6
WLAN Benutzerauthentifizierung und Logging
Liebe Admin Gemeinde,
ich hab hier eine Frage zum Thema WLAN Sicherheit und Authentifizierung.
Zu meinem Vorhaben:
Ein Abgelegener Ort soll über WLAN Richtfunk an Breitbandinternet angebunden werden. Nur eben schnelles Internet per Richtfunk dorthin und dann Verteilen ist ja kein Problem. Nur kommt halt hier dieser Sicherheitsaspekt noch hinzu, da alle über eine Öffentliche IP Surfen.
Mich würde jetzt inzeressieren in welche Themen ich mich "einlesen" muss.
Einige Ideen habe ich schon dazu:
Das Internet per Richtfunk (Sind 2 Hops) zu einem zentralen Verteilpunkt. Von dort an dann weiter.
Alles kein Problem.
Dann an der Verteilet Station Client Isolation dass kein Zugriff untereinander möglich ist.
Meine Fragen beziehen sich auf das Mitloggen und der User Authentifizierung. So dass dann wenn jemand was illegales macht ich das in den Log Files sehe. Diesbezüglich habe ich noch nichts gmacht und würde gerne eine Testumgebung aufbauen.
Als Komponenten fürs WLAN würde ich UBNT Airmax Komponenten einsetzten. Als Firewall wäre mir PfSense/Monowall am liebsten.
Es handelt sich um max. 20 Enduser.
Danke und Grüße
Webkamer
ich hab hier eine Frage zum Thema WLAN Sicherheit und Authentifizierung.
Zu meinem Vorhaben:
Ein Abgelegener Ort soll über WLAN Richtfunk an Breitbandinternet angebunden werden. Nur eben schnelles Internet per Richtfunk dorthin und dann Verteilen ist ja kein Problem. Nur kommt halt hier dieser Sicherheitsaspekt noch hinzu, da alle über eine Öffentliche IP Surfen.
Mich würde jetzt inzeressieren in welche Themen ich mich "einlesen" muss.
Einige Ideen habe ich schon dazu:
Das Internet per Richtfunk (Sind 2 Hops) zu einem zentralen Verteilpunkt. Von dort an dann weiter.
Alles kein Problem.
Dann an der Verteilet Station Client Isolation dass kein Zugriff untereinander möglich ist.
Meine Fragen beziehen sich auf das Mitloggen und der User Authentifizierung. So dass dann wenn jemand was illegales macht ich das in den Log Files sehe. Diesbezüglich habe ich noch nichts gmacht und würde gerne eine Testumgebung aufbauen.
Als Komponenten fürs WLAN würde ich UBNT Airmax Komponenten einsetzten. Als Firewall wäre mir PfSense/Monowall am liebsten.
Es handelt sich um max. 20 Enduser.
Danke und Grüße
Webkamer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 239577
Url: https://administrator.de/contentid/239577
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Was nutzt Du denn dafür, AirFiber?
auch wieder Ressourcen und daher kommt es dann schon ein wenig darauf an wie viele
Kunden man hat.
Ubiquiti hat jetzt aber auch gute Router im Portfolio die auch mit einem Radisuserver
versehen werden können, direkt auf dem Router, ich meine wenn nur um 20 Kunden geht
wäre das doch auch eine Möglichkeit, oder?
Ansonsten in solchen Fällen vielleicht auch einmal bei MikroTik vorbei schauen
das wäre auch noch so ein Routerkandidat der in diesem Umfeld gut mitspielt.
Gruß
Dobby
P.S. Ist ein radiuszertifikat an alle Nutzer vergeben worden und ein http Proxy
wie Squid mit im Spiel kann man ganz genau sagen wer, wann, was gemacht hat.
Ein Abgelegener Ort soll über WLAN Richtfunk an Breitbandinternet angebunden werden.
Von welcher Strecke und wie viel Bandbreite reden wir denn hier?Was nutzt Du denn dafür, AirFiber?
Dann an der Verteilet Station Client Isolation dass kein Zugriff untereinander möglich ist.
Packe jeden Kunden in ein eigenes VLAN und gut ist es, aber die VLANs verbrauchenauch wieder Ressourcen und daher kommt es dann schon ein wenig darauf an wie viele
Kunden man hat.
Meine Fragen beziehen sich auf das Mitloggen und der User Authentifizierung. So dass dann wenn
jemand was illegales macht ich das in den Log Files sehe. Diesbezüglich habe ich noch nichts
gmacht und würde gerne eine Testumgebung aufbauen.
Stell doch einfach einen http Proxy wie Squid und dann hast Du auch gleich einen Cache mit dabei.jemand was illegales macht ich das in den Log Files sehe. Diesbezüglich habe ich noch nichts
gmacht und würde gerne eine Testumgebung aufbauen.
Als Komponenten fürs WLAN würde ich UBNT Airmax Komponenten einsetzten.
Auch für die Richtfunkstrecke!? Oder nur am Endpunkt bei den Kunden?Als Firewall wäre mir PfSense/Monowall am liebsten.
Dann nimm doch lieber die pfSense, aber das macht auch jeder frei gusto.Ubiquiti hat jetzt aber auch gute Router im Portfolio die auch mit einem Radisuserver
versehen werden können, direkt auf dem Router, ich meine wenn nur um 20 Kunden geht
wäre das doch auch eine Möglichkeit, oder?
Ansonsten in solchen Fällen vielleicht auch einmal bei MikroTik vorbei schauen
das wäre auch noch so ein Routerkandidat der in diesem Umfeld gut mitspielt.
Gruß
Dobby
P.S. Ist ein radiuszertifikat an alle Nutzer vergeben worden und ein http Proxy
wie Squid mit im Spiel kann man ganz genau sagen wer, wann, was gemacht hat.
Danke Dobby für deine Antwort.
Bandbreitenmäßig ist das noch schwer zu sagen welche Dimensionen das dann annimmt. Für den Anfang mal 100 mbit.
AirFiber würde ich gerne einsetzen da muss ich aber noch ein paar Infos Sammeln, da ich was gelesen habe dass ich die 24 GHz variante in D nicht verwenden kann.
Hab erst gesehen dass es auch eine 5 GHz Variante auch gibt.
Die 100 MBit wären sonst mit den AirMax Komponenten für den Anfang auch möglich.
An den Endpunkten wären dann Nanostations.
Das mit den VLANs habe ich mir auch überlegt. Wenn pfsense dann muss die klar Leistungsfähig sein.
Noch eine Frage zu deine Ausführungen:
Brauche ich die Radius Authentofizierung noch zum Proxy dazu oder reicht eigentlich der Proxy?
Besten Gruß
Webcamer
Bandbreitenmäßig ist das noch schwer zu sagen welche Dimensionen das dann annimmt. Für den Anfang mal 100 mbit.
AirFiber würde ich gerne einsetzen da muss ich aber noch ein paar Infos Sammeln, da ich was gelesen habe dass ich die 24 GHz variante in D nicht verwenden kann.
Hab erst gesehen dass es auch eine 5 GHz Variante auch gibt.
Die 100 MBit wären sonst mit den AirMax Komponenten für den Anfang auch möglich.
An den Endpunkten wären dann Nanostations.
Das mit den VLANs habe ich mir auch überlegt. Wenn pfsense dann muss die klar Leistungsfähig sein.
Noch eine Frage zu deine Ausführungen:
Brauche ich die Radius Authentofizierung noch zum Proxy dazu oder reicht eigentlich der Proxy?
Besten Gruß
Webcamer
AirFiber würde ich gerne einsetzen da muss ich aber noch ein paar Infos Sammeln,
da ich was gelesen habe dass ich die 24 GHz variante in D nicht verwenden kann.
Oh das wusste ich nicht.da ich was gelesen habe dass ich die 24 GHz variante in D nicht verwenden kann.
Hab erst gesehen dass es auch eine 5 GHz Variante auch gibt.
Ist wohl eine Alternative dazu.Noch eine Frage zu deine Ausführungen:
Brauche ich die Radius Authentofizierung noch zum
Proxy dazu oder reicht eigentlich der Proxy?
Ich würde einen kleinen Radius Server nehmen und einen Squid http ProxyBrauche ich die Radius Authentofizierung noch zum
Proxy dazu oder reicht eigentlich der Proxy?
sicher kann man das auch alles auf die pfSense packen nur die sollte dann auch
potent genug sein , ich persönlich würde es nicht zusammen auf ein Gerät packen denn
dann kann man einen größeren Cache für den Proxy nutzen und einige Seiten beschleunigen.
Gruß
Dobby
Die pfSense/Monowall kann selber PPPoE Server sein. Sie kann also die Enduser genau wie bei kommerziellen Providern per PPPoE authentisieren über einen zentralen Radius Server der die Benutzer Datenbank hält.
Abgesehen davon kannst du den PPPoE Server aber auch auf einem externen Server realisieren.
Alternativ dazu kannst du hier statt PPPoE auch Mac Adress basiertes DHCP machen und über den Radius dann eine User bezogenen IP verteilen oder aus einem IP Pool.
Dies birgt aber immer den Nachteil das Mac Adressen eben konfigurierbar sind und dort ein Angriffspunkt gegeben ist.
Beide Verfahren werden auch von kommerziellen Providern benutzt und die meisten Consumer Endgeräte supporten sie so das du damit kein Problem bekommst. Sofern du sicherstellen kannst das die WLAN CPEs (Zugangssysteme) nicht von den Endusern konfiguriert werden können können die die Mac dort auch nicht verbiegen.
Beide Verfahren sind dann sicher und die DHCP Geschichte dann sicher am einfachsten umzusetzen wenn deine Enduser einen "Zwangs" WLAN Rouetr von dir bekommen
Zum Rest hat Kollege Dobby ja schon alles gesagt.
Abgesehen davon kannst du den PPPoE Server aber auch auf einem externen Server realisieren.
Alternativ dazu kannst du hier statt PPPoE auch Mac Adress basiertes DHCP machen und über den Radius dann eine User bezogenen IP verteilen oder aus einem IP Pool.
Dies birgt aber immer den Nachteil das Mac Adressen eben konfigurierbar sind und dort ein Angriffspunkt gegeben ist.
Beide Verfahren werden auch von kommerziellen Providern benutzt und die meisten Consumer Endgeräte supporten sie so das du damit kein Problem bekommst. Sofern du sicherstellen kannst das die WLAN CPEs (Zugangssysteme) nicht von den Endusern konfiguriert werden können können die die Mac dort auch nicht verbiegen.
Beide Verfahren sind dann sicher und die DHCP Geschichte dann sicher am einfachsten umzusetzen wenn deine Enduser einen "Zwangs" WLAN Rouetr von dir bekommen
Zum Rest hat Kollege Dobby ja schon alles gesagt.
Danke euch 2 für die Infos. Ich werd dann mal eine kleine Testumgebung mit pfSense aufbauen.
Für die ersten Tests werde ich Squid auf der pfSense installieren.
Noch eine Frage zur Hardware:
Ich werd nochmal in meinem pfSense Guide nachlesen zu Dimensionierung.
Ich hätte aus dem Bauch heraus selbst eine kleine Firewall auf i3 bzw. i5 basis gebaut (oder mit der XEON E1200 Serie).
Natürlich hochwertigen NIC´s. Findet ihr das ok oder ist das mit Kanonen auf Spatzen geschossen?
Mir fehlt bei der pfSense Hardwaredimensionierung einfach noch das "Bauchgefühl"
Hier noch ein Link zu der Airfiber Thematik:
http://www.heise.de/netze/meldung/AirFiber-Gigabit-Richtfunk-mit-Haken- ...
Es gibt aber auch eine 5 GHz Variante.
Grüße
Webkamer
Für die ersten Tests werde ich Squid auf der pfSense installieren.
Noch eine Frage zur Hardware:
Ich werd nochmal in meinem pfSense Guide nachlesen zu Dimensionierung.
Ich hätte aus dem Bauch heraus selbst eine kleine Firewall auf i3 bzw. i5 basis gebaut (oder mit der XEON E1200 Serie).
Natürlich hochwertigen NIC´s. Findet ihr das ok oder ist das mit Kanonen auf Spatzen geschossen?
Mir fehlt bei der pfSense Hardwaredimensionierung einfach noch das "Bauchgefühl"
Hier noch ein Link zu der Airfiber Thematik:
http://www.heise.de/netze/meldung/AirFiber-Gigabit-Richtfunk-mit-Haken- ...
Es gibt aber auch eine 5 GHz Variante.
Grüße
Webkamer
Hier noch ein Link zu der Airfiber Thematik:
http://www.heise.de/netze/meldung/AirFiber-Gigabit-Richtfunk-mit-Haken- ...
Es gibt aber auch eine 5 GHz Variante.
Jo die kostet auch nur 950 € statt ~1500 €http://www.heise.de/netze/meldung/AirFiber-Gigabit-Richtfunk-mit-Haken- ...
Es gibt aber auch eine 5 GHz Variante.
Ich werd nochmal in meinem pfSense Guide nachlesen zu Dimensionierung.
Für 20 Leute kann man das auch alles in eine Appliance packen.Also pfSense, Squid + SquidGuard oder ClamAV
Ich hätte aus dem Bauch heraus selbst eine kleine Firewall auf i3 bzw. i5 basis gebaut
(oder mit der XEON E1200 Serie).
Intel Xeon ist schon fett, dann kann man auch ECC RAM nehmen oder aber auch gleich eine(oder mit der XEON E1200 Serie).
kleine fertige Appliance von Supermicro, alles drin und alles dran.
Die gehen so bei ~500 € los und enden bei ~1000 €.
Supermicro X9SCMSE3
Supermicro 5018D-MF
Oder aber ein kleines Alix Board Alix APU & Alix Gehäuse mit HDD
Auf eine mSATA das OS und dann eben eine kleine SSD im Gehäuse.
Natürlich hochwertigen NIC´s.
Das würde ich auf jeden fall machen wollen, denn wenn 20 Leute YouTubegucken und oder eine DVD herunterladen ist das schon besser.
Findet ihr das ok oder ist das mit Kanonen auf Spatzen geschossen?
Ich nicht.Mir fehlt bei der pfSense Hardwaredimensionierung einfach noch das "Bauchgefühl"
Das kommt aber auch immer darauf an was die 20 Leute da den ganzen Tag machen!Gruß
Dobby
