Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Umsetzung W-LAN in Firma im Bezug Sicherheit

Mitglied: Cyberurmel

Cyberurmel (Level 1) - Jetzt verbinden

06.06.2017 um 13:14 Uhr, 898 Aufrufe, 12 Kommentare

Hi all,

heutzutage will ja jeder mobil sein und Inet Zugang haben. Gleichzeitig aber sollen ja die Firmendaten bzw. Rechner geschützt sein.
Wie setzt Ihr das um im Bezug auf WLAN und hauptsächlich Windows Umgebung? Plus ggfs. eigene devices wie Smartphones`?

Bei dem Kollegen bei dem wir diskutiert hatten, ist in Firma folgendes (alle Workstations sind noch mit AV Software betankt) :

2 SSIDs

1. Firmennetz + Internet (rein http und https) über Proxy und Firewall geht über RADIUS AD
2. Guest Netz mit voucher - voller Zugang Internet (Proxy und Firewall)


Welche Ideen oder Szenarien kann man nutzen - wenn man

- Sicherheit für das Intranet / Server haben will
- trotzdem Internet Zugang voll geben will (zumindest für die privaten Geräte)

Es kommen öfter Fremdfirmen oder Externe die natürlich kein AD Account haben.



Danke vorab

greets
Cyber
Mitglied: KMUlife
06.06.2017 um 13:26 Uhr
Hi Cyberurmel

Wir haben zwei verschiedene Internetleitungen von zwei verschiedenen Providern. (Die eine dient als Failover für das Hauptnetz.)
Alle Smartphones sowie alle Geräte der Besucher laufen über dieses Zweitnetz welches per Firewall vom anderen Netz abgeschirmt ist.

Mit diesem Szenenario kannst du deine beiden Anforderungen gut umsetzen.
Falls du eine detailliertere Erklärung wünschst, gerne melden!


LG
KMUlife
Bitte warten ..
Mitglied: cuilster
06.06.2017 um 13:26 Uhr
Hi,

Zonierung. Firewall dazwischen. Also unterschiedliche Netze, zwischen welchen nicht geroutet wird. Proxy, Webfilter, DPI, Sandboxing, IntrusionPrevention etc. von der Firewall natürlich auch für das Gast-WLAN.
Alternativ "einfach" nen zweiten Internetanschluss für das Gast-WLAN kaufen, falls der Bedarf so üppig ausfällt.

Ansonsten mehr Infos, welche FW ist vorhanden, wie viele Gäste sind es effektiv, gibts schon ne DMZ usw...

Gruß c
Bitte warten ..
Mitglied: brammer
06.06.2017 um 13:42 Uhr
Hallo,

zu dem Thema hat @aqui ein super Tutorial geschrieben...

https://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...

brammer
Bitte warten ..
Mitglied: aqui
06.06.2017, aktualisiert um 15:39 Uhr
Und eagle2 hat die Super Lösung für die Einmalpasswörter dazu:
https://www.administrator.de/wissen/voucher-pfsense-online-verwalten-opt ...

Es ist der immer und immer wiederkehrende simple Klassiker:
  • WLAN APs die MSSID fähig sind
  • 2 SSIDs darüber ausstrahlen = 2 VLANs
  • Das Gast Wlan mit Captive Portal und Einmalpasswörtern entweder als Bon Ausdruck am Empfang oder gleich per SMS / Push
  • Das interne WLAN WPA-2 Enterprise verschlüsselt mit Zertifikaten. Oder
  • Etwas weniger sicher: WPA-2 Enterprise mit User / Passwort über AD oder LDAP.
Fertig.
Weiss eigentlich schon der Azubi und muss man nicht nochmal als WLAN Sau durch den nächsten Thread treiben...
Bitte warten ..
Mitglied: Cyberurmel
06.06.2017 um 16:42 Uhr
Thx erstmal,


ich glaube einer der Punkte war, dass die Firmen Devices so gut wie möglich abgeschottet sind. Und dann wohl auch nicht per Gast ins "offene" Internet dürfen um dann bei AD Login Malware etc zu verbreiten. Also quasi das das Gast Netzwerk nur mit den privaten devices genutze werden soll oder kann .
Oder ich habe das nicht so richtig verstanden wie er meinte.

Ja das mit der Trennung ist ja jetzt schon mit verschiedenen VLANS .
Greets
Cyber
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.06.2017 um 16:46 Uhr
Oder ich habe das nicht so richtig verstanden wie er meinte.
Nein, das ist üblicher Usus !!
Zertifikate auf den Firmenrechnern und die bekommt man ja nicht so ohne weiteres aufs Private. Deshalb können die Privaten auch nur übers gastnetz einsteigen.
Idealerweise machst du da noch eine Mac Adress Abfrage dann kann man das auch noch kntrollieren wer da mit welchem privaten Gerät was macht.
Das ist dann aber wie immer eine Frage der Firmen Policy die immer verschieden ist.
Bitte warten ..
Mitglied: Cyberurmel
06.06.2017 um 16:57 Uhr
Ah danke ...
werde das so nochmal mitnehmen zur nächsten Diskussion
Sollte man alles über nen eigenen DSL As machen .. Eine VDSL 50 Leitung wäre ausreichend für ca. wieviel devices in Summe?

Habt Ihr da Erfahrungswerte?

Thx
Bitte warten ..
Mitglied: aqui
06.06.2017, aktualisiert um 18:01 Uhr
Was ist ein "DSL As" ???
Die Frage ob eine VDSL 50 leitung reicht kann dir niemand auf der Welt schlüssig beantworten. Wenn du mal etwas nachdenkst wird dir das auch selber klar, denn dafür müsstest du wissen wie das Trafficaufkommen und Art pro User ist.
Du kannst sicher 200 Twitter User damit abfackeln aber keine 10 Leite die sich Gig große datenbanken oder Videos hin und herschieben.
Es ist wie immer alles relativ !
Einen separaten Anschluss braucht man in der Regel nicht. Gäste Traffic kann man auch entsprechend Rate Limiten auf dem Router oder Firewall. Die sollen ja arbeiten und sich nicht vergnügen im Office !!
Bitte warten ..
Mitglied: shadynet
06.06.2017 um 21:22 Uhr
Zitat von aqui:

Was ist ein "DSL As" ???

Telekom-Sprech für Anschluss ;)
Bitte warten ..
Mitglied: Herbrich19
07.06.2017 um 04:10 Uhr
Hallo,

Eine 2.te DMZ die nur Zugriff auf's Internet hat. Die Access Point schicken ihre Daten nur über die entsprechenden VLAN,s ins Internet und der Zugriff auf's Intranet (Internes Netzwerk) wird Strikt verweigert!

Desweiteren würde ich VLAN1 zum Managmand Netz machen (SNMP, Webinterfaces der Hardware, usw...) auf dieses wird nur von Admin Workstations zugegriffen und gut ist.

Ich würde das Native VLAN auf das Gäste Netz setzen (für offene Datendosen) + RADIUS und jeder Rechner muss sich am Netzwerk über RADIUS anmelden + autorisieren.

Und zu guter letzt bekommt jeder User ein RSA secureID Token um sich anzumelden.

Für den Übergang zu jeden Netzwerk würde ich davor ein Transfer Netz schalten mit mindestens 2 Firewalls unterschiedlicher Hersteller für den Fall dass bei einen Hersteller eine Sicherheitslücke existiert. So kann man zwar ins Transfer Netz muss aber ein komplett anderes System knacken um die letzte Firewall zu überwinden.

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: 108012
08.06.2017 um 12:54 Uhr
Hallo,

- Sicherheit für das Intranet / Server haben will
VLANs und eventuell einmal über einen WLAN Controller mit Radius Server und HotSpot nachdenken!?

- trotzdem Internet Zugang voll geben will (zumindest für die privaten Geräte)
VLANs!

Es kommen öfter Fremdfirmen oder Externe die natürlich kein AD Account haben.
Eigenes VLAN für Gäste und nur Internetzugriff sollte ja auch passen.

LDAP - Kabel gebundene Geräte (intern)
Radius Server - Kabel lose Geräte (intern)
HotSpot oder Captive Portal - Kabel lose Geräte (Gäste)


Gruß
Dobby
Bitte warten ..
Mitglied: Herbrich19
08.06.2017 um 12:59 Uhr
Hallo

LDAP - Kabel gebundene Geräte (intern)

Warum nicht einfach (falls die Switche es unterstützen) auch da RADIUS verwenden? Über eine Active Directory GPO ist alles schön konfigurierbar und ohne viel Aufwand im Betrieb und Radius macht eh LDAP im (Active Directory) im Hintergrund (Microsoft Windows Server NPS Rolle).

Alles was Radius nicht kann (Drucker und und und) kommt in ein anderes VLAN und da wird mit Firewall Regeln / ACL,s gearbeitet

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Ähnliche Inhalte
Sicherheit

IT Sicherheit - Desaster in unserer Firma?

Frage von 126959Sicherheit31 Kommentare

Hallo Kollegen, ich hab mal eine Frage. Ich bin in einem Unternehmen als Admin seit 2 Jahren und habe ...

Router & Routing

Sicherheit der FritzBox im Hinblick auf VPN und Gast-(w)LAN

Frage von SarekHLRouter & Routing12 Kommentare

Hallo zusammen, das Thema FritzBox ist hier schon oft behandelt worden, und ich weiss, dass es seitens der Profis ...

LAN, WAN, Wireless

IP-Unabhängige LAN auf WLAN Umsetzung

gelöst Frage von JoHeAnDrLAN, WAN, Wireless11 Kommentare

Hallo, ich suche eine Möglichkeit ein WLAN-Zugang zu wechselnden LANs unabhängig von IP-Bereichen zu realisieren. Kurz zu unserem Szenario: ...

LAN, WAN, Wireless

W-LAN Empfänger Bridge

gelöst Frage von Huibuh2010LAN, WAN, Wireless2 Kommentare

Hey Hey, ich suche ein W-LAN Empfänger mit 1 LAN Port (Drucker), leider lassen die Gegebenheiten des Baus kein ...

Neue Wissensbeiträge
Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 23 StundenGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 1 TagInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Datenschutz
TeamViewer gehackt !
Information von aqui vor 1 TagDatenschutz7 Kommentare

Hat schon einen Grund warum verantwortungsvolle Admins diese Software nicht einsetzen und sie in den meisten größeren Firmen aus ...

Heiß diskutierte Inhalte
Windows 10
Windows am MAC
Frage von LeeX01Windows 1015 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Linux Userverwaltung
Ist sudo auf Servern Pflicht?
gelöst Frage von lcer00Linux Userverwaltung13 Kommentare

Hallo zusammen, wir haben für einige Netzwerkdienste einige Debian Server. Auf diesen Servern arbeiten keine Benutzer im eigentlichen sinne. ...

Humor (lol)
Mitarbeiter meldet: VPN funktioniert nicht
gelöst Frage von Epixc0reHumor (lol)13 Kommentare

Servus, einer unserer Mitarbeiter meldete heute, sein VPN funktioniert Zuhause nicht, im LTE Netz aber schon. Per Teamviewer hin ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell12 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...