bahnhof
Goto Top

Watchguard XTM-26 Internet nur für autorisierte Benutzer

Hallo,
Ich möchte in dem Netzwerk einer Schule das Internet nur für autorisierte Benutzer freischalten damit das Logging des Traffics vernünftig zu analysieren ist.

Das Netzwerk besteht aus ca. 25 Computern die Über 3 Terminal Server laufen. Auf diesen habe ich auch schon den Terminal Server Client von Watchguard installiert. Das bedeutet, das die Internetverbindungen von den Terminal Servern schon mit Benutzername im Watchguard Traffic Log angezeigt werden.
Das Problem sind jetzt aber die Computer selber und das W-Lan. Damit der Video Stream vernünftig läuft ist es auf allen Computern auch möglich ohne den Terminal Server ins Internet zu gehen. Da dafür keine Eingabe der Benutzernamens erforderlich ist um die Anmeldezeit zu beschleunigen weiß die Watchguard natürlich nicht wer ins Internet geht.
Auch das W-lan unserer Schule läuft nicht über einen Radius Server sondern nur mit einem WPA-2 Passwort, da Radius W-lan eine zu Hohe Ausfallquote hat. Wir planen aber die baldige Freigabe des W-lan Passworts für die Schüler. Sobald dieses erfolgt ist können wir den Internetverlauf der W-Lan Geräte auch nicht Benutzerspezifisch loggen.

Meine Frage ist also, ob es möglich ist, das die Watchguard die Benutzer bei denen Sie nicht weiß, wer Sie sind erst auf eine Interne Seite leitet, auf der Sie sich anmelden können. Dabei dachte ich an eine Anbindung an die Active Directory.
Ich habe im Setup der Watchguard unter "Authentication Settings" -> "Autentication Portal" glaube ich schon so etwas gefunden. Aber trotz stundenlangem ausprobieren weiß ich nicht wie man es konfigurieren kann. Vielleicht bin ich da ja auch auf dem Holzweg. Die letzten beiden Bedingung die man am besten einstellen können müsste wären, das dieses System nur auf einem der 3 Netzwerk aktiviert ist, die die Watchguard aktiviert hat. Und außerdem sollte man die Terminal Server auch ausschließen können, da die Updates, die diese machen ohne eine Autorisierung gemacht werden. Das bedeutet, wenn Sie nicht ausgeschlossen werden würde, könnten Sie keine Updates mehr machen.

Ich hoffe, das meine Erklärung einigermaßen verständlich ist.
Grüße
bahnhof

Content-ID: 227797

Url: https://administrator.de/contentid/227797

Ausgedruckt am: 25.11.2024 um 19:11 Uhr

aqui
aqui 27.01.2014 aktualisiert um 09:52:07 Uhr
Goto Top
da Radius W-lan eine zu Hohe Ausfallquote hat
Mmmhhh.... wie bitte kommst du auf sowas ?? Du hast die Möglichkeit 2 und mehr Radius Server im Netz zu betreiben und diese auch redundant bei der Authentisierung anzugeben.
Fällt einer aus, dann übernimmt automatisch der andere. Diese These von dir ist also nicht haltbar. Bei einer überschaubaren Anzahl von Usern kann der Radius (oder die Radius) Server sogar ein Raspberry_Pi sein so das du ein vollredundantes Szenario hast für nichtmal 60 Euro. Dadurch das die HW keine Verschleissteile hat ist sie sogar Langzeit geeignet face-wink Das ganze lässt sich auch mit dem NPS vollredundant aufbauen.
Dieses Argument zeugt also eher von wenig Verständnis der Technik, sorry.
Ebenso die Tatsache das Schul WLAN mit einem dummen statischen Passwort zu betreiben. Sowas ist eigentlich fahrlässig, denn es ist eine Frage von Minuten bis das Passwort in Schülerkreisen rum ist. Die Pfiffigen unter ihnen haben so oder so "aircrack-ng" auf dem Rechner. Da kann man es dann auch gleich mit einem Poster öffentlich an die Eingangstür pinseln, das hat den gleichen Effekt.
Du solltest das WLAN mit Multi SSID fähigen APs splitten in ein sicheres WLAN und eins für Schüler und Gäste und das auf 2 VLANs auftrennen die an einer Firewall hängen. Letzteres sollte sinnigerweise mit einem Einmalpasswort betrieben werden wie es z.B. hier beschrieben ist.
Das sichere WLAN sollte dann natürlich Zertifikats basierend installiert sein mit User Zertifikaten OHNE ein statisches Passwort. Minimal aber mit einer WPA Enterprise Lösung und einem Radius wie es z.B. hier beschrieben ist.
Damit lassen sich diese User nicht nur zentral verwalten und steuern sondern auch noch Restriktionen wie Zeitlimits usw. vergeben.
So wird eine wasserdichte Lösung daraus.
Bessere Firewalls wie z.B. die oben zitierte pfSense haben so eine Captive Portal Lösung die eine Web basierte User Abfrage realsiert. Über den Radius ist von der FW dann eine AD basierte User Authentisierung mit 3 Mausklicks erledigt. Die TS schliesst man ganz einfach mit einer Exclude Accessliste aus, auch das ist kein Thema !
Eigentlich sollte ein kommerzielles Produkt dieses Feature ebenso besitzen, da es heute so gut wie immer zu den simplen Grundausstattungen einer FW gehört. Sogar mittelpreisige LAN Switches haben solche Funktion mittlerweile standardtmäßig an Bord im Rahmen ihrer 802.1x Authentisierung !
Mit den richtigen Komponenten ist das was du willst in einer Viertelstunde lauffähig umgesetzt. Fragt sich was du da so kompliziert denkst.
bahnhof
bahnhof 31.01.2014 aktualisiert um 16:49:00 Uhr
Goto Top
Ich habe jetzt ein Radius W-Lan mit Zertifikaten installiert. Als Radius Server läuft der Windows Server 2012 auf dem auch die Active Directory installiert ist. Die W-Lan Autorisierung läuft auch ganz gut. Mein Problem ist aber, das die Watchguard nicht weiß welcher Benutzer im Internet surft. Es also auch nicht loggen kann. Kennt jemand die richtige Einstellung dafür?