Rechneridentifikation im Netzwerk

Hallo,
gibt es eine Möglichkeit herauszufinden, welcher Rechner in einem Netzwerk sich zu einem bestimmten Zeitpunkt mit einer bestimmten, vom Fritz!Box-Router zugewiesenen IP-Adresse, im Internet getummelt hat?
Bei einer WLAN-Verbindung wird ja die bei der Anmeldung erfaßte MAC-Adresse mit der IP-Adresse protokolliert und damit ist der Rechner identifizierbar.
Wie geht das im LAN? Welche Daten der Rechner im Netz muß ich eventuell vorher erheben und was protokollieren?
Gibt es geeigente Software oder ist eine besondere Hardwarumgebung erforderlich?
Hintergrund der Frage ist der Gästen einer Pension zur Verfügung zu stellende Internetzugang und die sich eventuell durch Mißbrauch ergebenden Folgen für den Inhaber des DSL-Anschlusses. Ich würde gern LAN zur Verfügung stellen, da WLAN mehr hardwareseitigen Aufwand erfordert.

Danke, Andre´

Die beste Möglichkeit ist eine Software, wie sie in Internetcafés benutzt wird. Oder über eine eigene Domäne und Anmeldung an einem Server (normaler PC) mit genug Leistung. Also ablauf Gast 1 meldet sich in seinem Zimmer über einen Account am Server an, wo für diesen Account genau hinterlegt ist, (Berechtigung) was dieser machen darf und was nicht.

Ich hoffe ich konnte helfen.

Gruß gerd23

Hallo Gerd,
welche Software wird denn in Internetcafes verwendet?
Danke, Andre´

Hallo André,
ich habe zwar eine Fritzbox, habe aber trotzdem keine Antwort auf Deine Frage.
Ich würde es bei dem AVM Router Forum probieren:
http://www.router-forum.de/board-avm-fritz-61.html

Gruß
Dieter

Hallo Gerd,
welche Software wird denn in Internetcafes verwendet?
Danke, Andre´

Ich habe mal im Internet etwas gesucht und diese Seite gefunden.
http://www.surf-control.de/?gclid=CNHZ4PG_raQCFcqR3w…

Surf-Control Kiosk Software.
Es giebt mit sicherheit noch mehr und vielleicht reicht diese auch für deine Zwecke schon aus.

Gruß gerd23

Hallo André,

normalerweise wird auch eine LAN-Verbindung im Router protokolliert. Damit ist zwar im Prinzip nachvollziehbar, wer wann im Internet war, allerdings werden die Seitenaufrufe beim Provider nicht mit der IP-Adresse aus dem lokalen Netzwerk protokolliert, sondern mit der IP-Adresse, die dem Router bei Einwahl ins Netz vom Provider zugewiesen wird. Ob das Routerprotokoll bei einem Missbrauchs-Vorwurf Bestand haben würde, ist fraglich. Dazu solltest Du einen Rechtsanwalt befragen. Die nachträgliche Identifikation des Rechners könnte z.B. über einen Server mit Benutzeranmeldung oder eine Firewall mit Syslog erforderlich. In jedem Falle ist es schon mit etwas Aufwand verbunden.

Viele Grüße
Renapoli

Hallo Gerd,
das Programm surf-control ist zur Abrechnung von Internetaktivitäten eines Nutzers an MEINEM Terminal gedacht, die unsere Gäste bringen jedoch die eigenen Rechner mit.

Trotzdem vielen Dank für Deine Hilfe, Andre´

Hallo Dieter,
da sehe ich den Wald vor lauter Bäumen nicht…
Probiere ich auf jeden Fall, auch wenn AVM mir auf Anfrage offiziell mitgeteilt hat, das die Box mit der aktuellen Firmware dazu nicht in der Lage sei.
Danke, Andre´

Hallo Renapoli,
ja, es bleibt offensichtlich nichts anderes übrig, als einen Proxy zu installieren.
Ob das Logprotokoll dann einer gerichtlichen Fragestellung stand halten kann, weiß ich nicht. Anwälte sagen zu diesem Punkt nichts, bevor man nicht die Recherche beauftragt, das kostet dann richtig Geld.

Ein Proxy ist aber auch nicht „ohne“, da datenschutzrechtlich der Nutzer der „Schweineseiten“ vor Gericht wahrscheinlich besser gestellt ist als ich, der alles heimlich und bösartig protokolliert hat. Ich lasse mir in Zukunft von den Gästen unterschreiben, daß eine Logdatei geführt wird und dann sehen wir mal, ob das zum rechtlichen Super-Gau führt.
Vielen Dank für Deine Hilfe, Andre´

Hallo André,

sehe ich auch so, dass die rechtliche Seite da schwer zu durchschauen ist. Vielleicht wäre es ja eine Möglichkeit, wie es in vielen Hotels üblich ist, bspw. einen T-Mobile-HotSpot zur Verfügung zu stellen. Da schließt der Kunde ja den Vertrag nicht mit Dir, sondern mit der Telekom. Du kannst Dich da ja einfach mal beraten lassen … ist nur so eine Idee.

Viele Grüße und viel Erfolg
Renapoli

Ich habe es mir nicht genau angesehen aber vielleicht ist eine Änderung des Programms möglich um diese Funktionen zu haben, die du brauchst. Sonst würde ich mir an deiner Stelle ins Büro einen PC stellen an diesen ein Switch angeschlossen und über die zweite Netzwerkkarte ins Internet. Auf diesem PC würde ich ein Server System installieren wie Windows Server 2003 oder Linux(Billiger).

Gruß gerd23

Hallo!

gibt es eine Möglichkeit herauszufinden, welcher Rechner in einem Netzwerk sich zu einem bestimmten Zeitpunkt mit einer bestimmten, vom Fritz!Box-Router zugewiesenen IP-Adresse, im Internet getummelt hat?

Falls die Fritz-Box die vergebenen Zuordnungen in ihr Log schreibt, ja. Ob sie das tut bzw. wo man das einrichtet, kann ich leider nicht sagen, weil ich selbst keine benutze.

Bei einer WLAN-Verbindung wird ja die bei der Anmeldung erfaßte MAC-Adresse mit der IP-Adresse protokolliert und damit ist der Rechner identifizierbar.

Nein! Jedes Betriebssystem erlaubt es auf einfache Art und Weise die MAC-Adresse einzelner Netzwerkkarten beliebig zu ändern. Zuverlässig ist das also ganz und gar nicht.

Wie geht das im LAN? Welche Daten der Rechner im Netz muß ich eventuell vorher erheben und was protokollieren?

Wenn dir die MAC als „Identifikation“ genügt, kann die natürlich genauso mitgelogt werden wie im WLAN.

Gibt es geeigente Software oder ist eine besondere Hardwarumgebung erforderlich?

Für eine eindeutige, zuverlässige Identifikation wirst du um echte Authentifizierung nicht herumkommen. Das Grundprinzip ist, daß vor dem Internetzugriff eine Anmeldung nötig ist und Anmeldedaten nur an vorher z.B. per Ausweis identifizierte Personen herausgegeben werden.

Allgemein für den Netzwerkzugriff kenne ich in dieser Richtung Radius – die c’t hatte dazu vor kurzem einen ausführlichen Artikel (http://www.heise.de/netze/artikel/WLAN-sichern-mit-R…).

Natürlich könntest du auch einen Proxy-Server einrichten, der die Zugangsdaten abfragt und Internetzugriff nur über diesen erlauben.

Hintergrund der Frage ist der Gästen einer Pension zur Verfügung zu stellende Internetzugang und die sich eventuell durch Mißbrauch ergebenden Folgen für den Inhaber des DSL-Anschlusses.

Das ist ein Kapitel für sich. Bei den aktuellen Auswüchsen der Abmahnbranche würde ich da lieber vorher einen Fachanwalt zu einem wasserdichten Konzept befragen.

Ich würde gern LAN zur Verfügung stellen, da WLAN mehr hardwareseitigen Aufwand erfordert.

Mehr Aufwand? Ein AP ist heutzutage in jedem Router verbaut und die bekommt man tw. schon für 15 Euro. Damit lassen sich dann problemlos um die 100 Clients bedienen. Der Aufwand für eine entsprechende verkabelte Infrastruktur ist IMHO ungleich höher. Dazu kommt, daß WLAN wesentlich bequemer für die Nutzer ist. Allerdings wären ja nach Größe der abzudeckende Fläche natürlich mehrere APs notwendig, die dann immernoch zu verkabeln wären. Aber ich schweife ab… O:smile:

Wie schon gesagt, die MAC-Protokollierung funktioniert bei LAN ebenso wie bei WLAN, müßte vom DHCP-Server (hat die Fritz-Box) erledigt werden und ist absolut unzuverlässig. Eine echte Authentifizierung bringt den größeren Aufwand mit sich, den es braucht um die Identität eines jeden Nutzers zu prüfen und individuelle Zugangsdaten zu vergeben, wobei es verschiedene Wege gibt wofür genau diese dann eingesetzt werden (Zugang zum Netz, Zugang zum Internet, Nutzung bestimmte Ports,…).

Gruß, Jan.

sorry,nicht mein gebiet

Hallo,

Hi!,

da das gesamte Thema „leicht“ komplexer ist nehme ich erstmal dein von dir geschildertes Problem auseinander und gehe danach auf deine Frage ein…

Bei einer WLAN-Verbindung wird ja die (IP) bei der Anmeldung
erfaßte MAC-Adresse mit der IP-Adresse protokolliert und damit
ist der Rechner identifizierbar.

Ahhja… nun - er ist zwar identifizierbar - allerdings leider nicht eindeutig.
Das Problem: die IP ist dynamisch zugewiesen worden (per DHCP) und damit schon einmal kein Identifikationsmerkmal, da diese sich - mal ganz davon abgesehen dass man auch einfach eigene (fast beliebige) Daten eingeben kann insofern der Router sich nicht merkt welche IP zu welchem Port gehört(macht die FritzBox nicht) - ständig ändern.

Bleibt also noch die MAC-Addresse…
nun - „theoretisch“ sollte diese Addresse eindeutig sein, leider ist auch diese frei vom Anwender änderbar und damit kein echtes Identifizierungsmerkmal (ich kann mir auch König auf die Stirn schreiben - bin aber trotzdem keiner)

nun könnt man ja fragen : ja mei - was ist denn dann mit WEP/WPA/WPA2? Das sind doch alles sachen wo man ein Passwort für brauchen tut…

ist zwar richtig - allerdings funktioniert das SO erstmal noch nicht da jeder Gast das gleiche Passwort verwendet - wer also wann ins Netz ging ist nicht rauszufinden…

Wie geht das im LAN? Welche Daten der Rechner im Netz muß ich
eventuell vorher erheben und was protokollieren?

Gleiches Problem wie beim WLAN - bisher hast du noch keine „echten“ Authentifizierungsmerkmale…

Gibt es geeigente Software oder ist eine besondere
Hardwarumgebung erforderlich?

Ja gibt es - das erfordert allerdings ein bisschen Fachwissen:
Eine Möglichkeit z.B. wäre das ganze per VPN zu lösen:
der (evt. sogar unverschlüsselte) Zugang zum WLAN/LAN erlaubt keinen Zugang zum Internet sondern nur zu einem VPN-Server. Und erst per VPN-Tunnel zu diesem Server kann der Kunde dann (völlig verschlüsselt und sicher) ins Internet. Der Vorteil hier: der VPN-Server kann mitloggen wann sich wer für wie lange angemeldet hat. (hierfür mal nach wlan vpn googeln)

Eine andere Möglichkeit wäre die WLAN-Authentifikation nicht mit „einem Passwort“ (PreShared Key - PSK) sondern über einen Radius-Server. Auch hier ist dann wieder eine über WLAN abgesicherte Authentifizierung gegenüber dem Radius-Server gegeben welcher mitloggen kann wer wie lange online war dadurch dass jeder Kunde andere Zugangsdaten bekommen kann (google mal nach wpa2 + radius)
Evt. hilft dir allerdings auch dieser Link hier weiter: http://www.zeroathome.de/wordpress/wlan-hotspot-mit-…

Hintergrund der Frage ist der Gästen einer Pension zur
Verfügung zu stellende Internetzugang und die sich eventuell
durch Mißbrauch ergebenden Folgen für den Inhaber des
DSL-Anschlusses.

Oha - das macht dann schon wieder ein ganzes Fass neuer Probleme auf…
Hier mal zwei der Probleme die mir spontan einfallen:

1. du hast zwei Kunden: der eine Surft gerade auf www.ard.de der zweite auf www.illegale-seite.xxx
   woher willst du nun wissen wer was besucht hat? Mitloggen? Oha - Datenschutz? Wenn du sowas machst hast du schnell wesentlich mehr Ärger als dir lieb ist.
2. Du musst dein Netzwerk gegen Angriffe von innen absichern - z.B. Arp-Spoofing (http://de.wikipedia.org/wiki/ARP-Spoofing)
   letzteres kann man zwar verhindern - dafür ist aber Fachwissen und auch bessere Hardware als „eine Fritzbox“ notwendig wenn man sowas sinnvoll machen will…

Ich würde gern LAN zur Verfügung stellen, da
WLAN mehr hardwareseitigen Aufwand erfordert.

Danke, Andre´

Ahhja … also wenn du die zusätzlichen Kosten scheust bzw. das KnowHow nicht hast … nun letzteres kann man Kaufen (zumindest bei der Einrichtung) kostet aber wieder zusätzlich Geld…

Kommen wir also hier an der Stelle auf deine Frage zurück:

gibt es eine Möglichkeit herauszufinden, welcher :Rechner in einem Netzwerk sich zu einem bestimmten :Zeitpunkt mit einer bestimmten, vom Fritz!Box-Router :zugewiesenen IP-Adresse, im Internet getummelt hat?

Ja gibt es - wenn man entsprechende Mühen nicht scheut (siehe oben)

bis bald

Daniel Heinrich

Hallo Daniel, hallo Jan,

vielen lieben Dank für Eure Beiträge.
Im Moment habe ich das Problem wenigstens etwas besser im Griff als vorher. Jeder Pensionsgast mit Internetambition unterschreibt mir, welche MAC-Adresse er nutzt und das die aufgerufenen Seiten mitgeloggt werden. Alles läuft über einen Proxy, der nicht freigeschaltete MAC-Adressen blockt. Damit weiß ich, wer welche Seiten besucht hat. Bei Änderung seiner MAC-Adresse kommt er nicht mehr ins Netz. Datenschutz sollte eingehalten sein, da der Nutzer ja weiß, daß geloggt wird.
Die Masse der „nur-mal-schnell-runterladen-Typen“ schreckt das hoffentlich ab. Gegen die Tätigkeit richtiger Profis hilft so was sicher nicht, aber die kommen sicherlich auch nicht zu mir, um zu übernachten und Schaden zu machen. Hoffe ich wenigstens!
Ich wünsche Euch einen schönen Tag, Andre´

Hi,

sorry dass ich erst jetzt auf deine Antwort reagiere - hab sie aber scheinbar übersehen… nunja - egal

Griff als vorher. Jeder Pensionsgast mit Internetambition
unterschreibt mir, welche MAC-Adresse er nutzt und das die
aufgerufenen Seiten mitgeloggt werden.

Mhkey … ich hoffe du hälst in dem Fall die ensprechenden Datenschutzbestimmungen ein - ansonsten kann sowas sehr schnell sehr teuer werden

Alles läuft über einen
Proxy, der nicht freigeschaltete MAC-Adressen blockt.

Oha… das gibt jetzt folgende Probleme:

1. Dein Netzwerk ist immer noch nicht gegen Angriffe von innen abgesichert. Z.B. können Gäste noch immer einen MITM-Angriff fahren und somit sämtlichen Datenverkehr anderer Gäste mitlesen. Auch ist es möglich die eigenen MAC-Addresse so abzuändern dass man nun unter der MAC-Addresse eines anderen surft… nicht gut

2. Wie sorgst du dafür dass der Proxy die MAC-Addresse des Clients sieht? Immerhin ändert ein Switch / Router die Absender-MAC-Addresse in seine eigene um… nunja - egal

Bei Änderung seiner
MAC-Adresse kommt er nicht mehr ins Netz.

Ähh - falsch (siehe oben)

Datenschutz sollte
eingehalten sein, da der Nutzer ja weiß, daß geloggt wird.

Nur dass der Nutzer es weiss macht es a) noch lange nicht legal (grundsätzlich) und b) musst du noch die anderen gültigen Datenschutzbestimmungen deines Landes beachten und befolgen.

Die Masse der „nur-mal-schnell-runterladen-Typen“ schreckt das
hoffentlich ab.

Da hast du vermutlich Recht

Gegen die Tätigkeit richtiger Profis hilft so
was sicher nicht,

Und hier kommt die traurige Wahrheit - selbst unerfahrene Personen können mit wenig Aufwand die passende Software + Anleitungen im Netz finden. Ergo: Theoretisch ist jeder dazu inder Lage die von mir oben genannten Probleme zu verursachen.

aber die kommen sicherlich auch nicht zu
mir, um zu übernachten und Schaden zu machen. Hoffe ich:wenigstens!

Hoffen kann man immer - nur leider reicht dass nicht wenn tatsächlich mal so ein Fall eintritt… Immerhin ist das wohl auch der Grund warum es für vieles im Leben Versicherungen gibt

bis bald

Daniel Heinrich