WLan Zugang in Netzwerk mit unterschiedlichen OS
Ein W-Lan Netz in einer Firma betreiben, wo unterschiedlichste Clients mit unterschiedlichen Betriebssystemen arbeiten.
Hallo an alle Admin´s.
Ich habe eine Frage bezüglich eines WLan Zugangs. In unserer Firma benutzen nur ca. 10 Mitarbeiter momentan unser "internes" WLan.
Davon sind 6 Notebooks mit win XP bzw. Win7, 1x Ipad2, 1x IPhone, 4x Nokia Smartphones und 1x Android Tablett. Die Windows Clients arbeiten ganz normal im 2003er Netzwerk mit den jeweiligen AD-Rechten. Der Rest holt sich nur E-Mails, oder verbindet sich mit mein Proxy um im Internet zu surfen. Alles nur interne Mitarbeiter, und keine Gäste!
Derzeit arbeiten wir mit einen 12Stelligen WPA2 Schlüssel. Ich weiß nicht ob das reicht, und wollte mir nen IAS-Radius einrichten. Mit den Windows Clients hätt ich da auch keine Bedenken, wie aber ist´s mit dem Rest? Um sich ein Zertifikat zu holen müssen die sich doch am Zertifikatsserver anmelden, oder?
Den Schlüssel hab nur ich und mein Co-Admin. (Selbst ich merk mir den nicht ) Ist auch sehr komplex gehalten. Reicht das aus? Oder ist´s bedenklich? Ich mein zu einen reicht unser WLan gerade so im ganzen Gebäude und zum anderen wenn einer 3 Tage vor der Firma steht fällt das bei unserer Firmengröße garantiert auf...
Wie würdet Ihr das machen? Alles so lassen?
Gruß Dan
Hallo an alle Admin´s.
Ich habe eine Frage bezüglich eines WLan Zugangs. In unserer Firma benutzen nur ca. 10 Mitarbeiter momentan unser "internes" WLan.
Davon sind 6 Notebooks mit win XP bzw. Win7, 1x Ipad2, 1x IPhone, 4x Nokia Smartphones und 1x Android Tablett. Die Windows Clients arbeiten ganz normal im 2003er Netzwerk mit den jeweiligen AD-Rechten. Der Rest holt sich nur E-Mails, oder verbindet sich mit mein Proxy um im Internet zu surfen. Alles nur interne Mitarbeiter, und keine Gäste!
Derzeit arbeiten wir mit einen 12Stelligen WPA2 Schlüssel. Ich weiß nicht ob das reicht, und wollte mir nen IAS-Radius einrichten. Mit den Windows Clients hätt ich da auch keine Bedenken, wie aber ist´s mit dem Rest? Um sich ein Zertifikat zu holen müssen die sich doch am Zertifikatsserver anmelden, oder?
Den Schlüssel hab nur ich und mein Co-Admin. (Selbst ich merk mir den nicht ) Ist auch sehr komplex gehalten. Reicht das aus? Oder ist´s bedenklich? Ich mein zu einen reicht unser WLan gerade so im ganzen Gebäude und zum anderen wenn einer 3 Tage vor der Firma steht fällt das bei unserer Firmengröße garantiert auf...
Wie würdet Ihr das machen? Alles so lassen?
Gruß Dan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177413
Url: https://administrator.de/contentid/177413
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Hi !
Ich würde in einem Firmen-WLAN grundsätzlich immer mit einem Captive Portal, WLAN Controller und/oder WPA Enterprise arbeiten. Leider habe ich aber auf Grund der Tatsache, dass bei den meisten unserer Kunden die Vorgabe war, den Zugriff mit Smartphones zu sperren und ich selbst auch eher ein Smartphone-Muffel bin, sehr wenig Erfahrung mit den Dingern. Und bevor ich irgendwelche Halbwahrheiten schreibe, würde ich auf die Kollegen aqui oder dog verweisen, die da sicher weitaus mehr Erfahrung haben....
Ansonsten würde ich ein gewerbliches WLAN grundsätzlich immer gegen einen RADIUS authentifizieren...
mrtux
Ich würde in einem Firmen-WLAN grundsätzlich immer mit einem Captive Portal, WLAN Controller und/oder WPA Enterprise arbeiten. Leider habe ich aber auf Grund der Tatsache, dass bei den meisten unserer Kunden die Vorgabe war, den Zugriff mit Smartphones zu sperren und ich selbst auch eher ein Smartphone-Muffel bin, sehr wenig Erfahrung mit den Dingern. Und bevor ich irgendwelche Halbwahrheiten schreibe, würde ich auf die Kollegen aqui oder dog verweisen, die da sicher weitaus mehr Erfahrung haben....
Ansonsten würde ich ein gewerbliches WLAN grundsätzlich immer gegen einen RADIUS authentifizieren...
mrtux
iOS, Android und Nokia kommen problemlos mit RADIUS-authentifizierten WLANs klar. Desweiteren ist es auch so, dass sich nur der IAS ein Zertifikat holen muss. Bei Symbian müsstest du aber dein Root-Zertifikat einmal importieren, damit die Verbindung aufgebaut werden kann.
Windows Server 2003 ist in der Lage, als Zertifizierungsstelle zu agieren.
Du solltest aber trennen, am besten VLAN-basiert. Viele bessere Access Points können eine dynamische VLAN-Zuordnung. Sprich anhand der Zugangsdaten gibt der IAS die Zuordnung mit und der Access Point schubst das Gerät ins passende VLAN rein.
Desweiteren ist nicht der Schlüssel ansich das Problem, sondern du musst auf die Endgeräte aufpassen. Unter Windows 7 kann man mit einem Klick, unter Windows XP mit einem kleinen Tool den Schlüssel anzeigen und exportieren lassen.
Der größte Vorteil von RADIUS-authentifizierten Systemen gegen den PSK-Systemen: Wenn ein Gerät verloren geht oder der Schlüssel bekannt wird, brauchst du nur bei einem Gerät den Schlüssel bzw. das Passwort tauschen.
Windows Server 2003 ist in der Lage, als Zertifizierungsstelle zu agieren.
Du solltest aber trennen, am besten VLAN-basiert. Viele bessere Access Points können eine dynamische VLAN-Zuordnung. Sprich anhand der Zugangsdaten gibt der IAS die Zuordnung mit und der Access Point schubst das Gerät ins passende VLAN rein.
Desweiteren ist nicht der Schlüssel ansich das Problem, sondern du musst auf die Endgeräte aufpassen. Unter Windows 7 kann man mit einem Klick, unter Windows XP mit einem kleinen Tool den Schlüssel anzeigen und exportieren lassen.
Der größte Vorteil von RADIUS-authentifizierten Systemen gegen den PSK-Systemen: Wenn ein Gerät verloren geht oder der Schlüssel bekannt wird, brauchst du nur bei einem Gerät den Schlüssel bzw. das Passwort tauschen.