Heimnetz Firewall -> Anwendungsfall WG

Captain.P

Captain.P

Enthusiast
Thread Starter
Mitglied seit
16.08.2002
Beiträge
1.022
Ort
Hamburg
Hi,
ich wohne in einer 8er WG und bin so der einzige der sich ein bischen mit Computern auskennt.
Vor zwei Monaten habe ich z.B. in einem Schrank eine Synology DS211 entdeckt von der keiner mehr wirklich wusste dass sie existiert.
War ausgeschaltet und keiner hat sich mehr darum gekümmert.

Ich bin der einzige hier der noch mit Kabel am Router hängt.
Alle anderen benutzen das Wlan.

Ich habe selbst einen extra Switch für meine Rechner.

Meine Frage ist nun kann ich einfach und sinnvoll meine Rechner gegen die anderen abschirmen?
z.B. dass ich nur ins Internet komme und auf die DS211 zugreifen kann aber sonst nicht mit dem Netzwerk in Verbindung bin?
Es geht mir nicht um ein Vertrauensproblem nur habe ich keine Lust dass sich hier einer was einfängt und dass dann auf mich übergreift.
Oft haben wir Besuch der dann natürlich unser Wlan nutzt.

Reicht dafür die Firewall Lösung die im OS vorhanden ist?

Kann ich das z.B. lösen indem ich einen OpenWRT Router dazwischenhänge?
Oder brauche ich eine richtige Firewall mit Verhaltserkennung oder wie dass heißt?

Bin durchaus bereit dafür Geld auszugeben.
Es geht mir auch darum ob man den Aufwand betreiben muss oder sich die Zeit sparen kann.
Ich kenne mich in dem Bereich nicht wirklich aus bin aber bereit mich einzulesen falls die Sache es wert ist.


Gruß
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Die wohl einfachste und günstigste Möglichkeit wäre das Kabel vom Router (192.168.1.1-254) in einen anderen Router (ohne integriertes DSL Modem) in den WAN Port zu stecken und via feste IP ( WAN IP = 192.168.1.254, Subnet: 255.255.255.0, Gateway/DNS: 192.168.1.1) zu kaskadieren und somit ein neues Netz zu benutzen (192.168.20.1-254).

Das Synology DS211 hängt am WG Router (192.168.1.1-254) und deine Rechner kennen ja den Weg zurück, sollten ergo mit z. B. \\192.168.1.10 (Synology DS211) Zugriff auf das NAS und Internet haben. Die Rechner der WG wissen nicht was hinter deinem Router/NAT/Firewall passiert, haben also keinen Zugriff auf dein Netz. Das funktioniert mit 0815 mainstream Routern ganz passabel.

Falls du noch einen Router runliegen hast, einfach in der vorhandenen Infrastruktur testen.
 
Zuletzt bearbeitet:
Hi

Kann auch sein, dass wenn Du der einzige bist, der per Kabel am Router hängt, dass die anderen Rechner Dich gar nicht "sehen". Bei meinem W-LAN Router ist das so. Mit einem OpenWRT Router kann man das sicherlich konfigurieren. Einfach mal testen, ob die Rechner von WLAN zu LAN sichtbar sind. Und dann noch eine Softwarefirewall, bei der die Adapter auf öffentlich stehen. So ist's relativ sicher.

Die Lösung mit dem zweiten Router ist natürlich am sichersten.
 
Ich gehe mal davon aus, Du hast/verwaltest den Router mit dem I-net Anschluss.

...das einfachste wäre, alle anderen, die nur WLAN und I-net haben wollen nutzen einen Gastzugang im Router.
Welchen Router hast Du denn im Einsatz?
 
Aber ein Router ist doch keine richtige Firewall oder?
So wie ich dass verstanden habe ist dass nur eine Regelliste welche Ports offen sind und welche nicht.
Gesetzt den Fall ein Bewohner fängt sich was ein.
Kann dass dann auf meinen Rechner schwappen oder ist der abgeschirmt wegen der Regeln?
Wegen dem Router der in der WG steht:
Das Problem ist zur Zeit keiner kennt dass Password. Zurücksetzen will ich ihn aber erst wenn meine eine Mitbewohnerin im Urlaub ist.
Diese Arbeitet von zuhause und braucht Internet.
Ist ein Speedport W920V

PS:
Ich habe einen der Linksys WRT-54 im Schrank liegen und noch einen Daytreck 2500.
Das sollte also nicht das Problem sein.
Der Linksys zickt aber immer rum wenn ich Open-WRT installiere. Es läuft ne Weile aber irgendwann ist er dann "tot" bzw. man kommt nur per Telnet eine Verbindung.
Ist dann nicht ganz so einfach dass wieder runter zu bekommen.
 
Eine Firewall schützt dich nicht vor Viren sie erschwert nur den Zugriff nicht berechtigter Zugriffe auf deine(n) Rechner, gegen Viren schützen dich primär die üblichen Virenschutzprogramme und dein Verhalten im Netz. Du kannst dir natürlich eine feudale Firewall, Proxy, IP Filter etc. vor deinen Internetzugang setzen und zurück zu deiner Frage:

Meine Frage ist nun kann ich einfach und sinnvoll meine Rechner gegen die anderen abschirmen?
z.B. dass ich nur ins Internet komme und auf die DS211 zugreifen kann aber sonst nicht mit dem Netzwerk in Verbindung bin?
Zum Vergrößern anklicken....

In deinem Szenario dürfte das höchste Sicherheitsrisiko das NAS sein worauf du Zugriff haben möchtest und alle anderen inkl. WG Besucher auch Zugriff haben.

Wie du dich einfach vom WG Netz abkoppelst steht ja oben, gänzlich abkoppeln möchtest du dich jedoch auch nicht, also bleibt dir nur eine anspruchsvolle Lösung mit allen Vor- und Nachteilen.
 
Greift die WG auch auf das NAS zu?

Wenn nicht, einfach die WLAN Nutzer in ein Gastnetz "abschieben". Dann haben die auf dein Netz (deine PCs + NAS) keinen Zugriff mehr.
 
Der Router reicht aus um die Netze zu trennen.
Wenn die WG auch aufs NAS soll brauchst Du was ansprichsvolleres, aber ansonsten -> Du und das NAS ins Heimnetz, WG und Gäste ins Gast-Netz.

Denke mal der Speedport kann Gastzugang.
Denn Speedport kann man mMn auch zur Fritz (mit oder ohne Freetz) umflashen...
Wenn Du den Speedport plattmachst, dann richte den Gastzugang so ein, wie das aktuelle WLAN (SSID inkl. Passwort)....dann merkt es der Rest der WG garnichtmal.
Du nimmst dann das Heimnetz und eine neue SSID für das WLAN.
 
Hi,
auf das NAS hat die ganze WG Zugriff.
Aber jeder hat seine eigene "Partition" die anderen haben darauf dann keinen Zugriff.
Ich habe sozusagen 8 Nutzer eingerichtet.
Gibt auch Speicherplatz free for all aber auch nur zugreifbar über einen der Nutzeraccounts. D.h. ein Besucher kommt da nicht rauf.
Was wäre denn was anspruchsvolles?

Danke für die Tipps.
Es hängt zur Zeit eh ein zweiter Router am Speedport. Das Wlan des Speedport mag anscheinend keine Windowsrechner. Die Apple System haben schnelles Internet aber auf den Windows Systemen kriecht es.
Daher habe ich da einen Netgear als Acces Point dran auf den dann die Windows Systeme Zugriff haben.
Leider funktionieren anscheinend die Lan Buchsen an dem Netgear nicht wenn er im Acces Point Modus ist.
 
Zuletzt bearbeitet:
Also mMn ist der 920V auch nur eine Fritz 7270v2 und die geht gut mit allen Clients, egal welches OS.

Du könntest mit nem kleinen smart-managed Switch arbeiten, der VLANs kann.
Am Speedport dan Gastzugang an LAN4 aktivieren (geht zumindest bei der Fritz) und das Gast-LAN ueber den Switch an den Netgear-AP verteilen (ein VLAN dafür im Switch konfigurieren).
Ein VLAN fürs Heimnetz...auch vom Speedport an den Switch (VLAN auch dort anlegen)
Die DS an den Swicth und diesen Switch-Port für GAST und HEIM VLAN im Switch zulassen...dann können beide Seiten an die DS.
Alle, die über den Netgear reinkommen, können nur aufs Gastnetz des Speedport und ins I-Net...das Heimnetz sollte dann gut getrennt sein.
Die restlichen Ports im Switch am besten deaktivieren.
Sicherheitslücke ist der physische Zugang zum Switch...wer sich an die Ports einstöpseln kann, die für Dein heimnetz frei sind, kommt in Dein Netz....evtl im Swotch noch auf MACs beschränken, aber das ist nicht unbedingt super sicher.

- - - Updated - - -

Switches hier: http://geizhals.at/de/?cat=switchgi&xf=658_smart+managed~659_1000Base-T#xf_top
Mein Favorit wäre für den Preis sicher der HP 1810-8v2.
Edit: sehe gerade der HP hat wohl *nicht* 8x Gbit, sondern nur 1x...dann würde ich einen der netgears nehmen.
 
Zuletzt bearbeitet:
Hi,
ich vermute mal die 920V ist einfach bei uns am beinahe durchglühen. Da läuft noch das Entertain Packet von der Telekom drüber (Ein Festplattenrecorder; wir schauen damit Fern).

Ich habe zwei alte Smartphones.
Ein Nokia N900 dass läuft nur am Speedport anständig.
Und ein Nokia N9 dass läuft nur am Netgear richtig (am Speedport geht nach 5min das Internet nicht mehr trotz Verbindung).
Mein X61 mit Ubuntu hat auch dass selbe Problem wie das N9.
Das Wlan Problem des 920V ist also nicht nur auf die Windows Rechner beschränkt.

Ich glaube kaum dass sich hier jemand physikalisch Zugang zum Netz über den Switch verschafft.
 
Zuletzt bearbeitet:
...um sicher zu sein mjusst Du die Netze von Dir und den anderen (WG) trennen.
Wenn Du am Speedport kein Gast an LAN kannst und Du ihn wg. Entertain nicht umflashen kannst, dann ist das ein Problem.
Du könntest zB den Netgear auch als echten Router nehmen und die WG damit versorgen, hast dann aber double-NAT.

- - - Updated - - -

Achso, nochwas....

Damit Du mit zwei Netzen (Heim und Gast) auskommst, muss die DS in beiden Netzen sein, also zwei IPs (am besten statisch vergeben) an ihrem, einen LAN Port beherrschen.
Vorteil ist, die Router tragen für diese Konfig das Routing selbst ein; Du musst nur die VLANs im Switch an den Ports konfigurieren.
Kann die DS das nicht, muss sie in ein drittes Netz und beide Router brauchen eine Route zu diesem Netz um auf die DS zuzugreifen. das musst du manuell in den Routern und der DS einrichten.
 
Zuletzt bearbeitet:
hominidae schrieb:
Wenn Du am Speedport kein Gast an LAN kannst und Du ihn wg. Entertain nicht umflashen kannst, dann ist das ein Problem.
Du könntest zB den Netgear auch als echten Router nehmen und die WG damit versorgen, hast dann aber double-NAT.
Zum Vergrößern anklicken....

für Entertain braucht es IGMPv3, das kann der Speedport und die Fritzboxen, es sollte auch bei gefritzten Speedports laufen allerdings müsste man beim Netgear prüfen ob er das kann, ebenso bei einem ins Lan integrierten Switch oder AP, auch diese müssen IGMPv3 unterstützen sonst kann (und wird) es Probleme geben und das Netz wird mit broadcast geflutet.
 
Zuletzt bearbeitet:
Ja, ich hatte angenommen, das der Entertain Receiver im Heimnetz ist (und bleibt) und nicht über den Netgear läuft....kenne mich mit Entertain aber nicht aus, da ich Kabel-Kunde bin.
 
Ihr machts euch hier finde ich viel zu schwer...
Ich würde das ganz platt sehen und einfach mein privates Netz hinter einem Router nebst NAT mit dem WG Netz verbinden. Denn alles was im WG Netz passiert, kann mir schnurz egal sein. Da muss ich mich auch nicht drum kümmern ob da "Gäste" den Gast WLAN Zugang nutzen oder sonstwas.

Und wegen doppeltem NAT, ja das ist dann so. Hat aber eben auch den massiven Vorteil, das nur die "public" IP des zweiten Routers im WG Netz bekannt ist und nichts, was dahinter steht. Man könnte natürlich auch mit zwei besseren Geräten straight routen. Aber dann muss der Telekom Speedport vorn, der den INet Anschluss terminiert, statische Routeneinträge auf der private Seite zulassen. Da das Ding wohl auch nur ne Fritzbox mit anderer Oberfläche ist, könnte das schwer werden. Denn ich meine, die FBs können das nur auf der public Seite, zumindest bei den paar Dingern, die ich kenne. Routet man direkt die Netze, müsste man dann optimalerweise auf dem zweiten Router eine Firewall haben, die eben die eingehende Kommunikation blockt.
Die NAT Version des billigen Routers ist im Grunde ähnlich, kostet aber halt sogut wie gar nix und erziehlt den gleichen Effekt.

Wenn dann irgendwelche Virenschleudern im WG Netz unterwegs sind, kommen diese Viren idR nicht durch den zweiten Router. Es sei denn, ein Gerät hinter diesem zweiten Router baut die Verbindung genau zur Virenschleuder auf. -> aber dagegen kann man sich nur bedingt schützen. Eben bspw. mit Antivierensoftware usw. usf.
 
Hab die Beiträge gerade nochmal überflogen, aber sehe nix davon, das der TE das nicht will? Oder bin ich blind auf den Augen?

Klingt für mich eher so, als hätte er Bedenken, weil ein Router keine richtige Firewall ist. Aber diese wurden ihm bis dato hier wohl nicht genommen...
 
dann sollte man ihm diese Bedenken vielleicht eher nehmen ;)
Denn aus meiner Sicht sind diese Bedenken grundlos. Zumindest wenn die Kiste sauber funktioniert.
Das Viren sich aber idR viel eher durch vom User aufgebaute Verbindungen (oder eigene doofheit) auf einem System einfinden, kann keine Firewall oder sonstwas wegregeln... Bestenfalls noch über einen Kontentfilter ala Proxy mit Echtzeitscan. Aber das dürfte wohl hier ne Nummer zu "Fett" sein.
 
Hi,
danke für die lebhafte Diskussion.

Ich werde es wohl mit einem zwischengeschalteten Router lösen.

Meine Bedenken waren dass die anderen Rechner meine durch den Router noch "sehen" können.
Konstruierter Fall: Sicherheitlücke im System. Einer fängt sich durch Besuch einer Streaming Seite was ein. Es schwappt auf meine Rechner rüber bevor ich ein Update einspielen kann.
Aber dass hat sich als unbegründet erwiesen wenn meine Rechner vor dem Restnetz "versteckt" sind (laut euren Ausführungen).




Gruß und Danke!
 
Zuletzt bearbeitet:
Hm. Und den Fall, dass das NAS korrumpiert wird und Du Dir so was einfängst, hast Du auch in der Überlegung mit drin?
 
Viren verbreiten sich heutzutage kaum noch "direkt" über's Netzwerk. Und auch für diese würde eine aktivierte Windows Firewall reichen.
 
Ich gehe einfach mal vom Worst Case aus.
Gibt es nicht auch Malware die Nachschaut ob im lokalen Netzwerk etwas ungeschütztes ist?

Klar die DS ist eine Sicherheitslücke.
Ich greife aber Hauptsächlich nur auf "meine" Partition zu.
Wenn dann müsste ich da wohl auch aktiv etwas ausführen.
Oder sehe ich dass falsch?
Auf der DS läuft doch ein Linux das sollte relativ "sicher" sein.
Vermute mal von sich aus wird die DS nix verteilen.
Hmm wobei es gab ja diese Malware die Bitcoins auf den NAS Boxen berechnet hat.
Von aussen ist die DS aber auch nicht zu sehen. Ich habe alles was Remote betrifft ausgeschaltet.
 
Ich habe bei mir im Netz weniger Angst vor lokalen kompromitierten Systemen, die andere lokale Systeme übernehmen oder infizieren. Am meisten Sorgen macht mir mein Desktop, der natürlich völlig zugemüllt ist (brain.exe ist aus Prinzip aus). Bei Windows Systemen, wo halt Tod und Teufel installiert ist, sei es im Entwicklungs-, Multimedia-, Internet-, Mediangestaltung und/oder Game-Bereich, hilft halt nur eine gut gepflegte Software Firewall. Und das bedeutet einen rechten Aufwand, die zu pflegen. Es gibt Stimmen, die halten das für Otto Normalverbraucher zu kompliziert in der Handhabung. Und das zu recht:

Ich habe meine Dienste leider auch nicht ganz im Griff, der Paranoia Modus meiner FW ist mir dann doch zu viel. Vor allem in Anbetracht der Tatsache, das selbst der keinen 100%igen Schutz bietet. Zum einen, wer weiss schon, was die zugelassenen Dienste so alles umherkommunizieren, bzw. ob die sogar noch unentdeckt infiziert sind. Auch das Überwachen der ausgehenden Verbindungen ist keinenfalls einfach, wenn viele Dienste laufen gar fast unmöglich.

Und gerade die ausgehenden Verbindungen sind es, die mir Sorgen machen. Davor schützt ein Router oder eine Firewall nur, wenn man sie auch richtig konfiguriert hat (ausgehende Verbindungen). Und das ist ein übler Aufwand, den ich bislang auch weitgehend ausser Acht lasse,...

Das mit dem 2. Netz ist natürlich trotzdem sinnvoll, vor allem dann, wenn Du in Deiner WG nicht jedem über den Weg traust, in der Beziehung. Einer der Gründe, warum ich eine Professional Firewall habe. Aber bin ich ehrlich, bringt mir das Ganze ziehmlich wenig. Weil Sicherheit anders aussehen würde.

Heute würde ich eher auf eine XEON Workstation mit TPM Modul setzen, als auf die X79 Plattform, auf der ich reite. Eins meiner Boards hätte sogar einen Slot für das Modul. Aber die i7 Prozessoren unterstützen TXT nicht. Dieses Feature würde ermöglichen, gewisse Dienste recht sicher auszuführen, und, vor allem für mich interessant, das UI zu verschlüsseln. Am meisten Sorgen bereiten mir Keylogger, Passwortsniffer & Co. Und mir ist es ein Rätsel, warum das TXT Feature nicht Standard ist, bei teureren i7. So würde es gegen solchen Unrat eine recht zuverlässige Methode geben. Ach ja, Intel verkauft ja gerne doppelt so teure XEON's mit der gleichen Leistung. Wahrscheinlich darum. Und wahrscheinlich wurde das Feature bei den i7 auf dem Die noch künstlich deaktiviert.
 
Zuletzt bearbeitet:
Sassicaia schrieb:
Die wohl einfachste und günstigste Möglichkeit wäre das Kabel vom Router (192.168.1.1-254) in einen anderen Router (ohne integriertes DSL Modem) in den WAN Port zu stecken und via feste IP ( WAN IP = 192.168.1.254, Subnet: 255.255.255.0, Gateway/DNS: 192.168.1.1) zu kaskadieren und somit ein neues Netz zu benutzen (192.168.20.1-254).

Das Synology DS211 hängt am WG Router (192.168.1.1-254) und deine Rechner kennen ja den Weg zurück, sollten ergo mit z. B. \\192.168.1.10 (Synology DS211) Zugriff auf das NAS und Internet haben. Die Rechner der WG wissen nicht was hinter deinem Router/NAT/Firewall passiert, haben also keinen Zugriff auf dein Netz.
Zum Vergrößern anklicken....

Ich habe jetzt mal die vorgeschlagene Konfiguration aufgezeichnet (sry 4 Paint, bin grad im Urlaub... :cool: ). Netzwerk danixx.png

(Router sind in der Grafik viereckig)

Das allein genügt doch noch nicht, oder? Es könnte sich doch immer noch jemand, der im blauen Netz ist, z.B. zwischen Danixx Router und den "richtigen" WAN-Router setzen (z.B. ARP-Spoofing) und somit Einfluss auf seinen Internet-Traffic nehmen. Eine Firewall mit z.B. IDS kann doch noch viel mehr.
 
...dann nutze vom Dannixx Router aus ein VPN....entweder zum I-Net Router oder gleich zu einem VPN-Provider im I-Net....dann ist dicht.

Edit:
...um so technische Dinge wie ARP-Spoofing würde ich mir weniger Sorgen machen als um physischen Zugriff innerhalb der WG.
Grundsätzlich bis Du am Irsch wenn der I-Net Router kompromitiert wird..z.B. Dein Dannixx Router einfach mal am Switch umgesteckt wird und einen anderen DHCP-Server vorfindet.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

P
[Kaufberatung] Budget-NAS für Backup, Foto-Selfhost und Firewall+VLAN - EpycEmbedded vs AM4 vs gebrauchte Workstation?
Antworten
14
Aufrufe
3K
Pete_5
P
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh