pakete nur auf einen Uplink Port geforwardet und damit ist eine Kommunikation der Clients untereinander unmöglich.
Solche Switches sind aber immer managebar und dann meist teuerer als die "vom Blödmarkt vom Grabbeltisch" !
Mit der o.a. Lösung ist es eben einfacher wenns nur WLAN ist
Hi !
Diese Einstellung meinte ich!
Aber Aqui hat natürlich Recht! Diese Funktion ist nur hilfreich wenn alle Clients nur an einem AP hängen. Hängt ein Client an einem anderen AP so hilft die "AP Isolation" nicht, da die Firmware des AP die Clients an den anderen APs als "normale" LAN Clients "erkennt". Wenn Du also ALLE Clients (an allen APs) untereinander trennen willst, wirst Du wohl etwas Geld und Hirnschmalz in die Hand nehmen müssen, wie Aqui es vorschlägt!
Sorry, ich hatte an die anderen acht APs in Deiner Konfiguration nicht mehr gedacht aber Aqui passt ja auf und das ist auch gut so!
mrtux
Zitat von @neuni88:
Bin soeben auch fündig geworden, als ich mit die DD-WRT Firmware
anschaute, die ich einsetzen möchte.
Advanced Settings -> AP Isolation
Bin soeben auch fündig geworden, als ich mit die DD-WRT Firmware
anschaute, die ich einsetzen möchte.
Advanced Settings -> AP Isolation
Diese Einstellung meinte ich!
Aber Aqui hat natürlich Recht! Diese Funktion ist nur hilfreich wenn alle Clients nur an einem AP hängen. Hängt ein Client an einem anderen AP so hilft die "AP Isolation" nicht, da die Firmware des AP die Clients an den anderen APs als "normale" LAN Clients "erkennt". Wenn Du also ALLE Clients (an allen APs) untereinander trennen willst, wirst Du wohl etwas Geld und Hirnschmalz in die Hand nehmen müssen, wie Aqui es vorschlägt!
Sorry, ich hatte an die anderen acht APs in Deiner Konfiguration nicht mehr gedacht aber Aqui passt ja auf und das ist auch gut so!
mrtux