cyberurmel
Goto Top

Umsetzung W-LAN in Firma im Bezug Sicherheit

Hi all,

heutzutage will ja jeder mobil sein und Inet Zugang haben. Gleichzeitig aber sollen ja die Firmendaten bzw. Rechner geschützt sein.
Wie setzt Ihr das um im Bezug auf WLAN und hauptsächlich Windows Umgebung? Plus ggfs. eigene devices wie Smartphones`?

Bei dem Kollegen bei dem wir diskutiert hatten, ist in Firma folgendes (alle Workstations sind noch mit AV Software betankt) :

2 SSIDs

1. Firmennetz + Internet (rein http und https) über Proxy und Firewall geht über RADIUS AD
2. Guest Netz mit voucher - voller Zugang Internet (Proxy und Firewall)


Welche Ideen oder Szenarien kann man nutzen - wenn man

- Sicherheit für das Intranet / Server haben will
- trotzdem Internet Zugang voll geben will (zumindest für die privaten Geräte)

Es kommen öfter Fremdfirmen oder Externe die natürlich kein AD Account haben.


Danke vorab

greets
Cyber

Content-ID: 339853

Url: https://administrator.de/forum/umsetzung-w-lan-in-firma-im-bezug-sicherheit-339853.html

Ausgedruckt am: 25.12.2024 um 20:12 Uhr

KMUlife
KMUlife 06.06.2017 um 13:26:30 Uhr
Goto Top
Hi Cyberurmel

Wir haben zwei verschiedene Internetleitungen von zwei verschiedenen Providern. (Die eine dient als Failover für das Hauptnetz.)
Alle Smartphones sowie alle Geräte der Besucher laufen über dieses Zweitnetz welches per Firewall vom anderen Netz abgeschirmt ist.

Mit diesem Szenenario kannst du deine beiden Anforderungen gut umsetzen.
Falls du eine detailliertere Erklärung wünschst, gerne melden! face-smile


LG
KMUlife
127103
127103 06.06.2017 um 13:26:44 Uhr
Goto Top
Hi,

Zonierung. Firewall dazwischen. Also unterschiedliche Netze, zwischen welchen nicht geroutet wird. Proxy, Webfilter, DPI, Sandboxing, IntrusionPrevention etc. von der Firewall natürlich auch für das Gast-WLAN.
Alternativ "einfach" nen zweiten Internetanschluss für das Gast-WLAN kaufen, falls der Bedarf so üppig ausfällt.

Ansonsten mehr Infos, welche FW ist vorhanden, wie viele Gäste sind es effektiv, gibts schon ne DMZ usw...

Gruß c
brammer
brammer 06.06.2017 um 13:42:26 Uhr
Goto Top
Hallo,

zu dem Thema hat @aqui ein super Tutorial geschrieben...

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

brammer
aqui
aqui 06.06.2017 aktualisiert um 15:39:32 Uhr
Goto Top
Und eagle2 hat die Super Lösung für die Einmalpasswörter dazu: face-wink
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken

Es ist der immer und immer wiederkehrende simple Klassiker:
  • WLAN APs die MSSID fähig sind
  • 2 SSIDs darüber ausstrahlen = 2 VLANs
  • Das Gast Wlan mit Captive Portal und Einmalpasswörtern entweder als Bon Ausdruck am Empfang oder gleich per SMS / Push
  • Das interne WLAN WPA-2 Enterprise verschlüsselt mit Zertifikaten. Oder
  • Etwas weniger sicher: WPA-2 Enterprise mit User / Passwort über AD oder LDAP.
Fertig.
Weiss eigentlich schon der Azubi und muss man nicht nochmal als WLAN Sau durch den nächsten Thread treiben... face-smile
Cyberurmel
Cyberurmel 06.06.2017 um 16:42:46 Uhr
Goto Top
Thx erstmal,


ich glaube einer der Punkte war, dass die Firmen Devices so gut wie möglich abgeschottet sind. Und dann wohl auch nicht per Gast ins "offene" Internet dürfen um dann bei AD Login Malware etc zu verbreiten. Also quasi das das Gast Netzwerk nur mit den privaten devices genutze werden soll oder kann .
Oder ich habe das nicht so richtig verstanden wie er meinte.

Ja das mit der Trennung ist ja jetzt schon mit verschiedenen VLANS .
Greets
Cyber
aqui
Lösung aqui 06.06.2017 um 16:46:49 Uhr
Goto Top
Oder ich habe das nicht so richtig verstanden wie er meinte.
Nein, das ist üblicher Usus !!
Zertifikate auf den Firmenrechnern und die bekommt man ja nicht so ohne weiteres aufs Private. Deshalb können die Privaten auch nur übers gastnetz einsteigen.
Idealerweise machst du da noch eine Mac Adress Abfrage dann kann man das auch noch kntrollieren wer da mit welchem privaten Gerät was macht.
Das ist dann aber wie immer eine Frage der Firmen Policy die immer verschieden ist.
Cyberurmel
Cyberurmel 06.06.2017 um 16:57:23 Uhr
Goto Top
Ah danke ...
werde das so nochmal mitnehmen zur nächsten Diskussion face-smile
Sollte man alles über nen eigenen DSL As machen .. Eine VDSL 50 Leitung wäre ausreichend für ca. wieviel devices in Summe?

Habt Ihr da Erfahrungswerte?

Thx
aqui
aqui 06.06.2017 aktualisiert um 18:01:33 Uhr
Goto Top
Was ist ein "DSL As" ???
Die Frage ob eine VDSL 50 leitung reicht kann dir niemand auf der Welt schlüssig beantworten. Wenn du mal etwas nachdenkst wird dir das auch selber klar, denn dafür müsstest du wissen wie das Trafficaufkommen und Art pro User ist.
Du kannst sicher 200 Twitter User damit abfackeln aber keine 10 Leite die sich Gig große datenbanken oder Videos hin und herschieben.
Es ist wie immer alles relativ !
Einen separaten Anschluss braucht man in der Regel nicht. Gäste Traffic kann man auch entsprechend Rate Limiten auf dem Router oder Firewall. Die sollen ja arbeiten und sich nicht vergnügen im Office !! face-wink
shadynet
shadynet 06.06.2017 um 21:22:21 Uhr
Goto Top
Zitat von @aqui:

Was ist ein "DSL As" ???

Telekom-Sprech für Anschluss ;)
Herbrich19
Herbrich19 07.06.2017 um 04:10:39 Uhr
Goto Top
Hallo,

Eine 2.te DMZ die nur Zugriff auf's Internet hat. Die Access Point schicken ihre Daten nur über die entsprechenden VLAN,s ins Internet und der Zugriff auf's Intranet (Internes Netzwerk) wird Strikt verweigert!

Desweiteren würde ich VLAN1 zum Managmand Netz machen (SNMP, Webinterfaces der Hardware, usw...) auf dieses wird nur von Admin Workstations zugegriffen und gut ist.

Ich würde das Native VLAN auf das Gäste Netz setzen (für offene Datendosen) + RADIUS und jeder Rechner muss sich am Netzwerk über RADIUS anmelden + autorisieren.

Und zu guter letzt bekommt jeder User ein RSA secureID Token um sich anzumelden.

Für den Übergang zu jeden Netzwerk würde ich davor ein Transfer Netz schalten mit mindestens 2 Firewalls unterschiedlicher Hersteller für den Fall dass bei einen Hersteller eine Sicherheitslücke existiert. So kann man zwar ins Transfer Netz muss aber ein komplett anderes System knacken um die letzte Firewall zu überwinden.

Gruß an die IT-Welt,
J Herbrich
108012
108012 08.06.2017 um 12:54:41 Uhr
Goto Top
Hallo,

- Sicherheit für das Intranet / Server haben will
VLANs und eventuell einmal über einen WLAN Controller mit Radius Server und HotSpot nachdenken!?

- trotzdem Internet Zugang voll geben will (zumindest für die privaten Geräte)
VLANs!

Es kommen öfter Fremdfirmen oder Externe die natürlich kein AD Account haben.
Eigenes VLAN für Gäste und nur Internetzugriff sollte ja auch passen.

LDAP - Kabel gebundene Geräte (intern)
Radius Server - Kabel lose Geräte (intern)
HotSpot oder Captive Portal - Kabel lose Geräte (Gäste)


Gruß
Dobby
Herbrich19
Herbrich19 08.06.2017 um 12:59:15 Uhr
Goto Top
Hallo

LDAP - Kabel gebundene Geräte (intern)

Warum nicht einfach (falls die Switche es unterstützen) auch da RADIUS verwenden? Über eine Active Directory GPO ist alles schön konfigurierbar und ohne viel Aufwand im Betrieb und Radius macht eh LDAP im (Active Directory) im Hintergrund (Microsoft Windows Server NPS Rolle).

Alles was Radius nicht kann (Drucker und und und) kommt in ein anderes VLAN und da wird mit Firewall Regeln / ACL,s gearbeitet face-smile

Gruß an die IT-Welt,
J Herbrich