Wlan-Brücke
Anfänger
Hallo zusammen,
ich habe mehrere Fragen zur Wlan-bridge, hinsichtlich der Sicherheit. Ich habe zwei Standorte, die relativ nah beieinander liegen. Diese Standorte sollen mit Hilfe einer Wlan-Brücke verbunden werden, um somit einen Datenaustausch beider Stationen zu gewährleisten (keine Kabelanbindung). Die Verbindung wird nicht über herkömmliche Router realisiert, sondern lediglich über "einfache" Accesspoints. An den APs sind switche angebunden, an den jeweils 5 clients per ethernet Kabel angeschlossen sind. Meine erste Frage lautet: müssen die Clients die sich am Switch befinden wireless fähig sein? Eigentlich müsste das überhaupt keine Rolle spielen, da der Accesspoint den Funk regelt und die clients über Ethernetkabel angebunden sind ("Information" hab ich aus einem anderem Forum )
Er bezieht die Daten der Clients über Ethernet -Kabel und sendet sie dann per Funkwellen (WLAN) an den gegenüberliegenden AP. Das Wlan sichere ich natürlich über WPA2 . Zusätzlich möchte ich verhindern, dass sich unerlaubte clients ohne weiteres an den Accepoint anbinden ( "nach dem Motto Kabel an switch und los gehts" ), um Daten zwischen den Netzen zu tauschen. Kann ich hierbei einen Macfilter einsetzen, so dass nur die 5 clients an Station B kommen? Wenn ja müssten die Einstellung direkt am Zugangspunkt vorgenommen werden? Eine weitere Maßnahme wäre dann der VPN Tunnel, um die Daten, die per Funk übertragen werden, nochmals zusätzlich zu schützen. Gibt es weitere Sicherheitsmaßnahmen die beim beim Bridging zu beachten wären?
Mit freundlichen Grüßen
Schorsch
Hallo zusammen,
ich habe mehrere Fragen zur Wlan-bridge, hinsichtlich der Sicherheit. Ich habe zwei Standorte, die relativ nah beieinander liegen. Diese Standorte sollen mit Hilfe einer Wlan-Brücke verbunden werden, um somit einen Datenaustausch beider Stationen zu gewährleisten (keine Kabelanbindung). Die Verbindung wird nicht über herkömmliche Router realisiert, sondern lediglich über "einfache" Accesspoints. An den APs sind switche angebunden, an den jeweils 5 clients per ethernet Kabel angeschlossen sind. Meine erste Frage lautet: müssen die Clients die sich am Switch befinden wireless fähig sein? Eigentlich müsste das überhaupt keine Rolle spielen, da der Accesspoint den Funk regelt und die clients über Ethernetkabel angebunden sind ("Information" hab ich aus einem anderem Forum )
Er bezieht die Daten der Clients über Ethernet -Kabel und sendet sie dann per Funkwellen (WLAN) an den gegenüberliegenden AP. Das Wlan sichere ich natürlich über WPA2 . Zusätzlich möchte ich verhindern, dass sich unerlaubte clients ohne weiteres an den Accepoint anbinden ( "nach dem Motto Kabel an switch und los gehts" ), um Daten zwischen den Netzen zu tauschen. Kann ich hierbei einen Macfilter einsetzen, so dass nur die 5 clients an Station B kommen? Wenn ja müssten die Einstellung direkt am Zugangspunkt vorgenommen werden? Eine weitere Maßnahme wäre dann der VPN Tunnel, um die Daten, die per Funk übertragen werden, nochmals zusätzlich zu schützen. Gibt es weitere Sicherheitsmaßnahmen die beim beim Bridging zu beachten wären?
Mit freundlichen Grüßen
Schorsch
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 143765
Url: https://administrator.de/contentid/143765
Ausgedruckt am: 05.11.2024 um 14:11 Uhr
2 Kommentare
Neuester Kommentar
Du hast dir alle deine Fragen schon selber richtig beantwortet ! Was du dort machst ist eine simple LAN zu LAN Kopplung. Dafür müssen die Accesspoints in den WLAN Bridging Modus konfiguriert werden. Dieses Feature müssen sie auch supporten im WLAN Setup, sonst wird es nix mit der LAN zu LAN Bridge. Es kann also nicht jeder x-belibige AP also vorher die Features abchecken !
Die WLAN Funkstecke arbeitet dann ganz simpel wie eine Ethernet Bridge. D.h. alles was sie an Mac Adressen nicht auf ihrer Seite hat schaulfelt sie rüber...inklusive Broadcast- und Multicast Paketen !
http://de.wikipedia.org/wiki/Bridge_%28Netzwerk%29
Die beiden Bridge APs verschlüsseln den Datenstrom dann mit WPA-2 und AES/CCMP über die Wireless Schnittstelle und wenn du zusätzlich noch einen Mac Filter einbaust damit nur diese beiden Bridge Macs sich sehen hast du schon alles wasserdicht gemacht.
Mit einem entsprechend langem WPA-2 Schlüssel ist deine Verbindung wasserdicht sicher. Derzeit sind keinerlei Angriffe auf WPA-2 bzw. AES/CCMP bekannt.
Dadrüber nochmals VPNs zu bauen ist also Unsinn und erzeugt dir nur zusätzlichen sinnlosen Overhead auf dem WLAN Link zuungunsten der Produktivdaten...das kannst du also getrost vergessen !
Und ja....die Clients brauchen logischerweise nur LAN angeschlossen sein...den gesamten Rest der Übertragung machen ausschliesslich die Bridge APs. Das ist ja auch genau der Sinn der Sache einer LAN zu LAN Kopplung (Bridging) !!
Weitere Hinweise dazu erhälst du hier:
http://www.dd-wrt.com/dd-wrtv2/downloads/Documentation/German_WLAN_HowT ...
Die WLAN Funkstecke arbeitet dann ganz simpel wie eine Ethernet Bridge. D.h. alles was sie an Mac Adressen nicht auf ihrer Seite hat schaulfelt sie rüber...inklusive Broadcast- und Multicast Paketen !
http://de.wikipedia.org/wiki/Bridge_%28Netzwerk%29
Die beiden Bridge APs verschlüsseln den Datenstrom dann mit WPA-2 und AES/CCMP über die Wireless Schnittstelle und wenn du zusätzlich noch einen Mac Filter einbaust damit nur diese beiden Bridge Macs sich sehen hast du schon alles wasserdicht gemacht.
Mit einem entsprechend langem WPA-2 Schlüssel ist deine Verbindung wasserdicht sicher. Derzeit sind keinerlei Angriffe auf WPA-2 bzw. AES/CCMP bekannt.
Dadrüber nochmals VPNs zu bauen ist also Unsinn und erzeugt dir nur zusätzlichen sinnlosen Overhead auf dem WLAN Link zuungunsten der Produktivdaten...das kannst du also getrost vergessen !
Und ja....die Clients brauchen logischerweise nur LAN angeschlossen sein...den gesamten Rest der Übertragung machen ausschliesslich die Bridge APs. Das ist ja auch genau der Sinn der Sache einer LAN zu LAN Kopplung (Bridging) !!
Weitere Hinweise dazu erhälst du hier:
http://www.dd-wrt.com/dd-wrtv2/downloads/Documentation/German_WLAN_HowT ...
Derzeit sind keinerlei Angriffe auf WPA-2 bzw. AES/CCMP bekannt.
Abgesehen von Bruteforce sind derzeit keine Passwortangriffe bekannt, aber:
Es gibt immer noch das Problem, dass jeder Scherzkeks mit Hardware für 20€ eine Deauthentication Attack fahren kann und schon steht man auf dem Trockenen, was grade im kommerziellen Sektor schnell ein Problem sein kann. ("Ahhh, ich kann nicht auf die Daten zugreifen")
Darum empfiehlt sich bei PTP immer:
a) 5 Ghz Band verwenden
b) Properitäre Erweiterungen wie Management Frame Protection verwenden.