Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Verschlüsselung Captive Portal?

    Scheduled Pinned Locked Moved Deutsch
    8 Posts 6 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Sobowolf
      last edited by

      Hallo,

      ich habe in meiner Firma einen Gastzugang mittels Captive Portal für mein Abschlussprojekt meiner Ausbildung zum Fachinformatiker Fachrichtung Systemintegration getätigt.
      Nun ist es so, dass die Access Points ja offen sind und nicht verschlüsselt sind. Momentan ist es so, dass die Mitarbeiter bei uns über die MAC-Adresse freigeschaltet werden, welches allerdings ein Sicherheitsrisiko darstellen würde bzgl. MAC-Spoofing etc. gibt es dies bezüglich alternativen ohne größeren Aufwand die Mitarbeiter für Captive Portal freizuschalten und den Datenverkehr zu Verschlüsseln? oder muss ich hierfür einen Radius Server aufsetzen? Die Gäste gelangen momentan über einen temporären Voucher ins Internet. Könnte man die generierten Voucher eig. auch über einen Radius Server laufen lassen?

      Sorry für die evtl. komischen Fragen, allerdings habe ich bzgl. Radius Server und PfSense noch nicht soviel wissen mir aneignen können?

      Mit freundlichen Grüßen

      Sobowolf

      1 Reply Last reply Reply Quote 0
      • M
        Marvho
        last edited by

        Hallo Sobowolf,

        hier mal etwas sehr lesenswertes was dir bestimmt die ein oder andere Frage zum Thema Radius beantworten sollte.

        http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizierung-radius-142241.html

        Grüße

        1 Reply Last reply Reply Quote 0
        • S
          shiversc
          last edited by

          Offene APs heißt aber auch JEDER kann Traffic mitschneiden.

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            @shiversc: Vollkommen richtig. Das ist aber die Crux an "offenen WLANs" generell. Ist es komplett offen, ist Wardriving oder einfach mitschneiden möglich wenn die User keine verschlüsselten Verbindungen nutzen. Setzt man bspw. WPA2, ist es kein wirklich offenes WLAN mehr - also schreibt man ggf. das Passwort im Cafe irgendwo hin. Damit ist aber auch wieder jeglicher Traffic entschlüsselbar, man muss eben nur reingehen und den Schlüssel ablesen. Bei WLAN muss also immer davon ausgegangen werden, dass mein Trägermedium nicht sicher ist und ich dementprechend meine Verbindung weiter absichern muss, es sei denn ich selbst kontrolliere (direkt oder indirekt) das WLAN (zu Hause, Firma o.ä.).

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • S
              Sobowolf
              last edited by

              Das ist korrekt
              Offen APs = Kann jeder mitlesen.
              Dies bezüglich möchte ich ein VLAN1 Mitarbeiter Netzwerk einrichten und ein VLAN2 ein Gäste Netzwerk.
              Ist es auch möglich sich Voucher über das Captive Portal zu generieren und die Voucher anschließend für eine Radius Authentifizierung für die Gäste zu benutzen?
              Das Praktisch der Datenverkehr für die Gäste nach außen Verschlüsselt wird aber über den Proxy-Server die Protokollierung der Verkehrsdaten aus gesetzlichen Anforderungen für den Administrator möglich ist?

              1 Reply Last reply Reply Quote 0
              • E
                eviltrooper
                last edited by

                Also ich habe es so gemacht,

                die APS sind generell mit WPA2 verschlüsselt. Somit ist von Aussen schonmal nicht so einfach reinzukommen.

                Jeder Gast kennt natürlich den Key, da er auf den Voucher drauf steht..

                Allerdings gibt es bei uns nur ein Gast Zugang richtung Internet.. und es besteht KEINE möglichkeit da ins Interne Netz zu kommen.

                Mitarbeiter bekommen eine Feste IP per DHCP zugewiesen und werden mittels MAC Adresse im Portal freigeschaltet.

                Für ein Internen WLAN zugang haben wir ein Extra Radius Server.

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  @evil:

                  Mitarbeiter bekommen eine Feste IP per DHCP zugewiesen und werden mittels MAC Adresse im Portal freigeschaltet.
                  Die stehen aber im gleichen WLAN wie die Gäste? Also die gleiche SSID? Dann könnte theoretisch der Traffic von einem Gast mitgeschnitten werden.

                  Nur mal Interesse halber

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • ?
                    Guest
                    last edited by

                    Hier mal noch zwei Anleitungen dazu die die ganze Sache besser abhandeln und auch genauer dazu passen.
                    Alles in deutscher Sprache und man kann auch dazu Fragen loswerden.

                    WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
                    VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

                    WLAN Netzwerk:

                    • zwei SSIDs anlegen (intern & extern)
                    • in zwei VLANs packen
                    • WPA2 AES-ccm verwenden
                    • Zwei Benutzergruppen anlegen (intern & und extern)
                    • Vouchers Lease-Time von "intern" auf never expire und von "extern" 4 - 8 Stunden
                    • Klient Isolation aktivieren!!!

                    LAN Netzwerk:

                    • VLANs anlegen (Finger weg von VLAN0 und VLAN1 default)
                    • eines  und eines extern nennen
                    • jeweils ein eigens IP Netz verpassen
                    • Am Switch ACLs oder an der pfSense ACLs setzen

                    Am besten eigenen sich dazu UBNT WLAN APs die sind günstig und es gibt einen WLAN Controller
                    (kostenlose Software) dazu damit kann man dann die WLAN APs auch schnell warten und administrieren.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.