Privatsphäre und Datenschutz und Management bei WLAN mit 802.11i und 802.1x

[philiplb]

Hi alle,

wir planen hier gerade ein neues WLAN im Büro, wo wir für jeden Mitarbeiter einen 802.1x-User haben möchten. Dabei stellen sich mir zwei Fragen, die vielleicht in diesem Forum gut aufgehoben sind:

1. Datenschutz

Da jeder Mitarbeiter nun seinen eigenen Login hat, könnte er potentiell gut getrackt werden: Wann er das WLAN nutzt etc.. Das möchten wir nicht. Was für Einstellungen können getätigt werden, damit das ganze möglichst Datensparsam umgesetzt wird? Ich möchte garnicht sehen können, wann wer seinen Login das letzte mal genutzt hat, an welchem AP und was sonst noch möglich wäre.

2. Management

Wie könnten mal die RADIUS-User am bequemsten verwaltet werden? Es sind ca. 50 User, so 1-3 Leute Fluktuation im Jahr. Das ist also einmal initial Aufwändig, die ganzen User anzulegen und dann ist das okay. Reicht dafür der im WLC integrierte RADIUS-Server oder sollte man sich schon einen Freeradius ins Büro stellen? Oder einen alternative zu Freeradius?
Und am besten wäre, wenn der RADIUS-Server die User garnicht verwalten muss, sondern jeder sich mit seinem G-Suite-Account anmelden kann. Das würde den zusätzlichen administrativen Aufwand auf 0 senken. Hat wer hier sowas schon einmal gesehen?

[alf29]

1. Datenschutz

Da jeder Mitarbeiter nun seinen eigenen Login hat, könnte er potentiell gut getrackt werden: Wann er das WLAN nutzt etc.. Das möchten wir nicht. Was für Einstellungen können getätigt werden, damit das ganze möglichst Datensparsam umgesetzt wird? Ich möchte garnicht sehen können, wann wer seinen Login das letzte mal genutzt hat, an welchem AP und was sonst noch möglich wäre.

Wie bei jedem anderen Gerät gibt es natürlich diverse Logs und Status-Tabellen, in denen drin steht, welcher Client sich mit welcher Benutzerkennung verbunden hat bz. noch verbunden ist. Logs kannst Du regelmäßig löschen, aber die Statustabellen sind halt da und die kannst Du auch nicht entfernen. Ist aber eigentlich auch kein Problem, wenn nicht Hinz und Kunz das Gerät managen dürfen?

2. Management

Wie könnten mal die RADIUS-User am bequemsten verwaltet werden? Es sind ca. 50 User, so 1-3 Leute Fluktuation im Jahr. Das ist also einmal initial Aufwändig, die ganzen User anzulegen und dann ist das okay. Reicht dafür der im WLC integrierte RADIUS-Server oder sollte man sich schon einen Freeradius ins Büro stellen? Oder einen alternative zu Freeradius?

Du kannst ja erstmal den eingebauten Server im WLC benutzen und schauen, ob Du mit der Funktionalität hinkommst. FREERadius ist die nächste Alternative, wenn man OpenSource bevorzugt.

Und am besten wäre, wenn der RADIUS-Server die User garnicht verwalten muss, sondern jeder sich mit seinem G-Suite-Account anmelden kann. Das würde den zusätzlichen administrativen Aufwand auf 0 senken. Hat wer hier sowas schon einmal gesehen?

Dazu müßte Google ja erst mal eine API anbieten/dokumentieren, wo ein WLC Benutzernamen und Paßwort hinschicken kann und ein Ja oder Nein zurückbekommt. Die müßte hinreichend sicher sein, weil ja ein Paßwort durch die Leitung geht, man fängt also an, mit irgendwelchen SSL-Zertifikaten für die Verbindung zum Google-Server zu jonglieren. Das Zertifikat für den RADIUS-Server für TTLS oder PEAP wirst Du damit auch nicht los.

Was gängig ist, daß viele Kunden den RADIUS-Server im WLC nur als Proxy/Forwarder benutzen und die eigentliche 1X-Authentisierung auf dem IAS läuft, der sowieso die Domänenpaßwörter verwaltet.

Viele Grüße

Alfred

[philiplb]

Vielen Dank für die Antworten, das hilft schonmal weiter.

Wie bei jedem anderen Gerät gibt es natürlich diverse Logs und Status-Tabellen, in denen drin steht, welcher Client sich mit welcher Benutzerkennung verbunden hat bz. noch verbunden ist. Logs kannst Du regelmäßig löschen, aber die Statustabellen sind halt da und die kannst Du auch nicht entfernen. Ist aber eigentlich auch kein Problem, wenn nicht Hinz und Kunz das Gerät managen dürfen?

Jo, verständlich, liegt ja auch in der Natur der Sache. Will da quasi nur vorab alles so gut es geht minimieren. Also nicht, dass irgendwo Statistiken geführt werden, wer wann wie online war.

Du kannst ja erstmal den eingebauten Server im WLC benutzen und schauen, ob Du mit der Funktionalität hinkommst. FREERadius ist die nächste Alternative, wenn man OpenSource bevorzugt.

Klingt nach einem gangbaren Weg.

Dazu müßte Google ja erst mal eine API anbieten/dokumentieren, wo ein WLC Benutzernamen und Paßwort hinschicken kann und ein Ja oder Nein zurückbekommt. Die müßte hinreichend sicher sein, weil ja ein Paßwort durch die Leitung geht, man fängt also an, mit irgendwelchen SSL-Zertifikaten für die Verbindung zum Google-Server zu jonglieren. Das Zertifikat für den RADIUS-Server für TTLS oder PEAP wirst Du damit auch nicht los.

Googles Single Sign On läuft alternativ entweder via SAML oder LDAP. Ob das überhaupt erreichbar ist vom Client, während er noch nicht authentifiziert ist im WLAN, ist die große Frage. Wäre eher ähnlich einem Public Spot mit Captive Portal dann. Muss mich da mal erstmal genauer einlesen und würde das Ergebnis hier auch festhalten.

Was gängig ist, daß viele Kunden den RADIUS-Server im WLC nur als Proxy/Forwarder benutzen und die eigentliche 1X-Authentisierung auf dem IAS läuft, der sowieso die Domänenpaßwörter verwaltet.

Jo, da wäre genau die G-Suite hier das Äquivalent für.

[alf29]

Googles Single Sign On läuft alternativ entweder via SAML oder LDAP. Ob das überhaupt erreichbar ist vom Client, während er noch nicht authentifiziert ist im WLAN, ist die große Frage. Wäre eher ähnlich einem Public Spot mit Captive Portal dann. Muss mich da mal erstmal genauer einlesen und würde das Ergebnis hier auch festhalten.

Da wirst Du nicht viel nachforschen brauchen. Während der 1X-Verhandlung hat der Client ja noch keine Konnektivität ins Internet, diese Anfrage müßte der WLC während der passenden Phase der 1X-Verhandlung stellen. Das scheitert zum einen daran, daß das LCOS weder für SAML noch LDAP einen Client hat, zum anderen daran, daß bei PEAP üblicherweise MSCHAPv2 in der Phase 2 gemacht wird, d.h. der Client überträgt sein Paßwort überhaupt nicht im Klartext, sondern es läuft ein Challenge/Response-Verfahren ab. Daß Google genau ein solches unterstützt, würde mich eher überraschen.

Viele Grüße

Alfred

[philiplb]

Klingt sinnig, besten Dank.