balivorinsky
Goto Top

Wlan mit vpn und Firewall absichern

Hallo,

um mein WLAN ohne goßes Budget, bestmöglichst zu sichern, habe ich folgedes vor:

1. Ein Eigenes Netz mittels meiner Opensense Firewall
2. WPA2 mit gutem Passwort, so daß keine Dictionary und Bruteforce Attacke möglich ist, bzw. sehr schwer wird
3. Nach Verbindung mit dem WLAN Netz erhalten die Clients nur eine Möglichkeit, nämlich sich mit port XY zu verbinden,
um damit eine OpenVPN verbindung, natürlich Zertifikatsbasiert aufzubauen. Mit dieser VPN Verbindung kann ich dann ins Internet
Somit ist ein belauschen mittels "krack" oder falschen APs nicht möglich, weil ohne VPN gehe ich nicht ins Internet.

Jetzt die Frage dazu.
Reicht es dazu aus in der Firewall Regel des WLANs, nur port 53 für DNS und den Port XY für den
VPN Server zu erlauben?
Was haltet ihr davon. DoS Angriffe kann man damit nicht abwehren. Hat jemand Erfahrungen mit WIPS und den kosten die man
dazu investieren muss?

Content-ID: 462692

Url: https://administrator.de/forum/wlan-mit-vpn-und-firewall-absichern-462692.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

139920
139920 16.06.2019 aktualisiert um 11:49:12 Uhr
Goto Top
Mach das WLAN gleich mit 802.1x Radius-Auth mit individuellen User bzw. Computer Zertifikaten dann entfällt der überflüssige VPN-Overhead im WLAN.
Balivorinsky
Balivorinsky 16.06.2019 um 23:12:19 Uhr
Goto Top
Hallo,

Nein das schützt dich leider nicht vor dem ausspähen der Daten. Der Angriff "krack" zielt auf das Protokoll und es spielt dabei keine Rolle wie gut die Authentifizierung ist. Der Angriff funktioniert übrigens überwiegend auf Enterprise Routern die 802.11s uns 802.11r unterstützen.
Wenn die Daten also nicht zusätzlich verschlüsselt werden, dann ist man schutzlos ausgeliefert.
139920
139920 17.06.2019 aktualisiert um 08:13:38 Uhr
Goto Top
Die Patches gegen krack habe ich schon vor zwei Jahren eingespielt ... Wer also noch einen Router ohne entsprechende Patches betreibt ist selbst schuld , da bringt dir auch ein super langes Passwort nichts 😁.
VPN macht man sowieso immer über fremde WLANs, die Frage stellt sich also nicht, jeder ist für seine eigene Sicherheit in den Netzen verantwortlich.
Balivorinsky
Balivorinsky 18.06.2019 um 21:19:59 Uhr
Goto Top
Aber es reicht so leider nicht ganz, wenn man hohe Sicherheitsanforderungen hat. Denn Krack z.B. kennen wir ja nur deshalb, weil es veröffentlicht wurde. Besser ist es man betrachtet WLAN erst mal als unsicher, und baut darauf auf.

Keine eine Ahnung wie man sich vor DoS Attacken schützen kann (WIPS) etc,?