In Hausnetzwerk getrennt absichern?!

[lars]

Hallo Ihr,
auch wenn dies hier nur am Rande mit dem WHS zu tun hat wollte ich mal Eure Ideen erfragen.

Wir haben hier im Haus eine cat7 Verkabelung, diese ist unten im Keller an einen einzigen Switch gebündelt. Jeder einzelne Raum ist einzeln dort eingestöpselt. Nun möchte ich hier bei mir diese Netzwerkinstallation nutzen, aber natürlich so, dass niemand anderes, der am Switch hängt zb. an Freigaben, den WHS, das AppleTV, den Router und das NAS kommt.

Was gibt es da für eine Möglichkeit?
Kleine Firewalls an jedem Port in meinen Räumlichkeiten mit Mac Filter?!
Eine einzige Firewall mit Mac Adressen Filter?!
Eine Firewall unten am Switch fällt leider aus, da dort kein Zugriff gewünscht ist. ;-(
DHCP Server mit Mac Adressen Filter über den dämlichen Router leider nicht möglich.


Vielen Dank für jeden Tip!

[Hornen]

Firewall direkt unten am Switch wäre natürlich das Idealste.

Ansonsten, wie siehts aus, wenn du versch. Subnetze/Netzmasken verwendest ?

Was mir auch noch einfällt, mit einem WRT54GL Router ist es glaube ich möglich (unter Verwendung von Customfirmware) die einzelnen Ports am Switch in VLANS aufzuteilen und das Netz so zu trennen.

[vMarkus]

Die einfachste und effektivste Methode ist in dem du den Freigaben einfach ein Passwort vergibst, bzw. die Freigabe für User/Gruppen einstellst und "Everyone" rausschmeisst.
Somit kann auch niemand darauf zugreifen

Wenn du allerdings erreichen willst das man die Freigaben, bzw. das (Sub)Netz in dem die Freigaben sind nicht einsehen kann, dann brauchst du entweder eine Firewall oder ein VLan.

[lars]

Ja, Freigaben mit Passwörtern schützen geht natürlich. Aber in "mein" Internet würde sie ja immer noch kommen...
Subnetze sind möglich, aber dann ändert jmd sein Subnetz und "findet" mich.

[powerslave69]

nur mal so ein schuss ins dunkle :
hast du schonmal über ein VPN (virtual private network ) nachgedacht ?
evtl kann das dein router hardwareseitig und dann per IPSEc oder PPTP client connecten (windows bordmittel)?!
>> z.b mal hier erläutert: Sicherere Verbindungen per VPN
grüße
ps

[lars]

nur mal so ein schuss ins dunkle :
hast du schonmal über ein VPN (virtual private network ) nachgedacht ?

Eahm, nö! Ich sammel ja gerade Ideen

Mein Router könnte VPN, also könnte ich mein Inet schonmal "abdichten"... Denn Rest dann tatsächlich via Passwörter. Hmm,... noch mehr Ideen?

[lukesky]

Hi,

ich wohne in einem Studentenwohnheim wo wir mit etwa 10 weiteren ein getrentes netzwerk haben mit eigenem Anschluss und bald auch Home Server.

Ich habe bisher das Netz mit anderer Netzwerkmaske abgesichert, ich glaube so kann man nich ohne dieses Wissen darauf zugreifen.

Sicherungen wie DHCP und dann mit MAC filter sind blöd weil
1. jeder halbwissende dann rausfindet das es ein 2. dhcp netz gibt
2. zwar der jenige nich reinkommt wegen dem Filter aber auch besucher / Gäste nich ohne weiteres reinkommen

Aber da ich bald ohnehin alles auf ein Gigabit netzwerk umstellen will wird der krams eh getrennt vom restlichen Netz.

Ansonsten machs so,

andere Netzmaske, andere IP (10.10.0.x anstatt 192.168.x.x )
Firewall auf dem Server womit man Lokal die Peers sperren kann und dann nur nach IP / MAC Adr. gehen. Aber sowas hab ich noch nie gemacht, vielleicht gibs solche möglichkeiten garnicht
Ansonsten, ist es nicht so das bei Windows Home Server für jeden Client ein eigener Benutzername/PW angelegt wird. Weil ihr was sagtet von Passwörtern vergeben. Da musste dann halt für jeden einzelnen das machen. Weil falls mal welche komprementiert werden kann man so schneller abchecken welcher bentuzer das war und dann nur diesen sperren (aber ich glaub sowas passiert nru in firmen usw).

Nagut ich hoffe ich konnte helfen

adios

[pleibling]

mac adressen filter taug nciht viel, da man bei fast alen lan treibern mittlerwiele die mac adresse einstellen kann.

ich würde folgendes bevorzugen:

- auf den whs vmware, mit 2 verschiedenen netzwerkkarten
- auf dem vmware dann astaro oder ipcop (für den privatgebrauch kostenlose stabile und komfortable firewall)
- beide netzerkkarten in der firewall eigenen netzen zuordnen
- in das interne netz den whs und dhcp usw., eben alles was du so brauchst
- und dann nur noch intern über bestimmte ports zugreifen lassen, bzw. volzugriff über vpn.
- nicht vergessen, du brauchst auch nat auf den anderen interface zum "öffentliche netz", auch wennd as noch ein privates netz ist.

somit hast du keine zusätzliche hardware die du brauchst, software ist umsonst, dennoch ist alles sicher (wenn du es richtig konfigurierst!) und hast dennoch allen komfort .

wenn du fragen hast, dann melde dich einfach .

p.s.: oder wie seht ihr das?

[Schorsch]

Moin,

Zur Verständigung, damit ich das richtig auffasse.

- der "dämliche Router" ist der zentrale Router für's Internet (DSL) hinter dem Switch?
- du hast mehrere Räume in denen Rechner stehen die an deinem WHS rann sollen?
- und diese Räume sind alle einzeln am Switch?

Dann halt VPN wie powerslave69 vorschlägt.
Tunnel durch's interne Hausnetz, direkt zum Router ins Internet.

Aber dann schreibst Du "dein Router kann VPN"
- also hast Du einen eigene Router der deine Rechner in deinen Räumen an den Switch routet?

Dann würde ja NAT genügen.
Entweder mit deinem Router, wenn er einen WAN-Port hat, oder halt mit der Software-Lösung alla IPCop .

EDIT:
Gerade beim Stöbern gefunden.

viewtopic.php?f=25&t=943

[egbert]

Hallo, Schorsch,

ich wollte gerade mal Deinen angebenen Link verfolgen. Zum nächsten Beitrag geht es noch, doch dann hat meine Firewall (ASTARO) den Zugriff gesperrt. Screenshot anbei. Kannst Du mal prüfen ?

Gruß
Egbert

[Schorsch]

Moin Moin,

müsstest Du mal cyberwaelder fragen.
Habe die Software nicht getestet, bzw. kenne ich die nicht.
Könnte aber eventuell ein Fehlalarm sein wenn deine Firewall/Vierenscanner die Software nicht kennt.
Denn eine Software die einen Tunnel durch Netz bohrt um eine direkte Verbindung zu schaffen ist erstmal als "BÖSE" anzusehen.

Aber das Deine Firewall Dich vor solchen Bedrohungen (berechtigt oder nicht) schützt finde ich gut.
Werde mir mal Deine Firewall-Lösung näher anschauen. Arbeite bisher mit IPCop.