Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 3698 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wireless Protection: Separate Zone oder Bridge to VLAN für GAST-Netzwerk?

Stolz
Hallo Forum,

welche der folgenden Einstellung würdet Ihr für ein GAST-WLAN sicherheitstechnisch bevorzugen?

Client traffic über:
• Separate Zone
• Bridge to VLAN (-> Separates VLAN für GAST-Netzwerk)

Wenn ich „Separate Zone“ richtig verstanden habe, wird ein SSL Tunnel vom AC zur UTM aufgebaut um den Gast-Traffic zu tunneln. Umgehe ich damit, dass der Management Switch über das Gast-WLAN angreifbar ist (ARP-Spoofing, VLAN hopping, etc.)?

Der Aufwand spielt in diesem Szenario keine unmittelbare Rolle, es geht rein darum, welche Einstellung die Sicherste ist.

Vielen Dank für eure Hilfe
Stolz


This thread was automatically locked due to age.
Parents
  • 0
    Wenn ich „Separate Zone“ richtig verstanden habe, wird ein SSL Tunnel vom AC zur UTM aufgebaut um den Gast-Traffic zu tunneln.

    Nicht ganz korrekt. Der Tunnel zwischen AccessPoint und UTM ist nicht verschlüsselt, sondern nur gekapselt. Es wird hier anstelle von CAPWAP auf ein proprietäres Protokoll gesetzt.

    Wenn in diesen gekapselten Paketen irgendwelche VLANs gespooft werden, interessiert dies die UTM meiner Meinung nach nicht (Sie sollte das Paket eigentlich aufgrund von CRC Checks verwerfen) weil sie ja kein VLAN Tag bei diesen gekapselten Paketen erwartet. Bitte korrigiert mich falls ich hier falsch liegen sollte.

    Please send me Spam gueselkuebel@sg-utm.also-solutions.ch

Reply
  • 0
    Wenn ich „Separate Zone“ richtig verstanden habe, wird ein SSL Tunnel vom AC zur UTM aufgebaut um den Gast-Traffic zu tunneln.

    Nicht ganz korrekt. Der Tunnel zwischen AccessPoint und UTM ist nicht verschlüsselt, sondern nur gekapselt. Es wird hier anstelle von CAPWAP auf ein proprietäres Protokoll gesetzt.

    Wenn in diesen gekapselten Paketen irgendwelche VLANs gespooft werden, interessiert dies die UTM meiner Meinung nach nicht (Sie sollte das Paket eigentlich aufgrund von CRC Checks verwerfen) weil sie ja kein VLAN Tag bei diesen gekapselten Paketen erwartet. Bitte korrigiert mich falls ich hier falsch liegen sollte.

    Please send me Spam gueselkuebel@sg-utm.also-solutions.ch

Children
Cookie Information Banner