Verschlüsselung Captive Portal?



  • Hallo,

    ich habe in meiner Firma einen Gastzugang mittels Captive Portal für mein Abschlussprojekt meiner Ausbildung zum Fachinformatiker Fachrichtung Systemintegration getätigt.
    Nun ist es so, dass die Access Points ja offen sind und nicht verschlüsselt sind. Momentan ist es so, dass die Mitarbeiter bei uns über die MAC-Adresse freigeschaltet werden, welches allerdings ein Sicherheitsrisiko darstellen würde bzgl. MAC-Spoofing etc. gibt es dies bezüglich alternativen ohne größeren Aufwand die Mitarbeiter für Captive Portal freizuschalten und den Datenverkehr zu Verschlüsseln? oder muss ich hierfür einen Radius Server aufsetzen? Die Gäste gelangen momentan über einen temporären Voucher ins Internet. Könnte man die generierten Voucher eig. auch über einen Radius Server laufen lassen?

    Sorry für die evtl. komischen Fragen, allerdings habe ich bzgl. Radius Server und PfSense noch nicht soviel wissen mir aneignen können?

    Mit freundlichen Grüßen

    Sobowolf



  • Hallo Sobowolf,

    hier mal etwas sehr lesenswertes was dir bestimmt die ein oder andere Frage zum Thema Radius beantworten sollte.

    http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizierung-radius-142241.html

    Grüße



  • Offene APs heißt aber auch JEDER kann Traffic mitschneiden.


  • Moderator

    @shiversc: Vollkommen richtig. Das ist aber die Crux an "offenen WLANs" generell. Ist es komplett offen, ist Wardriving oder einfach mitschneiden möglich wenn die User keine verschlüsselten Verbindungen nutzen. Setzt man bspw. WPA2, ist es kein wirklich offenes WLAN mehr - also schreibt man ggf. das Passwort im Cafe irgendwo hin. Damit ist aber auch wieder jeglicher Traffic entschlüsselbar, man muss eben nur reingehen und den Schlüssel ablesen. Bei WLAN muss also immer davon ausgegangen werden, dass mein Trägermedium nicht sicher ist und ich dementprechend meine Verbindung weiter absichern muss, es sei denn ich selbst kontrolliere (direkt oder indirekt) das WLAN (zu Hause, Firma o.ä.).



  • Das ist korrekt
    Offen APs = Kann jeder mitlesen.
    Dies bezüglich möchte ich ein VLAN1 Mitarbeiter Netzwerk einrichten und ein VLAN2 ein Gäste Netzwerk.
    Ist es auch möglich sich Voucher über das Captive Portal zu generieren und die Voucher anschließend für eine Radius Authentifizierung für die Gäste zu benutzen?
    Das Praktisch der Datenverkehr für die Gäste nach außen Verschlüsselt wird aber über den Proxy-Server die Protokollierung der Verkehrsdaten aus gesetzlichen Anforderungen für den Administrator möglich ist?



  • Also ich habe es so gemacht,

    die APS sind generell mit WPA2 verschlüsselt. Somit ist von Aussen schonmal nicht so einfach reinzukommen.

    Jeder Gast kennt natürlich den Key, da er auf den Voucher drauf steht..

    Allerdings gibt es bei uns nur ein Gast Zugang richtung Internet.. und es besteht KEINE möglichkeit da ins Interne Netz zu kommen.

    Mitarbeiter bekommen eine Feste IP per DHCP zugewiesen und werden mittels MAC Adresse im Portal freigeschaltet.

    Für ein Internen WLAN zugang haben wir ein Extra Radius Server.


  • Moderator

    @evil:

    Mitarbeiter bekommen eine Feste IP per DHCP zugewiesen und werden mittels MAC Adresse im Portal freigeschaltet.
    Die stehen aber im gleichen WLAN wie die Gäste? Also die gleiche SSID? Dann könnte theoretisch der Traffic von einem Gast mitgeschnitten werden.

    Nur mal Interesse halber



  • Hier mal noch zwei Anleitungen dazu die die ganze Sache besser abhandeln und auch genauer dazu passen.
    Alles in deutscher Sprache und man kann auch dazu Fragen loswerden.

    WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
    VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

    WLAN Netzwerk:

    • zwei SSIDs anlegen (intern & extern)
    • in zwei VLANs packen
    • WPA2 AES-ccm verwenden
    • Zwei Benutzergruppen anlegen (intern & und extern)
    • Vouchers Lease-Time von "intern" auf never expire und von "extern" 4 - 8 Stunden
    • Klient Isolation aktivieren!!!

    LAN Netzwerk:

    • VLANs anlegen (Finger weg von VLAN0 und VLAN1 default)
    • eines  und eines extern nennen
    • jeweils ein eigens IP Netz verpassen
    • Am Switch ACLs oder an der pfSense ACLs setzen

    Am besten eigenen sich dazu UBNT WLAN APs die sind günstig und es gibt einen WLAN Controller
    (kostenlose Software) dazu damit kann man dann die WLAN APs auch schnell warten und administrieren.