Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Umsetzung W-LAN in Firma im Bezug Sicherheit

Mitglied: Cyberurmel

Cyberurmel (Level 1) - Jetzt verbinden

06.06.2017 um 13:14 Uhr, 1015 Aufrufe, 12 Kommentare

Hi all,

heutzutage will ja jeder mobil sein und Inet Zugang haben. Gleichzeitig aber sollen ja die Firmendaten bzw. Rechner geschützt sein.
Wie setzt Ihr das um im Bezug auf WLAN und hauptsächlich Windows Umgebung? Plus ggfs. eigene devices wie Smartphones`?

Bei dem Kollegen bei dem wir diskutiert hatten, ist in Firma folgendes (alle Workstations sind noch mit AV Software betankt) :

2 SSIDs

1. Firmennetz + Internet (rein http und https) über Proxy und Firewall geht über RADIUS AD
2. Guest Netz mit voucher - voller Zugang Internet (Proxy und Firewall)


Welche Ideen oder Szenarien kann man nutzen - wenn man

- Sicherheit für das Intranet / Server haben will
- trotzdem Internet Zugang voll geben will (zumindest für die privaten Geräte)

Es kommen öfter Fremdfirmen oder Externe die natürlich kein AD Account haben.



Danke vorab

greets
Cyber
Mitglied: KMUlife
06.06.2017 um 13:26 Uhr
Hi Cyberurmel

Wir haben zwei verschiedene Internetleitungen von zwei verschiedenen Providern. (Die eine dient als Failover für das Hauptnetz.)
Alle Smartphones sowie alle Geräte der Besucher laufen über dieses Zweitnetz welches per Firewall vom anderen Netz abgeschirmt ist.

Mit diesem Szenenario kannst du deine beiden Anforderungen gut umsetzen.
Falls du eine detailliertere Erklärung wünschst, gerne melden!


LG
KMUlife
Bitte warten ..
Mitglied: cuilster
06.06.2017 um 13:26 Uhr
Hi,

Zonierung. Firewall dazwischen. Also unterschiedliche Netze, zwischen welchen nicht geroutet wird. Proxy, Webfilter, DPI, Sandboxing, IntrusionPrevention etc. von der Firewall natürlich auch für das Gast-WLAN.
Alternativ "einfach" nen zweiten Internetanschluss für das Gast-WLAN kaufen, falls der Bedarf so üppig ausfällt.

Ansonsten mehr Infos, welche FW ist vorhanden, wie viele Gäste sind es effektiv, gibts schon ne DMZ usw...

Gruß c
Bitte warten ..
Mitglied: brammer
06.06.2017 um 13:42 Uhr
Hallo,

zu dem Thema hat @aqui ein super Tutorial geschrieben...

https://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...

brammer
Bitte warten ..
Mitglied: aqui
06.06.2017, aktualisiert um 15:39 Uhr
Und eagle2 hat die Super Lösung für die Einmalpasswörter dazu:
https://www.administrator.de/wissen/voucher-pfsense-online-verwalten-opt ...

Es ist der immer und immer wiederkehrende simple Klassiker:
  • WLAN APs die MSSID fähig sind
  • 2 SSIDs darüber ausstrahlen = 2 VLANs
  • Das Gast Wlan mit Captive Portal und Einmalpasswörtern entweder als Bon Ausdruck am Empfang oder gleich per SMS / Push
  • Das interne WLAN WPA-2 Enterprise verschlüsselt mit Zertifikaten. Oder
  • Etwas weniger sicher: WPA-2 Enterprise mit User / Passwort über AD oder LDAP.
Fertig.
Weiss eigentlich schon der Azubi und muss man nicht nochmal als WLAN Sau durch den nächsten Thread treiben...
Bitte warten ..
Mitglied: Cyberurmel
06.06.2017 um 16:42 Uhr
Thx erstmal,


ich glaube einer der Punkte war, dass die Firmen Devices so gut wie möglich abgeschottet sind. Und dann wohl auch nicht per Gast ins "offene" Internet dürfen um dann bei AD Login Malware etc zu verbreiten. Also quasi das das Gast Netzwerk nur mit den privaten devices genutze werden soll oder kann .
Oder ich habe das nicht so richtig verstanden wie er meinte.

Ja das mit der Trennung ist ja jetzt schon mit verschiedenen VLANS .
Greets
Cyber
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.06.2017 um 16:46 Uhr
Oder ich habe das nicht so richtig verstanden wie er meinte.
Nein, das ist üblicher Usus !!
Zertifikate auf den Firmenrechnern und die bekommt man ja nicht so ohne weiteres aufs Private. Deshalb können die Privaten auch nur übers gastnetz einsteigen.
Idealerweise machst du da noch eine Mac Adress Abfrage dann kann man das auch noch kntrollieren wer da mit welchem privaten Gerät was macht.
Das ist dann aber wie immer eine Frage der Firmen Policy die immer verschieden ist.
Bitte warten ..
Mitglied: Cyberurmel
06.06.2017 um 16:57 Uhr
Ah danke ...
werde das so nochmal mitnehmen zur nächsten Diskussion
Sollte man alles über nen eigenen DSL As machen .. Eine VDSL 50 Leitung wäre ausreichend für ca. wieviel devices in Summe?

Habt Ihr da Erfahrungswerte?

Thx
Bitte warten ..
Mitglied: aqui
06.06.2017, aktualisiert um 18:01 Uhr
Was ist ein "DSL As" ???
Die Frage ob eine VDSL 50 leitung reicht kann dir niemand auf der Welt schlüssig beantworten. Wenn du mal etwas nachdenkst wird dir das auch selber klar, denn dafür müsstest du wissen wie das Trafficaufkommen und Art pro User ist.
Du kannst sicher 200 Twitter User damit abfackeln aber keine 10 Leite die sich Gig große datenbanken oder Videos hin und herschieben.
Es ist wie immer alles relativ !
Einen separaten Anschluss braucht man in der Regel nicht. Gäste Traffic kann man auch entsprechend Rate Limiten auf dem Router oder Firewall. Die sollen ja arbeiten und sich nicht vergnügen im Office !!
Bitte warten ..
Mitglied: shadynet
06.06.2017 um 21:22 Uhr
Zitat von aqui:

Was ist ein "DSL As" ???

Telekom-Sprech für Anschluss ;)
Bitte warten ..
Mitglied: Herbrich19
07.06.2017 um 04:10 Uhr
Hallo,

Eine 2.te DMZ die nur Zugriff auf's Internet hat. Die Access Point schicken ihre Daten nur über die entsprechenden VLAN,s ins Internet und der Zugriff auf's Intranet (Internes Netzwerk) wird Strikt verweigert!

Desweiteren würde ich VLAN1 zum Managmand Netz machen (SNMP, Webinterfaces der Hardware, usw...) auf dieses wird nur von Admin Workstations zugegriffen und gut ist.

Ich würde das Native VLAN auf das Gäste Netz setzen (für offene Datendosen) + RADIUS und jeder Rechner muss sich am Netzwerk über RADIUS anmelden + autorisieren.

Und zu guter letzt bekommt jeder User ein RSA secureID Token um sich anzumelden.

Für den Übergang zu jeden Netzwerk würde ich davor ein Transfer Netz schalten mit mindestens 2 Firewalls unterschiedlicher Hersteller für den Fall dass bei einen Hersteller eine Sicherheitslücke existiert. So kann man zwar ins Transfer Netz muss aber ein komplett anderes System knacken um die letzte Firewall zu überwinden.

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: 108012
08.06.2017 um 12:54 Uhr
Hallo,

- Sicherheit für das Intranet / Server haben will
VLANs und eventuell einmal über einen WLAN Controller mit Radius Server und HotSpot nachdenken!?

- trotzdem Internet Zugang voll geben will (zumindest für die privaten Geräte)
VLANs!

Es kommen öfter Fremdfirmen oder Externe die natürlich kein AD Account haben.
Eigenes VLAN für Gäste und nur Internetzugriff sollte ja auch passen.

LDAP - Kabel gebundene Geräte (intern)
Radius Server - Kabel lose Geräte (intern)
HotSpot oder Captive Portal - Kabel lose Geräte (Gäste)


Gruß
Dobby
Bitte warten ..
Mitglied: Herbrich19
08.06.2017 um 12:59 Uhr
Hallo

LDAP - Kabel gebundene Geräte (intern)

Warum nicht einfach (falls die Switche es unterstützen) auch da RADIUS verwenden? Über eine Active Directory GPO ist alles schön konfigurierbar und ohne viel Aufwand im Betrieb und Radius macht eh LDAP im (Active Directory) im Hintergrund (Microsoft Windows Server NPS Rolle).

Alles was Radius nicht kann (Drucker und und und) kommt in ein anderes VLAN und da wird mit Firewall Regeln / ACL,s gearbeitet

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Ähnliche Inhalte
Sicherheit

IT Sicherheit - Desaster in unserer Firma?

Frage von 126959Sicherheit31 Kommentare

Hallo Kollegen, ich hab mal eine Frage. Ich bin in einem Unternehmen als Admin seit 2 Jahren und habe ...

Router & Routing

Sicherheit der FritzBox im Hinblick auf VPN und Gast-(w)LAN

Frage von SarekHLRouter & Routing12 Kommentare

Hallo zusammen, das Thema FritzBox ist hier schon oft behandelt worden, und ich weiss, dass es seitens der Profis ...

LAN, WAN, Wireless

IP-Unabhängige LAN auf WLAN Umsetzung

gelöst Frage von JoHeAnDrLAN, WAN, Wireless11 Kommentare

Hallo, ich suche eine Möglichkeit ein WLAN-Zugang zu wechselnden LANs unabhängig von IP-Bereichen zu realisieren. Kurz zu unserem Szenario: ...

LAN, WAN, Wireless

W-LAN am Campingplatz

Frage von MarkowitschLAN, WAN, Wireless13 Kommentare

Hallo Zusammen, ich habe auf einem Campingplatz auf dem Haupthaus einen Zyxel WAC6553D-E mit 6 Rundstrahlantennen hängen. Der Accesspoint ...

Neue Wissensbeiträge
Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 18 StundenSicherheit11 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Viren und Trojaner
Trend Micro WFBS 10 SP1 Patch 2185
Tipp von Abramelin vor 1 TagViren und Trojaner1 Kommentar

Hi, Hab gerade gesehen das Patch 2185 für TM WFBS 10 SP1 erschienen ist! Werde mal Morgen den Patch ...

Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

Tipp von transocean vor 1 TagViren und Trojaner6 Kommentare

Moin, lest selbst. Grüße Uwe

Sicherheit
Böser Bug in Domänenkennwortrichtlinie!
Information von DerWoWusste vor 1 TagSicherheit2 Kommentare

Ich spiegele mal Borncity: In Kürze: Nutzt Ihr eine Domänen-Kennwortrichtlinie der herkömmlichen Art (keine PSO-Richtlinie)? Ja? Und plant Ihr, ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 Herunterfahren - Funktioniert nach Upgrade von Windows 7 nicht mehr
Frage von krischeuWindows 1016 Kommentare

Hi, ich habe verschiedene PCs mit dem Upgrade Assistenten von Windows 7 Pro 64 Bit auf Windows 10 geupdatet. ...

Windows 10
Win10 Remote Desktop User anders
Frage von ludibubiWindows 1014 Kommentare

Folgende Situation: Auf meinem Rechner (Win10) in der Firma (Domänen-Netzwerk) starte ich abends bevor ich gehe einen Newsletterversand. Damit ...

Entwicklung
Programmiersprache für Server
gelöst Frage von MondeosEntwicklung12 Kommentare

Ich bin relativ neu im Gebiet der Programmierung etc.(mache das auch nur als Hobby bin noch Schüler), und wollte ...

Switche und Hubs
Kein DHCP hinter neuen Switch
Frage von mwormerSwitche und Hubs12 Kommentare

Hallo zusammen, bin gerade ein wenig ratlos. Wir haben vorgestern unseren alten Zyxel GS-1548 gegen einen TP-Link SG1024DE getauscht. ...