Hallo @all,

ich möchte folgendes realisieren:

In den Tagungsräumen einer öffentlichen Institution sollen die Tagungsteilnehmer / Referenten die Möglichkeit bekommen per WLAN nur über den internen Proxy aufs Internet zuzugreifen.
Die Administratoren der Institution sollen zusätzlich das gesammte LAN nutzen können - dazu wird denke ich OpenVPN verwendet werden.

Den AccessPoint werde ich vorraussichtlich an einen IPCop, der als VPN-Gateway dient, anschließen und die Iptables so modden, dass man ohne VPN nur per HTTP / HTTPS auf den Proxy kommt und mit VPN ins gesammte Netz.

Was mich stört ist die Tatsache das die Einstiegshürde zur Nutzung des WLAN möglichst niedrig gehalten werden muß. Ich kann den Tagungsteilnemern nicht zumuten WEP-Keys abzutippen etc. Gut, per cronjob läßt sich das WLAN zumindest nachts sperren, aber tagsüber kann trotzdem jedermann das WLAN nutzen, ob Tagungsteilnehmer der surfen will oder Blackhat der seine Aktionen in HTTP tunnelt.

Wie würdet ihr die Sicherheit verbessern?

Gibt es eventuell die Möglichkeit ein OpenVPN-Binary statisch zu kompilieren und die Konfiguration mit reinzupacken so das die Tagungsteilnehmer lediglich eine .exe ausführen müssen um ins Internet zu kommen?

Andere Ideen?

mfg
cane

ich würde das mit swan realisieren.
zusätzlich kannst du bestimmte mac-s ins lan durchlassen, die restlichen werden dann gesperrt bzw nur zum proxy gelassen...

MAC-Sperren sind von jedem Newbie zu umgehen und somit überflüssig.

Was meinst Du mit swan - da gibt es mehrere kommerzielle wie auch freie Projekte die sich so nennen...

mfg
cane

Wie wäre als weitere Hürde Authentifizierung am Proxy mit Tages Passwörtern, die zufällig generiert werden. Wenn man dann noch dem Proxy beibringen kann dass er dies über https abwickelt kann man das passwort auch nicht mehr leicht mitschneiden.
Dass der Datenverkehr mitgehört werden kann ist klar, aber wichtige Sachen sollten da nicht durchgehen und ein dicker Hinweis sollte davor warnen Mails etc ohne https abzurufen.

Das sicherste und einfachste wäre doch eigentlich ein wired Lan ;)

Gruss Robert

Die Administratoren der Institution sollen zusätzlich das gesammte LAN nutzen können - dazu wird denke ich OpenVPN verwendet werden.

Gute Idee. Auch unter Windows sollte es denen net schwer fallen ...



Was mich stört ist die Tatsache das die Einstiegshürde zur Nutzung des WLAN möglichst niedrig gehalten werden muß.

Wer verlangt das?



Ich kann den Tagungsteilnemern nicht zumuten WEP-Keys abzutippen etc.

Doch. Im zweifelsfall bekommen sie diese per Zettel/Dateifreigabe/USB-Stick/Diskette und dann C&P
Läßt sich gut mit Tagespw für den Proxy kombinieren


dd if=/dev/random bs=2 count=16 | uuencode pw --base64 | head -2 | tail -1 | cut -b 4-11


cu/2 iae

Hallo und Danke für die Anregungen!


Wie wäre als weitere Hürde Authentifizierung am Proxy mit Tages Passwörtern, die zufällig generiert werden. Wenn man dann noch dem Proxy beibringen kann dass er dies über https abwickelt kann man das passwort auch nicht mehr leicht mitschneiden.

Eine gute Idee - werde ich denke ich umsetzen.
Ich muß sowieso noch einen Squid aufsetzen weil die momentan eingesetzten Proxys nicht in der Lage sind die Internet-Zugriffe der Terminalserver-User auseinanderzuhalten... Dann kann dieser Squid die Authentifizierung der WLAN-User vornehmen und ich muß den Squid des IPCop nicht nutzen...


Gute Idee. Auch unter Windows sollte es denen net schwer fallen ...

Das ist mit OpenVPN gar kein Problem :)


Wer verlangt das?

Wenn die Hürde das WLAN zu nutzen zu hoch ist wird es nicht genutzt und der Aufwand eine Lösung zu realisieren ist umsonst. Da die potentiellen Nutzer zumeist technisch weniger vorbelastet sind wäre das Eintippen von WEP-Keys schon "zu viel". Da gefällt mir die Lösung mit der Proxy-Auth schon besser.

Wäre es vielleicht möglich, das der Proxy per DHCP automatisch auf https://"mein_Squid":445 gesetzt wird und der Squid dann nur HTTPS-Anfragen akzeptiert?


dd if=/dev/random bs=2 count=16 | uuencode pw --base64 | head -2 | tail -1 | cut -b 4-11

Netter Code :)

mfg
cane