Wireless LAN absichern

[nice2kn0w]

Hi Leute,

ich bin mit dem Thema absichern eines WLAN's beauftragt worden, meine Erfahrungen diesbezüglich halten sich allerdings in Grenzen und mir stellen sich einige Fragen. Derzeit sieht die Konfiguration so aus, dass alle Shops 16Dbi omni-directional antennen in ca. 16 - 18m Höhe angebracht sind und mit 200mw AP's (Linksys WRT54G) verbunden sind.

die Shops liegen ca 4 - 5 km auseinander und B,C und D schicken derzeit ohne VPN, an A über ein Kassensystem ihre Daten. Nicht nur, dass kein verschlüsseltes VPN genutzt wird, WEP ist auch im Einsatz!

Die Sache mit WEP hat sich schnell erledigt. Nun meine Fragen:

Denkt Ihr, dass es möglich ist, die omni-directional Antennen gegen highly- oder zumindest semi-directionale Antennen auszutauschen, so dass alle Shops noch immer mit einander kommunizieren können?

Ich möchte gerne eine Zentrale Authentifizierungsstelle mit RADIUS und 802.1x integrieren, ergibt es einen Sinn mit RADIUS Proxys zu arbeiten, aufgrund der Ausfallsicherheit?

danke schonmal für die Antworten

[lupo49]

Ich möchte gerne eine Zentrale Authentifizierungsstelle mit RADIUS und 802.1x integrieren, ergibt es einen Sinn mit RADIUS Proxys zu arbeiten, aufgrund der Ausfallsicherheit?

Jeder Standort sollte eine eigene Zertifizierungsstelle haben, da ansonsten bei einem Ausfall der VPN/WLAN-Verbindungen zwischen den Standorten keine Einklinken der Clients ins lokale Wireless LAN mehr möglich ist.

Warum willst du die jetzigen Antennen gegen andere austauschen?

Kannst du keine stärkere Verschlüsselung auf den APs aktivieren?

[nice2kn0w]

Hallo Lupo,

vielen Dank für Deinen Beitrag, der mich dann auch tatsächlich erst auf die Idee gebracht hat, dass wenn ich die Omni-directional Antennen weg nehme ich den Clients auch gleichzeitig den AP nehme :upps

Nun hab ich folgendes vor und würde gerne wissen, ob meine Idee so umsetzbar ist, da ich wie gesagt im Bereich Enterprise WLAN kaum Erfahrung habe.

Die Standorte bauen eine Site-To-Site VPN Verbindung auf,

jeder Client/User des internen Netzes, der sich per WLAN verbinden möchte muss sich am RADIUS der Sonicwall authentifizieren, der die Anfrage zum DC im lokalen Netz schickt.

im Standort Morley ist ein Kassensystem in Betrieb zu dem PDA's ihre Daten senden, auch die PDA's müssen sich am RADIUS authentifizieren, befinden sich in einem VLAN und jeglicher verkehr von dort, ist nur ins interne LAN gestattet durch die Sonicwall.

Standort Balcatta gleiches Verfahren mit den PDA's, gleiches Verfahren mit den wireless Clients.

Dort habe ich das Problem, das ALLES wireless geschehen muss, weil es sich in einer Weltkulturerbe Area befindet :old

in jedem Standort wollte ich mindestens einen Domänencontroller w2k8 hinstellen mit CA.

hier mal 2 Standorte:

danke für Eure hilfe

Bearbeitet 20. April 2010 von nice2kn0w

[lupo49]

Bist du sicher, dass du für die RADIUS-Authentifizierung eine Certificate Authority (CA) benötigst?

Was für Daten werden jetzt noch zwischen den einzelnen Standorten ausgetauscht? Wie sieht die max. Nettodatenrate zwischen den Standorten aus?

OT: Ist das nur ein Simulationsaufbau oder eine reale Dienstleistung in Australien?

[nice2kn0w]

hi lupo,

also ich benötige ne PKI für EAP-TLS, deshalb hab ich daran gedacht überall eine CA im Standort aufzustellen. Mir macht derzeit allerdings der Standort Kopfschmerzen, der nur wireless technology hat. Dort sind wie überall 3 AP's, einer für die Verbindung der Standorte, einer für die PDA's und einer für's Management. Am liebsten würde ich aus den beiden letzteren Repeater machen und dann zum Standort AP weiterleiten lassen, der dann über RADIUS alles weitere erledigt und somit ein zentraler Verwaltungspunkt vorhanden ist.

P.s.: Es ist für ein Assignment bei dem die beste Projektarbeit auch durchgeführt wird