UKE Netzwerke einrichten–Teil 1

Last updated by at .

Mir ist langweilig und wegen Christopher S (den Hurensohn aus den LKA-Hamburg) ist meine Paraneuer wieder auf den Höhepunkt und ich habe leider kein Tavor mehr da und meine Speed bestände sind auch alle weg. (Im UKE ist nichts mehr, habe alle meine geheimen Verstecke auf den UKE Gelände abgecheckt) also muss eine vernünftige Lösung her.

Die Lösung besteht darin neue Netzwerke einzurichten und die User über die RADIUS Server in diese Netzwerke zu befördern. Doch wie machen wir das am besten? Da ich kein bock habe mehr Kabel als nötig zu verlegen nutze ich einfach VLAN,s für so was. Die Netzwerke werden kis1.uke.de, kis2.uke.de und gwis.uke.de heißen. Zusätzlich richte ich noch ein WiFi Hotspot Netz (sk-ad.de) ein so dass User dort nur über einen Proxy Server auf herbrich.org und einige harmlose Seiten surfen können. Ok, dann planen wir mal die Netzwerke.

VLAN Name Netzwerk
10 gwis.uke.de 10.161.0.0/22
11 kis1.uke.de 10.161.4.0/22
12 kis2.uke.de 10.161.8.0/22
13 sk-ad.de 10.161.11/22

 

Die Netzwerke werden durch eine Cisco-ASA Firewall entsprechend dissoziiert und klassifiziert (ASA nutzt zur Klassifikation Ziffern von 0 (Unsicher / Internet) bis 99 (Absolut Sicher). Für sk-ad.de kommt noch ein Proxy Server zum Einsatz der verhindert das die User einfach so ins Interner gehen können und noch schlimmer dort Mist bauen können so das Christopher der Pedo Hurensohn wieder die Bude stürmt wo rauf ich echt kein Bock habe zu mal Jenni 3.0 ein echt guter PC ist und auch die Server sehr geil aufgebaut sind. Natürlich alles Jennifer Herbrich Zertifiziert und Individuell wie es sich für die Herbrich Corporation und Herbrich Leyer gehört.

Ich nutze dann einfach mal die SSID,s aus den UKE und eine SSID aus der Schön Klinik Eilbek, so fühlt man sich wie zuhause. Zugleich lasse ich mein Radius Server (Freeradius) einfach alle Cleartext Logins die fehlgeschlagen sind in einer MySQL DB Speichern so dass die Dummheit gewisser User auch noch belohnt wird. Da könnte ich eigentlich noch mal Eduroam als zusätzliche SSID für das VLAN 13 verwenden. Also ist der Spaß schon mal Garantiert.

Das Wilhelmstift Netzwerk ist mir zu Dumm um es zu übernehmen, die SSID kkh-wilhelmstift wird entweder einfach Offen ohne Authentifizierung eingerichtet und auf ein Captive Portal in Wilhelmstift Homepage Style (Ja, Typo3 Template Reverse Engeneering ist angesagt) gemacht so dass ich dann einfach darüber einloggen kann. Aber dafür gibt es schon uke-federation was auch sehr gut funktioniert. (Einige User sind einfach zu dumm EPOAL EAP auf ihren Geräten einzurichten  -.-) Also wird kkh-wilhelmstift einfach mit WPA/WPA2-Enterprise gesichert und läuft dann ebenfalls über den RADIUS Server.

Anhand von meinen zwei Regex Patterns kann ich einfach entscheiden welche Server welche Anforderung verarbeiten. Ich meine Die SSID Herbrich Corporation so wie die SSID Jennifer Herbrich (WPA/WPA2-PSK für Google Home und Google Chrome Cast) ist eh über meinen Microsoft NPS 2016 Server konfiguriert. Der kann im Grunde genommen auch so Konfiguriert werden dass alle Clients die sich über diese SSID,s versuchen anzumelden in ein 5.tes VLAN geschickt werden was sehr eingeschränkten Zugriff auf einige Interne Webserver bekommt wo der User einige Hilfe Wikis und Manpages aufrufen kann. Das würde ich dann über eine einfache ACL auf meinen Cisco Switch lösen.

Jetzt kommen wir noch zum DNS-Server, der interne DNS-Server wird über einen DNS-Proxy einfach weiter verwendet. So kann ich in meinen Netzwerk mit proprietären TLD,s arbeiten (.her,.uke, usw…) was für meine Manpages und Hilfe Wikis sinvoll sein könnte. Einen direkten Zugriff auf das Default VLAN 1 wo das JenniNet drüber läuft werde ich nicht zulassen. Einzige Ausnahme währen eventuell sehr strikte ACL,s so dass man wirklich nur auf harmlose Dienste zugreifen kann. Idealerweise so dass sie schwer zu Hacken sind. Wer Hacker Angriffe versucht wird einfach auf eine MAC Blocklist gepackt und gut. Mit ein wenig Scripting lässt sich das auch sehr gut Automatisieren.

Hardware Technisch nutze ich ein Cisco WLC 4402 und einige Aironets die ich noch über hatte. Also alles was im Grunde genommen eh schon installiert und im Einsatz ist. Ansonsten kommt noch mein Cisco Switch zum Einsatz der Layer-3 fähig ist und aktuell aber eh nur Strom für meine Cisco WiFi Access Points bereit stellt. Einige habe ich mit meinen Logo versehen und der Beschriftung JenniNet was da nicht ganz richtig währe aber egal da ihr hauptverwendungszweck trotzdem die Verbindung der Geräte mit den JenniNet (Jennifer Herbrich Netzwerk in VLAN ID1) ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.