Anhand des obigen Schaubildes, soll der Netzwerkaufbau für unser WLAN Projekt erläutert werden. Wie im letzten Post bereits kurz beschrieben, geht es um den Aufbau von drei SSIDs:
Die SSIDs werden jeweils fest einem VLAN zugewiesen und entsprechend geroutet. Wichtig ist für uns, dass es keine Möglichkeit gibt aus dem WLAN direkt in das Firmennetz zu kommen. Hier muss eine strikte Trennung erfolgen um die Sicherheit gewährleisten zu können. Die Netzwerke für Handys / Tablets / PCs und Gäste werden direkt in das Internet terminiert und die Handscanner aus der Produktion werden an ein SSL VPN Gateway geleitet.
Die Gäste müssen sich natürlich vor dem Zugriff auf das Internet am Captive Portal authentifizieren – das Portal wird in unserem Fall von der Unifi Controllersoftware zur Verfügung gestellt – das muss aber nicht sein, es kann auch ein Portal der Firewall (z.B. Sophos XG) genutzt werden. Hier gibt es viele Möglichkeiten um den Gästen einen reglementierten Internetzugriff zu ermöglichen.
Die Authentifizierung von Notebooks erfolgt über RADIUS gegen das Active Directory. Als RADIUS Server kommt hier der Netzwerkrichtlinienserver von Microsoft zum Einsatz. Über diesen könnte auch eine dynamische VLAN Zuweisung erfolgen.
In der Firewall (in unserem Fall eine Sophos XG 320) werden die Notebooks wie normale PCs behandelt und durch den Proxy inkl. des Rulesets geroutet. Die Gäste werden zwar mit Proxy aber ohne Filter ins Internet geleitet – hier geht es nur um die Protokollierung.
Die Scanner verbinden sich automatisch mit dem WLAN „productionaccess“ und haben anschließend lediglich Zugriff auf das VPN Gateway und den MDM Server. Wird die entsprechende App gestartet, wird automatisch ein sogenanntes „Per App VPN“ aufgebaut. Der Vorteil dieses VPNs ist es, dass nur die über das Mobile Device Management (MDM) System Verteilten Apps den VPN Tunnel nutzen dürfen, und nicht das ganze Gerät bzw. andere Apps. Außerdem wird er automatisch aufgebaut und kommt dank zertifikatsbasierter ohne Eingabe von Benutzernamen und Passwort aus.
Somit können wir mit einem einfachen Setup sowohl eine flexible Funktionalität als auch eine hohe Sicherheit gewährleisten.
Im nächsten Teil folgt dann die technische Umsetzung mithilfe der Unifi Software und Ubiquiti Accesspoints.
Enterprise WLAN Teil 1 – Die Einleitung
Enterprise WLAN Teil 2 – Der Netzwerkaufbau
Enterprise WLAN Teil 3 – Die Einrichtung der Unifi Software