Hallo,

haben hier einen Kabel Deutschland Anschluss (32 MBit, soll aber kommendes Jahr auf 100 MBit umgestellt werden), der mit einer Fritz!Box 7270 und einem externen Modem genutzt wird.

Im Netzwerk sind ca. 150 Teilnehmer, es könnten auch mal bis zu 200 werden …

Die Fritz!Box bewältigt das Datenaufkommen soweit ganz gut (ganz im Gegensatz zu einem DLink-Router, der damit völlig überfordert war).

Für das WLan steht die Fritz!Box wie auch 5 Lancom-WLan-Router zur Verfügung.

Was bei der 7270 jedoch nur umständlich bzw. gar nicht funktioniert, ist z.B. der MAC-Filter.

Den gibt es nämlich nur für das WLan, er gilt also nicht für die gesamte Fritz!Box.

Die Kindersicherung wiederum als alternative Lösung (so von AVM heute per Telefon-Support empfohlen) ist auch unbrauchbar, da ich so umständlich alle einzelnen Geräte/Teilnehmer dafür konfigurieren muss.

Ich wünsche mir folgende Funktion:

- es sind keine Geräte für den Online-Zugang zugelassen, es sei denn, ihre MAC-Adresse ist im Router hinterlegt
- noch schöner wäre, wenn man das ganze per Zertifikat verwalten/kontrollieren könnte, d.h. nur Geräte mit einem für sie ausgestellten Zertifikat dürfen den Online-Zugang nutzen

Könnt ihr ein Gerät empfehlen für diese Aufgabe?

Danke für Eure Hilfe!

Hallo,

meiner Meinung nach ist ein MAC-Filter bzw. eine darüber realisierte Zugangskontrolle wenig sinnvoll, da über geeignete Tools die MAC-Adresse einfach "gefälscht" werden kann. Eine zugelassene Adresse kann man auch leicht über entspr. Tools mitlesen, da diese im Klartext übertragen wird.
Bei einer solch hohen Teilnehmer-Anzahl würde ich eher über einen Radius-Server nachdenken, der es ermöglicht, dass sich jeder Teilnehmer über einen Individuellen login(user+pw) authentifiziert. Eine Kontrolle welcher Teilnehmer im LAN welche Dienste Nutzen darf wird sich nur über Professionelle Router(Lancom, Cisco, Juniper etc.) lösen lassen, dafür sind Consumer-Geräte einfach nicht vorgesehen.

Grüße,
Tom

Klar, ein Gerät von Juniper Networks oder noch besser Palo Alto Networks wäre mir auch am liebsten …

MAC-Filter fälschen ist natürlich machbar, damit derjenige das Netz aber "abhören" kann, muss er erst einmal drin sein … Und da das WLan mit WPA2 und einem sehr langen und komplizierten Passwort gesichert ist, kann man das schon mal ausklammern.

Es wäre also nur für die User fälschbar, die sowieso schon im Netzwerk angemeldet sind. Denkbar wäre da z.B., dass sie zusätzlich zu ihrem zugelassenen MacBook noch ihr iPhone/iPad im WLan anmelden wollen. Aber diese dafür nötige kriminelle Energie wie auch technische Kompetenz traue ich den Netzwerkteilnehmern eher nicht zu …

Ein Radius-Server klingt vernünftig, welchen kannst Du denn da empfehlen?

Und wie muss ich mir dessen Implementierung genau vorstellen? Wird er "einfach zwischen Router und Network-Switch" geklemmt und überwacht dann quasi den Zugriff auf den Router?

Danke für Infos!

Hi,

also die Mac-Adressen werden auch bei WPA2 Verschlüsselung im Klartext übertragen. glaub mir, ein MAC Filter bietet 0 Sicherheit. und wenn das Kennwort nicht öffentlich ist(dann kann man es auch weglassen) hast du damit schon eine Zugangskontrolle.
Siehe hierzu:
Abschnitt "Weniger geeignete Sicherheitsmaßnahmen, die den Zugriff nur geringfügig erschweren, sind:"
Bzw. für Theoretischen Hintergrund hier anfangen:

Einen Radius-Server habe ich noch nie Aufgesetzt, aber 5sec googlen ergaben

Der Radius-Server ist ein im Netzwerk existierender Server an den die Benutzeranfragen zur "Zulassung im Netzwerk" weitergereicht werden. Die Accesspoints leiten also die Anfragen an den Radius server weiter und der entscheidet über die Anfrage. Dazu muss der AP das natürlich unterstützen.

Bei der hohen Teilnehmerzahl würde ich mir aber wirklich überlegen ob nicht eine Investition in geeinete Hardware/Infrastruktur sinnvoll / möglich ist. Die Preise relativieren sich doch, wenn Sie auf 150 Köpfe verteilt werden...

Cheers,
Tom

Ok, hast recht, habe dazu auch das hier gefunden:

WPA2 is NOT protected against ARP poisoning.

When you perform ARP poisoning, you announce that your MAC address is responsible for a given IP address. All of this happens at a layer higher than WPA2 is aware of. Let's say layer 3. Because the WPA2 encryption link is down on layer 2, and packets destined for the attacked IP are now addressed to the attacker's MAC address on layer 2, they will be encrypted for the attacker.

Unabhängig davon: Mir wäre eigentlich eine Zertifikats-basierte Authentifizierung am Netzwerk am liebsten (802.1X), so dass eben nur an die Geräte ausgegebene Geräte-Zertifikate im Netzwerk zugelassen werden. Außerdem müsste man sich dann nicht mehr extra mit Name und Passwort identifizieren …

Oder ist das "das selbe" wie ein Radius-Server?

Hatte schon befürchtet, dass das Thema recht komplex ist.

PS: Was passiert dann eigentlich mit Geräten, die keine 802.1X-Authentifizierung beherrschen (z.B. die Xerox-Drucker im Netzwerk)?

von der Zertifikats-Geschichte habe ich keine Ahnung... sorry

Mmh, meine Recherchen haben jetzt erst mal ergeben, dass als Linux-Distributionen bzw. Aufsätze in die engere Wahl kommen:

ZeroShell:

CentOS:

Theoretisch könnte man FreeRadius auch für Mac OS X kompilieren (es gab auch mal einen OpenDarwin-Port für 10.5 Leopard).

Um aber auf dem aktuellen Stand zu bleiben, würde ich in diesem Fall der Linux-Community allerdings mehr zutrauen …

Eventuell wäre es ja doch das sinnvollste, mal bei Cisco & Co. anzufragen, ob sie nicht eine "Rundum-Komplett-Lösung" einrichten könnten.