Inhaltsverzeichnis
Werbung
1
Die virtuelle Routing-Technologie ARF (Advanced Routing and Forwarding) von LANCOM versieht eine SSID mit
eigenen Sicherheits- und QoS-Einstellungen und routet darüber nur bestimmte Ziele.
So kann der Gastzugang über einen Public Spot – sicher und effektiv vom Produktivnetz getrennt – die gemeinsame
Infrastruktur mitnutzen. Die geräteinterne Firewall kann dabei z. B. die für Public Spot-Nutzer verfügbare Bandbreite
im WAN auf max. 50 % begrenzen und nur auf Webseitenzugriffe (HTTP, Port 80) und Namensauflösungen (UDP 53)
einschränken.
5
Weitere Informationen über Multi-SSID, VLANs und ARF finden Sie im LCOS-Referenzhandbuch.
1
Traffic-Limit
Um Denial-of-Service- (DoS-) und Brute-Force-Angriffe auf den Public Spot zu verhindern, können Sie den zulässige
Datentransfer noch nicht authentisierter Public Spot-Teilnehmer auf ein ungefährliches Volumen begrenzen.
1
Sperren des Konfigurationszugangs
Sie können den Web-Zugriff auf die Gerätekonfiguration (z. B. Ihres Access Points, WLAN Controllers oder Routers)
aus dem Public Spot-Netzwerk heraus sperren, so dass der Konfigurationszugang nur über andere festgelegte
Management-Schnittstellen möglich ist.
Sicherheit für den Benutzer
Für den Benutzer eines Public Spots steht die Vertraulichkeit der übertragenen Daten im Vordergrund. Zudem wünscht
er die Sicherung seiner Benutzerdaten gegen Missbrauch. Ihn schützen folgende Sicherungstechnologien:
1
Intra-Cell Blocking (nur WLAN)
Unterbinden Sie in Ihrem Public Spot-Netzwerk die Kommunikation der WLAN-Clients untereinander. Diese Maßnahme
erschwert – über die nutzerseitig evtl. ohnehin schon bestehenden Schutzmechanismen – den Zugriff auf die
Ressourcen Ihrer Public Spot-Benutzer.
1
Verschlüsselung während der Anmeldephase
Sofern Sie über ein digitales Zertifikat verfügen, können Sie dieses in Ihr Gerät laden, um über das verschlüsselte
HTTPS-Verfahren Benutzernamen und Kennwörter sicher zu schützen. Das digitale Zertifikat sollte dabei von einer
anerkannten öffentlichen Stelle signiert sein, damit ein Browser es als vertrauenswürdig einstuft und Ihren Nutzern
keine Sicherheitswarnung ausgibt. Ohne ein Zertifikat erfolgt die Übertragung der Anmeldedaten unverschlüsselt.
5
Das Zertifikat sichert lediglich den Anmeldevorgang ab; innerhalb eines Public Spot-Netzwerks werden die
Daten in der Regel unverschlüsselt übertragen. Dies gilt sowohl für Verbindungen über LAN als auch über
WLAN. Sofern Ihre Nutzer also den normalen Datenverkehr absichern möchten, sind sie auf eigene
Verschlüsselungsmechanismen angewiesen!
Ausgenommen davon sind WLAN-Verbindungen, die über Hotspot 2.0 erfolgen: Da der Hotspot-2.0-Standard
auf WPA2 (802.1X/802.11i), EAP und 802.11u basiert, werden Datenpakete sowohl bei der Autorisierung
als auch während der Sitzung stets verschlüsselt übertragen.
LANCOM Systems empfiehlt dringend, sensitive Nutzdaten immer über verschlüsselte Verbindungen zu übertragen,
z. B. durch IPSec-basierte VPN-Tunnel mit dem LANCOM Advanced VPN Client oder durch normale HTTPS-gesicherte
Datenverbindungen. Außerdem sollte der Public Spot-Benutzer auf die Aktivierung einer Personal Firewall auf seinem
Endgerät achten.
1.3.3 Assistent zur Einrichtung eines Public Spots
Der Setup-Assistent Public Spot einrichten unterstützt Sie bei der Einrichtung und ersten Konfiguration Ihres Public
Spots. Mit seiner Hilfe gelingt es Ihnen, mit wenigen Klicks ein funktionsfähiges Public Spot-Netzwerk bereitzustellen.
Der Assistent gruppiert dazu die dafür notwendigen Einstellungen (z. B. Zuweisen einer Schnittstelle, Vergeben eines
IP-Bereichs, Festlegen von Zugangform und Anmeldungsverfahren, Protokollierung) und bietet Ihnen darüber hinaus die
Option, einen Administrator mit beschränkten Rechten anzulegen, dem ausschließlich die Einrichtung und ggf. Verwaltung
von Public Spot-Nutzern erlaubt ist.
Handbuch Public Spot
1 Einführung
15
Quicklinks ausblenden:
Werbung
Inhaltsverzeichnis
