Zum Inhalt springen

Cisco Aironet 1200: sicheres wlan mit radius und vpn, fragen...

adeba

Von adeba
in Security

 Teilen

Empfohlene Beiträge

adeba

adeba

Geschrieben
Geschrieben

hallo, ich habe follgende ausgangskonfiguration:

- 1 windows 2003 server

- 1 cisco access point 1200

- 2-3 wlan clients (centrino laptops)

- 1 standard switch

jetz soll ich das ganze möglichst sicher an unser firmennetzwerk anschliessen. ein seperates netz wurde hierfür schon eingerichtet. ich habe mich jetzt schonmal ein wenig in das thema eingelesen und bin zu dem entschluss gekommen den windows 2003 server als authentifizierungs server (radius server) zu benutzen damit sich die laptop clients dort anmelden müssen. jetzt frage ich mich ob ich die userkonten der domäne dafür benutzen kann? erreichen möchte ich das sich die clients nur mit ihrem domänenkonto anmelden und gleizeitig ihre wlan berechtigung bekommen. ist das möglich? habe gelesen das so ein radius server nur zur anmeldung dient aber sonst keinerlei sicherheit bietet da nichts verschlüsselt ist. heisst das man sollte gleichzeitig das ganze noch über vpn machen? im access point wollte ich noch den mac filter aktivieren und halt wep/wpa aktivieren. komischerweise habe ich spontan nur wep in den einstellungen gefunden, kann sein das ich wpa über ein anderes ios erst och freischalten kann, weiss da jemand etwas drüber?

sind meine gedanken bis jetzt richtig? oder wie würdet ihr das ganze mit der vorhandenen hard/software umsetzen?

ps: das ganze ist mein abschlußprojekt als fisi

mfg adeba

Link zu diesem Kommentar
Auf anderen Seiten teilen
Oli-nux

Oli-nux

Geschrieben
Geschrieben

Das mit dem WEP/WPA... wenn dein AP nur WEP untertsützt, dann kannst auch kein WPA aktivieren.;)

Mit radius server kenn ich mich nicht aus, da kann ich dir nicht helfen.:(

Deine Aussage "jetz soll ich das ganze möglichst sicher an unser firmennetzwerk anschliessen"..... WEP und sicher, das ist so ne Sache.;)

Zudem machst du bestimmt nichts mit statischen IP's sondern per DHCP?;)

Das wird voraussichtlich nicht sicher genug werden. :hells:

Mac-Adressen lassen sich ändern.;)

Link zu diesem Kommentar
Auf anderen Seiten teilen
adeba

adeba

Geschrieben
  • Autor
Geschrieben

also falls der ca 500 euro teure ap 1200 von cisco kein wpa kann wär ich schon stark enttäuscht. ip geht über dhcp. da sman mac adressen fälschen kann is klar. darum ja der zusatz mit mit der authentifikation die über vpn verschlüsselt ist

Link zu diesem Kommentar
Auf anderen Seiten teilen
hades

hades

Geschrieben
Geschrieben
Der 1200er Aironet kann: ... 802.11x...

Du meinst hier eher 802.1x.;)

@Oli-nux:

Bitte demnaechst die Ausgangsfragen genauer lesen und auf die gestellte Frage praezise antworten. Es ging hier nicht um WLAN-Sicherheit im Allgemeinen, sondern um eine praezise gestellte Frage ueber ein bestimmtes Cisco-Modell.;)

Link zu diesem Kommentar
Auf anderen Seiten teilen
adeba

adeba

Geschrieben
  • Autor
Geschrieben

@cane

dann kann ich das so machen wie geschildert? geht wie gesagt um mein abschlußprojekt, von daher nicht unwichtig für mich :) . also aus jetziger sicht habe ich also den 2003er server der als domänencontroller läuft. dort sind die benutzerkonten für die laptop clients eingerichtet. jetzt möchte ich den server gleichzeitig als radius server (authentifikationsserver) für die clients benutzen. ist das möglich mit den domänenaccounts? ausserdem möchte ich das ganze per vpn verschlüsseln, ist das ein grosser mehraufwand? oder einfach die vpn clients auf den xp clients aktivieren und halt auf dem server?

dann halt auf dem cisco 1200 mac filter und wpa aktivieren und den radius server eintragen.

klappt das alles so wie ich mir das vorstelle? und vor allem klingt das vor dem prüfungsausschuss gleubhaft das da "nur" 35 stunden hinterstecken?

Link zu diesem Kommentar
Auf anderen Seiten teilen
captain_tux

captain_tux

Geschrieben
Geschrieben

Hi,

also, was ich bei deiner idee noch verbessern würde:

wenn ich das richtig verstehe, muss man nach jeder einwahl ins WLAN die VPN Clients zum Tunnelaufbau starten? Besser wäre es, wie oben schon gesagt, direkt ein digitales zertifikat auf den rechern zu installieren und damit die daten bei der WLAN Verbidnung in deinem Netz zu verschlüssseln.

Link zu diesem Kommentar
Auf anderen Seiten teilen
adeba

adeba

Geschrieben
  • Autor
Geschrieben

so, ich habe die letzten tage mal bisschen rangeklotzt :)

bin jetzt auf folgendem stand:

-ich habe den access point von cisco works auf cisco ios neueste version upgedatet (gar nicht so einfach)

-ich habe im accespoint wpa aktiviert und die ip von radius server eingetragen

-ich habe den 2003 server als dc eingerichtet und ein paar testkonten erstellt

-ich habe auf dem server den zertifizierungsdienst aktiviert

-ich habe den radius server auf dem server istalliert

-ich habe meine clients mit wpa fähiger wlan karte eingerichtet

-ich habe mich in der neuen domäne mit einem testkonto angemeldet und bekomme ein zertifikat und bin quasi drinn :)

jetzt plane ich noch den mac filter zu setzten (reine formsache), die sendeleistung vom access point runterzusetzen und natürlich die sicherheitsüberprüfung (die ich auch im projektantrag angegeben habe)

habt ihr eine idee wie genau diese sicherheitsüberprüfung aussehen soll?

aufgrund von ausrecihender sicherheit und benutzerfreundlichkeit habe ich mich entschieden auf vpn/ipsec zu verzichten, ausserdem würde das die vorgegeben 35 stunden meines projektes übersteigen. meint ihr das ist ok so?

Link zu diesem Kommentar
Auf anderen Seiten teilen
bume

bume

Geschrieben
Geschrieben

Hi

Ich bin zur Zeit so ziemlich dasselbe am installieren, ausser das ich Zyxel statt Cisco Produkte verwende (Geschäftsvorgabe).

Allerdings stehe ich an bei der Vergabe der Zertifikate. Könntest du mir kurz schildern welche Schritte bzw. Einstellungen in der Zertifizierungsstelle sowie in der AD Gruppenrichtlinie notwendig sind damit ein Client bei der Anmeldung sein Zertifikat erhält?

Danke!

Link zu diesem Kommentar
Auf anderen Seiten teilen
  • 3 Jahre später...
Lotth

Lotth

Geschrieben
Geschrieben

Hallo an alle...

ich bin so frei und greife diesen Beitrag nochmals auf...auch wenn er vom Jahre 2005 ist.

Ich habe das gleiche Thema als Projektarbeit bei meinem -praktikum:

follgende Ausgangskonfiguration:

- 1 x Radius-Server

- 1 cisco access point 1200

- 50-100 WLAN-Clients

- 1 Switch

- Ohne Mac-Adresse-Filterung

Nun meine Frage bzgl. den Authentifizierungsmethoden...

Was kann ich benutzen, wenn ich nicht mit Zertifikaten arbeiten soll?

Geht das mit PEAP? FAST-EAP? EAP? Oder was für ein Verfahren muss ich benutzen ?

Wie gesagt Hauptaugenmerk liegt darin, es ohne Zertifikate zu machen...

Ich danke allen für Tipps und Tricks

Gruß

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...