Hallo Liste, ich suche eine praktikable Lösung für eine Absicherung eine W-LANs. folgende Vorraussetzungen: ___________ _____________ ________________ |DSL-Router| -----------------> | Linux-Firewall | ---------------> | internes Netzwerk| ------------------- ------------------------ ----------------------------- den W-LAN-AP würde ich jetzt an eine 3. Netzwerkkarte in der linux-Firewall anschliessen. Soweit so gut. Ziel ist es das unauthorisiert User (War-Driver) gar nicht an der linux-Firewall vorbeikommen, Authorisiert User durch die Firewall ins Internet kommen und ganz spezielle User (mit eine praktikablen Lösung) in das interne Netzwerk (z.B. auf Samba-Shares). Ein ssh-tunnel wäre zwar möglich, aber für Samba-Shares etwas umständlich zu bedienen und auch für Authorisiert user (Gäste), die ins Internet wollen, sicherlich nicht einfach zu bedienen/einzurichten. Wie funktioniert eigentlich die Authorisation über Radius? Gibt es noch andere Möglichkeiten bzw. kennt jemand einen konkreten Lösungsansatz für das Problem "WLAN-Absicherung"? Mit freundlichen Grüßen A.Gegner
age@ifak-system.com writes:
Hallo Liste,
ich suche eine praktikable Lösung für eine Absicherung eine W-LANs.
folgende Vorraussetzungen:
___________ _____________ ________________ |DSL-Router| -----------------> | Linux-Firewall | ---------------> | internes Netzwerk| ------------------- ------------------------ -----------------------------
den W-LAN-AP würde ich jetzt an eine 3. Netzwerkkarte in der linux-Firewall anschliessen. Soweit so gut. Ziel ist es das unauthorisiert User (War-Driver) gar nicht an der linux-Firewall vorbeikommen, Authorisiert User durch die Firewall ins Internet kommen und ganz spezielle User (mit eine praktikablen Lösung) in das interne Netzwerk (z.B. auf Samba-Shares).
Ein ssh-tunnel wäre zwar möglich, aber für Samba-Shares etwas umständlich zu bedienen und auch für Authorisiert user (Gäste), die ins Internet wollen, sicherlich nicht einfach zu bedienen/einzurichten.
Wie funktioniert eigentlich die Authorisation über Radius? Gibt es noch andere Möglichkeiten bzw. kennt jemand einen konkreten Lösungsansatz für das Problem "WLAN-Absicherung"?
Die Möglichkeiten sind abhängig von den Fähigkeiten deines WLAN-Routers, der Clients und der Anzahl der potenziellen User. Einige WLAN_Router können nur WPA-PSK, dies arbeitet nach dem Prinzip des 'shared secret', d.h. aus einem gemeinsamen Passwort wird ein 40 Bit RC4 ermittelt, dieser Wert dient einerseits der Autorisierung,(aber nicht der Authentifizierung) anderseits der Transportverschlüsselung. WPA-EAP wird m.W. nur von sehr wenigen Routern beherrscht, damit kannst du dann auch einen Radius-Server zur Authentifizierung einbinden. Radius ist ein Authentifizierungssystem, ursprünglich für die Modemeinwahl gedacht, aber auch für andere Zwecke einsetzbar. T-online z.B. setzt Radius ein. Weitere Möglichkeiten sind WPA-TLS, EAP-PEAP, EAP-TTLS, damit habe ich aber keine Erfahrungen. Grundlage aller dieser Methoden ist IEEE 802.11i http://www.ieee802.org/11/ http://www.xs4all.nl/~evbergen/openradius/ -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
age@ifak-system.com writes:
ich suche eine praktikable Lösung für eine Absicherung eine W-LANs.
folgende Vorraussetzungen:
___________ _____________ ________________
|DSL-Router| -----------------> | Linux-Firewall | ---------------> |
internes Netzwerk| ------------------- ------------------------ -----------------------------
den W-LAN-AP würde ich jetzt an eine 3. Netzwerkkarte in der linux-Firewall anschliessen. Soweit so gut. Ziel ist es das unauthorisiert User (War-Driver) gar nicht an der linux-Firewall vorbeikommen, Authorisiert User durch die Firewall ins Internet kommen und ganz spezielle User (mit eine praktikablen Lösung) in das interne Netzwerk (z.B. auf Samba-Shares).
Ein ssh-tunnel wäre zwar möglich, aber für Samba-Shares etwas umständlich zu bedienen und auch für Authorisiert user (Gäste), die ins Internet wollen, sicherlich nicht einfach zu bedienen/einzurichten.
Wie funktioniert eigentlich die Authorisation über Radius? Gibt es noch andere Möglichkeiten bzw. kennt jemand einen konkreten Lösungsansatz für das Problem "WLAN-Absicherung"?
bei mein (separater) Wlan-Router kann ich die MAC-Adressen einstellen, welche ins Netzwerk reindürfen. Das ist zwar kein 100% Schutz, da man die ja fälschen kann. Dazu muß man die aber kennen, sprich aus dem laufenden Verkehr heraus abhören. Das setzt doch etwas Aufwand voraus. Vielleicht zuviel für einen War-Driver. Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Hallo,
danke erstmal für die antworten.
der AP ist eine DWL-2000AP. WPA-PSK kann er. So wie es aussieht braucht er
aber dafür einen Radius-Server.
Was haltet Ihr davon, das der "Gast" als authorisierter user sich über den
Radius-Server anmeldet und damit dann ins Internet und der "spezielle User
(z.B. der Chef)" über die Radius-Auth. und einem VPN in das interne
Netzwerk kommt?!
Mit freundlichen Grüßen
A.Gegner
"Dr. Jürgen Vollmer"
ich suche eine praktikable Lösung für eine Absicherung eine W-LANs.
folgende Vorraussetzungen:
___________ _____________
|DSL-Router| -----------------> | Linux-Firewall | --------------->
|
internes Netzwerk| ------------------- ------------------------ -----------------------------
den W-LAN-AP würde ich jetzt an eine 3. Netzwerkkarte in der linux-Firewall anschliessen. Soweit so gut. Ziel ist es das unauthorisiert User (War-Driver) gar nicht an der linux-Firewall vorbeikommen, Authorisiert User durch die Firewall ins Internet kommen und ganz spezielle User (mit eine praktikablen Lösung)
in
das interne Netzwerk (z.B. auf Samba-Shares).
Ein ssh-tunnel wäre zwar möglich, aber für Samba-Shares etwas umständlich zu bedienen und auch für Authorisiert user (Gäste), die ins Internet wollen, sicherlich nicht einfach zu bedienen/einzurichten.
Wie funktioniert eigentlich die Authorisation über Radius? Gibt es noch andere Möglichkeiten bzw. kennt jemand einen konkreten Lösungsansatz für das Problem "WLAN-Absicherung"?
bei mein (separater) Wlan-Router kann ich die MAC-Adressen einstellen, welche ins Netzwerk reindürfen. Das ist zwar kein 100% Schutz, da man die ja fälschen kann. Dazu muß man die aber kennen, sprich aus dem laufenden Verkehr heraus abhören. Das setzt doch etwas Aufwand voraus. Vielleicht zuviel für einen War-Driver. Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 9204871 Fax: +49(721) 24874 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer (See attached file: att1oj0h.dat)
Am Donnerstag, 10. März 2005 11:10 schrieb age@ifak-system.com:
Hallo,
danke erstmal für die antworten.
der AP ist eine DWL-2000AP. WPA-PSK kann er. So wie es aussieht braucht er aber dafür einen Radius-Server. Was haltet Ihr davon, das der "Gast" als authorisierter user sich über den Radius-Server anmeldet und damit dann ins Internet und der "spezielle User (z.B. der Chef)" über die Radius-Auth. und einem VPN in das interne Netzwerk kommt?! Genauso einen habe ich auch hier, der kann auch WPA-EAP, und dafür benötigt er dann den Radius-Server. Für WPA-PSK benötigt er nur den Preshared Key.
Mfg, Thomas
participants (4)
-
age@ifak-system.com
-
Dieter Kluenter
-
Dr. Jürgen Vollmer
-
Thomas Gräber