webkamer
Goto Top

WLAN Benutzerauthentifizierung und Logging

Liebe Admin Gemeinde,

ich hab hier eine Frage zum Thema WLAN Sicherheit und Authentifizierung.
Zu meinem Vorhaben:
Ein Abgelegener Ort soll über WLAN Richtfunk an Breitbandinternet angebunden werden. Nur eben schnelles Internet per Richtfunk dorthin und dann Verteilen ist ja kein Problem. Nur kommt halt hier dieser Sicherheitsaspekt noch hinzu, da alle über eine Öffentliche IP Surfen.

Mich würde jetzt inzeressieren in welche Themen ich mich "einlesen" muss.
Einige Ideen habe ich schon dazu:
Das Internet per Richtfunk (Sind 2 Hops) zu einem zentralen Verteilpunkt. Von dort an dann weiter.
Alles kein Problem.
Dann an der Verteilet Station Client Isolation dass kein Zugriff untereinander möglich ist.
Meine Fragen beziehen sich auf das Mitloggen und der User Authentifizierung. So dass dann wenn jemand was illegales macht ich das in den Log Files sehe. Diesbezüglich habe ich noch nichts gmacht und würde gerne eine Testumgebung aufbauen.
Als Komponenten fürs WLAN würde ich UBNT Airmax Komponenten einsetzten. Als Firewall wäre mir PfSense/Monowall am liebsten.

Es handelt sich um max. 20 Enduser.

Danke und Grüße

Webkamer

Content-ID: 239577

Url: https://administrator.de/contentid/239577

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

108012
Lösung 108012 30.05.2014, aktualisiert am 02.06.2014 um 19:58:06 Uhr
Goto Top
Moin,

Ein Abgelegener Ort soll über WLAN Richtfunk an Breitbandinternet angebunden werden.
Von welcher Strecke und wie viel Bandbreite reden wir denn hier?
Was nutzt Du denn dafür, AirFiber?

Dann an der Verteilet Station Client Isolation dass kein Zugriff untereinander möglich ist.
Packe jeden Kunden in ein eigenes VLAN und gut ist es, aber die VLANs verbrauchen
auch wieder Ressourcen und daher kommt es dann schon ein wenig darauf an wie viele
Kunden man hat.

Meine Fragen beziehen sich auf das Mitloggen und der User Authentifizierung. So dass dann wenn
jemand was illegales macht ich das in den Log Files sehe. Diesbezüglich habe ich noch nichts
gmacht und würde gerne eine Testumgebung aufbauen.
Stell doch einfach einen http Proxy wie Squid und dann hast Du auch gleich einen Cache mit dabei.

Als Komponenten fürs WLAN würde ich UBNT Airmax Komponenten einsetzten.
Auch für die Richtfunkstrecke!? Oder nur am Endpunkt bei den Kunden?

Als Firewall wäre mir PfSense/Monowall am liebsten.
Dann nimm doch lieber die pfSense, aber das macht auch jeder frei gusto.
Ubiquiti hat jetzt aber auch gute Router im Portfolio die auch mit einem Radisuserver
versehen werden können, direkt auf dem Router, ich meine wenn nur um 20 Kunden geht
wäre das doch auch eine Möglichkeit, oder?

Ansonsten in solchen Fällen vielleicht auch einmal bei MikroTik vorbei schauen
das wäre auch noch so ein Routerkandidat der in diesem Umfeld gut mitspielt.

Gruß
Dobby


P.S. Ist ein radiuszertifikat an alle Nutzer vergeben worden und ein http Proxy
wie Squid mit im Spiel kann man ganz genau sagen wer, wann, was gemacht hat.
Webkamer
Webkamer 30.05.2014 um 08:51:03 Uhr
Goto Top
Danke Dobby für deine Antwort.

Bandbreitenmäßig ist das noch schwer zu sagen welche Dimensionen das dann annimmt. Für den Anfang mal 100 mbit.
AirFiber würde ich gerne einsetzen da muss ich aber noch ein paar Infos Sammeln, da ich was gelesen habe dass ich die 24 GHz variante in D nicht verwenden kann.
Hab erst gesehen dass es auch eine 5 GHz Variante auch gibt.

Die 100 MBit wären sonst mit den AirMax Komponenten für den Anfang auch möglich.
An den Endpunkten wären dann Nanostations.

Das mit den VLANs habe ich mir auch überlegt. Wenn pfsense dann muss die klar Leistungsfähig sein.

Noch eine Frage zu deine Ausführungen:
Brauche ich die Radius Authentofizierung noch zum Proxy dazu oder reicht eigentlich der Proxy?

Besten Gruß
Webcamer
108012
Lösung 108012 30.05.2014, aktualisiert am 02.06.2014 um 19:58:12 Uhr
Goto Top
AirFiber würde ich gerne einsetzen da muss ich aber noch ein paar Infos Sammeln,
da ich was gelesen habe dass ich die 24 GHz variante in D nicht verwenden kann.
Oh das wusste ich nicht.

Hab erst gesehen dass es auch eine 5 GHz Variante auch gibt.
Ist wohl eine Alternative dazu.

Noch eine Frage zu deine Ausführungen:
Brauche ich die Radius Authentofizierung noch zum
Proxy dazu oder reicht eigentlich der Proxy?
Ich würde einen kleinen Radius Server nehmen und einen Squid http Proxy
sicher kann man das auch alles auf die pfSense packen nur die sollte dann auch
potent genug sein , ich persönlich würde es nicht zusammen auf ein Gerät packen denn
dann kann man einen größeren Cache für den Proxy nutzen und einige Seiten beschleunigen.

Gruß
Dobby
aqui
Lösung aqui 30.05.2014, aktualisiert am 02.06.2014 um 19:58:13 Uhr
Goto Top
Die pfSense/Monowall kann selber PPPoE Server sein. Sie kann also die Enduser genau wie bei kommerziellen Providern per PPPoE authentisieren über einen zentralen Radius Server der die Benutzer Datenbank hält.
Abgesehen davon kannst du den PPPoE Server aber auch auf einem externen Server realisieren.

Alternativ dazu kannst du hier statt PPPoE auch Mac Adress basiertes DHCP machen und über den Radius dann eine User bezogenen IP verteilen oder aus einem IP Pool.
Dies birgt aber immer den Nachteil das Mac Adressen eben konfigurierbar sind und dort ein Angriffspunkt gegeben ist.

Beide Verfahren werden auch von kommerziellen Providern benutzt und die meisten Consumer Endgeräte supporten sie so das du damit kein Problem bekommst. Sofern du sicherstellen kannst das die WLAN CPEs (Zugangssysteme) nicht von den Endusern konfiguriert werden können können die die Mac dort auch nicht verbiegen.
Beide Verfahren sind dann sicher und die DHCP Geschichte dann sicher am einfachsten umzusetzen wenn deine Enduser einen "Zwangs" WLAN Rouetr von dir bekommen face-wink

Zum Rest hat Kollege Dobby ja schon alles gesagt.
Webkamer
Webkamer 02.06.2014 um 22:35:36 Uhr
Goto Top
Danke euch 2 für die Infos. Ich werd dann mal eine kleine Testumgebung mit pfSense aufbauen.
Für die ersten Tests werde ich Squid auf der pfSense installieren.

Noch eine Frage zur Hardware:
Ich werd nochmal in meinem pfSense Guide nachlesen zu Dimensionierung.
Ich hätte aus dem Bauch heraus selbst eine kleine Firewall auf i3 bzw. i5 basis gebaut (oder mit der XEON E1200 Serie).
Natürlich hochwertigen NIC´s. Findet ihr das ok oder ist das mit Kanonen auf Spatzen geschossen?
Mir fehlt bei der pfSense Hardwaredimensionierung einfach noch das "Bauchgefühl" face-wink

Hier noch ein Link zu der Airfiber Thematik:
http://www.heise.de/netze/meldung/AirFiber-Gigabit-Richtfunk-mit-Haken- ...
Es gibt aber auch eine 5 GHz Variante.

Grüße

Webkamer
108012
108012 02.06.2014 um 22:58:26 Uhr
Goto Top
Hier noch ein Link zu der Airfiber Thematik:
http://www.heise.de/netze/meldung/AirFiber-Gigabit-Richtfunk-mit-Haken- ...
Es gibt aber auch eine 5 GHz Variante.
Jo die kostet auch nur 950 € statt ~1500 €

Ich werd nochmal in meinem pfSense Guide nachlesen zu Dimensionierung.
Für 20 Leute kann man das auch alles in eine Appliance packen.
Also pfSense, Squid + SquidGuard oder ClamAV

Ich hätte aus dem Bauch heraus selbst eine kleine Firewall auf i3 bzw. i5 basis gebaut
(oder mit der XEON E1200 Serie).
Intel Xeon ist schon fett, dann kann man auch ECC RAM nehmen oder aber auch gleich eine
kleine fertige Appliance von Supermicro, alles drin und alles dran.
Die gehen so bei ~500 € los und enden bei ~1000 €.
Supermicro X9SCMSE3
Supermicro 5018D-MF

Oder aber ein kleines Alix Board Alix APU & Alix Gehäuse mit HDD
Auf eine mSATA das OS und dann eben eine kleine SSD im Gehäuse.

Natürlich hochwertigen NIC´s.
Das würde ich auf jeden fall machen wollen, denn wenn 20 Leute YouTube
gucken und oder eine DVD herunterladen ist das schon besser.

Findet ihr das ok oder ist das mit Kanonen auf Spatzen geschossen?
Ich nicht.

Mir fehlt bei der pfSense Hardwaredimensionierung einfach noch das "Bauchgefühl"
Das kommt aber auch immer darauf an was die 20 Leute da den ganzen Tag machen!

Gruß
Dobby