Abgeschotteter Netzzugang für Gäste

Guten Abend,

wir richten gerade eine Ferienwohnung ein. Für diese möchte ich einen Netzzugang ermöglichen, d.h. ich möchte es unseren Feriengästen ermöglichen, meinen privaten DSL-Netzzugang mitzuverwenden. Technisch ist das vordergründig kein Problem; aus dem Keller, in dem der DSL-Router steht, führt eine Cat5e-Leitung zu einer Dose in der Einliegerwohnung. Es wäre also überhaupt kein Problem, diese Leitung an den Router anzuschließen, sodass unsere Gäste diesen mitverwenden können.

Ich habe jedoch ein Problem damit, dass ein Client an diesem Anschluss damit unmittelbar Zugang zu meinem privaten Heimnetz hat. Das möchte ich eigentlich verhindern. Unsere Feriengäste dürfen nicht an unsere Arbeitsplatzrechner und anderen ans private Netz angeschlossenen Geräte heran.

Was für (relativ kostengünstige) Lösungen kann ich hier einsetzen, um den Gästen den Netzzugang zu ermöglichen und zum anderen meine Privarsphäre zu wahren?

Stefan

Hallo,

entweder hochwertigere Router-Swicth Kombination nehmen in der man die Routingregeln fuer jeden Anschluss einstellen kann oder zwei Soho-Router:

 DSL-Modem
 |
 |
 Router1
 -----
 | |
 | Ferienwohnung
 |
 Router2
 -------
 | | | |
 Dein Netzwerk

Die Firewall im zweiten Router verhindert einen Zugriff aus der Ferienwohnung heraus (umgekehrt aber nicht!)

Ciao! Bjoern

Oder DMZ (http://de.wikipedia.org/wiki/Demilitarized_Zone)…

Hallo.

Oder DMZ (http://de.wikipedia.org/wiki/Demilitarized_Zone)…

Wobei man da überprüfen sollte, ob das, was der Router als DMZ anbietet, auch wirklich DMZ ist. Gerade Heimrouter machen da oft nämlich nur das, was im verlinkten Wikipedia-Artikel Exposed Host genannt wird, nennen es aber trotzdem DMZ.

Sebastian.

Wozu?
Mir ist ehrlich gesagt der Sinn nicht klar.

Ich habe jedoch ein Problem damit, dass ein Client an diesem
Anschluss damit unmittelbar Zugang zu meinem privaten Heimnetz hat.

Warum sollten sie das haben?

Unsere Feriengäste dürfen nicht an unsere Arbeitsplatzrechner

Wenn sie nicht in der gleichen Arbeitsgruppe sind, sehen sie euer Netz zunächst noch nicht mal. Gut, das ist für einen halbwegs erfahrenen Freak nicht so das große Hindernis, aber dann hat er noch lange keinen Zugriff auf die Netzwerk-Resourcen, wenn da nicht irgendjemand die Rechte ausgesprochen dämlich verteilt hat.

Ich brauch in einer normalen Firma ja auch keine Extra-Hardware, um zu verhindern, das die Jungs aus der CAD-Abteilung auf die Daten der Buchhaltung Zugriff haben . . .

und anderen ans private Netz angeschlossenen Geräte heran.

Als da wären?

Was für (relativ kostengünstige) Lösungen kann ich hier einsetzen,

Nulltarif:
Beschäftige dich mit Rechten im Netzwerk . . .

Tach!

Mir ist ehrlich gesagt der Sinn nicht klar.

Ziel ist im Wesentlichen meine Daten zu schützen.

Ich habe jedoch ein Problem damit, dass ein Client an diesem
Anschluss damit unmittelbar Zugang zu meinem privaten Heimnetz hat.

Warum sollten sie das haben?

Unsere Feriengäste dürfen nicht an unsere Arbeitsplatzrechner

Wenn sie nicht in der gleichen Arbeitsgruppe sind, sehen sie
euer Netz zunächst noch nicht mal. Gut, das ist für einen
halbwegs erfahrenen Freak nicht so das große Hindernis, aber
dann hat er noch lange keinen Zugriff auf die
Netzwerk-Resourcen, wenn da nicht irgendjemand die Rechte
ausgesprochen dämlich verteilt hat.

Die Arbeitsgruppe beschränkt sich auf Windows-Netzwerkresourcen, es gibt aber noch mehr als nur NETBIOS.

Ich brauch in einer normalen Firma ja auch keine
Extra-Hardware, um zu verhindern, das die Jungs aus der
CAD-Abteilung auf die Daten der Buchhaltung Zugriff haben . .
.

Das ist wahr, aber vielleicht möchte die HR-Abteilung ihre Daten vor dem Zugriff der anderen Mitarbeiter schützen. Es hat schon seinen Sinn, wenn sicherheitskritische Systeme mit mehr als einer Einstellung der Rechteverteilung vom Rest des Internets getrennt wird.

und anderen ans private Netz angeschlossenen Geräte heran.

Als da wären?

Drucker (ich habe allein zwei Netzwerkdrucker bei mir im Heimnetz), UPnP-Gerätschaften (noch nicht, aber vielleicht bald), NFS-Freigaben.

Was für (relativ kostengünstige) Lösungen kann ich hier einsetzen,

Nulltarif:
Beschäftige dich mit Rechten im Netzwerk . . .

Ich fürchte das wird nicht reichen. Ein Broadcast-Ping zeigt einem Client die angeschlossenen Geräte und dann kann er sich ggfl. ausgiebig damit beschäftigen, Sicherheitslücken zu suchen. Ich verlasse mich hier ungern auf die Betriebssysteme alleine (egal ob Windows oder UNIX).

Stefan

Moin, moin!

entweder hochwertigere Router-Swicth Kombination nehmen in der
man die Routingregeln fuer jeden Anschluss einstellen kann

Managed Router gehen meist leider gleich preislich in die Vollen! :frowning:

oder zwei Soho-Router:

DSL-Modem
|
|
Router1

| |
| Ferienwohnung
|
Router2

| | | |
Dein Netzwerk

Vorschlag für einen „Router 2“? Im Mainstream gibt es sowas für den Consumer-Bereich ja nur als WAN-Router, bei dem der Uplink für DSL, ISDN oder Kabel ist, jedoch kein „normales“ LAN.

Stefan

Hallo.

Vorschlag für einen „Router 2“? Im Mainstream gibt es sowas
für den Consumer-Bereich ja nur als WAN-Router, bei dem der
Uplink für DSL, ISDN oder Kabel ist, jedoch kein „normales“
LAN.

Mein Router (ein D-Link DI-524) bietet für das WAN-Interface u.a. die Einstellung DHCP. Das muss ich auch einstellen, wenn ich über das Kabelmodem eine Verbindung aufbaue, denn das Kabelmodem (bzw. der Kabelbetreiber) weist die IP per DHCP zu.
Ich habe es nicht getestet, aber die Option müsste doch auch funktionieren, wenn am WAN-Port kein Kabelmodem sondern ein weiterer Router hängt.

Sebastian.

Was für (relativ kostengünstige) Lösungen kann ich hier
einsetzen, um den Gästen den Netzzugang zu ermöglichen und zum
anderen meine Privarsphäre zu wahren?

Einen VLAN fähigen Switch. Gibt es schon für kleines Geld gebraucht bei EBay, weil Du da es nur um das Vermakeln der Internetanbindung geht mit einem alten 10 oder 100 MBit Gerät auskommst, und da es im Keller steht spielt es auch keine Rolle, dass die älteren Switches meistens rechte Krawallbrüder sind.

Du richtest dann 2 getrennte VLANs ein, und einem gemeinsamen Port, an den kommt der DSL Router. Du bekommst damit eine 100% Trennung ohne wenn und aber, hast aber nicht die Nachteile von Router/DMZ Lösungen, wo Du dann mit 2 IP Netzen hantieren musst.

…Armin

N’abend!

Was für (relativ kostengünstige) Lösungen kann ich hier
einsetzen, um den Gästen den Netzzugang zu ermöglichen und zum
anderen meine Privarsphäre zu wahren?

Einen VLAN fähigen Switch. Gibt es schon für kleines Geld
gebraucht bei EBay, weil Du da es nur um das Vermakeln der
Internetanbindung geht mit einem alten 10 oder 100 MBit Gerät
auskommst, und da es im Keller steht spielt es auch keine
Rolle, dass die älteren Switches meistens rechte Krawallbrüder
sind.

Danke für den Hinweis. Welche Produkte kommen da zum Beispiel in Frage?

Du richtest dann 2 getrennte VLANs ein, und einem gemeinsamen
Port, an den kommt der DSL Router. Du bekommst damit eine 100%
Trennung ohne wenn und aber, hast aber nicht die Nachteile von
Router/DMZ Lösungen, wo Du dann mit 2 IP Netzen hantieren
musst.

Ich bin nertzwerktechnisch relativ unbeleckt, daher kann ich die Vor- und Nachteile von DMZ-Lösungen nicht bewerten.

Stefan

PS: Bin für ein paar Tage offline.

Ziel ist im Wesentlichen meine Daten zu schützen.

Die Arbeitsgruppe beschränkt sich auf Windows-Netzwerkresourcen,
es gibt aber noch mehr als nur NETBIOS.

Und das wäre?
Und vor allem: was hat das mit deinen Daten zu tun?

Das ist wahr, aber vielleicht möchte die HR-Abteilung ihre
Daten vor dem Zugriff der anderen Mitarbeiter schützen. Es hat
schon seinen Sinn, wenn sicherheitskritische Systeme mit mehr
als einer Einstellung der Rechteverteilung vom Rest des
Internets getrennt wird.

Mir fehlt jetzt die Bedeutung der Abkürzung „HR“
Im Übrigen bist du durch deinen Router vom Rest des Internets getrennt, es geht doch nur um ein paar Gäste?

Drucker (ich habe allein zwei Netzwerkdrucker bei mir im Heimnetz),

Erstens kann man auch bei Druckern Rechte setzen.
Zweitens könnte man einen Rechner zum Printserver ernennen, der dann die Rechte verwaltet.
Drittens können deine Besucher vieleicht die Drucker sehen - das bedeuetet aber noch nicht, das sie rausbekommen, was es für welche sind. Und selbst dann brauchen sie immer noch einen passenden Treiber.
Und wenn das jemand alles schafft (was zugegebenermaßen einem halbwegs talentierten Menschen innerhalb weniger Minuten gelingt) - dann kann er drucken. Wow.
Wo siehst du da jetzt das Sicherheitsrisiko für deine Daten?

UPnP-Gerätschaften (noch nicht, aber vielleicht bald),

UPnP in irgendeinem Gerät zu aktivieren ist das dämlichste, was man machen kann . . . glaub mir, da braucht’s keine böswilligen Gäste mehr um deine Daten zu gefährden.

NFS-Freigaben.

Nochmal: Rechte nicht vernünftig gesetzt??

Ich fürchte das wird nicht reichen. Ein Broadcast-Ping zeigt
einem Client die angeschlossenen Geräte und dann kann er sich
ggfl. ausgiebig damit beschäftigen, Sicherheitslücken zu
suchen. Ich verlasse mich hier ungern auf die Betriebssysteme
alleine (egal ob Windows oder UNIX).

Nun ja.
Mit der gleichen kriminellen Energie kann sich ein bösartiger Gast auch damit beschäftigen, die Sicherheitslücken in jeder anderen Lösung zu finden. Was bringt dich auf die schwachsinnige Idee, das das Betriebssystem eines Routers sicherer sei als Windows oder Unix?

Wieso sind für dich etablierte Verfahren, die in Millionen Fimen weltweit (von denen die meisten größer sind als du) als ausreichend betrachtet werden, nicht vertrauenswürdig?

Glaub mir, wnn du dein System vernünftig konfiguriert hast, kann man es problemlos so abdichten, das es bestenfalls noch eine handvoll Hacker weltweit schafft, da reinzukommen. Und, die so gut sind, die besuchen keine Ferienpension, die spielen lieber mit den Rechnern der Landeszentralbank . . .

Naja, kauf dir’n zusätzlichen Router und fühl dich sicher . . .

Warum machst du es nicht richtig?
Zweiter Router, zweites Netzwerk, zweiter Internet-Zugang. Totale Trennung vom lokalen Netz. Dann hast du alle Bedenken erledigt.

Fröhliche Ostern!
mabuse

Danke für den Hinweis. Welche Produkte kommen da zum Beispiel
in Frage?

Auswendig fallen mir Nortel Baystacks 350 und 450 ein. Alte Brummer, aber damit geht das definitiv, ich habe früher mal als Trainer mit den Geräten Seminare abgehalten. Rein zufällig steht da sogar noch einer in meiner Abstellkammer rum :smile: Sind allerdings wie schon gesagt recht groß und laut. Für einen Fuffi incl Versand gehört er Dir - Konfiguration inclusive. 12 10/100 MBit Ports, 4 unabhängig konfigurierbare VLANs, enspricht also bis zu vier isolierten Netzen, mit Möglichkeit jeden Port auch „gemeinsam“ zu schalten. Nicht so toll: das Gerät ist in etwa so laut wie ein Autoheizungslüfter bei voller Drehzahl, recht groß, und kann kein Auto-MDX (irrelevant für Dich), Konfiguration über ein serielles Kabel, allerdings fast idiotensicher wenn man keine Panik vor einer textbasierten Menüoberfläche hat. Handbücher und Menüs englisch. Außerdem verbläst er permanent etwa 50W (gemessen).

Deutlich netter, leiser, moderner wären 3Com Superstack oder HP Procurve oder Cisco Catalyst Komponenten, auch Intel und Netgear, und viele andere, da habe ich aber keine Modellnummern mehr parat, müsste erst sicherheitshalber schnell die Manuals runterladen und reinschauen, welche davon VLAN mit gemeinsamem Port können. Außerdem stammen meine Kenntnisse aus professionellen Systemraumumgebungen, es handelt sich dabei also imme rum recht unhandliche Rackgehäuse mit lauten Lüftern. Von vielen Switchserien haben die hersteller auch kleinere Geräte mit kleineren Plastikgehäusen und ohne Lüfter gebaut, aber da müsste ich auch erst mal nachsehen. Gerade auf EBay ist ein Cisco 2900 WS-C2912 (Art Nr. 160219202047), 64 Euro mit Versand, 1 Jahr Gewährleistung (Obacht! Das ist keine Garantie!). Ich selber hatte nie einen, aber nach 5 Minuten Manualrecherche würde ich sagen, er kann es :smile:. Wie laut er allerdings ist, und wie viel Strom erbraucht, kann ich Dir nicht sagen. Zum Einlesen: das Manual findest Du hier:

http://www.cisco.com/en/US/docs/switches/lan/catalys…

Kapitel „Virtual LANs“. Mit Skizzen. Deine Konfiguration findest Du in Figure 2-2 exakt aufgemalt. Bevor Du allserings übereilt zuschlägst scau nochmal genau nach ob der angebotene Switch auch genau der im Manual ebschriebene ist - man verirrt sich leicht in den modellreihen der Hersteller, und ein 3300XX ist nicht immer bauähnich mit einem 3300YY.

Ich habe übrigens auch bei der Billigkategorie (kleine Blechkistchen mit ca. 5 Ports und Steckernetzteil) reingespickelt. Manche behaupten, VLAN fähig zu sein. Ich habe schnell bei einem aus der 10 Euro Klasse das Handbuch runtergeladen und durchgesehen, VLAN ist da nur eine Mogelpackung, die Switche können VLANs, die andere Switche aufbauen (!), durchlassen („tagged“ VLAN), sie können aber selber weder VLANs bauen noch daran teilnehmen. Eigentlich ist das dreister Etikettenschwindel, Hauptsache das Stichwort „VLAN“ kam auf die Werbebroschüre.

DMZ ist übrigens auch OK, aber wenn Du mit IP Netzen und DMZ Konfigurationen noch nie gearbeitet hast ist das ein wenig schwieriger als einfach nur Ethernet-Ports einem von 4 VLANs zuweisen, alle Ports im selben VLAN können miteinander, alle anderen nicht, und dann den Port mit dem Router mehreren VLAN zuweisen, damit können ihn dann alle sehen. Einfach zu verstehen und auszuführen. Und Du hast auch keine Probleme mit Hilfsdiensten wie DHCP, die mit mehreren lokalen IP Netzen gerne ein wenig auf Kriegsfuß stehen.

…Armin

Nachschlag Router+VLAN Switch von Draytek
Ich habe noch ein wenig weiter recherchiert:

„DrayTek Vigor 2200Eplus Breitbandrouter“ (Ebay 150226195759). DSL (?) Router mit eingebautem 4 Port Ethernet Switch, wobei bei dem Router die 4 Ports voneinander isoliert werden können. Dass die Router/Internetfunktion dann von allen 4 Ports aus gesehen werden kann ist in dem Fall logisch. Käme von der Papierform her genau dahin wo wir hin wollen :smile:

Allerdings kenne ich das Gerät nicht, und die Beschreibung des Verkäufers lässt viele Fragen offen, z.B. nach der DSL Seite. „Breitbandanschluss“ ist im Zeitalter von DSL 1000,2000,4000 usw ein wenig dürftig. Manual ausgraben bleibt Dir also nicht erspart. Draytek ist übrigens nicht ganz unbekannt, kann man durchaus kaufen.

Allerdings ist er klein, leise und billig, also wenns keinen Haken gibt, das ideale Gerät für Deinen Zweck.

…Armin

Ohne deinen Gästen Böswilligkeit unterstellen zu wollen, würde ich dann im Router, wenn dies möglich ist für das VLAN des Gastes nur die Wellknown Ports offen lassen.
Da du das DSL in einer Ferienwohnung betreibst es also nicht öffentlich zugänglich, musst du es nicht extra schützen, wie dies bei öffentlichen Internetterminals gemacht werden muss (Schutz vor Pornografie, Faschismus usw.)

-Der Spender-

Guten Abend,

Im Übrigen bist du durch deinen Router vom Rest des Internets
getrennt, es geht doch nur um ein paar Gäste?

Wie sagt mein Vater doch: „Gelegenheit macht Diebe!“ Auch wenn ich niemandem pauschal kriminelle Energie unterstellen möchte, so mag ein allzu offenes Netz den einen oder anderen zu Expeditionen verleiten, die mir nicht gefallen.

Drucker (ich habe allein zwei Netzwerkdrucker bei mir im Heimnetz),

Erstens kann man auch bei Druckern Rechte setzen.

Unkomfortabel.

Zweitens könnte man einen Rechner zum Printserver ernennen,
der dann die Rechte verwaltet.

Dann muss der Rechner aber permanent laufen, und das möchte ich nicht; ich will ja gerade vermeiden, dauern einen kompletten PC mitlaufen zu haben, dann könnte ich den ja auch gleich als Firewall und Router verwenden, den ich dann nach Gusto konfigurieren kann. Meine Hoffnung ist, dass Standardkomponenten das Gleiche bei weniger Stromverbrauch genausogut leisten können. Außerdem habe ich mir extra Drucker mit eingebautem Printserver gekauft, eben weil ich von überall aus übers Netz unabhängig von anderen Komponenten drucken können möchte.

Drittens können deine Besucher vieleicht die Drucker sehen -
das bedeuetet aber noch nicht, das sie rausbekommen, was es
für welche sind. Und selbst dann brauchen sie immer noch einen
passenden Treiber.
Und wenn das jemand alles schafft (was zugegebenermaßen einem
halbwegs talentierten Menschen innerhalb weniger Minuten
gelingt) - dann kann er drucken. Wow.

Simple minds need simple pleasure. Was weiß ich, welche Freude jemand daran haben könnte, meine Papierkassette mit nur-schwarz-Seiten vollzudrucken?

Wo siehst du da jetzt das Sicherheitsrisiko für deine Daten?

Bei den Druckern natürlich nicht, aber Datenschutz ist nicht der einzige Grund.

UPnP-Gerätschaften (noch nicht, aber vielleicht bald),

UPnP in irgendeinem Gerät zu aktivieren ist das dämlichste,
was man machen kann . . . glaub mir, da braucht’s keine
böswilligen Gäste mehr um deine Daten zu gefährden.

Solange Firewall und Router keine UPnP-Freigaben öffnen können, sollte es kein Problem darstellen, weil sich alles höchstens aus lokale Netz beschränkt. Und die unbekannten Clients aus der Ferienwohnung möchte ich je gerade aussperren.

NFS-Freigaben.

Nochmal: Rechte nicht vernünftig gesetzt??

  1. Komfort
  2. Fehler im OS

Ich fürchte das wird nicht reichen. Ein Broadcast-Ping zeigt
einem Client die angeschlossenen Geräte und dann kann er sich
ggfl. ausgiebig damit beschäftigen, Sicherheitslücken zu
suchen. Ich verlasse mich hier ungern auf die Betriebssysteme
alleine (egal ob Windows oder UNIX).

Nun ja.
Mit der gleichen kriminellen Energie kann sich ein bösartiger
Gast auch damit beschäftigen, die Sicherheitslücken in jeder
anderen Lösung zu finden. Was bringt dich auf die
schwachsinnige Idee, das das Betriebssystem eines Routers
sicherer sei als Windows oder Unix?

Erstens sind Root-Kits für Netzwerkgeräte weniger weit verbreitet (wenn es sie denn überhaupt gibt) als solche für die gängigen Betriebssysteme, und zweitens überdenke doch bitte Deine Ausdrucksweise: Annahmen der Gespächspartner sofort als „schwachsinnig“ abzutun ist nicht gerade sehr nett.

Ich habe Angst vor Skript-Kiddies!

Wieso sind für dich etablierte Verfahren, die in Millionen
Fimen weltweit (von denen die meisten größer sind als du) als
ausreichend betrachtet werden, nicht vertrauenswürdig?

Es wäre mir neu, dass millionen Firmen weltweit ihre Netze all ihren Besuchern öffnen. Meine Firma zut das jedenfalls nicht - unseren Besuchern ist es NICHT gestattet, ihre Notebooks an unser Netz anzuschließen - trotz der Sicherheitsmaßnahmen, die zum Teil recht albern wirken (Passwortrichtlinien u.a.).

Glaub mir, wnn du dein System vernünftig konfiguriert hast,
kann man es problemlos so abdichten, das es bestenfalls noch
eine handvoll Hacker weltweit schafft, da reinzukommen. Und,
die so gut sind, die besuchen keine Ferienpension, die spielen
lieber mit den Rechnern der Landeszentralbank . . .

Ich stimme dir insoweit zu, dass ich es mit relativ einfacherer Rechtevergabe hinbekommen könnte, die Netzwerkgeräte weitestgehend soweit abzudichten, dass ein Feriengast sie vermutlich nur mit Mühe knacken kann. Aber zum Einen hat das Einbußen im Komfort zur Folge, zum anderen habe ich Angst vor Skript-Kiddies, denn ich habe nicht die Zeit, ständig die Sicherheits-Bulletins nach notwendigen Patches zu durchsuchen, um mein Netz sicher zu halten, und zum Dritten, laufen hier nich zwei Kinder herum, die in gar nicht allzuferner Zeit vielleicht Experimente im Netz machen und ich will (muss) verhindern, dass das Auswirkungen auf den Netzanschluss der Ferienwohnung hat.

Wenn ich all die oben erwähnten Dinge mit dem Einsatz eines weiteren Netzuwerkgerätes durch Trennung der Teilnetze Hauptwohnung und Ferienwohnung bewerkstelligen kann, so ist mir geholfen.

Naja, kauf dir’n zusätzlichen Router und fühl dich sicher

[…Polemik gelöcht…]

Stefan

N’abend!

Ich habe noch ein wenig weiter recherchiert:

„DrayTek Vigor 2200Eplus Breitbandrouter“

[…]

Ich danke dir vielmals für Deine Mühe. Draytek hatte ich schonmal in die nähere Wahl genommen, aber da ich keinen Ortsansässigen Händler fand, der diese Merke führt, habe ich dann doch zu einem Produkt von AVM gegriffen.

Ich werde es ggfl. nochmals versuchen. Danke nochmals!

Stefan