deb10er0
Goto Top

WLAN Sicher für Firma einrichten?

Es muss ein WLAN für einen Besprechungsraum eingerichtet werden.

Hallo Leute,
ich müsste in einem Besprechungsraum ein WLAN einrichten. Eine Besprechung besteht in der Regel so aus ca. 5-10 Clients.

Wichtiges:
Sicherheit steht über allem
WLAN-Key müsste bei jeder Besprechung ein anderer sein (könnt mich auch umstimmen)
ohne MAC-Adressen Freigabe (zu viel arbeit)
WLAN wird nur aktiviert wenn eine Besprechung ist
Kosten: Eine Lösung vom günstigsten und eine Lösung wo Geld (aber im Rahmen halten -> siehe Clients) keine Rolle spielt.

Könnt Ihr mir ein paar Vorschläge machen, wie Ihr das lösen würdet?

Falls ich etwas vergessen habe, einfach fragen.

mfg deb10er0

Content-ID: 152292

Url: https://administrator.de/forum/wlan-sicher-fuer-firma-einrichten-152292.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

94209
94209 04.10.2010 um 14:00:41 Uhr
Goto Top
Hallo,

sind es immer die gleichen Clients oder sind es verschiedene?
deb10er0
deb10er0 04.10.2010 um 14:07:26 Uhr
Goto Top
Sind immerwieder unterschiedlich.
Was ich vergessen habe ist, dass es Windows und MAC Clients sind.
94209
94209 04.10.2010 um 14:15:23 Uhr
Goto Top
Wenn du nicht so viel Aufwand betreiben möchtest würde ich einen ganz normalen AccessPoint einrichten mit WPA2 Schlüssel den du, um die Sicherheit zu gewährleisten, z.b. jede Woche änderst oder wenn es dir nicht zu viel Arbeit macht vor jeder Besprechung. Kostenmäßig hällt es sich so natürlich auch im Rahmen. An sich ist es jetzt keine große Arbeit. Und ob es dann Win oder Mac Clients sind sollte auch egal sein.

Falls ich da jetzt irgendwas falsch verstanden habe klär mich ruhig auf. face-smile
Yali0n
Yali0n 04.10.2010 um 14:17:02 Uhr
Goto Top
Hi!

Was sind das für Clients?
Externe, Interne

Muss vom WLAN aufs Fimennetz , ins Internet oder beides zugegriffen werden?
deb10er0
deb10er0 04.10.2010 um 14:20:48 Uhr
Goto Top
Ansich schon richtg. Des wäre meine günstige Lösung face-smile.
Gibt es aber auch eine Möglichkeit, das ein WLAN-Key sich automatisch ändert (nach einem bestimmten Prinzip; z.B. Verschiedene Keys aus einer Tabelle nehmen und diese jede Woche ändern)?
Was auch schon im Gespräch war, AccessPoint mit Reichweiten Begrenzung.
deb10er0
deb10er0 04.10.2010 um 14:21:47 Uhr
Goto Top
Externe und Interne.

Muss aufs Firmennetz und Internet zugeriffen werden.
Yali0n
Yali0n 04.10.2010 um 14:24:33 Uhr
Goto Top
Haben die internen Clients für den Zugriff von außen einen VPN-Client installiert.

Wäre ziemlich Praktisch.

Dadurch könnte ein eigenes Netz aufgebaut werden welches ausschließlich Internetzugriff hat (direkt oder über den Proxy) und die Internen MA können via VPN ins Haus-Netz.
deb10er0
deb10er0 04.10.2010 um 14:31:55 Uhr
Goto Top
@Yali0n:
Kommt gleich in meine Liste (wird bei der nächsten Versammlung vorgestellt).

Nennt mir weitere Details. Ihr könnt mir auch einen Access Point vorstellen.
aqui
aqui 04.10.2010, aktualisiert am 18.10.2012 um 18:43:41 Uhr
Goto Top
Ansosnten findest du hier entsprechende Tutorials:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Oder wenn Gäste im Besprechungsraum sind:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Da werden alle deine Fragen beantwortet !
Welchen AP du verwendest spielt keine Rolle. Es kann ein 20 Euro AP von TP-Link sein, alles am Markt supportet dein Vorhaben.
Wenn du allerdings mehrere ESSIDs aufspannen musst, dann sollte es einer sein der ESSID bzw. VLAN fähig ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
mrtux
mrtux 04.10.2010 um 17:48:14 Uhr
Goto Top
Hi !

Zitat von @deb10er0:
Muss aufs Firmennetz und Internet zugeriffen werden.

Das würde ich aber nicht so machen. Vor allem dann, wenn (Gäste-) Clients (also Schulungs- /Besprechungsraum bei dem die Teilnehmer ihr eigenes Notebook einsetzen dürfen) vorhanden sind, bei denen DU nicht weisst ob sie wirklich sauber sind...Ich würde die Netze trennen...

mrtux
deb10er0
deb10er0 05.10.2010 um 12:25:23 Uhr
Goto Top
stimmt auch wieder.
Also doch fürs WLAN ein eigenes Netzwerk mit Internetzugriff (aber nicht aufs Interne Netz). Die Internen Clients können ja dann per VPN auf Firmennetz zugreifen.
Was haltet ihr davon? Oder gehts irgendwie einfacher?
z.B. mit irgendeiner Bridge oder nem Server wo man sich zuerst einloggen muss (bzw. mit Zertifikat), dass man Zugriff aufs interne Netz bekommt. Gibt es so eine Möglichkeit?
aqui
aqui 05.10.2010, aktualisiert am 18.10.2012 um 18:43:42 Uhr
Goto Top
deb10er0
deb10er0 08.10.2010 um 10:21:36 Uhr
Goto Top
Also wir haben uns entschieden.
Wir trennen WLAN vom internen Netz komplett.
Aufbau:
- Ein Router (muss zwei IP-Netze verwalten können)
- Jeder in der Besprechung hat WLAN Zugriff (welches nur ins Internet geht; also ein IP-Netz)
- Falls jemand (nur Kollegen natürlich) Daten aus dem Netz braucht, schließen wir ein Kabel an den Router und kann damit ins interne Netz (zweites IP-Netz)
- Zusammengefasst alles läuft über einen Router, welcher zwei Netze verwalten kann

Nun zur Frage:
Ich suche einen Router der das ganze kann? Welche Funktion muss dieser dann können, also welche Eigenschaft steht im Angebot? Könnnt ihr mir auch gleich ein Beispiel nennen?
Yali0n
Yali0n 08.10.2010 um 10:34:51 Uhr
Goto Top
Hi!

Nehmen wir mal an, einer eurer Kollegen braucht jetzt daten aus dem Netz - ihr steckt das interne Netzkabel zusätzlich an den Router und ab jetzt sind alle welche sich im Besprechungszimmer befinden im internen Netz.

Nun gehts weiter, die Besprechung ist durch, der Kollege geht und eine Stunde drauf hast wieder neue Leute im Besprechungszimmer - halt, war da nicht noch ein Kabel ins interne Netz, welches jetzt verbunden ist?

Wie du merkst ist das eine riesige Lücke.

Die Trennung der Netze ist ein muss, und wie gesagt, wenn eure User einen VPN client draufhaben, können sie sich ja über den einwählen.
Eventuell kannst mal schauen ob sich über ein Captive Portal das von der gewünschte Ergebnis realisieren lässt.
deb10er0
deb10er0 08.10.2010 um 11:08:56 Uhr
Goto Top
ne so mein ich das nicht.
Der Router ist immer mit einem Kabel angebunden ans Netz. Es hängt nur ein zweites kabel am Router wo die Leute ins interne Netz können.
WLAN: Hat nur Zugriff aufs Internet (wird eine fester IP Bereich vergeben)
Kabel: Zugriff aufs Internet und interne Netz (wird aber auch eine feste IP vergeben)

Brauche also einen Router der zwei verschiedene Adressen verarbeiten kann, also im Prinzip zwei Eingangsleitungen hat.

Ich habe es mal gezeichnet:
9cfbcb547c755334796c50030c96ffb5

Kann mir jemand einen Router empfehlen?
aqui
aqui 08.10.2010, aktualisiert am 18.10.2012 um 18:43:44 Uhr
Goto Top
Jeder Dödelrouter kann das
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
...oder eine kleine Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Das Konzept birgt aber erhebliche Unsicherheiten und ist nicht zu empfehlen ! Das Kabel ist vollständig ungeschützt und JEDER, auch Besucher, erhalten somit problemlos Zugang zum Firmennetzwerk ohne Hürden. Das ist also eher eine löchrige, unprofessionelle "Bastellösung" als das sie wirklich schützt, sorry.
Sinnvoll wäre wenn dann Kabel eine 802.1x Port Authentifizierung an diesem Kabelport aber darüber hast du vermutlich auch nicht mal nachgedacht.
So ein Konzept ist für eine Firma die einen gesicherten Zugang haben will völlig unakzeptabel aber vermutlich ist es dann nicht so weit her mit der Sicherheit bei euch wenn man ernsthaft so ein löchriges Konzept verfolgt.

Erheblich sinnvoller und auch heutige Praxis ist eine kabellose WLAN Lösung mit 2 WLAN SSIDs für den Raum wie es oben schon beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ein WLAN ist für die Besucher z.B. offen mit einer Hotsport Web Authentifizierung. Das andere ist ein Firmen WLAN mit starker WPA-2, AES Verschlüsselung für die Mitarbeiter.
Mit einem einfachen Mausklick können Mitarbeiter dann umschalten müssten es aber nichtmal da sie Internet Zugang auch übers gesicherte Firmenenetz bekommen.
Ob man das mit 2 billigen, separaten APs oder mit einem preiswerten ESSID fähigen AP realisiert spielt dabei keine Rolle. Mit einem ESSID fähigen AP ist es natürlich technisch einfacherer und besser managebar da weniger Hardware.
So hat man keinerlei Sicherheitseinbußen wie bei der Verwendung eines unkontrollierten Kabelanschlusses zu befürchten.

P.S.: Was sollen immer die externen Bilderlinks mit Zwangswerbung ?? Hast du gesehen das es hier eine Bilder Upload Funktion gibt !
Im Thread auf "Bearbeiten" klicken, Bilder hochladen, Ausgegebenen Bilder URL einfach in den Text cut an pasten, fertig ! Das erspart einen die Zwnagswerbung und nervige Popups !!
Einfacher gehts doch nun wirklich nicht, oder ?? Man muss nur mal die FaQs lesen....!