von Mel Beckman
Frage:
Ein ernsthaftes Anliegen unseres Unternehmens ist die Sicherheit des Unternehmens-LAN, wenn Consultants und Besucher einen schnellen Internetzugriff benötigen. Ich persönlich würde diesen Benutzern keinen Zugang zu unserem Netzwerk gewähren, aber das Management besteht darauf. Gibt es einen Ausweg aus diesem Dilemma?
Antwort:
Für Ihr Problem gibt es eine schnelle Lösung. Ein semi-privates Hotspot-Netzwerk könnte ein Kompromiss sein, der einerseits die Anforderungen des Managements, andererseits Ihre berechtigte Forderung nach einem sicheren LAN erfüllt.
Ein Hotspot ist eine Stelle, von der aus öffentlicher Zugriff auf das Internet möglich ist. So könnte man zum Beispiel einen eigenen Hotspot betreiben, der Besuchern kostenfreien oder auf Stundenbasis zu bezahlenden Internetzugriff gestattet. Mit kostengünstigen Gateways lässt sich eine solche Implementierung recht einfach vornehmen, bei der ein vom Unternehmens-LAN getrenntes Netz errichtet wird. Auf diese Weise können Besucher die Upstream-Internetverbindung des Unternehmens mitbenutzen, ohne Zugang zum eigentlichen Unternehmens-LAN zu erhalten.
Aber es gibt ein paar Fragen, die es vor Auswahl der Hotspot-Hardware zu beantworten gilt. Wie groß soll der Bereich sein, innerhalb dessen der Zugriff zur Verfügung gestellt wird? Ist es möglich, Besucher auf ein im Hause implementiertes „Internet-Café“ zu begrenzen oder muss ihnen die Möglichkeit eingeräumt werden, sich frei zu bewegen? Erwarten Besucher ein sicheres Netz, wenn sie drahtlos zugreifen, oder können sie für den Schutz ihrer Daten selbst verantwortlich gemacht werden? Müssen für die Benutzer getrennte Accounts eingerichtet und Zugriffe protokolliert werden oder genügt ein generischer Zugriff?
Lassen Besucher sich auf einen bestimmten räumlichen Bereich festlegen, kann ein Hotspot-in-a-Box die geeignete Lösung sein. Diese Geräte verfügen sowohl über Wi-Fi als auch über Ethernet Ports und lassen sich über einen Web Browser auf einfache Weise konfigurieren. Soll die Zugriffsmöglichkeit sich auf einen größeren Bereich erstrecken, empfehlen sich Hotspot Gateways, die Wi-Fi Access Points und Ethernet VLANS zu einem geschlossenen Hotspot-Netzwerk vereinigen.
Solange Benutzer nicht mit für das eigene Unternehmen sensiblen Daten arbeiten, kann das Netzwerk unverschlüsselt belassen werden, wobei nur eine Authentifizierung beim Aufbau der Verbindung gefordert wird. Hotspot-Geräte bieten ein Benutzer-Login, indem sie neue Benutzer bei der Verbindungsaufnahme unabhängig von der ursprünglich aufgerufenen URL-Adresse zu einer speziellen Login-Seite umleiten. Der Benutzer muss dann Benutzer-ID und Passwort eingeben, um Zugang zum Netzwerk zu erhalten. Auf der Login-Seite können Benutzer z.B. davon in Kenntnis gesetzt werden, dass das Netzwerk ungesichert ist und dass sie selbst für eine Verschlüsselung – beispielsweise über SSL oder VPN – Sorge tragen müssen.
Liegt die Verantwortung für eine gesicherte Übertragung bei Ihnen, lässt sich der Web-Zugriff entweder auf SSL-Verbindungen über einen eigenen Web-Proxy oder auf die Verwendung eines VPN Client und die Verbindung zu einem lokalen VPN Gateway begrenzen. Einige Hotspot-Geräte verfügen für diesen Zweck über integrierte VPN Server.
Für die Authentifizierung können generische Benutzer-IDs und Passwörter zur Verfügung gestellt werden. Es ist aber ebenso möglich, individuelle Benutzerangaben für einen individuellen Zugriff vorzugeben. Die meisten Hotspot-Geräte unterstützen den Anschluss eines Ticket-Druckers, der den Ausdruck der Login-Informationen auf Papier und eine Aushändigung an neue Benutzer ermöglicht. Über einen solchen Drucker lässt sich auch ein Nutzungsprotokoll erstellen, nachdem der Benutzer die Verbindung beendet hat.
Ähnliche Artikel:
