LAN vs. WLAN-AP im LAN/Grün

Hallo,

wie ich vor einiger Zeit auf der Mailingliste geschrieben habe, planen wir Beamer in die Klassenzimmer zu hängen. Dazu braucht es natürlich noch einen Rechner, der daran angeschlossen werden soll. Allerdings haben wir in manchen Räumen das Problem, dass es dort keine Netzwerkdosen gibt. WLAN ist aber vorhanden.

Für mich gibt es derzeit zwei Wege:

  • neue Netzwerkdosen legen (teuer)
  • neues WLAN-Netz im LAN (grün) (billig)

Ich weiß, dass die meisten es nicht empfehlen einen AP im LAN zu haben; meist werden Sicherheitsbedenken geäußert, aber wo genau liegen die? Was ist hier genau “der Knackpunkt”? Persönlich wäre es mir auch lieber, man lässt es getrennt, aber neue Kabel zu legen ist nicht unbedingt billig.

Zur Zeit fehlen mir noch ein wenig die Argumente, die ich gegenüber der Schulleitung bzw. Verwaltungsleitung anbringen könnte.

Gäbe es evtl. eine Alternative über WLAN, aber sauber getrennt vom LAN? Ich meine mit Authentifizierung und Linbo?

vG

Hallo Stefan,

WLAN vorhanden heißt eine Lösung mit VLAN und individueller
Authentifizierung wie z. B. mit coovachilli?

Du könntest bei diesen Clients in /etc/defauft/interfaces (in) die Zeile
auto wlan0 aufnehmen, einen speziellen Benutzer anlegen, der Mitglied
der Gruppe p_wifi ist (z. B. einen Lehrer) und dessen Benutzernamen in
der nur für root lesbaren Kofigrationsdatei in /etc/wpa_supplicant
hinterlegen. Dann baut der Client die WLAN-Verbindung bereits auf, bevor
sich ein Benutzer anmeldet, und jeder LDAP-Benutzer kann sich anmelden.

Theoretisch wäre es auch möglich, die beschriebene Konfiguration in das
linbo-Image einzubauen, wenn das Treibermodul für den WLAN-Controller
auch darin vorhanden ist. Die Grundinstallation müsste natürlich an
einer LAN-Dose erfolgen. Braucht man linbo über WLAN dann noch? Wie
schnell und wie stabil wäre es?

Für Schulrechner ist es einfacher, einen AP mit einem nur in
/etc/wpa_supplicant und auf dem AP gespeicherten möglichst langen
WPA2-PSK - den ich behaupte selbst nicht mehr zu kennen :wink: - in GRUEN
zu installieren. Dagegen spricht im wesentlichen nur, dass sich der AP
oder - schlimmer - mehrere APs in derselben Broadcastdomäne wie die
Clients und der Server in GRUEN befinden. Und im WLAN kann leicht
Broadcaststürme geben …
So habe ich bei uns zwei mobile APs für unsere Notebooks im
Fachraumgebäude eingerichtet, von denen jedoch meistens nur einer
temporär in Betrieb ist. Unser WLAN ist stabiler geworden, nachdem ich
die Bandbreite aller APs in GRUEN und BLAU auf 20 MHz begrenzt habe.
Dies erlaubt die Kanäle 1,5,9 und 13 zu benutzen, so dass es weniger
Überlappungen gibt.

Wer das Glück hat, teurere APs verwenden zu können, wird sicher bessere
Lösungen vorschlagen können, aber Stefan sucht ja nach einer billigen
Lösung. Langfristig gehört in jeden Unterrichtsraum mindestens eine
Doppeldose - es sei denn, man implementiert eine richtig gute
WLAN-Infrastruktur. Wankas Milliarden sind ja im Anmarsch :wink:

Gruß Jürgen

Hallo Stephan,

egal wie teuer: mach sowas nicht über WLAN.
Die Sicherheitsaspekte muss ich dafür sogar nicht mal bemühen.
Es reichen folgende Aspekte:

  1. was Jürgen sagt: der Betrieb von WLAN APs im grünen Netzkann zu
    störungen im grünen Netz führen (Broadcasts)
  2. mache nie über WLAN was auch mit LAN geht: das Kabel ist immer vor zu
    ziehen.
    Es ist viel verläßlicher uns Stabiler.
    Es ist mir schon klar, dass das nicht immer günstig ist.

Bei mir an der Schule habe ich es so gelößt: 15 Unterrichtsräume habe
ich mit Kollegen zusammen in den Ferien an drei Tagen mit LAN Kablen
versorgt. Das ging schnell, günstig und unroblematisch.
Letztes Jahr habe ich dann für das zweite Gebäude (weitere 15 Zimmer)
eine Firma beauftragt.
Die hat jetzt mitlerweise ein Jahr gebraucht und ist noch immer nicht
fertig: einer der Gründe, weswegen ich selber mache, was ich kann: auf
Firmen ist da einfach kein Verlass: es ist ein GRAUEN.
Mit einem Schreiben war abgemacht, dass er uns vor Weihnachten Schränke
in die Zimmer baut … vor Weihnachten hat er gesagt er habe zu viel zu
tun und schafft es erst nach Weihnachten … seit dem hab ich nichts mehr
gehört: vielleicht habe ich Glück und er braucht nur 6 Monate und nicht
auch ein Jahr …

Also: schau dir mal an, ob ihr die Kabel nicht selber ziehen könnt.
Falls nicht: such die Firma gut aus: bei mir hat die Gemeinde sie
ausgesucht: ich hab denen schon gesagt, dass die keine Aufträge in
meiner Schule mehr bekommen sollen…

Wenn es den trotzdem unbedingt WLAN sein muss: es gibt im WLAN kein PXE:
das stört linbo aber nicht: das funktioniert auch komplett ohne
Netzanschluss. Images verteilen über WLAN würde ich nicht machen: soll
ein neues Image rüber, dann häng den Client an ein Kabel. Bei mir sind
das inzwischen 20 Rechner… da macht sowas auch keinen Spass.

WPA2 ist (derzeit) noch sicher mit einem langen guten Passwort: aber
niemand kann dir garantieren, dass ein Schüler das Passwort nicht doch
am Client ausgelesen bekommt. Bei mir in der Schule sind die Lehrer
sudoer auf dem CLeint: die könnten es also auslesen: und jeder Schüler,
der ein Lehrerpasswort “erspäht” (wenn es ihm nicht sowiso ein Lehrer
gesagt hat …).
Und sollte das passieren, dann hast du fremde Geräte im grünen Netz: die
Firewall des Servers ist aber natürlich gegen grün deutlich weniger
restrictiv als gegen die anderen Netze.

VIele Grüße

Holger

Hallo,

Gäbe es evtl. eine Alternative über WLAN, aber sauber getrennt vom LAN? Ich
meine mit Authentifizierung und Linbo?

neben Sicherheit ist das Hauptargument gegen WLAN in grün, dass eben kein
Linbo bzw. genauer gesagt nur lokales Linbo möglich ist. WLAN unterstützt
kein PXE. Damit holen sich die Rechner z.B. nicht selbst automatisch
aktualisierte Images. Auch nach Änderungen im Postsync muss man die Rechner
von Hand aktualisieren. Ob deine Arbeitszeit mittelfristig nicht deutlich
teurer kommt als ein paar neue Leitungen…

Ich persönlich würde alles daran setzen, dass Rechner in grün eine
ordentliche LAN-Anbindung bekommen.

Viele Grüße
Steffen

Hallo Holger,

vielen Dank für deine ganzen Gedanken. Ich kann das alles sehr gut nachvollziehen und sehe es im Prinzip genauso. Die Kabel selber zu verlegen ist natürlich auch eine Möglichkeit, nur haben wir in dem Gebäude eine nicht gerade verlege-freundliche Decke. Aber möglich sollte es trotzdem sein. Gibt ja noch andere Wege ein Kabel zu legen :slight_smile:

Könnte man dem nicht vorbeugen in dem man das “grüne” WLAN-Netz in ein eigenes VLAN/Subnet packt?

Was würdet ihr heute für eine Art Kabel verlegen und mit welcher Schirmung? Cat6 ist hier so der quasi-Standard in den Schulen, die ich hier gesehen habe, wobei bei uns noch viel Cat5e liegt.

Wir haben bei uns in der Verwaltung auch Dosen und WLAN. Nur sehr wenige nutzen die Dosen… Auch wenn unsere Budgets nicht gerade groß sind, konnten wir uns in der Vergangenheit eigentlich immer recht gutes Netzwerk- und WLAN-Equipment kaufen. Das wäre nicht das Problem.

Das wäre nicht das große Problem. Das meiste kann man über den lokalen Linbo machen. Dann aktualisiert man halt zu seiten, wo keiner da ist. So oft kommt das bei uns nicht vor, dass wir ein neues Image machen (in der Regeln in den Ferien). Das mit dem Postsync habe ich nicht ganz verstanden. Diese Feature habe ich aber noch nicht wirklich genutzt.

Also: Danke noch mal für all die Gedanken bisher. Neben all dem sehe ich aber immer noch nicht das große Sicherheitsproblem, wenn man ein eigenes (nicht sichtbares) Netz für die Clients macht, die über WLAN im LAN angebunden sind.

vG

Hallo,

wie wäre es damit?

https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwik2_zU1_bRAhWGZCwKHRX9BEsQFgglMAE&url=https%3A%2F%2Fwww.optomausa.com%2Fuploads%2Fmanuals%2FWPS%20Pro-M-en-US.pdf&usg=AFQjCNE-0_Prrstp-TnPs0Xf42zBgsAt8A&sig2=NeckOD5NnsIdv9d9Au8x6w

Hier die deutsche Anleitung

Gruß

Alois

Hallo Stephan,

was Jürgen sagt: der Betrieb von WLAN APs im grünen Netzkann
zustörungen im grünen Netz führen (Broadcasts)

Könnte man dem nicht vorbeugen in dem man das “grüne” WLAN-Netz in ein
eigenes VLAN/Subnet packt?

… hast du dein Netz segmentiert?
Du kannst nicht einfach einen Teil in ein eigenes VLAN packen: willst du
das getrennt haben, dann mußt du das richtig machen.
linuxmsuter.net kann das: aber es geht nicht “mal eben”.

Was würdet ihr heute für eine Art Kabel verlegen und mit welcher
Schirmung? Cat6 ist hier so der quasi-Standard in den Schulen, die ich
hier gesehen habe, wobei bei uns noch viel Cat5e liegt.

Cat5e ist total OK: achte halt drauf, dass es S/FTP Kabel ist (doppelt
geschirmt): sonst stören sich die Kabel im Kabelkanalbündel gegenseitig
(hab ich so im Seminar … deswegen muss ich dort auf 100MBit/s drosseln).
Das wird auch PiMF (Paar in Metallfolie) genannt: sozusagen S/PiMF

Also: Danke noch mal für all die Gedanken bisher. Neben all dem sehe ich
aber immer noch nicht das große Sicherheitsproblem, wenn man ein eigenes
(nicht sichtbares) Netz für die Clients macht, die über WLAN im LAN
angebunden sind.

“unsichtbarkeit” ist überhaupt keine Hilfe: solche Netze zeigt mir sogar
mein Smartphone ohne Probleme an…
Man sollte das nciht “unsichtbar” nennen, sondern: “abgeschlatete SSID
Broadcasts”

Viele Grüße

Holger

Hallo Holger,

Ich weiß, dass man das nicht mal so eben macht. Wir haben VLANs und Subnetting bei uns, aber noch nicht im LAN.

Klar, das stimmt natürlich, trotzdem - vielleicht sehe ich ja auch den Wald vor lauter Bäumen nicht mehr - sehe ich nicht die riesige Sicherheitslücke, die man mit WLAN in Grün aufmacht. Wenn man es so macht wie Jürgen das bei sich macht, dann sollte es doch passen. Das WLAN-Passwort wäre in der wpa_supplient und als nicht sudo/root kommt man da unbedingt ran (bei uns haben weder Schüler noch Lehrkräfte sudo-Rechte). Man könnte die Datei sogar noch verschlüsseln, wenn man will bzw. das Passwort von irgendwoher abfragen. Dann wäre es gar nicht auf dem Rechner.

Ich möchte einfach nur gern verstehen, wo das eigentliche Sicherheitsproblem ist. Mit MAC-Spoofing lässt sich ein Rechner ja auch recht leicht ins LAN einhängen (vorausgesetzt man hat Zugang zu einer Dose im LAN). Über WLAN wäre man nicht mehr auf eine Dose angewiesen - das ist aber auch das Einzige was mir bisher dazu einfällt.

vG

Hallo zusammen.
Es ist eine Sache, einen AP in grün aufzustellen.
Aber wir haben mal eine Zeit lang eine Lücke mit zwei APs überbrückt, bis neu verlegt werden konnte.
Die beiden kannten nur einander, ließen nur den jeweils anderen zu, keine SSID, schwierige, lange WPA2 Passwörter…
Klar bleibt ein Restrisiko, aber ich fühlte mich da schon recht sicher.
Die beiden (billigen) APs haben wie fertig konfiguriert im Schrank stehen, falls mal wieder so eine Verbindung nötig ist.
Viele Grüße,
Thomas

Hallo Alois,

geht das nur mit Windows und Mac oder auch mit Ubuntu?

vG Stephan

Hallo Jürgen, hallo Stephan, hallo @Sven (ist das dein handle, sven :slight_smile: ?)

ich greife das Thema wieder auf, weil ich es bestechend finde:
ICh will ein „mobiles Klassenzimmer“ mit linuxclients. Bisher dachte ich, das geht nicht mir Radius, aber so wie sich das anhört, braucht man „nur“ einen „radius-nutzer“, der sich beim Systemstart automatisch ins WLAN-WPA2-Enterprise einwählt ?
Und danach sollte sich jeder User ganz normal an einem Client anmelden können?
(Geht theoretisch auch mit Windowsclients?)

Man sollte eben aufpassen, dass die credentials des users nicht in fremde Hände kommen. Selbst wenn: er kann sich damit an dem WLAN anmelden. Damit ist er so weit wie jemand, der seinen PC an eine LAN-Dose hängt.
Dann fehlt demjenigen noch eine Proxy-Authentifizierung um raus zu kommen, aber er kann sich im grünen NEtz (in seinem TEilnetz) eben schon „bewegen“.

Mir fällt noch was ein:
Client -> WLAN-Radius-Auth -> Server
wird dazwischen nicht noch ein DHCP gemacht, oder funktioniert das „in einem“?
Client -> WLAN-DHCP -> Radius-Auth -> Server
d.h. kann man per MAC-Adressen dafür sorgen, dass nur gewisse Geräte überhaupt erst zum Radius kommen (und dementsprechend man das per MAC-Spoofing natürlich nachahmen)?
Wer vergibt denn die IP-Adressen, der Radius-Server oder der AP?

Hm, das klingt für mich alles plausibel und machbar.

Danke für die Hinweise.
Tobias

Ich sehe da keine pauschalen Sicherheitsbedenken, nur weil es WLAN ist. Üblicher Weise ist heute WLAN weit besser abgesichert als Ethernet, denn wer macht schon Port-Security mit IEEE-802.1X? Bei uns ist das passiert, dass die Schülerinnen einen Rechner einfach in die richtige Dose gesteckt haben - dummer Weise haben sie sich beobachten lassen, als sie im Internet frei gesurft haben.

Ich hätte nur Bedenken, wenn du grün und rot in dem AP haben willst :wink:

Die Idee mit 2 „brückenden“ APs, die transparent Access erlauben finde ich bedenkenswert. Eventuell könnte da man per L2TP den fraglichen Rechner im grün erscheinen lassen ohne dass irgend jemand in grün das merkt… interessante Aufgabenstellung. OpenWRT auf den APs könnte das möglich machen.

Hallo Tobias,

zumindest mit dem RADIUS, dass uns eduPort zur Verfügung stellt, ist es
(noch) möglich Credentials gleichzeitig mehrfach zu benutzen(*) -
allerdings wird es bei uns anders gelöst: Die schuleigenen Geräte haben
auf denselben APs ein eigenes VLAN in GRUEN, in dem sie sich mit
gerätespezifischen Zertifikaten vor der Domänenanmeldung authentifizieren.

Inzwischen verhält sich Windows 10 so, dass eine VOR der Anmeldung wie
auch immer authentifizerte WLAN-Verbindung allen Benutzern zur Verfügung
steht.
Die Credentials kann man nicht mehr so einfach auslesen wie noch in
Windows 7 :wink:

In Ubuntu 18.04 funktioniert es auch - allerdings bei mir noch nicht mit
den o.g. Zertifikaten.

https://eduport.hamburg.de/was-ist-eduport/wlan-im-lehrerzimmer/

Gruß Jürgen

(*) Da die Credentials bei uns „landesweit“ gelten, und SchülerInnen
(und auch manche KollegInnen …) nun mal so sind, dass sie diese „in
aller Freundschaft“ teilen, können wir den Zugang zum WLAN zurzeit nicht
so reglementieren, wie wir gerne möchten. Deshalb steht die Anforderung
im Raum Mehrfachanmeldungen zu begrenzen. „1“ wäre sicherlich zu hart,
weil der Zähler im Laufe eines Tages sicherlich nicht stets
zurückgesetzt wird, wenn ein Gerät mal nicht sichtbar ist. Es sollte
aber nicht möglich sein, dass eine ganze Klasse oder gar Schülerschaft,
die eigentlich kein permanent verfügbares WLAN haben soll, mit EINEM
Account einer Nachbarschule surft!