WLAN sichern durch VPN und IPSEC
Hallo
bin gerade an einem Projekt in dem ich die Aufgabe habe 8 pc per WLAN über AP an das Hausnetz zu bringen, dies sollte mit der größt möglichen Sicherheits getan werden.
Das WLan befindet sich in unsererm Unternehmen also ebenfalls intern. Da wir ein Unternehmen sind das mit Personenbezogene Daten arbeitet ist eine sehr hohe Sicherheit von nöten.
Meine Frage ist wie kann ich am besten die kommunikation der WLan Kommponenten absichern. Hierbei geht es mir vornehmlich um die Kommunikation der WLAN- Komponenten über VPN in verbindung mit IPSEC.
Hoffe es hat schon jemand erfahrungen in diesem Gebiet.
Meine Vorstellung ist folgende:
die Verschlüsselung wird über WPA2 realisiert. Zusätzlich soll die Kommunikation der WLAN -Komponenten (PC'S und AP) über eine VPN Verbindung und IPSEC Kommunizieren. ? Ist das möglich ?
Zur Info es handelt sich dabei nicht um ein zugriff von außen auf ein Unternemensnetzwerk sondern der AP und die 8 PC' sind bestandteil des internen Netzwerkes.
Vielen Danke
Gruß Martin
bin gerade an einem Projekt in dem ich die Aufgabe habe 8 pc per WLAN über AP an das Hausnetz zu bringen, dies sollte mit der größt möglichen Sicherheits getan werden.
Das WLan befindet sich in unsererm Unternehmen also ebenfalls intern. Da wir ein Unternehmen sind das mit Personenbezogene Daten arbeitet ist eine sehr hohe Sicherheit von nöten.
Meine Frage ist wie kann ich am besten die kommunikation der WLan Kommponenten absichern. Hierbei geht es mir vornehmlich um die Kommunikation der WLAN- Komponenten über VPN in verbindung mit IPSEC.
Hoffe es hat schon jemand erfahrungen in diesem Gebiet.
Meine Vorstellung ist folgende:
die Verschlüsselung wird über WPA2 realisiert. Zusätzlich soll die Kommunikation der WLAN -Komponenten (PC'S und AP) über eine VPN Verbindung und IPSEC Kommunizieren. ? Ist das möglich ?
Zur Info es handelt sich dabei nicht um ein zugriff von außen auf ein Unternemensnetzwerk sondern der AP und die 8 PC' sind bestandteil des internen Netzwerkes.
Vielen Danke
Gruß Martin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 84539
Url: https://administrator.de/forum/wlan-sichern-durch-vpn-und-ipsec-84539.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
4 Kommentare
Neuester Kommentar
Ja das wäre möglich ist aber eigentlich vollkommener Unsinn, da WPA2 als derzeit sicher gilt und eine zusätzliche IPsec Verschlüsselung auf dem WLAN den Overhead an Daten unnötigerweise erhöht, was auf Kosten eurer Nutzdatenbandbreite geht. Eure Daten sind also im Bezug auf die Übertragung auch mit WPA2 sehr sicher.
IPsec macht man nur über offene WLANs, wenn man sich das Handling mit WPA Schlüsseln etc. sparen will oder über ein sog. Captive Portal im WLAN geht, eine Zwangswebseite so wie du sie von Hotspots im Flughafen oder Hotels kennst, auf der man sich authentifizieren muss ansonsten aber in einem nicht verschlüsselten WLAN arbeitet. Dort macht man dann IPsec um die Daten zu veschlüsseln.
In einem WPA(2) Umfeld ist das nicht erforderlich !
Viel wichtiger ist hingegen die Identifizierung der Clients und der authentisierte Zugriff in diesem WLAN. Denn wenn einer der Sekretärin mit Hilfe eines Blumenstraußes oder was auch immer das Passwort entlockt liegt dem eurer Netzwerk zu Füssen egal ob du dann sinnloserweise über WPA2 nochmal IPsec machst.
Hier solltest du also mit einem Radius Server arbeiten und die Clients sicher anhand von Benutzernamen oder besser Zertifikaten identifizieren. Zertifikate haben den Vorteil, das sie Gerätebezogen sind und nicht Benutzerbezogen. In einem Windows Umfeld ist das sehr einfach mit dem IAS einzurichten. Der Freeradius bietet aber auch eine kostenlose Alternative mit dem das ebenfalls leicht zu machen ist.
Aus Sicht der Infrastruktur (LAN) betreibt man so ein WLAN auf der Switch/LAN Infrastruktur immer in einem separaten VLAN, damit es per se schon mal physisch vom Firmennetz getrennt ist.
Das WLAN VLAN wird dann über einen Layer 3 (Routing Switch) mindestens aber über eine Firewall mit dem Firmen LAN verbunden.
Der Layer 3 Switch oder die Firewall legt dann mit Hilfe von Access Control Listen genau fest welche Dienste die Clients auf welchem Server im Firmennetz benutzen dürfen.
Anhand dieser Authentifizierungen hast du immer ein Überblick wer im WLAN arbeitet und kannst Eindringlinge auch sofort sicher identifizieren !
So wird heutzutage so eine WLAN Infrastruktur an ein Firmennetz gekoppelt !
IPsec macht man nur über offene WLANs, wenn man sich das Handling mit WPA Schlüsseln etc. sparen will oder über ein sog. Captive Portal im WLAN geht, eine Zwangswebseite so wie du sie von Hotspots im Flughafen oder Hotels kennst, auf der man sich authentifizieren muss ansonsten aber in einem nicht verschlüsselten WLAN arbeitet. Dort macht man dann IPsec um die Daten zu veschlüsseln.
In einem WPA(2) Umfeld ist das nicht erforderlich !
Viel wichtiger ist hingegen die Identifizierung der Clients und der authentisierte Zugriff in diesem WLAN. Denn wenn einer der Sekretärin mit Hilfe eines Blumenstraußes oder was auch immer das Passwort entlockt liegt dem eurer Netzwerk zu Füssen egal ob du dann sinnloserweise über WPA2 nochmal IPsec machst.
Hier solltest du also mit einem Radius Server arbeiten und die Clients sicher anhand von Benutzernamen oder besser Zertifikaten identifizieren. Zertifikate haben den Vorteil, das sie Gerätebezogen sind und nicht Benutzerbezogen. In einem Windows Umfeld ist das sehr einfach mit dem IAS einzurichten. Der Freeradius bietet aber auch eine kostenlose Alternative mit dem das ebenfalls leicht zu machen ist.
Aus Sicht der Infrastruktur (LAN) betreibt man so ein WLAN auf der Switch/LAN Infrastruktur immer in einem separaten VLAN, damit es per se schon mal physisch vom Firmennetz getrennt ist.
Das WLAN VLAN wird dann über einen Layer 3 (Routing Switch) mindestens aber über eine Firewall mit dem Firmen LAN verbunden.
Der Layer 3 Switch oder die Firewall legt dann mit Hilfe von Access Control Listen genau fest welche Dienste die Clients auf welchem Server im Firmennetz benutzen dürfen.
Anhand dieser Authentifizierungen hast du immer ein Überblick wer im WLAN arbeitet und kannst Eindringlinge auch sofort sicher identifizieren !
So wird heutzutage so eine WLAN Infrastruktur an ein Firmennetz gekoppelt !
Nein, einen Radius Server gibt es auf keinem Accesspoint der Welt, wohl aber einen Radius Client bzw. die meisten (guten) APs haben diesen an Bord. Den Radius Server hast du immer extern, z.B. den Windows IAS auf deinem Server oder den Freeradius wenn du es kostenlos haben möchtest.
Sowie ein Benutzer sich mit einem AP assoziieren möchte fragt dieser dann erstmal den Radius Server ob dieser Benutzer auch authentifiziert ist. Erst wenn die Antwort positiv ist wird der Benutzer erst auf die WLAN Infrastruktur gelassen.
Die Authentifizierung findet also auf dem AP statt oder über den AP auf dem Radius wenn man es technisch korrekt beschreiben sollte...
Die MS Knowledgebase hat einen Artikel zu diesem Thema:
http://www.microsoft.com/germany/technet/datenbank/articles/900017.mspx
Und....falls du nicht als Windows Knecht enden willst hier ist das HowTo wie man es mit Freeradius kostenfrei zum Laufen bekommt:
http://wiki.freeradius.org/WPA_HOWTO
Sowie ein Benutzer sich mit einem AP assoziieren möchte fragt dieser dann erstmal den Radius Server ob dieser Benutzer auch authentifiziert ist. Erst wenn die Antwort positiv ist wird der Benutzer erst auf die WLAN Infrastruktur gelassen.
Die Authentifizierung findet also auf dem AP statt oder über den AP auf dem Radius wenn man es technisch korrekt beschreiben sollte...
Die MS Knowledgebase hat einen Artikel zu diesem Thema:
http://www.microsoft.com/germany/technet/datenbank/articles/900017.mspx
Und....falls du nicht als Windows Knecht enden willst hier ist das HowTo wie man es mit Freeradius kostenfrei zum Laufen bekommt:
http://wiki.freeradius.org/WPA_HOWTO