Ah, Danke Thomas. Die Seite schau ich mir mal an. 2 Fragen hab ich dann noch, was für Ressourcen brauch den die VM damit Sie stabil läuft, unsere Server sind teilweise so langsam etwas am Limit angekommen ^^
Die andere Frage betrifft den Proxy, wir haben momentan echt das Problem das wir die IPFire als Transparenten Proxy verwenden mit eingeschaltetem Filter und dieser Blockt ja im Grunde NICHTS. Es wird ja alles nur noch SSL verschlüsselt. Bringt es etwas den transparenten Proxy zu deaktivieren und die User quasi zu zwingen den Proxy im Browser hinzuzufügen damit auch https Verkehr geblockt werden kann? Michael Oeser Von: linuxmuster-user [mailto:linuxmuster-user-boun...@lists.linuxmuster.net] Im Auftrag von Thomas Schröder Gesendet: Montag, 6. Oktober 2014 09:15 An: Discussions about using linuxmuster.net Betreff: Re: [lmn] Fragen Freeradius Coovachilli Hallo Michael, die eigentliche Projektseite ist hier: http://coova.org/CoovaChilli Das ganze ist ja kein "linuxmuster"-Projekt, sondern nur ein fertig angepasstes Paket. Sicherheitstechnisch sehe ich die üblichen Bedenken, die man bei CaptivePortalen hat - man benötigt eine Nutzerkennung und kann surfen. Da man (bei uns) nur im blauen Netz surft, kann ich ganz gut damit leben. Technisch bedingte Sicherheitslücken sind mir keine bekannt, da die komplette Kommunikation jenseits des Portals ja für den Benutzer nicht einsehbar ist (und ja auch nicht über das WLAN läuft). Man kann und sollte auf den APs WPA einstellen, damit der Verkehr zwischen Gerät und AP zusätzlich verschlüsselt wird (und weil offene Netze so einladend wirken), aber wenn ich mir die Referenzen von CoovaChilli anschaue, bezweifele ich, dass es gravierende Sicherheitslücken im CoovaChilli selber gibt. Viele Grüße, Thomas Am 06.10.2014 um 08:56 schrieb Oeser Michael: Also muss im Access Point kein WPA2 Enterprise verwendet werden? Der würde dann ja auf den FreeRadius verweisen. Ich bin von der Sicherheit des ganzen noch nicht so überzeugt :/ Das ganze soll einfach komplett sicher sein bevor wir sowas in den ganzen Schulen hier ausrollen. Michael Oeser Von: linuxmuster-user [mailto:linuxmuster-user-boun...@lists.linuxmuster.net] Im Auftrag von Jesko Anschütz Gesendet: Montag, 6. Oktober 2014 08:23 An: Discussions about using linuxmuster.net Betreff: Re: [lmn] Fragen Freeradius Coovachilli Hallo Michael, Am 06.10.2014 um 08:03 schrieb Oeser Michael <michael.oe...@kreis-eic.de<mailto:michael.oe...@kreis-eic.de>>: Hallo Leute, ich hab mir mal das Coovachilli Projekt angeschaut und finde das eigentlich ganz spitze aber hab da noch 1 - 2 bedenken weil darüber NICHTS beschrieben ist (oder ich finde es einfach nicht). Meine Fragen: Wie läuft hier die Authentifizierung ab? man öffnet ein Browserfenster, egal welche Seite man ansurft, fängt einen das Login-Portal ab und dort muss man seinen Login und Passwort eingeben. Sobald das richtig gemacht wurde, lässt einen der Chilli ins Netz. Ist der Äußere Tunnel TLS verschüsselt? hmmm... ? Die Laptops verbinden sich per WLAN, da ist WPA zu empfehlen, so dass die SChicht schonmal verschlüsselt ist. Innen drin ist es wie im LAN auch, https ist verschlüsselt das andere nicht. Wird für den Inner-Tunnel PAP mit PAM; LDAP oder mtlm_auth verwendet oder EAP-MSCHAPv2? der Chilli "holt" sich die Erlaubnis, einen Benutzer ins Netz zu lassen vom Musterlösungs-LDAP. Und wie genau läuft dann die Authentifizierung der Clients? Für korrekte Verschlüsselung muss ja im Client die Sicherheitseinstellung normalerweise angepasst werden aber davon wird auf der Webseite kein Wort verloren. nein. Weil das ja über den Webbrowser läuft. Die Firewall des Chillis ist dicht, sobald man sich auf der Portalseite eingelogged hat, ist sie für den Rechner offen. Oder läuft das alles anders ab als ich es von einem FreeRadius Server kenne? da ich mich damit nicht auskenne, kann ich das nicht sagen ;) -- Grüße, Jesko ... von unterwegs gesendet. ________________________________ Bitte nutzen Sie die E-Mail-Verbindung mit uns ausschließlich zum Informationsaustausch. Der Inhalt dieser Nachricht ist vertraulich und nur für den angegebenen Empfänger bestimmt. Jede Form der Kenntnisnahme oder Weitergabe durch Dritte ist unzulässig. Sollte diese Nachricht nicht für Sie bestimmt sein, so bitten wir Sie, sich mit uns per E-Mail oder telefonisch in Verbindung zu setzen. Dieser Kommunikationsweg steht ausschließlich für Verwaltungsangelegenheiten zur Verfügung. Es wird darauf hingewiesen, dass mit diesem Kommunikationsmittel Verfahrensanträge nicht wirksam eingereicht werden können. Sollte Ihre Nachricht einen entsprechenden Schriftsatz enthalten, ist eine Wiederholung der Übermittlung mittels Telefax oder auf dem Postweg erforderlich. Durch eine Übermittlung auf diesem Kommunikationsweg können keine Fristen gewahrt werden. _______________________________________________ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net<mailto:linuxmuster-user@lists.linuxmuster.net> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ________________________________ Bitte nutzen Sie die E-Mail-Verbindung mit uns ausschließlich zum Informationsaustausch. Der Inhalt dieser Nachricht ist vertraulich und nur für den angegebenen Empfänger bestimmt. Jede Form der Kenntnisnahme oder Weitergabe durch Dritte ist unzulässig. Sollte diese Nachricht nicht für Sie bestimmt sein, so bitten wir Sie, sich mit uns per E-Mail oder telefonisch in Verbindung zu setzen. Dieser Kommunikationsweg steht ausschließlich für Verwaltungsangelegenheiten zur Verfügung. Es wird darauf hingewiesen, dass mit diesem Kommunikationsmittel Verfahrensanträge nicht wirksam eingereicht werden können. Sollte Ihre Nachricht einen entsprechenden Schriftsatz enthalten, ist eine Wiederholung der Übermittlung mittels Telefax oder auf dem Postweg erforderlich. Durch eine Übermittlung auf diesem Kommunikationsweg können keine Fristen gewahrt werden.
_______________________________________________ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
