Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 2496 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Best way to implement wireless?

lejzer
Hi,

I wonder if anyone can point me in the right direction how to best implement wireless in our corporate lan. I'm using ASL 4.x and would like to give some employees access to internet, mail and to out fileserver with good security.

From what i understand, i should use some sort of vpn-login through the firewall to get it more secure, right?

What kind of wireless-hardware would be the best for this? And how should it work?

I have not yet bought any wireless-hardware, i want to make sure to know what i need before i buy anything.

We have two floors in the house, but i will start with one floor, and later on expand it to the other floor

Ideas and tips are very welcome

Thanks in advance


This thread was automatically locked due to age.
  • 0
    I would install a dedicated NIC in the firewall just for wireless access.

    Plug your choice of wireless access point into the firewall. Either have the access point or the firewall assign an ip address via DHCP (your choice). Make sure this net is different than any others you use.

    It is up to you whether or not to secure wireless access using WEP or WPA, but since you'll be using PPTP to secure the remote user's connection it doesn't really matter.

    Don't allow any access to any other network from the wireless network. Setup PPTP or L2TP with another netrange. Allow the desired traffic from this netrange to the services you wish to allow.
  • 0 in reply to drees
    drees,

    Thank you. That sounds like a good start. Can you recommend a good access point, there's alot of brands and models to choose from.

    Would it be insecure to allow access to the interal fileserver from the wlan once the pptp tunnel is up? If yes, what the best way to do this without breaking the security?

    The following services is the most important from the wlan: Mail, Web and in some cases access to the fileserver.

    Thank you
  • 0 in reply to lejzer
    Any basic wireless point should do the job.

    Whether or not you trust PPTP users to access the internal file server depends on how strong your username/password combinations are, how much you trust your PPTP users and what type of access control you have on the fileserver itself.
  • 0
    Howdy,

    we already have installed a WiFi in our building. Cause security is importand for us, we installed a switch based wireless system from Aruba. This means you have no intelligent Accesspoint, only a cpuless antenna. The whole intelligence is stored on the switch. There you be able to set up your ip's, your rights. There is a VPN like tunnel between the accesspoints and the central switch. Using a seperate nic in our astaro, we are able to controll the whole traffic.

    yours 
    Harald
  • 0 in reply to bmwRS100
    Guys, thanks for all your replies. Excuse me for not replying earlier.

    Well, now it's time to implement wireless. I'm thinking of the following AP:
    http://www.dlink.com/products/?pid=415

    Anyone have anything to say about this AP?

    Which VPN-client are you guys using for Windows XP and MacOSX ?

    Thank you
  • 0 in reply to lejzer
    We use 3COM access points a lot... for public internet use, we put these on a DMZ port, with very restricted packet filter rules, no WEP or WPA (hotspot usage).

    For internal network access, we put the access points on a separate interface / network / VLAN, enable WPA with a full-length and randomly generated key, use somewhat restrictive packet filter rules, make sure IPS is enabled for the wireless users, and optionally configure an IPSEC vpn using x.509 certs.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    BrucekConvergent,

    Sounds good. A question about the certs:

    1. Are these x.509 certs. created on the Astaro itself? 
    2. One certificate for each client that match a certificate on the astaro, right?
    3. Does the user need to type username and password with certificate, or is the cert. the only thing needed?

    Thank you
  • 0 in reply to lejzer

    Well, now it's time to implement wireless. I'm thinking of the following AP:
    http://www.dlink.com/products/?pid=415


    In my opinion the web interfaces for DLink network equipment in home user and small office sector are really crap. I don't know if they have better interfaces for enterprise market but I don't think so. I would say Netgear is better but also more expensive.
  • 0 in reply to lejzer
    BrucekConvergent,

    Sounds good. A question about the certs:

    1. Are these x.509 certs. created on the Astaro itself? 
    2. One certificate for each client that match a certificate on the astaro, right?
    3. Does the user need to type username and password with certificate, or is the cert. the only thing needed?

    Thank you


    1.  Yes
    2.  One certificate per client.
    3.  They will need to enter a "pin" if you are using the Astaro Secure Client (highly recommended, BTW).

    And I agree with Mority, I'd stay away from Dlink.. I've used Netgear with limited success (compatibility / stability issues), the same goes for Linksys.  I prefer to spend the extra money on a 3COM access point... I've had good success with them, and they are relatively inexpensive. If you have the money, Cisco is good too, but I use 3COM because there's no need in spending the extra money for Cisco.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent

    3.  They will need to enter a "pin" if you are using the Astaro Secure Client (highly recommended, BTW).

    And I agree with Mority, I'd stay away from Dlink.. I've used Netgear with limited success (compatibility / stability issues), the same goes for Linksys.  I prefer to spend the extra money on a 3COM access point... I've had good success with them, and they are relatively inexpensive. If you have the money, Cisco is good too, but I use 3COM because there's no need in spending the extra money for Cisco.

    Hi,

    3. Is the Astaro Secure Client only available for Windows? I have a few apple computers with OSX.

    Alright, so what models of 3COM / CISCO is recommendable? The AP would be attached to the wall, and i have 10-20 wireless users.

    Thanks for your help
Cookie Information Banner