Re: Interne Firewall mit Zugang für IEEE 802.11

To: debian-user-german@lists.debian.org
Subject: Re: Interne Firewall mit Zugang für IEEE 802.11
From: Björn Meier <bjoern.meier@googlemail.com>
Date: Tue, 26 May 2009 10:13:06 +0200
Message-id: <[🔎] 4A1BA492.2040103@googlemail.com>
In-reply-to: <[🔎] 4A1B9B2E.2070507@stud.tu-ilmenau.de>
References: <[🔎] 4A1B9730.5000300@googlemail.com> <[🔎] 4A1B9B2E.2070507@stud.tu-ilmenau.de>

Urs Traenkner wrote:

Björn Meier wrote:
So, nun sollen aber die Wireless-Geräte - welche hauptsächlich Gästesind - in das DMZ-subnet. Geplant hierbei ist, dass auf der firewallein transparenter Proxy läuft, der gegen NTLM (selbstterminierenderGast-account in der Domäne) authentifiziert. Leider geht proxy_authnicht im transparent mode.
Ich brauche aber eine Authentifizierungsmöglichkeit. Denn es soll soeinfach wie möglich für unsere Gäste sein. D.h. es gibt kein wep, wpaoder so.
WPA/WPA2 sind so schwierig nun nicht. Man sucht sich das Funknetz,tippert das Passwort ein und die Bude laeuft. Offen willst Du WLANwohl eher nicht laufen lassen?

Doch will ich. Wie jeder Hotspot auch. D. h. du kommst zwar so in dasDMZ-Subnet aber alles andere kannst du nur gegen Authentifizierung nutzen.

Eine Authentifizierung kriegst Du nunmal nur ueber Zertifikate oderPasswortgedoens.
Ich wuerde den AP an der Stelle einfach ueber WPA/WPA2 und Passwort(eins fuer alle) laufen lassen, dem Ding ein eigenes Subnet +Netzwerkkarte im entspr. Rechner spendieren und den Rest ueberiptables loesen. Ausser natuerlich, ich habe hier was grundliegendfalsch verstanden (bspw., dass jeder, der drahtlos reinkommt, als Gastverstanden wird und keine Trennung braucht - wenn dem nicht so ist,kommst Du an einer vernuenftigen Authentifizierung so oder so nichtvorbei, das laeuft letztendlich auf Zertifikate raus).
Nur so als Idee. Vielleicht geht's ja auch noch viel eleganter, daserzaehlen Dir dann andere Leute :)
Gruss Urs...

Wie gesagt, so einfach wie möglich. Da fallen Zertifikate raus. DieAnmeldung muss definitiv ohne administrativen Aufwand von statten gehen.

WPA und Konsorten ist deswegen unsinnig, da ich es nach jedem Gast dasKennwort ändern muss, sonst nützt mir das Kennwort gar nichts. Deswegenoffener WLAN zugang und Dienste gegen NTLM-Authentifizierung, da ichhier sicherstellen kann, dass die Gastzugänge von der Zentrale soangelegt werden können, dass diese von selbst ablaufen.



Gruß,
Björn

Reply to:

References:
- Interne Firewall mit Zugang für IEEE 802.11
  - From: Björn Meier <bjoern.meier@googlemail.com>
- Re: Interne Firewall mit Zugang für IEEE 802.11
  - From: Urs Traenkner <urs.traenkner@stud.tu-ilmenau.de>

Prev by Date: Re: Interne Firewall mit Zugang für IEEE 802.11
Next by Date: Re: RAID-Monitoring MegaRAID SAS Verde ZCR
Previous by thread: Re: Interne Firewall mit Zugang für IEEE 802.11
Next by thread: Re: Interne Firewall mit Zugang für IEEE 802.11
Index(es):
- Date
- Thread