Access Point draussen - kann man das sicher machen?

[ma...@invalid.invalid]

Hallo --

Da ich Corona-bedingt gerne draussen auf der Terasse arbeite und mein WLAN
dort nicht so enorm stabil ist, wollte ich mir einen zusätzlichen AP
installieren. Mein Netzwerk besteht im wesentlichen aus einem
pfsense-Router, einem vernünftigen managed Switch und momentan zwei
Unifi Access Points. Also habe ich mir einen UAP-AC-M zur Montage im
Aussenbereich bestellt.

Nun ist meine Terasse durch einen hinter dem Grundstück verlaufenden Weg
erreichbar, und obwohl prinzipiell privat, wird man den AP vom Weg aus
sehen, und könnte da auch schnell mal hinhuschen und manipulieren - der
AP wird in erreichbarer Höhe montiert.

Internet klaut mir keiner, da gibt's ein guest network, das verlorene
Wanderer meinetwegen gerne mitnutzen können. Die Kosten für einen
gestohlenen Access Point mag ich auch noch riskieren, im Falle eines
Falles.

Aber - da liesse sich ein Netzwerkkabel abziehen, das geradewegs in mein
LAN geht. Da liegen ein paar VLANs für verschiedene NEtze drauf (home,
guest und iot), aber home ist natürlich relativ angriffig.

Wie würde man sowas sichern? Ich könnte natürlich ein VPN machen und
mich darüber einwählen, aber ich mag das unkomplizierte Roamen zwischen
den access points. Recht lieb wäre mir, wenn das Netz erkennt, dass der
AP vom Kabel abgezogen wird und den Port dann sperrt. Ich bin in
Netzwerkdingen nicht so bewandert, gibt's da Funktionen? Wonach sollte
ich googlen? Meine bisherigen Suchen waren eher erfolglos, das mag aber
gerne daran liegen, dass ich nicht weiss, wonach ich suchen sollte.

cu
.\\arc

[Tim Ritberg]

Am 29.07.20 um 22:19 schrieb ma...@invalid.invalid:

> Aber - da liesse sich ein Netzwerkkabel abziehen, das geradewegs in mein
> LAN geht. Da liegen ein paar VLANs für verschiedene NEtze drauf (home,
> guest und iot), aber home ist natürlich relativ angriffig.
>
> Wie würde man sowas sichern?

Firewall/Router oder/und Radius (802.1X) ohne jetzt genau dein
Netz-Layout zu kennen.

Tim

[Kay Martinen]

Am 29.07.20 um 22:19 schrieb ma...@invalid.invalid:

>

> Aber - da liesse sich ein Netzwerkkabel abziehen, das geradewegs in mein
> LAN geht. Da liegen ein paar VLANs für verschiedene NEtze drauf (home,
> guest und iot), aber home ist natürlich relativ angriffig.

Auf dem Port dieses AP sollte nur ein Netz liegen, das für
Wireless-Clients. Alles andere kannst du besser im Router erlauben oder
verbieten. Wäre mein Gedanke dazu.

> den access points. Recht lieb wäre mir, wenn das Netz erkennt, dass der
> AP vom Kabel abgezogen wird und den Port dann sperrt. Ich bin in
> Netzwerkdingen nicht so bewandert, gibt's da Funktionen? Wonach sollte

Ich kann in meinem Managed Switch eine MAC Liste eintragen und dem Port
sagen das er nur diese MACs durch lässt. Das lässt sich vermutlich mit
MAC-spoofing umgehen.

Wenn ich dich aber oben richtig Verstehe hast du auch Wireless
verschiedene VLANs zugleich oder?

Wenn du Befürchtung um Physischen Zugriff auf das Kabel hast, warum dann
nicht das jemand die Verschlüsselung knackt und direkt drahtlos einbricht?

Generell solltest du so ein Setup vielleicht umstricken und deinen
Router auch zum Routen zwischen deinen VLAN Zonen nutzen. Der kann dir
vermutlich besser helfen. Entweder mit RADIUS oder Portauthentifizierung
(WPA-Supplicant), und auch in dem er nur bekannte Clients in andere
VLANs durch routet.

Und ein tool wie 'arpwatch' auf der Wireless-zone kann dir unbekannte
Clients melden oder wenn eine MAC zwischen verschiedenen IPs hin und her
hüpft. Da bekämst du dann eine Ping-Pong Message in der die MAC, die IPs
und die Ethernet-vendors stehen die es fand. Kann helfen Fremdnutzer zu
identifizieren.

Problem bei Radius könnte sein. Wenn dir jemand deinen AP klaut könnte
er aus dem Gerät den Secret-key auslesen mit dem es den Radius
kontaktiert. Das muß ja zwangsläufig über das gleiche Kabel gehen...

Kay

--
Posted via leafnode

[Ralph Aichinger]

ma...@invalid.invalid wrote:
> Aber - da liesse sich ein Netzwerkkabel abziehen, das geradewegs in mein
> LAN geht. Da liegen ein paar VLANs für verschiedene NEtze drauf (home,
> guest und iot), aber home ist natürlich relativ angriffig.

Dann mach das nicht ;)

Genau dafür hat man ja VLANs, daß man auf einzelne Ports nur
bestimmte Netzwerke schickt. Am Switch wegkonfigurieren.

Eine zweite einfach zu realisierende Möglichkeit ist ein "Alarm",
der davon ausgelöst wird, daß sich der Portstatus am Switch auf
dem betreffenden Port ändert. Das kriegt man bei den meisten Teilen
per Syslog oder SNMP, und man könnte z.B. eine SMS auf dein Handy
oder eine Mail damit auslösen.

Eine dritte Variante ist viel Heißkleber: Wenn jemand den AP entfernt
so geht das dann nicht mehr "nicht-destruktiv" z.B. nur durch Abschneiden
oder mit Beschädigung des Steckers und er kann nix einfach mehr anhängen.
Oder ähnliches mit Stahlbügeln etc die den Stecker im AP halten.

Eine weitere Möglichkeit ist die Tarnung (z.B. Vogelhaus aus nichtleitendem
Material drüber).

Mehr als die vier genannten Varianten hielte *ich* im Privathaushalt für
Overkill, insbesondere 802.1x wäre mir zu mühevoll.

/ralph
--
-----------------------------------------------------------------------------
https://aisg.at
ausserirdische sind gesund

[Marc Haber]

Kay Martinen <use...@martinen.de> wrote:
>Am 29.07.20 um 22:19 schrieb ma...@invalid.invalid:
>> Aber - da liesse sich ein Netzwerkkabel abziehen, das geradewegs in mein
>> LAN geht. Da liegen ein paar VLANs für verschiedene NEtze drauf (home,
>> guest und iot), aber home ist natürlich relativ angriffig.
>
>Auf dem Port dieses AP sollte nur ein Netz liegen, das für
>Wireless-Clients. Alles andere kannst du besser im Router erlauben oder
>verbieten. Wäre mein Gedanke dazu.

Sobald man mehrere Netze per WLAN anbieten möchte, müssen diese Netze
am Accesspoint anliegen. Außer man verwendet eine controllerbasierte
Lösung, da gibt es einige bei denen der Accesspoint nur mit dem
Controller spricht und die Daten erst dort "aufgefächert" werden.

>> den access points. Recht lieb wäre mir, wenn das Netz erkennt, dass der
>> AP vom Kabel abgezogen wird und den Port dann sperrt. Ich bin in
>> Netzwerkdingen nicht so bewandert, gibt's da Funktionen? Wonach sollte
>
>Ich kann in meinem Managed Switch eine MAC Liste eintragen und dem Port
>sagen das er nur diese MACs durch lässt. Das lässt sich vermutlich mit
>MAC-spoofing umgehen.

Die WLAN-Clients tauchen am Switch mit ihren eigenen MAC-Adressen auf.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Marc Haber]

ma...@invalid.invalid wrote:
>Da ich Corona-bedingt gerne draussen auf der Terasse arbeite und mein WLAN
>dort nicht so enorm stabil ist, wollte ich mir einen zusätzlichen AP
>installieren. Mein Netzwerk besteht im wesentlichen aus einem
>pfsense-Router, einem vernünftigen managed Switch und momentan zwei
>Unifi Access Points. Also habe ich mir einen UAP-AC-M zur Montage im
>Aussenbereich bestellt.

Wie dick sind die Wände? Wie gut ist das WLAN, wenn Du den Accesspoint
innen in Fensternähe montierst? Hast Du vieleicht ein GArtenhaus o.ä.?
Kannst Du den Accesspoint nachts abschalten oder überhaupt nur dann
eincshalten wenn Du auf der Terrrasse arbeitest?

[ma...@invalid.invalid]

Ralph Aichinger <r...@pi.h5.or.at> wrote:
> ma...@invalid.invalid wrote:
>> Aber - da liesse sich ein Netzwerkkabel abziehen, das geradewegs in mein
>> LAN geht. Da liegen ein paar VLANs für verschiedene NEtze drauf (home,
>> guest und iot), aber home ist natürlich relativ angriffig.
>
> Dann mach das nicht ;)

:)

> Genau dafür hat man ja VLANs, daß man auf einzelne Ports nur
> bestimmte Netzwerke schickt. Am Switch wegkonfigurieren.

Dann müsste ich das in gleicher Weise an allen AP's machen, damit ich
zwischen den AP's roamen kann.

> Eine zweite einfach zu realisierende Möglichkeit ist ein "Alarm",
> der davon ausgelöst wird, daß sich der Portstatus am Switch auf
> dem betreffenden Port ändert. Das kriegt man bei den meisten Teilen
> per Syslog oder SNMP, und man könnte z.B. eine SMS auf dein Handy
> oder eine Mail damit auslösen.

Gute Idee, das scheint mir praktikabel. Einen Schritt weiter - wenn der
Port kurz fällt, wird er am Switch abgeschaltet, und muss manuell wieder
eingeschaltet werden.

> Eine dritte Variante ist viel Heißkleber: Wenn jemand den AP entfernt
> so geht das dann nicht mehr "nicht-destruktiv" z.B. nur durch Abschneiden
> oder mit Beschädigung des Steckers und er kann nix einfach mehr anhängen.
> Oder ähnliches mit Stahlbügeln etc die den Stecker im AP halten.
>
> Eine weitere Möglichkeit ist die Tarnung (z.B. Vogelhaus aus nichtleitendem
> Material drüber).

An Tarnung dachte ich auch schon, mal kucken, wie/wo genau ich den
installiere.

> Mehr als die vier genannten Varianten hielte *ich* im Privathaushalt für
> Overkill, insbesondere 802.1x wäre mir zu mühevoll.

Ich hab' mal ein bisschen gegoogelt, das ist in der Tat für den Laien alles
sehr komplex :)

cu
.\\arc

[ma...@invalid.invalid]

Marc Haber <mh+usene...@zugschl.us> wrote:
> Wie dick sind die Wände? Wie gut ist das WLAN, wenn Du den Accesspoint
> innen in Fensternähe montierst? Hast Du vieleicht ein GArtenhaus o.ä.?
> Kannst Du den Accesspoint nachts abschalten oder überhaupt nur dann
> eincshalten wenn Du auf der Terrrasse arbeitest?

War mein erster Ansatz, geht aber erstaunlich schlecht. Vollverglasung
3-fach, Fliegengitter und Aluminium-Stores scheinen eine schlechte
Kombination für WLAN zu sein. Ich dachte auch schon daran, den AP nur
selektiv zu betreiben, aber das sollte dann schon etwas automatisch
sein, wegen WAF (wir arbeiten momentan ja beide zu hause).

Mal kucken - das mit dem Port abschalten scheint mir elegant.

cu
.\\arc

[ma...@invalid.invalid]

Kay Martinen <use...@martinen.de> wrote:
>
> Wenn ich dich aber oben richtig Verstehe hast du auch Wireless
> verschiedene VLANs zugleich oder?

Ja - mein LAN, ein guest network und ein iot Network.

> Wenn du Befürchtung um Physischen Zugriff auf das Kabel hast, warum dann
> nicht das jemand die Verschlüsselung knackt und direkt drahtlos einbricht?

Das ist nicht neu - wenn man vor dem Haus steht, hat man auf mein WLAN
sowieso guten Zugriff (und auf ein dutzend andere WLANs). Das mit dem
Kabel ist neu, und das Kabel hat noch nicht mal einen WPA-Key :)

> Generell solltest du so ein Setup vielleicht umstricken und deinen
> Router auch zum Routen zwischen deinen VLAN Zonen nutzen. Der kann dir
> vermutlich besser helfen. Entweder mit RADIUS oder Portauthentifizierung
> (WPA-Supplicant), und auch in dem er nur bekannte Clients in andere
> VLANs durch routet.

Ich muss mir das mal aufmalen, wie ich das machen soll. Momentan
'funktionieren' die Unifi-AP's einfach, ohne dass ich mir da Gedanken
machte. iot und guest werden sowieso im Router geblockt und kommen nur
sehr selektiv bis gar nicht rein.

cu
.\\arc

[Karl-Josef Orth]

Am 29.07.20 um 22:19 schrieb ma...@invalid.invalid:

> Hallo --
>
> Da ich Corona-bedingt gerne draussen auf der Terasse arbeite und mein WLAN
> dort nicht so enorm stabil ist, wollte ich mir einen zusätzlichen AP
> installieren.

Mal an D-LAN gedacht?
D-LAN Adapter auf der Terasse einfach in die nächste Steckdose und per
LAN-Kabel oder WLAN arbeiten.
Nach der Arbeit einfach den Steckdosenadapter wieder ins Haus - fertig.
Mach ich hier und funktioniert super.
Solltest aber nicht den billigsten M... kaufen!

LG
Karl-Josef