4
WLAN sichern durch VPN und IPSEC
Hallo
bin gerade an einem Projekt in dem ich die Aufgabe habe 8 pc per WLAN über AP an das Hausnetz zu bringen, dies sollte mit der größt möglichen Sicherheits getan werden.
Das WLan befindet sich in unsererm Unternehmen also ebenfalls intern. Da wir ein Unternehmen sind das mit Personenbezogene Daten arbeitet ist eine sehr hohe Sicherheit von nöten.
Meine Frage ist wie kann ich am besten die kommunikation der WLan Kommponenten absichern. Hierbei geht es mir vornehmlich um die Kommunikation der WLAN- Komponenten über VPN in verbindung mit IPSEC.
Hoffe es hat schon jemand erfahrungen in diesem Gebiet.
Meine Vorstellung ist folgende:
die Verschlüsselung wird über WPA2 realisiert. Zusätzlich soll die Kommunikation der WLAN -Komponenten (PC'S und AP) über eine VPN Verbindung und IPSEC Kommunizieren. ? Ist das möglich ?
Zur Info es handelt sich dabei nicht um ein zugriff von außen auf ein Unternemensnetzwerk sondern der AP und die 8 PC' sind bestandteil des internen Netzwerkes.
Vielen Danke
Gruß Martin
bin gerade an einem Projekt in dem ich die Aufgabe habe 8 pc per WLAN über AP an das Hausnetz zu bringen, dies sollte mit der größt möglichen Sicherheits getan werden.
Das WLan befindet sich in unsererm Unternehmen also ebenfalls intern. Da wir ein Unternehmen sind das mit Personenbezogene Daten arbeitet ist eine sehr hohe Sicherheit von nöten.
Meine Frage ist wie kann ich am besten die kommunikation der WLan Kommponenten absichern. Hierbei geht es mir vornehmlich um die Kommunikation der WLAN- Komponenten über VPN in verbindung mit IPSEC.
Hoffe es hat schon jemand erfahrungen in diesem Gebiet.
Meine Vorstellung ist folgende:
die Verschlüsselung wird über WPA2 realisiert. Zusätzlich soll die Kommunikation der WLAN -Komponenten (PC'S und AP) über eine VPN Verbindung und IPSEC Kommunizieren. ? Ist das möglich ?
Zur Info es handelt sich dabei nicht um ein zugriff von außen auf ein Unternemensnetzwerk sondern der AP und die 8 PC' sind bestandteil des internen Netzwerkes.
Vielen Danke
Gruß Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 84539
Url: https://administrator.de/contentid/84539
Printed on: April 18, 2024 at 03:04 o'clock
4 Comments
Latest comment
Ja das wäre möglich ist aber eigentlich vollkommener Unsinn, da WPA2 als derzeit sicher gilt und eine zusätzliche IPsec Verschlüsselung auf dem WLAN den Overhead an Daten unnötigerweise erhöht, was auf Kosten eurer Nutzdatenbandbreite geht. Eure Daten sind also im Bezug auf die Übertragung auch mit WPA2 sehr sicher.
IPsec macht man nur über offene WLANs, wenn man sich das Handling mit WPA Schlüsseln etc. sparen will oder über ein sog. Captive Portal im WLAN geht, eine Zwangswebseite so wie du sie von Hotspots im Flughafen oder Hotels kennst, auf der man sich authentifizieren muss ansonsten aber in einem nicht verschlüsselten WLAN arbeitet. Dort macht man dann IPsec um die Daten zu veschlüsseln.
In einem WPA(2) Umfeld ist das nicht erforderlich !
Viel wichtiger ist hingegen die Identifizierung der Clients und der authentisierte Zugriff in diesem WLAN. Denn wenn einer der Sekretärin mit Hilfe eines Blumenstraußes oder was auch immer das Passwort entlockt liegt dem eurer Netzwerk zu Füssen egal ob du dann sinnloserweise über WPA2 nochmal IPsec machst.
Hier solltest du also mit einem Radius Server arbeiten und die Clients sicher anhand von Benutzernamen oder besser Zertifikaten identifizieren. Zertifikate haben den Vorteil, das sie Gerätebezogen sind und nicht Benutzerbezogen. In einem Windows Umfeld ist das sehr einfach mit dem IAS einzurichten. Der Freeradius bietet aber auch eine kostenlose Alternative mit dem das ebenfalls leicht zu machen ist.
Aus Sicht der Infrastruktur (LAN) betreibt man so ein WLAN auf der Switch/LAN Infrastruktur immer in einem separaten VLAN, damit es per se schon mal physisch vom Firmennetz getrennt ist.
Das WLAN VLAN wird dann über einen Layer 3 (Routing Switch) mindestens aber über eine Firewall mit dem Firmen LAN verbunden.
Der Layer 3 Switch oder die Firewall legt dann mit Hilfe von Access Control Listen genau fest welche Dienste die Clients auf welchem Server im Firmennetz benutzen dürfen.
Anhand dieser Authentifizierungen hast du immer ein Überblick wer im WLAN arbeitet und kannst Eindringlinge auch sofort sicher identifizieren !
So wird heutzutage so eine WLAN Infrastruktur an ein Firmennetz gekoppelt !
IPsec macht man nur über offene WLANs, wenn man sich das Handling mit WPA Schlüsseln etc. sparen will oder über ein sog. Captive Portal im WLAN geht, eine Zwangswebseite so wie du sie von Hotspots im Flughafen oder Hotels kennst, auf der man sich authentifizieren muss ansonsten aber in einem nicht verschlüsselten WLAN arbeitet. Dort macht man dann IPsec um die Daten zu veschlüsseln.
In einem WPA(2) Umfeld ist das nicht erforderlich !
Viel wichtiger ist hingegen die Identifizierung der Clients und der authentisierte Zugriff in diesem WLAN. Denn wenn einer der Sekretärin mit Hilfe eines Blumenstraußes oder was auch immer das Passwort entlockt liegt dem eurer Netzwerk zu Füssen egal ob du dann sinnloserweise über WPA2 nochmal IPsec machst.
Hier solltest du also mit einem Radius Server arbeiten und die Clients sicher anhand von Benutzernamen oder besser Zertifikaten identifizieren. Zertifikate haben den Vorteil, das sie Gerätebezogen sind und nicht Benutzerbezogen. In einem Windows Umfeld ist das sehr einfach mit dem IAS einzurichten. Der Freeradius bietet aber auch eine kostenlose Alternative mit dem das ebenfalls leicht zu machen ist.
Aus Sicht der Infrastruktur (LAN) betreibt man so ein WLAN auf der Switch/LAN Infrastruktur immer in einem separaten VLAN, damit es per se schon mal physisch vom Firmennetz getrennt ist.
Das WLAN VLAN wird dann über einen Layer 3 (Routing Switch) mindestens aber über eine Firewall mit dem Firmen LAN verbunden.
Der Layer 3 Switch oder die Firewall legt dann mit Hilfe von Access Control Listen genau fest welche Dienste die Clients auf welchem Server im Firmennetz benutzen dürfen.
Anhand dieser Authentifizierungen hast du immer ein Überblick wer im WLAN arbeitet und kannst Eindringlinge auch sofort sicher identifizieren !
So wird heutzutage so eine WLAN Infrastruktur an ein Firmennetz gekoppelt !
Hallo
vielen Dank für deine Ausführung. Es gibt doch auch Accesspoints der die funktion eines Radiusserver beinhaltet.
Es handelt sich um eine w2k3 Domäne. Wie läuft das technisch ab.
Ich melde mich an der Domäne an wie greift da der Radius Server und der AP zusammen ?
Ich will ja über eine XP Maschine WLAN und der AP auf das Netzwerk zugreifen, das heißt ja für mich das ich eine Server (Radius) dazwischen schalten muss oder kann hierfür der bestehende DC verwendet werden. ? Aber fakt ist doch das ich jedoch erst eine kommunikation mit dem AP aufbauen muss wo findet den die Authentifizierung statt ?
versteh den technischen Aufbau nicht ganz.
- w2k3 Domäne
- Kabelgebundenes Netzwerk
- 1 x AP WLAN
- 8 xp WLAN
Kannst du mir das bitte nochmals erläutern wie ich eine Radius Authentifizierung mit Zertifikat in einer W2k3 Domäne für die WLAN-Komponenten schaffe.
Vielen Danke
vielen Dank für deine Ausführung. Es gibt doch auch Accesspoints der die funktion eines Radiusserver beinhaltet.
Es handelt sich um eine w2k3 Domäne. Wie läuft das technisch ab.
Ich melde mich an der Domäne an wie greift da der Radius Server und der AP zusammen ?
Ich will ja über eine XP Maschine WLAN und der AP auf das Netzwerk zugreifen, das heißt ja für mich das ich eine Server (Radius) dazwischen schalten muss oder kann hierfür der bestehende DC verwendet werden. ? Aber fakt ist doch das ich jedoch erst eine kommunikation mit dem AP aufbauen muss wo findet den die Authentifizierung statt ?
versteh den technischen Aufbau nicht ganz.
- w2k3 Domäne
- Kabelgebundenes Netzwerk
- 1 x AP WLAN
- 8 xp WLAN
Kannst du mir das bitte nochmals erläutern wie ich eine Radius Authentifizierung mit Zertifikat in einer W2k3 Domäne für die WLAN-Komponenten schaffe.
Vielen Danke
Nein, einen Radius Server gibt es auf keinem Accesspoint der Welt, wohl aber einen Radius Client bzw. die meisten (guten) APs haben diesen an Bord. Den Radius Server hast du immer extern, z.B. den Windows IAS auf deinem Server oder den Freeradius wenn du es kostenlos haben möchtest.
Sowie ein Benutzer sich mit einem AP assoziieren möchte fragt dieser dann erstmal den Radius Server ob dieser Benutzer auch authentifiziert ist. Erst wenn die Antwort positiv ist wird der Benutzer erst auf die WLAN Infrastruktur gelassen.
Die Authentifizierung findet also auf dem AP statt oder über den AP auf dem Radius wenn man es technisch korrekt beschreiben sollte...
Die MS Knowledgebase hat einen Artikel zu diesem Thema:
http://www.microsoft.com/germany/technet/datenbank/articles/900017.mspx
Und....falls du nicht als Windows Knecht enden willst hier ist das HowTo wie man es mit Freeradius kostenfrei zum Laufen bekommt:
http://wiki.freeradius.org/WPA_HOWTO
Sowie ein Benutzer sich mit einem AP assoziieren möchte fragt dieser dann erstmal den Radius Server ob dieser Benutzer auch authentifiziert ist. Erst wenn die Antwort positiv ist wird der Benutzer erst auf die WLAN Infrastruktur gelassen.
Die Authentifizierung findet also auf dem AP statt oder über den AP auf dem Radius wenn man es technisch korrekt beschreiben sollte...
Die MS Knowledgebase hat einen Artikel zu diesem Thema:
http://www.microsoft.com/germany/technet/datenbank/articles/900017.mspx
Und....falls du nicht als Windows Knecht enden willst hier ist das HowTo wie man es mit Freeradius kostenfrei zum Laufen bekommt:
http://wiki.freeradius.org/WPA_HOWTO
Hallo
Vielen Dank für deine kompetente Ausführung. Ich werde es mal versuche in einem Test umzusetzten. Werde dich wenn ich darf bei Problemen nochmals anschreiben. Habe dies noch nie gemacht und bn nicht so firm mit Zertifikaten diese werden ja auch benötigt oder. Laut bsi wäre es sinnvoll (IP-VPN) oder wie siehst du das? Wenn du das auch für sinnvoll findest wäre ich dir dankbar wenn du kurz erläutern könntest wie ich das mit den xp clients und AP und Active Directroy im Groben angehen muss.
Vielen Dank
Gruß Martin
Vielen Dank für deine kompetente Ausführung. Ich werde es mal versuche in einem Test umzusetzten. Werde dich wenn ich darf bei Problemen nochmals anschreiben. Habe dies noch nie gemacht und bn nicht so firm mit Zertifikaten diese werden ja auch benötigt oder. Laut bsi wäre es sinnvoll (IP-VPN) oder wie siehst du das? Wenn du das auch für sinnvoll findest wäre ich dir dankbar wenn du kurz erläutern könntest wie ich das mit den xp clients und AP und Active Directroy im Groben angehen muss.
Vielen Dank
Gruß Martin
