3. PC mit Internet-, aber ohne Dateizugriff?

Hallo, der Titel dürfte ziemlich schwammig sein, aber es ist schwierig, das Thema in wenigen Worten zu beschreiben. Ausgangslage:

Rechner A (WinXP Prof., Firma) ist über LAN an einen WLAN-Router angeschlossen. Internet funktioniert bestens.

Rechner B (Win2000 Prof., Firma) ist über ein ad-hoc-Netzwerk über WLAN mit Rechner A verbunden. Konfiguration war wegen der Kombi WinXP + Win2000 nervenraubend, aber es funktioniert nun zumindest leidlich gut.

Jetzt kommt noch ein dritter Rechner (privat für Sohn!) hinzu. Der soll natürlich keinen Zugriff auf die Dateien auf den beiden anderen Rechnern haben, nur Internetzugang. Die Verbindung über WLAN zum Router haben wir bisher mit Verschlüsselung nicht zum Laufen bekommen (liegt wohl auch daran, dass der Router sechs Jahre alt ist, der WLAN-Stick hingegen ganz neu). Nun meine eigentliche Frage: Die Verbindung OHNE Verschlüsselung funktioniert. Können nun Fremde bei dieser Konstellation nur den Datenverkehr auf Rechner C „abhören“, oder haben sie auch Zugriff auf den Datenverkehr auf den anderen beiden Rechnern? Letzteres wäre ein No-go, Ersteres hingegen wäre nicht so schlimm.

Um es nochmal anders zu verdeutlichen: Der Router gewährt Zugriff auf ein WLAN-Netzwerk namens, sagen wir „Netz1“. Rechner A und B sind mit diesem Netzwerk nicht verbunden. Von daher dürfte eigentlich keine Möglichkeit bestehen, die Dateien auf diesen beiden Rechnern von außen einzusehen, denke ich. Mit dem Internetverkehr bin ich mir da allerdins weit weniger sicher…

Bin für Aufklärung dankbar!

Boah :smile: Ich bin immer wieder erstaunt, was sich Leute für abstruse Szenarien aufzwingen lassen :smile: Du hast irgendwann mit dem Gedanken gespielt, den Router, der wahrscheinlich nur WEP kann, gegen ein moderneres Gerät auszutauschen, WPA zu machen, die eigenartige Verbindung zwischen A und B, vermutlich Internetverbindungsfreigabe oder Bridge WLAN/LAN, zu knicken und gut ist? Keine 40 Euro für einen guten, gebrauchten WPA fähigen WLAN Router von Ebay übrig? Aber Zeit und Nerven ohne Ende?

Oder liegts am Gerücht: mit Win2000 kann man kein WPA? Blödsinn. Richtig ist, dass auf Win2000 die Windows 2000 Standarddialoge zum Verbinden von WLAN Netzwerken mit WPA Schlüsseln nicht zurechtkommen. Deshalb liegt jeder Wlan Client-hardware, die Win2000 auf der Verpackung hat, auch ein eigenes Tool zur WLAN Steuerung bei. Man schaltet dann die Windows WLAN Dialoge ab (Haken bei „Windows zur Konfiguration von Drahtlosnetzwerken verwenden“ raus, Herstellertool installieren, damit zum WLAN verbinden, WPA Schlüssel eingeben, fertig.

Oder man macht WEP. Man kann es theoretisch wie auch praktisch mit einigem Aufwand knacken. Man kann theoretisch wie auch praktisch innerhalb von Sekunden Dein Fahrradschloss abzwicken und Dein Fahhrad klauen. Das erforderliche Tool (Bolzenschneider 1.0) gibt es für 30 Euro beim Obi. Wie oft wurde Dir schon ein Fahrrad geklaut? Genau. Wenn man also nicht eine WG von Informatikstudenten im 1. Semester, wo ein erfolgreicher WEP Crack zum Prestige gehört, in der näheren Umgebung hat, ist WEP genauso sicher wie ein Fahrradschloss: ausreichend.

Aber ich schweife ab.

Jetzt kommt noch ein dritter Rechner (privat für Sohn!) hinzu.
Der soll natürlich keinen Zugriff auf die Dateien auf den
beiden anderen Rechnern haben, nur Internetzugang. Die
Verbindung über WLAN zum Router haben wir bisher mit
Verschlüsselung nicht zum Laufen bekommen (liegt wohl auch
daran, dass der Router sechs Jahre alt ist, der WLAN-Stick
hingegen ganz neu).

Wenn der Sohnemann-PC nicht XP SP-2 oder jünger hat, weißt Du, woran es liegt: WPA geht nur über dsas vom Hersteller gelieferte Konfig-Tool, und da sich Herstellertool und Windoof eigenes WLAN Tool idR gegenseitig die WLAN Karte streitig machen darf man nur eins von beiden auf die WLAN Karte loslassen. Heißt: XP SP-2: Herstellertool nicht installieren, nur den blanken Treiber; WLAN Konfig über Windows Oberfläche. Älteres BS: Herstellertool installieren, Windows WLAN Konfiguration abschalten, WLAN Konfig über Herstellertool vornehmen.

Nun meine eigentliche Frage: Die
Verbindung OHNE Verschlüsselung funktioniert. Können nun
Fremde bei dieser Konstellation nur den Datenverkehr auf
Rechner C „abhören“, oder haben sie auch Zugriff auf den
Datenverkehr auf den anderen beiden Rechnern?

Nein, haben sie nicht. Passives Abhören ist nicht. ABER: ein hypothetischer Angreifer bekommt durch passives Abhören die IP Adressen Deines LAN in die Hand. Und erkann aktiv Pakete an A senden, und damit eine ARP Spoofing Attacke starten. Er braucht dann den Datenverkehr von A nicht abzuhören, weil A ihm die Daten bereitwillig selber vorbeibringt. Außerdem kann er einen direkten Angriff auf die die Dienste der anderen PCs versuchen. Ob der gelingt oder nicht hängt von der Absicherung der beiden PCs ab. B ist bei Verwendung der Internetverbindungsfreigabe noch relativ sicher, bei Verwendung der Bridge dagegen genauso gefährdet wie A, aber A ist an der Front und damit auf jeden Fall gefährdet. Wie stark hängt davon ab, wie aktuell A gepatcht ist, wie Du die Sicherheitseinstellungen gewählt hast, ob Du seine Firewall gut oder lax konfigurierst, und nicht zuletzt wieviel Know-How und Mühe unser Angreifer in die Sache steckt.

Letzteres wäre
ein No-go, Ersteres hingegen wäre nicht so schlimm.

Wie hoch die Wahrscheinlichkeit ist, dass sich ein richtiger Hacker gerade an Deiner Anlage vergreift kann ich Dir nicht sagen. Wie hoch ist die Wahrscheinlichkeit, dass ein Bolzenschneiderbesitzer gerade an Deinem Fahrrad Gefallen findet?

Um es nochmal anders zu verdeutlichen: Der Router gewährt
Zugriff auf ein WLAN-Netzwerk namens, sagen wir „Netz1“.
Rechner A und B sind mit diesem Netzwerk nicht verbunden. Von
daher dürfte eigentlich keine Möglichkeit bestehen, die
Dateien auf diesen beiden Rechnern von außen einzusehen, denke
ich. Mit dem Internetverkehr bin ich mir da allerdins weit
weniger sicher…

Soweit ich Deine Anlage verstanden habe, läuft der Internetverkehr von A und B über das Kabel ARouter. Router trennen idR zwischen LAN und WLAN Teil, arbeiten hier also als Switch und nicht als Hub. Deshalb erscheinen die Kabeldaten *normalerweise* nicht auf dem WLAN. Ein halbwegs fixer Angreifer kann sie aber, wie erwähnt, recht einfach per ARP Spoofing dahin umlenken.


Lass uns die Sache nüchtern betrachten. Du hast im Moment die Internetverbindungsfreigabe/Bridging-Problematik zwischen A und B, und mit C bekommst und die WLAN Verschlüsselung nicht ans Laufen. Die Internetverbindungsfreigabe/Bridge macht eigentlich nur Sinn, wenn man an A nur ein Modem hat. Du hast einen Router. Schuld ist B, der wohl mit Deinem Router nicht kann, und wenn er könnte, würde der Router wegen seines Alters nur WEP können, und das ist zwar besser als nichts, aber nicht optimal. C mag auch nicht mit dem Router, warum auch immer. Deine Kenntnisse reichen nicht aus ums ans Laufen zu bekommen doer die Ursache zu finden. Nimms nicht persönlich, ob meine reichen würden wissen wir nicht, dazu müsste ich die Geräte für einige Tage in die Hand bekommen. Aber wie man es auch dreht und wendet, der Router scheint immer irgendwie am Kern des Problems zu liegen.

Tausch ihn gegen ein moderneres Gerät.

…Armin

P.S. Du bedenkst schon, dass Du Dich vor dem, was Dein Sohnemann freiwillig oder unfreiwillig auf seinen PC installieren wird weit mehr fürchten musst als vor einem hypothetischen WEP Hacker oder einem Bolzenschneiderbesitzer?

Habe gerade sicherheitshalber nachgeschlagen: Ad-Hoc unterstützt kein WPA, jedenfalls keines mit dem zentralen Sicherheits-Mechanismus „Schlüsseltausch“, der die Sicherheit von WPA gegenüber WEP ausmacht. Da Du ein Ad-Hoc Netz A zu B betreibst hast Du wahrscheinlich WEP drauf laufen. Ergo: wenn jemand unbedingt mithören will und das ensprechende Know-How mitbringt, kann er das jetzt schon tun.

…Armin

Wenn man also
nicht eine WG von Informatikstudenten im 1. Semester, wo ein
erfolgreicher WEP Crack zum Prestige gehört, in der näheren
Umgebung hat, ist WEP genauso sicher wie ein Fahrradschloss:
ausreichend.

Nein, WEP ist genauso sicher wie gar keine Verschlüsselung.
Wenn jemand die Daten deines Netzwerks sehen will, dann wird er sich sicherlich nicht von WEP aufhalten lassen. Da gibts schließlich idiotensichere Tools die das in wenigen Minuten knacken. WEP ist wenn dann höchstens so, als wenn du dein Fahrrad mit nem Bindfaden sicherst und dich dann wunderst, wenn es jemand mit bloßen Händen aufbrechen kann.

Wenn niemand die Daten deines Netzwerks sehen will, dann ist es sowieso egal, ob du verschlüsselst oder nicht, da es ja keinen Beobachter gibt.

Ob jemand die Daten deines Netzwerks sehen will, weißt du aber nicht und deshalb ist WEP kein Schutz vor irgendwas und ist zur Sicherung eines Netzwerks absolut ungeeignet und ist kaum besser, als der unverschlüsselte Betrieb des Netzwerks.

Da gibts schließlich idiotensichere Tools
die das in wenigen Minuten knacken.

ZEIG her! „Wenige Minuten“ ist schließlich ein relativer Begriff, wenn man die Lebensdauer des Universums als Basis hernimmt.

In meiner Welt dauert das einige Stunden, man braucht ein speziell präparietes Linux-System für den Angriff, und etwa 2GB abgehörte Daten (Korek), die man sich auch selber erzeugen kann, aber dazu muss man den Access-Point mit Daten in etwa in der selben Größenordnung bombardieren. Mit dem Windows PC vom Aldi, einmal Setup.exe ausführen und dann warten bis das Tool *Plink* sagt und man ist drin, ist das wohl nicht zu machen, und selbst wenn … angesichts der realen Geschwindigkeit eines WLAN wüsste ich nicht, wie man das „in wenigen Minuten“ bewerkstelligen könnte.

Denkst Du dagegen an eine Wörterbuchattacke: die klappt mit WPA genauso und in exakt derselben Zeit wie bei WEP. Wer also „password“ als Passphrase einsetzt, dem ist mit WPA auch nicht zu helfen.

Aber eventuell sind die Knacktools - ich gebe zu, mein letzter Kontakt mit ihnen ist ein paar Jahre her - inzwischen so benutzerfreundlich geworden dass jeder Trottel damit umgehen kann? Und man hat bessere Attacken als Korek gefunden? Ich mach mich gerne wieder schlau und behaupte dann das Gegenteil. Deshalb: zeig her.

…Armin

Hallo,
zunächst mal vielen Dank für deine ausführlichen Anmerkungen.

Boah :smile: Ich bin immer wieder erstaunt, was sich Leute für
abstruse Szenarien aufzwingen lassen :smile:

Das glaube ich gern. :wink: Der Auslöser war ehrlich gesagt dieser: Ich wusste bis vor kurzem schlicht und einfach nicht, dass der Router ein WLAN-Modell ist. Peinlich, irgendwie. Aber ich war mir sicher, dass ich damals ein LAN-Teil genommen hätte. Nun ja. Und dass nun noch ein dritter Rechner hinzukommt, war vorher auch nicht abzusehen.

Du hast irgendwann

mit dem Gedanken gespielt, den Router, der wahrscheinlich nur
WEP kann, gegen ein moderneres Gerät auszutauschen, WPA zu
machen, die eigenartige Verbindung zwischen A und B,
vermutlich Internetverbindungsfreigabe oder Bridge WLAN/LAN,
zu knicken und gut ist? Keine 40 Euro für einen guten,
gebrauchten WPA fähigen WLAN Router von Ebay übrig? Aber Zeit
und Nerven ohne Ende?

In der Tat, mit disem Gedanken spiele ich natürlich. Zwei oder drei Dinge halten mich vor dem Kauf noch zurück:

  1. Kompatibilität - Ist dieser Router dann wirklich kompatibel mit den beiden WLAN-Adaptern, inklusive WPA2-Verschlüsselung? Und welches Routermodell brauche ich (Fritzbox - oder geht quasi jeder, der WPA2 kann?)

  2. ziemlich wichtig: Wenn ich nun drei PCs per WLAN und ggf. LAn an den Router anschließe, dann kann doch auch der dritte Rechner auf die Dateien auf Rechner A zugreifen - oder kann man das irgendwie effektiv verhindern?

Und 3., ganz profan: Ich habe jetzt ziemlich viel Zeit und Nerven in diese Vernetzung gesteckt, und sie funktionierte nun endlich (so ganz einwandfrei aber auch nicht, muss ich zugeben). Von daher, würde ich das zunächst mal beibehalten wollen, wenn ich befürchten muss, dass die Konfiguration mit dem neuen Router dann ähnlich aufwendig wird.

Oder man macht WEP. Man kann es theoretisch wie auch praktisch
mit einigem Aufwand knacken. Man kann theoretisch wie auch
praktisch innerhalb von Sekunden Dein Fahrradschloss abzwicken
und Dein Fahhrad klauen. Das erforderliche Tool
(Bolzenschneider 1.0) gibt es für 30 Euro beim Obi. Wie oft
wurde Dir schon ein Fahrrad geklaut?

Noch nie. Zerlegt allerdings schon zweimal. *grr* :wink:

Jetzt kommt noch ein dritter Rechner (privat für Sohn!) hinzu.
Der soll natürlich keinen Zugriff auf die Dateien auf den
beiden anderen Rechnern haben, nur Internetzugang. Die
Verbindung über WLAN zum Router haben wir bisher mit
Verschlüsselung nicht zum Laufen bekommen (liegt wohl auch
daran, dass der Router sechs Jahre alt ist, der WLAN-Stick
hingegen ganz neu).

Wenn der Sohnemann-PC nicht XP SP-2 oder jünger hat, weißt Du,
woran es liegt: WPA geht nur über dsas vom Hersteller
gelieferte Konfig-Tool, und da sich Herstellertool und Windoof
eigenes WLAN Tool idR gegenseitig die WLAN Karte streitig
machen darf man nur eins von beiden auf die WLAN Karte
loslassen. Heißt: XP SP-2: Herstellertool nicht installieren,
nur den blanken Treiber; WLAN Konfig über Windows Oberfläche.
Älteres BS: Herstellertool installieren, Windows WLAN
Konfiguration abschalten, WLAN Konfig über Herstellertool
vornehmen.

Nun meine eigentliche Frage: Die
Verbindung OHNE Verschlüsselung funktioniert. Können nun
Fremde bei dieser Konstellation nur den Datenverkehr auf
Rechner C „abhören“, oder haben sie auch Zugriff auf den
Datenverkehr auf den anderen beiden Rechnern?

Nein, haben sie nicht. Passives Abhören ist nicht. ABER: ein
hypothetischer Angreifer bekommt durch passives Abhören die IP
Adressen Deines LAN in die Hand. Und erkann aktiv Pakete an A
senden, und damit eine ARP Spoofing Attacke starten. Er
braucht dann den Datenverkehr von A nicht abzuhören, weil A
ihm die Daten bereitwillig selber vorbeibringt.

Das sollte eigentlich die WinXP-Firewall auf PC A verhindern, denke ich? Auf PC B ist allerdings keine Firewall.

Aber wie man es auch

dreht und wendet, der Router scheint immer irgendwie am Kern
des Problems zu liegen.

Tausch ihn gegen ein moderneres Gerät.

Werde ich tun, wenn ich halbwegs sicher sein kann, dass die beiden oben erwähnten möglichen Probleme (Kompatibilität der Hardware + man kann Dateizugriff von Rechner C verhindern) keine sind.

Jo, wäre nett, wenn du zu diesen beiden Punkten noch ein wenig was schreiben würdest.

Schöne Grüße
honigschlecker

Netzwerk

  1. ziemlich wichtig: Wenn ich nun drei PCs per WLAN und ggf.
    LAn an den Router anschließe, dann kann doch auch der dritte
    Rechner auf die Dateien auf Rechner A zugreifen - oder kann
    man das irgendwie effektiv verhindern?

Damit es keine Missverständnisse gibt, nochmal die Konstellation:
Rechner A und B = „echtes Netzwerk“
Rechner C hingegen soll nur ins Internet können - kein Datenzugriff.

  1. Kompatibilität - Ist dieser Router dann wirklich kompatibel
    mit den beiden WLAN-Adaptern, inklusive WPA2-Verschlüsselung?
    Und welches Routermodell brauche ich (Fritzbox - oder geht
    quasi jeder, der WPA2 kann?)

WPA, WPA2 … eigentlich ist es egal welches von Beiden man verwendet. Normalerweise würde ich jetzt sofort „Ja, kein Problem“ antworten. Aber bei Markenprodukten muss man vorsichtig sein, manche Hersteller kastrieren ihre Produkte künstlich, damit sie nur mit Gegenstellen der eigenen Firma arbeiten. Wozu einem Kunden nur ein Dingsada verkaufen, wenn man ihm auch zwei verkaufen kann? Aber bei WLAN Client-Hardware ist das unwahrscheinlich, schließlich will praktisch jeder Kunde auch von unterwegs WLANs nützen können, und selbst AVM kann nicht alle Anbieter an Bahnhöfen und Flughäfen dazu zuwingen, AVM Access-Points zu installieren.

Ich habe hier zwar Fritzbox Router, aber keine Sticks oder Karten von AVM, ich verwende die eingebaute WLAN Hardware (Centrino) oder PCMCIA Karten von anderen Herstellern: Compaq, Zyxel, Cisco, Dlink, Sitecom. Keine davon hatte jemals ein Problem, mit meinen AVM Access-Points Verbindung aufzunehmen. Aber Du brauchst das andere Szenario: AVM Client an nicht AVM Access Point. Sollte problemlos klappen. Sollte.

Die richtige Frage ans AVM Forum, nicht an mich, lautet daher:

1.) Ich habe einen Fritz USB Stick Modell xyz (im Gerätemanager ablesen). Betreibt jemand einen solchen gegen einen Router/Accesspoint, der nicht von AVM oder Telekom (verkleidete AVM) kommt? Gibt es damit irgendein Problem?

2.) Selbe Angabe, Zusatzfrage: gibt es zu dem Stick von AVM einen Treiber/Software, damit er auch unter Windows 2000 WPA kann?

Eventuell kann ich die Infos auch mit der Modellnummer des Sticks in der technischen Bibliothek von AVM recherchieren. Besser ist es, man findet jemanden, der es laufen hat. Aber da AVM Produkte sehr verbreitet sind dürftest Du da kein Problem haben.

  1. ziemlich wichtig: Wenn ich nun drei PCs per WLAN und ggf.
    LAn an den Router anschließe, dann kann doch auch der dritte
    Rechner auf die Dateien auf Rechner A zugreifen - oder kann
    man das irgendwie effektiv verhindern?

Jein. Prinzipiell hast Du recht: in einem flachen Netz kann jeder Netzwerkpakete an jeden Rechner senden. Aber das ist erst mal nur die halbe Miete. Damit man einen Dateizugriff bekommt muss man erst einmal an den Berechtigungssperren des anderen Rechners (Anmeldung, Freigabeberechtigungen und ggf. NTFS Berechtigungen) vorbei. Hat der Benutzer von C auf A und B kein Konto, schaltest Du das Konto „Gast“ nicht ein, und gibst nichts mit Berechtigung für „Jeder“ frei blockt das Betriebssystem den Zugriffsversuch. Soweit die heile Welt. Es gab aber in der Vergangenheit leider immer wieder Möglichkeiten (–> Blaster-Wurm), Microsfts zahllose Programmierschlampereien auszunützen und sich an den regulären Sperren vorbei in den Rechner zu mogeln. Derzeit existiert meines Wissens aber auf einem aktuell gepatchten System keine solche Lücke mehr, und es sind in den letzten Jahren auch keine aufgetaucht. Aber das sagt nicht, dass es keine gibt, und dass nicht schon morgen eine entdeckt wird.

Die Firewall kann solche Angriffsversuche teilweise verhindern, aber natürlich nur, wenn der Angriff nicht auf einer Softwareebene tiefer, also im IP Stack oder im Netzwerkkartentreiber, ansetzt. Außerdem wirst Du Probleme haben, nur Rechner C zu blocken und Rechner B nicht, weil die Windooof Firewall genau diesen ach so exotischen Anwendungsfall nicht berücksichtigt.

Gegen ARP Spoofing ist sie meines Wissens machtlos. Nur kann man damit keine beliebigen Dateien abgreifen, sonden nur Daten umleiten, die der Rechner sowieso senden wollte. Also z.B. eine Internetsitzung belauschen. Sofern sie nicht verschlüsselt war (gelbes Schloss rechts unten). Was auch immer man dann mit den abgfangenen Infos böses tun könnte.

Und 3., ganz profan: Ich habe jetzt ziemlich viel Zeit und
Nerven in diese Vernetzung gesteckt, und sie funktionierte nun
endlich (so ganz einwandfrei aber auch nicht, muss ich
zugeben). Von daher, würde ich das zunächst mal beibehalten
wollen, wenn ich befürchten muss, dass die Konfiguration mit
dem neuen Router dann ähnlich aufwendig wird.

Nein, definitiv nicht. Sie ist normalerweise ein Klacks. Lass Dich nicht davon täuschen dass hier viele mit WLAN Problemen rumlaufen … hier sammeln sich naturgemäß alle Problemkinder, die Leute deren WLANs auf Anhieb liefen posten das ja nicht hier rein :smile: 99% laufen auf Anhieb. Bist Du ein 1% Pechvogel(smile)?

Noch nie. Zerlegt allerdings schon zweimal. *grr* :wink:

Gutes Beispiel :smile: Hätte ein besseres Fahrradschloss (WPA statt WEP) das verhindert? NEIN!

Das sollte eigentlich die WinXP-Firewall auf PC A verhindern,
denke ich? Auf PC B ist allerdings keine Firewall.

ARP Spoofing kann sie meines Wissens nicht verhindern, das ist das Teuflische an dieser Methode.

beiden oben erwähnten möglichen Probleme (Kompatibilität der
Hardware + man kann Dateizugriff von Rechner C verhindern)
keine sind.

Nehmen wir an, Du betrachtest die betriebssystemeigenen Sperren incl. Firewall als nicht sicher genug. Du möchtest verhindern, dass C auch nur ein simples Netzwerkpaket an A oder B senden kann. Das wäre konsequenter Schutz ohne wenn und aber. Drei Wege dazu:

* Eine Fireweall-Applicance (z.B. Zyxels Zywall Serie) kann einzelne Ports physikaisch isolieren. Auch Switches mit VLAN Unterstützung können das. Aber die Geräte sprengen wahrscheinlich Dein Budget. Außerdem hast Du dann eine Kiste mehr rumstehen.

* Diese naheliegende Idee, nämlich Ports voneinander und das WLAN gesamt von der Kupferwelt isolieren zu können, wurde rätselhafte Weise in die gängigen Router bisher nicht integriert … bis vor Kurzem. Ich bin da vor ein paar Tagen erst über einen Kurztest eines neuen Routers (ich meine Linksys) gestolpert, der das können soll. Blöd, ich habe mir die Details nicht gemerkt. Wäre ideal für Deine Anwenung, aber auch für andere, z.B. WGs, die den Traffic einzelner Rechner erfassen wollen um die Internetkosten gerecht aufzuteilen. Ich denke, ich kann die Infos wieder ausgraben. Da es sich aber um ein nagelneues Gerät handelt müsstest Du dann den Pionier spielen, und sollte es Kinderkrankheiten haben, der mit Deinen AVM Clients nicht können … Pech. Allerdings hält das Rückgaberecht bei einem Internetkauf das Risiko in Grenzen (7 Euro fürs Rückporto …).

* Router mit Unterstützung für eine sogenannte DMZ, sofern die DMZ intern auf einer eigenen Netzwerklogik basiert und nicht einfach durch die Unterstützung mehrerer IP netze auf der LAN Seite simuliert wurde. Schwer, das festzustellen, in den technischen Daten steht ja nie „DMZ vorhanden, aber zweitklassig implementiert“.

Ich sehe eigentlich nur zwei gangbare Wege:

* besorge Dir einen Router, der, ich nenne das mal „Port-Isolation“ kann. Die Linksys Webseite preist ihn sicher lautstark an, wenn ich Recht habe. Es gibt sie zwar wohl nicht zum Schnäppchenpreis, aber es gibt sie. Ich würde im Moment übrigens einiges dafür geben, solch ein Teil auf meinen Tisch zu bekommen. Ideale Lösung, meine ich. Und Dauerfest.

* Häng die Clients „flach“ an ein Netz, und verlass Dich auf den Schutz durch Betriebssystem+Firewall-Software. Nach momentanem technischen Stand reicht das, solange Du nicht selber auf A oder B unabsichtlich ein Loch in Deine Security konfigurierst, und solage nicht wieder ein findiger Virenprogrammierer ein Leck im IP Stack entdeckt, und sich an der Firewall vorbeischwindelt. Allerdings bleibt das Konfigurationsproblem der Windows Firewall-Software, C auszusperren, und B nicht. Ich ärgere mich jedes Mal grün und blau, wenn ich mit diesem bunten Trottel arbeiten muss. Wie war das bei NT4? IP Filter: Quelladresse ccc.ccc.ccc.ccc, block alles. Fertig. Scheint bei XP nicht zu gehen. Blöd aber wahr.

…Armin

* besorge Dir einen Router, der, ich nenne das mal
„Port-Isolation“ kann. Die Linksys Webseite preist ihn sicher
lautstark an, wenn ich Recht habe. Es gibt sie zwar wohl nicht
zum Schnäppchenpreis, aber es gibt sie. Ich würde im Moment
übrigens einiges dafür geben, solch ein Teil auf meinen Tisch
zu bekommen. Ideale Lösung, meine ich. Und Dauerfest.

Zu kurz gedacht. Du hättest ja im flachen Netz 2 WLAN Clients und einen Kupfer-Client. Den WLAN Teil gesamthaft zu isolieren würde nichts bringen, da dabei auch PC B von A abgehängt würde.

Es müsste eine Lösung her, wo die Router-Firewall auch die WLAN Clients voneinander trennen kann, oder ein VLAN Switch in Verbindung mit mehreren Access-Points. Mehrere getrennete WLANs also.

So bedacht war die Lösung mit Deinem Ad-Hoc Netz zwischen A und B gar nicht so abwegig, Du hast damit genau das realisiert, allerdings zwingt Dir das den Ad-Hoc Modus auf, B kann nur über A ins Internet, und wie sicher B von C isoliert ist wissen wir nicht (Du hast nicht mitgeteilt ob Du mit der XP Netzwerkbrücke oder der Internetverbindungsfreigabe arbeitest).

Ich sehe schon, ich muss mir die tchnischen Details zu diesem Linksys Teil raussuchen.

…Armin