- Kompatibilität - Ist dieser Router dann wirklich kompatibel
mit den beiden WLAN-Adaptern, inklusive WPA2-Verschlüsselung?
Und welches Routermodell brauche ich (Fritzbox - oder geht
quasi jeder, der WPA2 kann?)
WPA, WPA2 … eigentlich ist es egal welches von Beiden man verwendet. Normalerweise würde ich jetzt sofort „Ja, kein Problem“ antworten. Aber bei Markenprodukten muss man vorsichtig sein, manche Hersteller kastrieren ihre Produkte künstlich, damit sie nur mit Gegenstellen der eigenen Firma arbeiten. Wozu einem Kunden nur ein Dingsada verkaufen, wenn man ihm auch zwei verkaufen kann? Aber bei WLAN Client-Hardware ist das unwahrscheinlich, schließlich will praktisch jeder Kunde auch von unterwegs WLANs nützen können, und selbst AVM kann nicht alle Anbieter an Bahnhöfen und Flughäfen dazu zuwingen, AVM Access-Points zu installieren.
Ich habe hier zwar Fritzbox Router, aber keine Sticks oder Karten von AVM, ich verwende die eingebaute WLAN Hardware (Centrino) oder PCMCIA Karten von anderen Herstellern: Compaq, Zyxel, Cisco, Dlink, Sitecom. Keine davon hatte jemals ein Problem, mit meinen AVM Access-Points Verbindung aufzunehmen. Aber Du brauchst das andere Szenario: AVM Client an nicht AVM Access Point. Sollte problemlos klappen. Sollte.
Die richtige Frage ans AVM Forum, nicht an mich, lautet daher:
1.) Ich habe einen Fritz USB Stick Modell xyz (im Gerätemanager ablesen). Betreibt jemand einen solchen gegen einen Router/Accesspoint, der nicht von AVM oder Telekom (verkleidete AVM) kommt? Gibt es damit irgendein Problem?
2.) Selbe Angabe, Zusatzfrage: gibt es zu dem Stick von AVM einen Treiber/Software, damit er auch unter Windows 2000 WPA kann?
Eventuell kann ich die Infos auch mit der Modellnummer des Sticks in der technischen Bibliothek von AVM recherchieren. Besser ist es, man findet jemanden, der es laufen hat. Aber da AVM Produkte sehr verbreitet sind dürftest Du da kein Problem haben.
- ziemlich wichtig: Wenn ich nun drei PCs per WLAN und ggf.
LAn an den Router anschließe, dann kann doch auch der dritte
Rechner auf die Dateien auf Rechner A zugreifen - oder kann
man das irgendwie effektiv verhindern?
Jein. Prinzipiell hast Du recht: in einem flachen Netz kann jeder Netzwerkpakete an jeden Rechner senden. Aber das ist erst mal nur die halbe Miete. Damit man einen Dateizugriff bekommt muss man erst einmal an den Berechtigungssperren des anderen Rechners (Anmeldung, Freigabeberechtigungen und ggf. NTFS Berechtigungen) vorbei. Hat der Benutzer von C auf A und B kein Konto, schaltest Du das Konto „Gast“ nicht ein, und gibst nichts mit Berechtigung für „Jeder“ frei blockt das Betriebssystem den Zugriffsversuch. Soweit die heile Welt. Es gab aber in der Vergangenheit leider immer wieder Möglichkeiten (–> Blaster-Wurm), Microsfts zahllose Programmierschlampereien auszunützen und sich an den regulären Sperren vorbei in den Rechner zu mogeln. Derzeit existiert meines Wissens aber auf einem aktuell gepatchten System keine solche Lücke mehr, und es sind in den letzten Jahren auch keine aufgetaucht. Aber das sagt nicht, dass es keine gibt, und dass nicht schon morgen eine entdeckt wird.
Die Firewall kann solche Angriffsversuche teilweise verhindern, aber natürlich nur, wenn der Angriff nicht auf einer Softwareebene tiefer, also im IP Stack oder im Netzwerkkartentreiber, ansetzt. Außerdem wirst Du Probleme haben, nur Rechner C zu blocken und Rechner B nicht, weil die Windooof Firewall genau diesen ach so exotischen Anwendungsfall nicht berücksichtigt.
Gegen ARP Spoofing ist sie meines Wissens machtlos. Nur kann man damit keine beliebigen Dateien abgreifen, sonden nur Daten umleiten, die der Rechner sowieso senden wollte. Also z.B. eine Internetsitzung belauschen. Sofern sie nicht verschlüsselt war (gelbes Schloss rechts unten). Was auch immer man dann mit den abgfangenen Infos böses tun könnte.
Und 3., ganz profan: Ich habe jetzt ziemlich viel Zeit und
Nerven in diese Vernetzung gesteckt, und sie funktionierte nun
endlich (so ganz einwandfrei aber auch nicht, muss ich
zugeben). Von daher, würde ich das zunächst mal beibehalten
wollen, wenn ich befürchten muss, dass die Konfiguration mit
dem neuen Router dann ähnlich aufwendig wird.
Nein, definitiv nicht. Sie ist normalerweise ein Klacks. Lass Dich nicht davon täuschen dass hier viele mit WLAN Problemen rumlaufen … hier sammeln sich naturgemäß alle Problemkinder, die Leute deren WLANs auf Anhieb liefen posten das ja nicht hier rein
99% laufen auf Anhieb. Bist Du ein 1% Pechvogel(smile)?
Noch nie. Zerlegt allerdings schon zweimal. *grr* 
Gutes Beispiel
Hätte ein besseres Fahrradschloss (WPA statt WEP) das verhindert? NEIN!
Das sollte eigentlich die WinXP-Firewall auf PC A verhindern,
denke ich? Auf PC B ist allerdings keine Firewall.
ARP Spoofing kann sie meines Wissens nicht verhindern, das ist das Teuflische an dieser Methode.
beiden oben erwähnten möglichen Probleme (Kompatibilität der
Hardware + man kann Dateizugriff von Rechner C verhindern)
keine sind.
Nehmen wir an, Du betrachtest die betriebssystemeigenen Sperren incl. Firewall als nicht sicher genug. Du möchtest verhindern, dass C auch nur ein simples Netzwerkpaket an A oder B senden kann. Das wäre konsequenter Schutz ohne wenn und aber. Drei Wege dazu:
* Eine Fireweall-Applicance (z.B. Zyxels Zywall Serie) kann einzelne Ports physikaisch isolieren. Auch Switches mit VLAN Unterstützung können das. Aber die Geräte sprengen wahrscheinlich Dein Budget. Außerdem hast Du dann eine Kiste mehr rumstehen.
* Diese naheliegende Idee, nämlich Ports voneinander und das WLAN gesamt von der Kupferwelt isolieren zu können, wurde rätselhafte Weise in die gängigen Router bisher nicht integriert … bis vor Kurzem. Ich bin da vor ein paar Tagen erst über einen Kurztest eines neuen Routers (ich meine Linksys) gestolpert, der das können soll. Blöd, ich habe mir die Details nicht gemerkt. Wäre ideal für Deine Anwenung, aber auch für andere, z.B. WGs, die den Traffic einzelner Rechner erfassen wollen um die Internetkosten gerecht aufzuteilen. Ich denke, ich kann die Infos wieder ausgraben. Da es sich aber um ein nagelneues Gerät handelt müsstest Du dann den Pionier spielen, und sollte es Kinderkrankheiten haben, der mit Deinen AVM Clients nicht können … Pech. Allerdings hält das Rückgaberecht bei einem Internetkauf das Risiko in Grenzen (7 Euro fürs Rückporto …).
* Router mit Unterstützung für eine sogenannte DMZ, sofern die DMZ intern auf einer eigenen Netzwerklogik basiert und nicht einfach durch die Unterstützung mehrerer IP netze auf der LAN Seite simuliert wurde. Schwer, das festzustellen, in den technischen Daten steht ja nie „DMZ vorhanden, aber zweitklassig implementiert“.
Ich sehe eigentlich nur zwei gangbare Wege:
* besorge Dir einen Router, der, ich nenne das mal „Port-Isolation“ kann. Die Linksys Webseite preist ihn sicher lautstark an, wenn ich Recht habe. Es gibt sie zwar wohl nicht zum Schnäppchenpreis, aber es gibt sie. Ich würde im Moment übrigens einiges dafür geben, solch ein Teil auf meinen Tisch zu bekommen. Ideale Lösung, meine ich. Und Dauerfest.
* Häng die Clients „flach“ an ein Netz, und verlass Dich auf den Schutz durch Betriebssystem+Firewall-Software. Nach momentanem technischen Stand reicht das, solange Du nicht selber auf A oder B unabsichtlich ein Loch in Deine Security konfigurierst, und solage nicht wieder ein findiger Virenprogrammierer ein Leck im IP Stack entdeckt, und sich an der Firewall vorbeischwindelt. Allerdings bleibt das Konfigurationsproblem der Windows Firewall-Software, C auszusperren, und B nicht. Ich ärgere mich jedes Mal grün und blau, wenn ich mit diesem bunten Trottel arbeiten muss. Wie war das bei NT4? IP Filter: Quelladresse ccc.ccc.ccc.ccc, block alles. Fertig. Scheint bei XP nicht zu gehen. Blöd aber wahr.
…Armin