Hallo Dirk, >> Ein Accesspoint in Grün gibt den Server von innen mannigfaltigen >> Angriffen preis: mach das so nicht. >> > > Warum? > > Btw: Das selbe gilt auch für die normalen Clients (also die vorhandenen > Computer) im grünen Netz, diese haben die gleichen Möglichkeiten. Denn > das WLAN ersetzt nur das Netzwerkkabel.
nein: nicht nur. Erstmal hängen am grünen Netz nur "meine" Rechner. Wenn jemand ein anderen anschließt, so könnte das auffallen. Die Nutzerrechte an "meinen" Rechnern kann ich beschränken: da hab ich mehr Kontrolle. Fremde Rechner können alles mögliche. Mir ist klar, dass ich auch einen Schulrechner vom Grünen NEtz trenen, meinen eigenen hin stellen und die IP des Schulrechners nehmen kann: dann bin ich auch drin: das ist aber nochmal eine ganz andere Nummer, als wenn ich "ganz legal" mit meinem eigenen Laptop im Grünen Netz bin und ganz gemütlich das Netz scanne und Schwachstellen am Server abklopfe. Hinzu kommt, dass, wenn man die APs nicht extra konfiguriert, sich mein Netz über die Grenzen des Schulgebäudes ausbreitet: da kann also auch jemand der z.B. Nachts vor der Schule sitzt ins interne Netz: und sei es nur, dass er die IPs meiner Drucker raus bekommt und irgendeinen Mist druckt, bis das Papier alle ist.. Dann muss ich alle Drucker umkonfigurieren, damit die nur noch vom server Aufträge annehmen .. > Was spricht gegen das Szenario "Access Point mit WPA Enterprise Radius > Authentifizierung im internen Netz" (in Kurz: grün+AP+RADIUS)? Sowie es > beispielsweise unter [1] beschrieben wird. dagegen spricht nichts: das kann man schon so machen: das Schutzlevel ist da meines Erachtens hoch genug. Aber darum ging es hier nicht, sondern um APs in Grün die per öffentlichem WPA2 Schlüssel Zugang gewähren: wenn ich den WPA2 Key auf irgendwelchen Kisten, die nicht Linux sind, hinterlege, oder ihn den Kollegen Nenne, dann ist der öffentlich: alles andere widerspricht meiner Erfahrung. > Wenn man WLAN eigentlich am sichersten betreiben möchte, bleibt > eigentlich nur eine RADIUS-Authentifikation mit entsprechendem > Zertifikat, siehe zum Beispiel die Konfiguration wie sie unter [2] > angegeben ist. ja, das ist schon OK, aber bisher hat noch niemand WPA Enterprise für uns mal umgesetzt und dokumentiert: von daher steht uns das erstmal nicht zur Verfügung. > Zum Schluss: Eigentlich dachte ich, dass die Musterlösung einen Weg, der > möglichst einfach und entsprechend sicher ist, bereitstellt. > Dies scheint mir bei WLAN im blauen (also einem zweiten) Netz, auch wenn > es mit RADIUS kombiniert ist (siehe [3]), nicht gegeben. > Da durch die FW-Regel von Blau => Grün ein Zugriff auf das grüne Netz > vorhanden ist. das ist nicht richtig, da es zwar die Möglichkeit einer Weiterleitung von Port von Blau nach grün gibt (das kann die Firewall halt) aber außer dem Port für LDAPs kein Port weitergeleitet wird. Und der Port wird bei uns ja nicht "aus Blau" weitergeleitet, sondern aus dem violetten Netz, in dem keine APs sind, sondern nur IPFire und Coovaserver. > Dann kann ich mir auch gleich das blaue Netz sparen (in meinen Augen). .. das sehe ich gar nicht so. Ich denke was du gerade meinst ist die Weiterleitung von einzelnen Ports durch den Coova hindurch nach Grün: was manche hier beschrieben haben: auch die sambaports und die 631 fürs Drucken. Das ist so in der Doku nirgendwo beschrieben und wird bestimmt nicht empfohlen. Das kann man so machen, dann ist es aber eben .. nicht so gut. Das muss jeder Admin selber wissen: bei mir gibt es keinerlei Ports von Blau nach Grün: in keiner meiner Einrichtungen. Wer aus Blau an seine Daten möchte, möge die owncloud bemühen. Viele Grüße Holger PS: ich freu mich immer über deine gut dokumentierten kritischen Anmerkungen, auch wenn die logodidact Doku dafür herhalten mußte. Aber so hatte ich nochmal die Gelegenheit zu sagen, was ich von Blau nach Grün weitergeleiteten Ports halte :-) _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
