yd20152015
Goto Top

WLAN im Intranet ??

Hallo,
seit ein paar Monaten haben wir in den Standorten WLAN. Die Mobilrechner können beim Besuch nun unabhängig von Dosen irgendwo zur Arbeit aufgestellt werden.
Ich bin mir nicht sicher, wie gefährlich das nun tatsächlich ist.
Welche Verschlüsselung des Kennworts ist akzeptabel?

Was könnte ein Eindringling anstellen, wenn sein Gerät nicht zur Domäne gehört und er somit keine Rechte besitzt?

...und: sollte man es gestatten, dass iPhones und Androide zwecks privater Internetnutzung sich auch dort anmelden? Diese Geräte würden auch nicht zur Domäne gehören, aber wären immerhin im Intranet. In unserem Standort habe ich die Gastgeräte auf ein WLAN VOR der Firewall verbannt, das ist aber nicht überall der Fall.

Bin gespannt,
20152015

Content-ID: 297946

Url: https://administrator.de/forum/wlan-im-intranet-297946.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

119944
119944 02.03.2016 aktualisiert um 15:44:59 Uhr
Goto Top
Moin,

Welche Verschlüsselung des Kennworts ist akzeptabel?
Radius mit PEAP oder EAP-TLS face-wink

Was könnte ein Eindringling anstellen, wenn sein Gerät nicht zur Domäne gehört und er somit keine Rechte besitzt?
Passwörter mitsniffen z.B. und sich in Netzwerkgeräte hacken von denen du nicht einmal weist, dass dort ein Linux drauf läuft (Drucker, Backup Festplatten usw.). Siehe NASA Hack der letzten Woche.

...und: sollte man es gestatten, dass iPhones und Androide zwecks privater Internetnutzung sich auch dort anmelden? Diese Geräte würden auch nicht zur Domäne gehören, aber wären immerhin im Intranet. In unserem Standort habe ich die Gastgeräte auf ein WLAN VOR der Firewall verbannt, das ist aber nicht überall der Fall.
Am gleichen AP schon aber dann in ein eigenes VLAN welches vom Produktivnetz getrennt ist.

VG
Val
aqui
aqui 02.03.2016 aktualisiert um 17:07:23 Uhr
Goto Top
Ich bin mir nicht sicher, wie gefährlich das nun tatsächlich ist.
Wenn man es fehlerhaft einrichtet nur mit einfachen preshared Keys und das WLAN nicht in ein separates VLAN verfrachtet mit entsprechenden Sicherheitsregeln kann sowas sehr sehr gefährlich werden !!
Wie man es richtig mit 802.1x macht beschreibt dir dieses Forumstutorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Was könnte ein Eindringling anstellen, wenn sein Gerät nicht zur Domäne gehört und er somit keine Rechte besitzt?
Alles... Z.B.:
Netzwerk Management Server mit Raspberry Pi
und: sollte man es gestatten, dass iPhones und Androide zwecks privater Internetnutzung sich auch dort anmelden?
Nur mit einer ausdrücklichen rechtlichen Vereinbarung aber besser nur mit einem MDM Tool wie z.B. Mobile Iron:
https://www.mobileiron.com/de
In unserem Standort habe ich die Gastgeräte auf ein WLAN VOR der Firewall verbannt, das ist aber nicht überall der Fall.
Ist auch Blödsinn und laienhaft bzw. gefährlich. Stichwort Störerhaftung !
Sowas macht man mit einem Captive Portal und Whitelisting und MSSID fähigen APs:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw. Praxisbeispiel hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Zum Rest ist oben ja schon alles gesagt...