Hallo Jürgen, danke für die Nachricht vom 02.07.2016, 17:32: >> Am 02.07.2016 um 16:21 schrieb Platzer, Willi [Lehrer]: >> Hallo Juergen, >> danke für die Nachricht vom 01.07.2016, 22:39: >>> danke für die beruhigende Rückmeldung. >> Das wollte ich nicht .-) > heißt das, Du siehst dies hier > http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:radius-accesspoint-blau > als unzureichend abgesichert an?
Nein, meine Bemerkung war etwas überspitzt und mit einem Augenzwinkern
formuliert (darum ein .-) )
IMHO ist das mit der RADIUS-Authentication ist schon eine sichere und runde
Sache.
IT-Sicherheit ist jedoch immer eine Illusion der man nachjagt.
Wichtig bei der ganzen Sache ist:
1) sich Gedanken über notwendige Sicherheit (Nutzer/in, Verantwortliche/r,
Daten, rechtliche Lage usw.) und
die möglichen Gefahrenpotentiale im Umfeld des Systems (Standort, mögliche
Angreifer/innen, Öffentlichkeit des Systems usw.) zu machen.
2) mögliche Sicherheitsmaßnahmen zu planen
3) Kosten (Geld, Zeit, Aufwand für Installation, Nutzer/innen-Schulungen,
Wartung im Client u. Server usw.) und Nutzen (Sicherheit) abzuwägen.
4) Die sinnvollen/relevanten Sicherheitsmaßnamen implementieren
5) Das Ganze auch dokumentieren :-)
> Sollte die Einbindung des Serverzertifikats erzwungen werden?
Ja, wenn das Gefahrenpotential hoch ist und die Nutzer/innen mit den
notwendigen Arbeiten am Client nicht überfordert sind und wenn der/die Admin
es für relevant hält.
Ein Zertifikat dient der gegenseitigen Sicherstellung der Vertrauenswürdigkeit,
das ist mehr als die Überprüfung von Name/Passwort-Kombinationen.
Damit kann der Client, in der Regel, sicher sein mit dem echten Server zu
kommunizieren.
> Oder führt Deiner Meinung nach kein Weg an CoovaChilli mit https vorbei?
CoovaChilli ist Sicherheitstechnisch ein "Man-in-the-Middle" und damit etwas,
was sich mit https nur schlecht verträgt.
IMHO CoovaChilli eine etwas andere Aufgabe im Bereich der Sicherheit.
1) Authentication des Nutzers, der Nutzerin
2) Speicherung des Nutzerverhaltens beim Zugriff auf das WAN.
Damit kann ich im Schadensfall (Störerhaftung) den jeweiligen Störer
identifizieren.
Das ist mit RADIUS-Authentication und IP-Cop etwas schwieriger, sollte
aber auch möglich sein.
PS. Ich lass die Log-Dateien beim CoovaChilli nach 3 Monaten automatisch
löschen und sehe sie mir nicht an. Das ist wiederum Datenschutz.
Ich habe mich Aufgrund der notwendige Sicherheit, der möglichen
Gefahrenpotentiale und der Kosten für den CoovaChilli entschieden.
> Am Rande: IServ bietet WLAN wie oben beschrieben an. Ohne Zertifikat.
dto.
>>
>>> Probleme mit dem Roaming haben wir mit 18 APs auf dem Gelände nicht mehr,
>>> seit ich die Bandbreite des Wireless-N auf 20 MHz beschränkt habe und die
>>> Kanäle 1, 5, 9 und 13 so verteilt habe, dass ein Client stets nur APs mit
>>> verschiedenen Kanälen "sieht".
>> Ja, das mit der Verteilung der Accesspoints über die jeweiligen Kanäle ist
>> wie mit der Landkarte und den verschiedenen Farben (Vier-Farben-Problem
>> Nachbarn dürfen nicht die gleichen Farben auf den Landkarten haben).
>> Wenn man die Kanäle der APs auf 4 nicht überlappte Bereiche verteilen kann,
>> dann funktioniert es am besten.
>> d.h. die Nachbarkanäle (Farbe der Nachbarländer) dürfen nicht den gleichen
>> Kanal (Farbe) des betrachteten APs haben.
>> Mit dem Testen der tatsächlichen Ausleuchtung und etwas experimentieren auf
>> einen Zeichenblatt geht das auf, oder man überlässt es der Elektronik bei
>> zentralverwalteten APs).
>>
>> viel Spass mit dem Netz.
>>
>>
>>
>> _______________________________________________
>> linuxmuster-user mailing list
>> linuxmuster-user@lists.linuxmuster.net
>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>
>
>
> _______________________________________________
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>
--
Mit freundlichen Grüßen
Willi Platzer
(Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und
Mediendidaktik )
Ich bin. Aber ich habe mich nicht. Darum werden wir erst.
E. Bloch
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.lehrerbüro.
. mailto:leh...@platzer-net.de
. telefon:.(+49)6151/136283
. mobile:.(+49)16097528937
. skype:platzer.willi?call
.studienseminar.für.berufliche.schulen.in.darmstadt
. http://sts-bs-darmstadt.bildung.hessen.de/
. telefon:.(+49)6151/3682510
. fax:.(+49)6151/3682519
.heinrich-emanuel-merck-schule
. http://www.hems.de
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.Diese E-Mail wurde digital signiert.
.Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt,
.ignorieren Sie bitte die angehaengte Signatur-Datei.
signature.asc
Description: OpenPGP digital signature
_______________________________________________ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
