Freigaben von ausserhalb sichtbar?

Hallo Experten,
ich habe in unserem kleinen LAN zuhause (1-mal W2000, 2-mal XP Home) für die Freigabe gemeinsam genutzter Ordner immer ein Passwort vergeben. Jetzt haben wir im Zuge einer Umstellung auf Glasfaser einen Router bekommen, über den wir jetzt ins Netz gehen (war vorher nicht so). Nun sagte mir der Mann vom Service, daß solche Passwörter nicht mehr notwendig seien, weil man jetzt von aussen (also aussehalb unseres LANs, über Internet) nur noch den Router und auf keinen Fall mehr die einzelnen Rechner sehen könne. Der Router würde sozusagen wie eine Firewall wirken.
Da ich aber auf keinen Fall möchte, dass vertrauliche Daten von anderen gelesen werden können, wollte ich mich erstmal hier bei euch Experten erkundigen, ob dem tatsäclich so ist.

Viele Dank schonmal
Jan

Antwort von Radio Erwian: Im Prinzip ja, aber . . .

• Aber man hat schon Router gesichtet, die da einen Fehler in der Firmware hatten, und Freigaben weitergereicht haben.
• Aber es kann ja sein, da jemand eine (ungeschickte) Portweiterleitung einrichtet.
• Aber es kann ja sein, das ihr irgendwann mal auf WLAN erweitert und dann nicht mehr an die Passwörter denkt.

Und ehrlich gesagt, ist die Sache mit den Passwörtern eher ungeschickt gelöst. Einfach auf allen Rechnern alle Benutzer mit jeweils den gleichen Passwörtern anlegen und dann die Freigabe nicht für alle, sondern für diese Benutzer einrichten. Bombensicher ohne lästige Abfragen. Setzt natürlich vorraus, das nicht alle als Administratoren unterwegs sind, aber in dem Fall braucht man sich über die Sicherheit im lokalen Netz auch keine Sorgen mehr zu machen.

lg, mabuse

Da ich aber auf keinen Fall möchte, dass vertrauliche Daten
von anderen gelesen werden können, wollte ich mich erstmal
hier bei euch Experten erkundigen, ob dem tatsäclich so ist.

Ja, standardmäßig ist das so. Auf Passwörter solltest du trotzdem nicht verzichten, sonst komm ich vorbei, schließ meinen Laptop an dein Netz und les mir mal durch, was du da so treibst.

Stefan

Hallo mabuse,

• Aber man hat schon Router gesichtet, die da einen Fehler in
  der Firmware hatten, und Freigaben weitergereicht haben.

Wir wollen doch nicht gleich vom Schlimmsten ausgehen…

• Aber es kann ja sein, da jemand eine (ungeschickte)
  Portweiterleitung einrichtet.

Das glaube ich eher nicht, weil ich gar nicht so genau weiss, was das überhaupt ist und noch weniger, wie man sowas machen sollte. Und ich bin in der Familie Computermäßig der schlauste. Außer, meine Tochter tut nur so, als ob sie keine Ahnung hat

• Aber es kann ja sein, das ihr irgendwann mal auf WLAN
  erweitert und dann nicht mehr an die Passwörter denkt.

Ist WLAN nicht standardmässig mit fast unknackbaren Passwörtern versehen? Aber das ist sowieso Zukunftsmusik.

Und ehrlich gesagt, ist die Sache mit den Passwörtern eher
ungeschickt gelöst. Einfach auf allen Rechnern alle Benutzer
mit jeweils den gleichen Passwörtern anlegen und dann die
Freigabe nicht für alle, sondern für diese Benutzer
einrichten.

Das habe ich gar nicht verstanden. Auf dem W2000-Rechner sind alle Benutzer eingetragen, mit ihren Passwörtern, sonst klappt der gegenseitige Zugriff gar nicht, habe ich jedenfalls mal so gelesen und verstanden. Aber welcher Zusammenhang besteht da mit den Ordner-Freigaben?
Sagen wir mal, ich habe die Benutzer Anton, Berta und Charly, jeweils mit den Passwörtern alpha, beta und cäsar. Wenn ich dann z.B. einen Ordner Musik für Anton freigebe, mit dem Passwort alpha, erspart das dann die Passworteingabe beim Zugriff von Anton auf den Ordner? Oder wie soll ich das verstehen?

Setzt
natürlich vorraus, das nicht alle als Administratoren
unterwegs sind

Keine Sorge, Admin bin bloss ich. Die anderen zwei sind gewöhnliches Fussvolk, also Standarsbenutzer, oder wie das heisst.

Vielen Dank für deine Auskunft
Jan

Hallo Stefan,

Ja, standardmäßig ist das so.

Das beruhigt mich ja schon mal.

Auf Passwörter solltest du
trotzdem nicht verzichten, sonst komm ich vorbei, schließ
meinen Laptop an dein Netz und les mir mal durch, was du da so
treibst.

Ach, keine Gefahr, bei mir ist keine Netzwerkkarte mehr frei, wo Du dich einstöpseln könntest

Vielen Dank für die Auskunft
Jan

Hallo Jan!

Keine Sorge, Admin bin bloss ich. Die anderen zwei sind
gewöhnliches Fussvolk, also Standarsbenutzer, oder wie das
heisst.

Fragt sich nur wer dabei besser fährt:http://www.microsoft.com/germany/athome/security/onl…

Vielen Dank für deine Auskunft

Bitte
Gruß Frank

Das glaube ich eher nicht, weil ich gar nicht so genau weiss,
was das überhaupt ist und noch weniger, wie man sowas machen
sollte.

Diesen Satz höre ich von meinen Anwender regelmäßig, wenn die etwas falsch gemacht haben. Nicht zu wissen, worum es geht und wie man etwas macht, ist die beste Voraussetzung, etwas falsch zu machen. Da kann schon ein unbedachter Klick in den Konfigurationseinstellungen des Browsers reichen.

Gerade weil du’s nicht weisst, solltest du die Warnung bezüglich der Portumleitung sehr ernst nehmen. Oder besser: Noch ernster!

Gruß

Ist WLAN nicht standardmässig mit fast unknackbaren
Passwörtern versehen?

Nein. Bei vielen Routern ist ab Werk gar keine Verschlüsselung eingestellt, manchmal nur WEP, selten WPA oder WPA2 und wenn, dann nur mit Standardkennwörtern.
Dazu muss man dann sagen:
WEP - unsicher, läßt sich in Sekunden knacken.
WPA - sicher, aber nur mit Kennwörtern >15 Buchstaben und einzigartiger SSID.
WPA2 - sicher, aber Kennwörter sollten einer Wörterbuchattacke standhalten. Auf Nummer sicher geht man hier auch nur, wenn man Kennwörter >15 Buchstaben wählt. So ab 20 Buchstaben gilt bei WPA und WPA2, daß eine Brute Force Attacke auch in den nächsten Jahren aussichtslos sein dürfte.
Generell gilt bei Verschlüsselungen aber immer, daß ein Mechanismus nur so lange sicher ist, wie keine Attacken „von der Seite“, also prinzipbedingte Schwächen, bekannt werden.

Bei jedem neuen Gerät _muss_ man die Einstellung von WLAN also prüfen, egal ob man es nutzt oder nicht.

Hallo Jan!

Wir wollen doch nicht gleich vom Schlimmsten ausgehen…

Oh doch, das wollen wir!
Nur wer vom Schlimmsten ausgeht, ist im Normalbetrieb und bei etwas ungewöhnlichen Situationen im Vorteil (bzw. hier: sicher).

Wenn man nicht vom Schlimmsten ausgegangen wäre, hätten Autos heute weder Airbag noch Sicherheitsgurte oder Knautschzonen . . .

Das glaube ich eher nicht, weil ich gar nicht so genau weiss, was das überhaupt ist und noch weniger, wie man sowas machen sollte. Und ich bin in der Familie Computermäßig der schlauste. Außer, meine Tochter tut nur so, als ob sie keine Ahnung hat

Nicht zu wissen, was man da tut, ist das größte Risiko überhaupt. Und was die Kenntnisse deiner Tochter angeht . . . wart’s ab, die überholt dich schon noch.

Ist WLAN nicht standardmässig mit fast unknackbaren Passwörtern versehen?

Unknackbare Passwörter gehören in die gleiche Kategorie wie unknackbare Kopierschutzmechanismen. Beides gibt’s nicht. Im Zweifelsfalle gibt’s sowas immer nur solange, bis jemand eine pfiffige Idee hat. Und das war bisher noch immer schneller, als es sich der Erfinder gedacht hat . . .

Das habe ich gar nicht verstanden. Auf dem W2000-Rechner sind
alle Benutzer eingetragen, mit ihren Passwörtern, sonst klappt
der gegenseitige Zugriff gar nicht, habe ich jedenfalls mal so
gelesen und verstanden.

Dann sollte es eigentlich gar keine weitere Passwort Abfrage mehr geben.

Aber welcher Zusammenhang besteht da mit den Ordner-Freigaben?
Sagen wir mal, ich habe die Benutzer Anton, Berta und Charly,
jeweils mit den Passwörtern alpha, beta und cäsar. Wenn ich
dann z.B. einen Ordner Musik für Anton freigebe, mit dem
Passwort alpha, erspart das dann die Passworteingabe beim
Zugriff von Anton auf den Ordner?

Richtig. Vor allem kommt kein anderer an diesen Ordner ran.
Wenn du den Ordner nicht jür „jeden“, sondern nur für diese drei freigibst, kann deine ganze Familie da ran. Aber niemand sonst, weder ein Hacker, der sich über deinen Router Zugriff verschafft hat, noch evtl. Besucher, die mal kurz mit ihrem Laptop über dein Netzwerk ins Internet gehen wollen.

Tatsächlich rate ich allgemein dazu, als allererstes den Benutzer „Gast“ zu deaktivieren, dann werden unbekannte Benutzer grundsätzlich abgewiesen.

Keine Sorge, Admin bin bloss ich. Die anderen zwei sind gewöhnliches Fussvolk, also Standarsbenutzer, oder wie das heisst.

Ich hoffe, das bedeutet nur, das nur du das Adminpasswort kennst, aber nicht, das du als Admin arbeitest. Auch du solltest für die tägliche Arbeit einen Benutzer-Account nehmen.
Standardbenutzer dürfen meiner Meinung nach noch zuviel, ich selber arbeite grundsätzlich nur als eingeschränkter Benutzer.

lg, mabuse

Ach, keine Gefahr, bei mir ist keine Netzwerkkarte mehr frei,
wo Du dich einstöpseln könntest

Ach, per WLAN wird sich schon ein trockenes Plätzchen finden - oder du hast es abgestellt (sollte es denn überhaupt vorhanden sein).

Stefan

Hallo mabuse,

Das glaube ich eher nicht, weil ich gar nicht so genau weiss, was das überhaupt ist und noch weniger, wie man sowas machen sollte. Und ich bin in der Familie Computermäßig der schlauste. Außer, meine Tochter tut nur so, als ob sie keine Ahnung hat

Nicht zu wissen, was man da tut, ist das größte Risiko
überhaupt.

Da hast Du Recht. Aber da ich in der Beziehung nichts tue, kann ich ja im Moment auch nichts verkehrt machen

Aber welcher Zusammenhang besteht da mit den Ordner-Freigaben?
Sagen wir mal, ich habe die Benutzer Anton, Berta und Charly,
jeweils mit den Passwörtern alpha, beta und cäsar. Wenn ich
dann z.B. einen Ordner Musik für Anton freigebe, mit dem
Passwort alpha, erspart das dann die Passworteingabe beim
Zugriff von Anton auf den Ordner?

Richtig. Vor allem kommt kein anderer an diesen Ordner ran.
Wenn du den Ordner nicht jür „jeden“, sondern nur für diese
drei freigibst, kann deine ganze Familie da ran.

Das ist interessant. Wirklich ohne Passwortabfrage, obwohl eins vergeben wurde? Das muss ich gleich heute abend mal ausprobieren (bin im Moment im Büro).

Aber niemand
sonst, weder ein Hacker, der sich über deinen Router Zugriff
verschafft hat, noch evtl. Besucher, die mal kurz mit ihrem
Laptop über dein Netzwerk ins Internet gehen wollen.

Außer, sie erraten mein Passwort, oder?

Tatsächlich rate ich allgemein dazu, als allererstes den
Benutzer „Gast“ zu deaktivieren, dann werden unbekannte
Benutzer grundsätzlich abgewiesen.

Das hatte ich vor längerer Zeit mal probiert. Aber da kam wohl die Meldung „Der Benutzer Gast lässt sich nicht deaktivieren“, aber ich weiss es nicht mehr so genau. Auch das werde ich heute abend nochmals ausprobieren.

Keine Sorge, Admin bin bloss ich. Die anderen zwei sind gewöhnliches Fussvolk, also Standarsbenutzer, oder wie das heisst.

Ich hoffe, das bedeutet nur, das nur du das Adminpasswort
kennst, aber nicht, das du als Admin arbeitest. Auch du
solltest für die tägliche Arbeit einen Benutzer-Account
nehmen.

Ja, ja, keine Sorge. Da habe ich mich wohl missverständlich ausgedrückt. Im Normalfall bin ich auch bloss Standard-Benutzer.

Standardbenutzer dürfen meiner Meinung nach noch zuviel, ich
selber arbeite grundsätzlich nur als eingeschränkter Benutzer.

Naja, das hatte ich auch mal versucht. Aber da hatte meine Tochter gemault, weil sie ihr neuestes „Donna das Pony“-Spiel (oder wie auch immer das hiess) nicht installieren konnte. Und jedes Mal selbst ran müssen, nur um die neuesten Spiele zu installieren, war mir dann doch zu viel Arbeit. Für den schlimmsten Fall mache ich jede Woche ein Backup.

Vielen Dank
Jan

Hallo Hermann,

Bei jedem neuen Gerät _muss_ man die Einstellung von WLAN also
prüfen, egal ob man es nutzt oder nicht.

Hm, im Moment benutzen wir kein WLAN, weil meine Frau Angst vor Strahlen hat. In der Beziehung streite ich lieber nicht mit ihr, obwohl ich das für unbegründet halte. Aber der Router hat tatsächlich so eine kleine Stummelantenne, so daß wir WLAN machen könnten. Sollte ich da tatsächlich eine Verschlüsselung einrichten, obwohl wir es nicht nutzen?
Oder andersrum gefragt, die Daten die jetzt vom Internet übers Kabel in unser Netz flitzen, werden die etwa auch über diese Antenne abgestrahlt?

Vielen Dank
Jan

Moin!

Richtig. Vor allem kommt kein anderer an diesen Ordner ran.
Wenn du den Ordner nicht jür „jeden“, sondern nur für diese drei freigibst, kann deine ganze Familie da ran.

Das ist interessant. Wirklich ohne Passwortabfrage, obwohl eins vergeben wurde? Das muss ich gleich heute abend mal ausprobieren (bin im Moment im Büro).

Ja. Bei mir klappt das ganz hervorragend.
Ich hab auf allen dreien meiner Rechner den Administrator und einen Benutzer, den ich der Einfachheit halber „User“ genannt habe. Die haben auf allen Rechnern auch die gleichen Passwörter (natürlich zwei verschiedene). Die Freigaben auf den Servern mache ich grundsätzlich nur für den User - und ich komm von meiner Arbeitsstation überall dran, ohne nach einem Passwort gefragt zu werden. Nicht aber als Administrator! Denn für den gelten die Freigaben ja nicht (Was aber kein großes Problem darstellt, da Windows eh für alle Laufwerke immer eine versteckte adminstrative Freigabe hat - aber auf der anderen Seite wüsste ich jetzt eh nicht, wann ich mich zuletzt als Admin eingeloggt hätte. Dieses Jahr noch nicht).

Aber niemand sonst, weder ein Hacker, der sich über deinen Router Zugriff verschafft hat, noch evtl. Besucher, die mal kurz mit ihrem Laptop über dein Netzwerk ins Internet gehen wollen.

Außer, sie erraten mein Passwort, oder?

Nein, das reicht noch nicht. Sie müssen außerdem deinen Benutzernamen haben (denn nur für den gilt die Freigabe ja) und den auf ihrem System anlegen und sich als dieser Benutzer einloggen, sonst spuckt Windows eine Fehlermedlung aus, das die Anmeldung für die Freigabe in Konflikt mit der Anmeldung am lokalen System stehe.

Weshalb ich auch überall neue Administratoren (mit anderen Namen) eingerichtet und dem „gewöhnlichen Administrator“ ein völlig beklopptes Passwort gegeben habe (36 Stellen, wüste Mischung aus Buchstaben, Ziffern und Sonderzeichen), das so schnell keiner hackt. Ich benutz den auch nicht, sondern nur den Ersatzadmin. Selbst, wenn einer mein normales Passwort rausbekommt, muss er immer noch rauskriegen, wie mein Admin überhaupt heisst.

Das hatte ich vor längerer Zeit mal probiert. Aber da kam wohl die Meldung „Der Benutzer Gast lässt sich nicht deaktivieren“, aber ich weiss es nicht mehr so genau. Auch das werde ich heute abend nochmals ausprobieren.

Kann nicht. Ging bei mir doch auch.

Standardbenutzer dürfen meiner Meinung nach noch zuviel, ich selber arbeite grundsätzlich nur als eingeschränkter Benutzer.

Naja, das hatte ich auch mal versucht. Aber da hatte meine Tochter gemault, weil sie ihr neuestes „Donna das Pony“-Spiel (oder wie auch immer das hiess) nicht installieren konnte. Und jedes Mal selbst ran müssen, nur um die neuesten Spiele zu installieren, war mir dann doch zu viel Arbeit.

Okay, das versteh ich.

Für den schlimmsten Fall mache ich jede Woche ein Backup.

Guter Plan!

lg, mabuse

Sollte ich da tatsächlich eine Verschlüsselung
einrichten, obwohl wir es nicht nutzen?

Entweder das, oder besser die WLAN-Funktionalität im Router deaktivieren. Das kann aber nicht jeder Router.

Oder andersrum gefragt, die Daten die jetzt vom Internet übers
Kabel in unser Netz flitzen, werden die etwa auch über diese
Antenne abgestrahlt?

Ja. UWenn jemand anders den Router über WLAN anspricht, kann er auch über dein Netz surfen und Unsinn treiben.

Gruß

Entweder das, oder besser die WLAN-Funktionalität im Router
deaktivieren. Das kann aber nicht jeder Router.

Selbst dann würde ich es vorher schon mal einrichten, also WPA2 mit langem Kennwort eingeben und dann erst deaktivieren. Hab schon erlebt, daß Router nach einem Stromausfall abgeschaltetes WLAN wieder aktiviert hatten oder auch mal nach einem Firmwareupdate. Und die Kisten von der Telekom mit dem kleinen Druckschalter hinten - da hat man schnell mal aus Versehen WLAN angeschaltet.

Hallo Jan

Der Zugriff auf eine Freigabe hängt von den Rechten ab, mit dem sich jemand an einem Netzwerk anmeldet. Daher sind die Gast Konten unter Windows seit längerem deaktiviert.

Die Frage ist also, welche Möglichkeiten hat jemand, sich an Deinem Netzwerk anzumelden. Der moderne Router mit NAT ist sekundär ein Risiko. Sowieso da Windows seit XP SP2 eine effektive Personalfirewall hat.

2009 ist der Browser das Einfallstor. Aktuellstes Beispiel ist Twitter, wo mit JavaScript die Adressdaten ausgelesen wurden.
Ein Computer mit Windows 2000, für den Microsoft schon schon länger keine Updates mehr anbietet, ist dafür erheblich mehr gefährdet als ein XP Computer mit SP2 oder SP3.

Auf der menschlichen Ebene sind Kinder bzw. Jugendliche ein erhötes Risiko. Sie können Gefahren oder juristische Sachverhalte nur schwer einschätzen. Risiken durch Daten aus dem Internet bzw. von USB Datenträgern bestehen, auch wenn sie keinen Administratorrechte haben.

B.t.w. kann der normale Standarduser nicht zu arbeiten verwendent werden. Wenn schon solltest Du sie als Poweruser definieren. Ansonsten hast Du permanentes Geklöne, weil dieses und jenes nicht geht. Bzw. nur mit „RunAs“ ausführen lässt. Ihre Kooperation erreichst Du, wenn Du auf Sie und Ihre Bedürfnisse eingehst und Kompromisse machst. Sonst weichen Sie zu Freunden aus, wo Du keinen (erzieherischen) Einfluss nehmem kannst.

Privat geht die Harmonie der Sicherheit vor oder schläfst Du in einem Banktresor?

Schöne Nacht
C4e

Hallo Chat4ever,
auch dir vielen Dank für deine Tipps.

2009 ist der Browser das Einfallstor. Aktuellstes Beispiel ist
Twitter, wo mit JavaScript die Adressdaten ausgelesen wurden.

Oh je, meine Tochter twittert mit Begeisterung, „treffe mich gerade mit meiner Freundin“, „sitze an den Hausaufgaben und komme nicht weiter“ u.ä. weltbewegende Sachen. Kann und will ich ihr nicht verbieten, schon wegen der von dir erwähnten Harmonie.

Ein Computer mit Windows 2000, für den Microsoft schon schon
länger keine Updates mehr anbietet

Bist Du sicher? Ich habe schon „automatische Updates von Windows“ eingeschaltet und da trudelt immer wieder mal irgendein Servicepack ein, das letzte wohl erst Anfang Juni oder so.

B.t.w. kann der normale Standarduser nicht zu arbeiten
verwendent werden. Wenn schon solltest Du sie als Poweruser
definieren. Ansonsten hast Du permanentes Geklöne, weil dieses
und jenes nicht geht.

Da hatte ich bisher eigentlich keine Probleme damit. Und „Poweruser“? Wenn Du damit nicht gerade den Administrator meinst, so kann ich den bei mir nicht finden

Viele Grüße
Jan

Ein Computer mit Windows 2000, für den Microsoft schon schon
länger keine Updates mehr anbietet, ist dafür erheblich mehr
gefährdet als ein XP Computer mit SP2 oder SP3.

Das ist nicht richtig.
Es gibt auch weiterhin an jedem Patchday alle wichtigen Sicherheitsupdates für Win2k.

Supportende bedeutet bei Microsoft lediglich, das man keine Hilfestellung bei der Hotline mehr bekommt.
Weshab der „Buhruf“, das der Support für XP 2014 ende, nicht weiter von Bedeutung ist. WinXP ist - genauso wie Win2k - in so vielen Firmen im Einsatz, das es M$ sich gar nicht leisten kann, diese Kunden vor den Kopf zu stossen.

lg, mabuse