Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN sichern durch VPN und IPSEC

Mitglied: u0206084

u0206084 (Level 1) - Jetzt verbinden

02.04.2008, aktualisiert 08.04.2008, 10359 Aufrufe, 4 Kommentare

Hallo

bin gerade an einem Projekt in dem ich die Aufgabe habe 8 pc per WLAN über AP an das Hausnetz zu bringen, dies sollte mit der größt möglichen Sicherheits getan werden.

Das WLan befindet sich in unsererm Unternehmen also ebenfalls intern. Da wir ein Unternehmen sind das mit Personenbezogene Daten arbeitet ist eine sehr hohe Sicherheit von nöten.

Meine Frage ist wie kann ich am besten die kommunikation der WLan Kommponenten absichern. Hierbei geht es mir vornehmlich um die Kommunikation der WLAN- Komponenten über VPN in verbindung mit IPSEC.


Hoffe es hat schon jemand erfahrungen in diesem Gebiet.


Meine Vorstellung ist folgende:



die Verschlüsselung wird über WPA2 realisiert. Zusätzlich soll die Kommunikation der WLAN -Komponenten (PC'S und AP) über eine VPN Verbindung und IPSEC Kommunizieren. ? Ist das möglich ?

Zur Info es handelt sich dabei nicht um ein zugriff von außen auf ein Unternemensnetzwerk sondern der AP und die 8 PC' sind bestandteil des internen Netzwerkes.


Vielen Danke

Gruß Martin
Mitglied: aqui
02.04.2008 um 16:00 Uhr
Ja das wäre möglich ist aber eigentlich vollkommener Unsinn, da WPA2 als derzeit sicher gilt und eine zusätzliche IPsec Verschlüsselung auf dem WLAN den Overhead an Daten unnötigerweise erhöht, was auf Kosten eurer Nutzdatenbandbreite geht. Eure Daten sind also im Bezug auf die Übertragung auch mit WPA2 sehr sicher.
IPsec macht man nur über offene WLANs, wenn man sich das Handling mit WPA Schlüsseln etc. sparen will oder über ein sog. Captive Portal im WLAN geht, eine Zwangswebseite so wie du sie von Hotspots im Flughafen oder Hotels kennst, auf der man sich authentifizieren muss ansonsten aber in einem nicht verschlüsselten WLAN arbeitet. Dort macht man dann IPsec um die Daten zu veschlüsseln.
In einem WPA(2) Umfeld ist das nicht erforderlich !

Viel wichtiger ist hingegen die Identifizierung der Clients und der authentisierte Zugriff in diesem WLAN. Denn wenn einer der Sekretärin mit Hilfe eines Blumenstraußes oder was auch immer das Passwort entlockt liegt dem eurer Netzwerk zu Füssen egal ob du dann sinnloserweise über WPA2 nochmal IPsec machst.

Hier solltest du also mit einem Radius Server arbeiten und die Clients sicher anhand von Benutzernamen oder besser Zertifikaten identifizieren. Zertifikate haben den Vorteil, das sie Gerätebezogen sind und nicht Benutzerbezogen. In einem Windows Umfeld ist das sehr einfach mit dem IAS einzurichten. Der Freeradius bietet aber auch eine kostenlose Alternative mit dem das ebenfalls leicht zu machen ist.

Aus Sicht der Infrastruktur (LAN) betreibt man so ein WLAN auf der Switch/LAN Infrastruktur immer in einem separaten VLAN, damit es per se schon mal physisch vom Firmennetz getrennt ist.
Das WLAN VLAN wird dann über einen Layer 3 (Routing Switch) mindestens aber über eine Firewall mit dem Firmen LAN verbunden.
Der Layer 3 Switch oder die Firewall legt dann mit Hilfe von Access Control Listen genau fest welche Dienste die Clients auf welchem Server im Firmennetz benutzen dürfen.

Anhand dieser Authentifizierungen hast du immer ein Überblick wer im WLAN arbeitet und kannst Eindringlinge auch sofort sicher identifizieren !

So wird heutzutage so eine WLAN Infrastruktur an ein Firmennetz gekoppelt !
Bitte warten ..
Mitglied: u0206084
03.04.2008 um 12:47 Uhr
Hallo

vielen Dank für deine Ausführung. Es gibt doch auch Accesspoints der die funktion eines Radiusserver beinhaltet.

Es handelt sich um eine w2k3 Domäne. Wie läuft das technisch ab.

Ich melde mich an der Domäne an wie greift da der Radius Server und der AP zusammen ?

Ich will ja über eine XP Maschine WLAN und der AP auf das Netzwerk zugreifen, das heißt ja für mich das ich eine Server (Radius) dazwischen schalten muss oder kann hierfür der bestehende DC verwendet werden. ? Aber fakt ist doch das ich jedoch erst eine kommunikation mit dem AP aufbauen muss wo findet den die Authentifizierung statt ?

versteh den technischen Aufbau nicht ganz.



- w2k3 Domäne
- Kabelgebundenes Netzwerk
- 1 x AP WLAN
- 8 xp WLAN

Kannst du mir das bitte nochmals erläutern wie ich eine Radius Authentifizierung mit Zertifikat in einer W2k3 Domäne für die WLAN-Komponenten schaffe.

Vielen Danke
Bitte warten ..
Mitglied: aqui
04.04.2008 um 09:47 Uhr
Nein, einen Radius Server gibt es auf keinem Accesspoint der Welt, wohl aber einen Radius Client bzw. die meisten (guten) APs haben diesen an Bord. Den Radius Server hast du immer extern, z.B. den Windows IAS auf deinem Server oder den Freeradius wenn du es kostenlos haben möchtest.

Sowie ein Benutzer sich mit einem AP assoziieren möchte fragt dieser dann erstmal den Radius Server ob dieser Benutzer auch authentifiziert ist. Erst wenn die Antwort positiv ist wird der Benutzer erst auf die WLAN Infrastruktur gelassen.
Die Authentifizierung findet also auf dem AP statt oder über den AP auf dem Radius wenn man es technisch korrekt beschreiben sollte...

Die MS Knowledgebase hat einen Artikel zu diesem Thema:

http://www.microsoft.com/germany/technet/datenbank/articles/900017.mspx

Und....falls du nicht als Windows Knecht enden willst hier ist das HowTo wie man es mit Freeradius kostenfrei zum Laufen bekommt:

http://wiki.freeradius.org/WPA_HOWTO
Bitte warten ..
Mitglied: u0206084
08.04.2008 um 15:51 Uhr
Hallo

Vielen Dank für deine kompetente Ausführung. Ich werde es mal versuche in einem Test umzusetzten. Werde dich wenn ich darf bei Problemen nochmals anschreiben. Habe dies noch nie gemacht und bn nicht so firm mit Zertifikaten diese werden ja auch benötigt oder. Laut bsi wäre es sinnvoll (IP-VPN) oder wie siehst du das? Wenn du das auch für sinnvoll findest wäre ich dir dankbar wenn du kurz erläutern könntest wie ich das mit den xp clients und AP und Active Directroy im Groben angehen muss.

Vielen Dank

Gruß Martin
Bitte warten ..
Ähnliche Inhalte
Netzwerke
ZyWALL Android IPSec VPN
Frage von itse92Netzwerke2 Kommentare

Moin zusammen, ich habe hier eine ZyWALL USG 50 sowie ein Samsung Galaxy S5. Ich möchte vom S5 eine ...

Router & Routing
PfSense IPsec VPN Routing
gelöst Frage von Philippe27Router & Routing10 Kommentare

Hallo zusammen Benötige eure Hilfe. Gegeben: Standort A pfSense LAN 172.16.200.0/24 VPN nach Standort B 192.168.5.0/24 VPN nach Standort ...

Windows Netzwerk
IPSec VPN oder GRE
gelöst Frage von winlinWindows Netzwerk21 Kommentare

Hi (2*gelöst)^34 Edit Biber Verkürzte "gelöst"-Schreibweise /Edit

Windows Server
Frage bezüglich VPN und IPSec
gelöst Frage von ProtectedWindows Server5 Kommentare

Hallo, in einer Anleitung, wie man einen IPSec VPN Konfiguriert erscheint immer folgender Dialog: Leider erscheint bei meinem Windows ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 9 StundenWindows Server1 Kommentar

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 11 StundenHumor (lol)3 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 15 StundenSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 1 TagInternet4 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Hardware
Frage an Kenner von 5,25 Zoll Laufwerken
Frage von DerWoWussteHardware43 Kommentare

Moin Kollegen. Hier wird gerade im Archiv gewühlt und 5,25 Zoll Disketten ("2S/HD", 96TPI) sollen eingelesen werden. Ich habe ...

Datenbanken
PHP Fatal error: Uncaught Error: Call to undefined function oci connect
gelöst Frage von PlanitecXDatenbanken22 Kommentare

Hallo Zusammen, ich sitze seit Tagen am Problem das ich keine PHP Anwendung mit Anbindung zu Oracle zum laufen ...

Hardware
PC im Selbstbau, Workstation, mittelklasse Gaming
gelöst Frage von MrRobot1997Hardware21 Kommentare

Hallöchen Leute, ich bin seit einigen Jahren leider nicht mehr wirklich im Bild, wenn es um die Hardware und ...

Windows Server
User auf Server Install-Rechte geben
gelöst Frage von killtecWindows Server17 Kommentare

Hi, ich möchte auf mehreren W2016 Servern einem bestimmten User das Recht zum Installieren von Programmen geben. Er soll ...