Moin moin,

habe da mal ne Frage bezüglich Netzwerksicherheit.

Situation:

bekomme morgen neuen Intenetanschluss den ich mti mit meinem Nachbarn teilen möchte, das heisst der Anschluss ist in meiner Wohnugn und er möchte per Wlan Internet mitbenutzen. --> Vodafone EasyBox xxx

Da er seit längerer Zeit über einen offen HotSpot im Internet unterwegs ist udn ich diesem nicht vertraue muss ich das in meien SIcherheitsplanung mit einbeziehen. Es könnte ja theoretisch sein das sein MacBook übernommen wurde (Metasploit etc.).

Meine FRAge lautet nun wie ich ihn irgendwie abschottet in meine Netzwerk mit aufnehmen kann ohne das ich Gefahr laufe infiltriert zu werden :)

Hatte da an IPSec gedacht, habe aber nich wirlich Erfahrun damit.

Wie würdet ihr es handhaben ohne jetzt zu sagen, betreib dein Netzwerk allein? jemand ne praktikable Lösung?

MfG

Seinen PC säubern? Deinen PC durch ne Firewall vor eingenehmenden Connections aus deinem Netzwerk-IP Bereich (bei mir die 192.168.2.***) schützen --> Das verbietet aber auch den Dateitransfer! Oder feste IP-Adressen vergeben und an allen deinen Geräten die IP blocken (alle Requests denien)

-

Lösung:

Alten rechner für bastler als lösung
gibts aber auch vertich zu kaufen:: IPCop ;)

Is ne Linux Distro die bsp auf nem alten 486er selbst laufen kann
und dabei 4 netze voneinnander trennen kann

1.RED (Internet Modem bsp oder DSL Router)
2.GREEN (LAN BEREICH bsp dein Privater)
3.BLUE (WLAN Bereich / Accesspoint tran für Nachbarn)
4.DMZ (Nur wenn du noch nen HomeServer bedreiben wilst bsp in dem Netz)

IPCop kostet nichs und ist via webinterface sogar recht einfach mit Squart (Webproxy) versehen der sowohl den Aktiven Proxy als auch den Passiven kann.

URL Filter mit eingeschlossen ;)

Das ganze würd intern noch um sachen wie ssh-zugriff und iptables verschönert :)

s0 l0nG
Asmo

Wenn du deinem Nachbarn schon soweit vertraust, dass du dir mit ihm einen Internetanschluss teilst, dann solltet eine Antivirensoftware und vielleicht eine einfache Firewall ausreichen. Sonst würde ich niemals so einen Deal mit dem Internetanschluss eingehen.

Wenn ich einen solchen Nachbarn hätte, wäre ich ständig auf KIPO-Webseiten, nur damit ich mal mit erlebe wie die Kapo vor der Haustüre meines naiven Nachbarn klingeln.

Wenn ich einen solchen Nachbarn hätte, wäre ich ständig auf KIPO-Webseiten, nur damit ich mal mit erlebe wie die Kapo vor der Haustüre meines naiven Nachbarn klingeln.

Und genau wegen so einer kindischen Einstellung, ist es überhaupt soweit gekommen das man niemandem mehr vertrauen kann/will.

Und was hat das mit naiv zu tun?
In Berlin so wie in anderen großen Städten gibt es z.B. das Freifunk Netz. Da wird eben auch geshared und einzelne Personen haften dafür. Es passiert aber nichts, weil es eben etwas mit Vertrauen, Verantwortungsbewusstsein, und Regeln zu tun hat.

Ich mein, wenn da schon jemand so nett ist mit mir etwas zu teilen warum
sollte ich dann absichtlich etwas tun um ihn sein Leben zu erschweren?

Mein Freifunkrouter ist schon seit rund 3 Jahren offen für jedermann. Wie immer gibt es immer ein Troll der scheiße baut. Meiner war Bittorrent User war.

Dem haben wir dann mal eine Nachricht geschickt in der eben erklärt wird das es dieses Netz nur gibt weil sich paar Leute zusammen schließen und etwas teilen/zur Verfügung stellen wollen, das das was er da macht gar nicht so cool, und mit solche Aktionen diese ganze Gemeinschaft zerstört werden kann.
Der User schon es wohl einzusehen, jeden Fall kein Bittorent Traffic mehr gehabt.
Alte-Schule-Philosophie quasi.

Viele gehen nur von OSI Layer 3 aus und vergessen die Gefahren der tieferen Protokolle.

Es kamen zwei konstruktive Posts (IPcop & eingehende Verbindungen sperren)

Ob ich meinem Nachbarn vertrau ist ne andre Sache, grundsätzlich vertraue ich ihm, aber wie gesagt nicht dem offenen verdächtigen WLan in dem er immer surft. Sollte es sich bei dem offenen Wlan um einen pösen Menschen handeln, würde es kein Problem darstellen den Mac zu übernehmen (man-in-the-middle, dns ändern und auf verseuchte seiten lenken quak quak da gibts ja etliche möglichkeiten). somit ist mein Netzwerk einer theoretischen Gefahr ausgesetzt welcher ich immer ausgett bin wenn ich mir mein Internet teile, und das passt halt nicht in mein Sicherheitskonzept.

Wozwischen wird der Ipcop gesetzt ? wenn er das wlan trennen soll, muss er doch als access point dienen oder nicht ?

greeTz

---------- Post added at 23:52 ---------- Previous post was at 23:48 ----------

ist halt ne finazielle Geschichte mit dem Internet teilen, muss doch irgendwie möglich sein das irgendwie konsequent von einander zu trennen

nicht in mein Sicherheitskonzept.

Vielleicht solltest du dir Gedanken machen, wie effektiv das ist, wenn du aus dem Windows Firewall "Lass mal Verbindung sperren" Level nicht raus kommst und den Tipp für Protokolle unterhalb von TCP als nicht konstruktiv abwertest.

Sry SFX dein Post war mehr ein Kommentar als eine vernüntiger Lösungsvorschlag. Was würdst du mir denn vorschlagen ?

Windows-Firewall wär mri jetzt auch nicht inden Sinn gekommen, zumal ich mit Linux arbeite. IPCop hatte ich schonmal was von gehört, muss ich mich aber erstmal einlesen. Außerdem würde ich gerne viele Meinungen, darunter gerne deine dazu hören.

greeTz

http://ebtables.sourceforge.net/
http://www.privoxy.org/ // für Regeln bezüglich http(s)
http://www.netfilter.org/
http://linux.die.net/man/8/arptables

Aus den beiden Letzteren (und zum Teil auch dem 2.) habe ich mir meine Firewall für meinen Laptop gebaut.
Die arbeitet unabhängig vom Netzwerk und soll (so gut es in der Situation eben geht) so viel Schutz bieten, wie man in einer zu 100% nicht vertrauenswürdigen Umgebung (andere PCs, Router, Gateway, DNS) bekommen kann.

IPCop halte ich nicht für notwendig, so ziemlich jede Distro ist in der Lage, als Firewall+Router zu arbeiten. Ich wüsste nicht, warum man grade die dafür brauch.
Wichtig ist, dass du deinen PC und den von deinem Nachbar in einem anderen Subnetz stehen hast, die mit einem Router auf dem du deine Firewall laufen hast, getrennt sind.
Beim Router erlaubst du dann nur ausgehende Verbindungen, die nicht ins jeweils andere Subnetz gehen.
Wenn du selber auch Wlan benutzen willst, brauchst du 2 getrennte Access Points, die im jeweils anderen Subnetz stehen.

erstmal vielen Dank für deine ausführliche Antwort, hab ich auch soweit verstanden, werd mich mal morgen hinsetzen und ein bischen basteln.

könntest du mir noch erklären, wie das mit den 2 getrennten Access Points realisiere. ALso ich habe ne Easy Box, die würde jetzt als mein AccessPoint fungieren, dann habe ich hier noch wlan router XYZ, wie muss ich Router XYZ konfigurieren, das er begreift das das Internet von dem EasyBox-Router kommt und somit per wlan für meinen nachbarn verfügbar gemacht wird.

gibst da eine Pauschallösung oder ist das Routerabhängig?

Vielen Dank schonmal, hab ich erstmal was zu tun.

greeTz

Wenn er sich in Öffentliche Netze einwählt, ist er ja von deinem getrennt. Wo besteht hier die Angst?

das sein Rechner jetzt backdoored ist und mein Netz somit auch in Gefahr wäre...