adeba Geschrieben 7. März 2005 Geschrieben 7. März 2005 hallo, ich habe follgende ausgangskonfiguration: - 1 windows 2003 server - 1 cisco access point 1200 - 2-3 wlan clients (centrino laptops) - 1 standard switch jetz soll ich das ganze möglichst sicher an unser firmennetzwerk anschliessen. ein seperates netz wurde hierfür schon eingerichtet. ich habe mich jetzt schonmal ein wenig in das thema eingelesen und bin zu dem entschluss gekommen den windows 2003 server als authentifizierungs server (radius server) zu benutzen damit sich die laptop clients dort anmelden müssen. jetzt frage ich mich ob ich die userkonten der domäne dafür benutzen kann? erreichen möchte ich das sich die clients nur mit ihrem domänenkonto anmelden und gleizeitig ihre wlan berechtigung bekommen. ist das möglich? habe gelesen das so ein radius server nur zur anmeldung dient aber sonst keinerlei sicherheit bietet da nichts verschlüsselt ist. heisst das man sollte gleichzeitig das ganze noch über vpn machen? im access point wollte ich noch den mac filter aktivieren und halt wep/wpa aktivieren. komischerweise habe ich spontan nur wep in den einstellungen gefunden, kann sein das ich wpa über ein anderes ios erst och freischalten kann, weiss da jemand etwas drüber? sind meine gedanken bis jetzt richtig? oder wie würdet ihr das ganze mit der vorhandenen hard/software umsetzen? ps: das ganze ist mein abschlußprojekt als fisi mfg adeba Zitieren
Oli-nux Geschrieben 7. März 2005 Geschrieben 7. März 2005 Das mit dem WEP/WPA... wenn dein AP nur WEP untertsützt, dann kannst auch kein WPA aktivieren. Mit radius server kenn ich mich nicht aus, da kann ich dir nicht helfen. Deine Aussage "jetz soll ich das ganze möglichst sicher an unser firmennetzwerk anschliessen"..... WEP und sicher, das ist so ne Sache. Zudem machst du bestimmt nichts mit statischen IP's sondern per DHCP? Das wird voraussichtlich nicht sicher genug werden. :hells: Mac-Adressen lassen sich ändern. Zitieren
adeba Geschrieben 7. März 2005 Autor Geschrieben 7. März 2005 also falls der ca 500 euro teure ap 1200 von cisco kein wpa kann wär ich schon stark enttäuscht. ip geht über dhcp. da sman mac adressen fälschen kann is klar. darum ja der zusatz mit mit der authentifikation die über vpn verschlüsselt ist Zitieren
cane Geschrieben 7. März 2005 Geschrieben 7. März 2005 Der 1200er Aironet kann: 902.11i, 802.11x, WEP, WPA, WPA2, TKIP, AES. Alles weitere hier: http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_brochure09186a00801f7d0b.html Je nachdem wie sensibel deine Daten sind kannst Du von WPA mit sicherem PSK bis hin zu einem ordentlichen IPSEC-VPN gehen... mfg cane mfg cane Zitieren
hades Geschrieben 8. März 2005 Geschrieben 8. März 2005 Der 1200er Aironet kann: ... 802.11x... Du meinst hier eher 802.1x. @Oli-nux: Bitte demnaechst die Ausgangsfragen genauer lesen und auf die gestellte Frage praezise antworten. Es ging hier nicht um WLAN-Sicherheit im Allgemeinen, sondern um eine praezise gestellte Frage ueber ein bestimmtes Cisco-Modell. Zitieren
Oli-nux Geschrieben 8. März 2005 Geschrieben 8. März 2005 Ihr dürft bald alles allein machen, wenn euch was nicht passt! Zitieren
adeba Geschrieben 8. März 2005 Autor Geschrieben 8. März 2005 @cane dann kann ich das so machen wie geschildert? geht wie gesagt um mein abschlußprojekt, von daher nicht unwichtig für mich . also aus jetziger sicht habe ich also den 2003er server der als domänencontroller läuft. dort sind die benutzerkonten für die laptop clients eingerichtet. jetzt möchte ich den server gleichzeitig als radius server (authentifikationsserver) für die clients benutzen. ist das möglich mit den domänenaccounts? ausserdem möchte ich das ganze per vpn verschlüsseln, ist das ein grosser mehraufwand? oder einfach die vpn clients auf den xp clients aktivieren und halt auf dem server? dann halt auf dem cisco 1200 mac filter und wpa aktivieren und den radius server eintragen. klappt das alles so wie ich mir das vorstelle? und vor allem klingt das vor dem prüfungsausschuss gleubhaft das da "nur" 35 stunden hinterstecken? Zitieren
cane Geschrieben 8. März 2005 Geschrieben 8. März 2005 Da Du gerade online bist und warscheinlich auf eine Antwort wartest: Ich antworte heute Abend ausführlich! mfg cane Zitieren
captain_tux Geschrieben 8. März 2005 Geschrieben 8. März 2005 Hi, also, was ich bei deiner idee noch verbessern würde: wenn ich das richtig verstehe, muss man nach jeder einwahl ins WLAN die VPN Clients zum Tunnelaufbau starten? Besser wäre es, wie oben schon gesagt, direkt ein digitales zertifikat auf den rechern zu installieren und damit die daten bei der WLAN Verbidnung in deinem Netz zu verschlüssseln. Zitieren
adeba Geschrieben 14. März 2005 Autor Geschrieben 14. März 2005 @cane kannst du bitte nochmal ein paar zeilen dazu schreiben? Zitieren
cane Geschrieben 14. März 2005 Geschrieben 14. März 2005 @cane kannst du bitte nochmal ein paar zeilen dazu schreiben? Oh, das habe ich ganz vergessen Geschieht im Laufe des Tages... mfg cane Zitieren
adeba Geschrieben 16. März 2005 Autor Geschrieben 16. März 2005 so, ich habe die letzten tage mal bisschen rangeklotzt bin jetzt auf folgendem stand: -ich habe den access point von cisco works auf cisco ios neueste version upgedatet (gar nicht so einfach) -ich habe im accespoint wpa aktiviert und die ip von radius server eingetragen -ich habe den 2003 server als dc eingerichtet und ein paar testkonten erstellt -ich habe auf dem server den zertifizierungsdienst aktiviert -ich habe den radius server auf dem server istalliert -ich habe meine clients mit wpa fähiger wlan karte eingerichtet -ich habe mich in der neuen domäne mit einem testkonto angemeldet und bekomme ein zertifikat und bin quasi drinn jetzt plane ich noch den mac filter zu setzten (reine formsache), die sendeleistung vom access point runterzusetzen und natürlich die sicherheitsüberprüfung (die ich auch im projektantrag angegeben habe) habt ihr eine idee wie genau diese sicherheitsüberprüfung aussehen soll? aufgrund von ausrecihender sicherheit und benutzerfreundlichkeit habe ich mich entschieden auf vpn/ipsec zu verzichten, ausserdem würde das die vorgegeben 35 stunden meines projektes übersteigen. meint ihr das ist ok so? Zitieren
bume Geschrieben 18. März 2005 Geschrieben 18. März 2005 Hi Ich bin zur Zeit so ziemlich dasselbe am installieren, ausser das ich Zyxel statt Cisco Produkte verwende (Geschäftsvorgabe). Allerdings stehe ich an bei der Vergabe der Zertifikate. Könntest du mir kurz schildern welche Schritte bzw. Einstellungen in der Zertifizierungsstelle sowie in der AD Gruppenrichtlinie notwendig sind damit ein Client bei der Anmeldung sein Zertifikat erhält? Danke! Zitieren
adeba Geschrieben 20. März 2005 Autor Geschrieben 20. März 2005 ich schicke dir heute abend mal nen link, hab ich auffem laptop und grad nich zur hand. das kuriose ist das man im inet da kaum was zu findet. hatte gedacht als ich das thema wählte das man dazu jede menge findet, aber iss nich so... Zitieren
Lotth Geschrieben 21. April 2008 Geschrieben 21. April 2008 Hallo an alle... ich bin so frei und greife diesen Beitrag nochmals auf...auch wenn er vom Jahre 2005 ist. Ich habe das gleiche Thema als Projektarbeit bei meinem -praktikum: follgende Ausgangskonfiguration: - 1 x Radius-Server - 1 cisco access point 1200 - 50-100 WLAN-Clients - 1 Switch - Ohne Mac-Adresse-Filterung Nun meine Frage bzgl. den Authentifizierungsmethoden... Was kann ich benutzen, wenn ich nicht mit Zertifikaten arbeiten soll? Geht das mit PEAP? FAST-EAP? EAP? Oder was für ein Verfahren muss ich benutzen ? Wie gesagt Hauptaugenmerk liegt darin, es ohne Zertifikate zu machen... Ich danke allen für Tipps und Tricks Gruß Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.