Hallo, ich soll das Netzwerk für ein neues Einfamilienhaus konzipieren. Die "normale" Internet-Funktionalität ist natürlich kein Problem, aber ... Sowohl die Elektrofirma möchte für die EIB-Installation Fernzugriff, als auch der Bang&Olufsen-Service auf das installierte System. Internet-Zugang soll insgesamt aber nur einer gelegt werden (wahrscheinlich Kabeldeutschland und UMTS als Fallback). Die Zugänge der Systeme sind zwar jeweils über ein gewöhnliches Username/Passwort-Paar gesichert - das scheint mir aber zu unsicher. Bei VPN habe ich Bedenken, dass die beiden Firmen damit überfordert sind (Zertifikate etc.) - ich kann mir auch kaum vorstellen, dass die für jeden Kunden verschiedene Protokolle (IPSec, PPTP, L2TP ...) und die passenden Zertifikate vorrätig halten. Zusätzlich möchte der Hausherr per iPhone auf EIB-Statusinformationen zugreifen (Busch-Jäger-Panele). Mache ich deswegen eine DMZ zwischen zwei Firewalls oder einen extra Zugangs-Proxy? Ich bitte um inspirierende Tips! Frank
könnte man VIELLEICHT! mit WRT54g3g und dd-wrt machen was ich jetzt so gelesen hab: der WRT54g3g könnte umts fallback (aber ob das mit dd-wrt auch geht ?) am "einfachsten" wäre natürlich pptp (weil das windows von haus aus kann) openvpn wäre aber sicherer.. was ich jetzt allerdings auch nicht weiß ist, ob man openvpn/pptp so einstellen kann, dass (je nach benutzer) nur auf eine bestimte IP zugriff möglich ist.. dem B&O bzw. EIB firmen würd ich einfach mal die frage stellen, wie sie das bei anderen kunden machen, ? und wie sie das gerne hätten.. . wobei ich das an/abschaltbar machen würde, also dass die nicht DAUERN zugriff haben, sondern nur dann wenn ich will.. und da stellt sich die frage ob ein normales port forwarding nicht "sicher genug "ist.. und nur für den hausherren vpn...
Ich habe zwar kein EIB usw. , aber an meinem Internetanschluss hängen noch andere Personen und ein FTP/Web-Server. Nach dem Splitter kommt ein ganz normaler Netgear-Router und dieser geht auf einen Linux-Rechner mit 3 Netzwerkkarten (Könnte ja ein MiniPC sein). Dieser Rechner teilt dann das Netzwerk auf, einmal zu mir und einmal zu meinem Nachbarn und den Servern. Auf dem Linux-Rechner stelle ich dann alles ein, FTP/Web von aussen und innen, Nachbar darf nur HTTP/Mail usw. Ist alles sehr flexibel und ich kann auch alles per Fernwartung konfigurieren. Wenn man dann noch das System immer aktuell hält, ist es "für mich" sicher genug. MfG Dirk
reicht an sich nicht ein einfacher bruteforce schutz + dynamische ip addressen?? solange man dann die dyndns nicht kennt, hat man 24h zeit um da ne bruetforce durch zu bekommen... mit captcha unwahrscheinlich 100% Sicherheit gibt es nicht
Marcus B. schrieb: > reicht an sich nicht ein einfacher bruteforce schutz + dynamische ip > addressen?? Gib jemandem genügend zeit, so knackt er diesem Schutz. > > solange man dann die dyndns nicht kennt, hat man 24h zeit um da ne > bruetforce durch zu bekommen... Wenn der Rechner bei den Unternehmen an ein Netzwerk angebunden werden soll, werden deren Admins/ Techniker auch die IP Adresse kennen. Ob die IP nach 24h gewechselt wird, ist da irrelewant. > mit captcha unwahrscheinlich Ein Captcha kann genauso geknackt werden, wie eine Bruteforc Schutzmauer... > 100% Sicherheit gibt es nicht Das stimmt. ---- Ich würde mich in den Unternehmen schlau machen, wie externe Recorucen angebunden werden. Wenn VPN o.a./ o.ä. benötigt werden, richtet man diese ein. Anschliessend richtet man einen Benutzeraccout mit entsprechend beschränkten rechten ein. Man kann, wie Dirk M. schon schrieb, den Computer über mehrere Ebenen absichern. Ich z.b. fahre mehrere Sicherheitsebenen....
>richtet man einen Benutzeraccout mit >entsprechend beschränkten rechten ein. diese "allgemeinen" antworten hier, find ich immer super.. (egal welches thema) warum posten diejenigen die sich "auskennen" nie konkrete antworten..? oder zumindest einen link zu einer (brauchbaren) anleitung, wo jemand schon mal sowas gemacht hat.. z.b. wie man per OpenVPN (auf linux) mehrere benutzer einrichtet die dann jeweils nur eine bestimmte IP zugreifen können, und ein weiterer der auf alles zugreifen kann...
Hallo, wie oben schon angesprochen könnte eine Linux Distribution das ziemlich elegant lösen. Empfehlenswert wäre hier z.B. die Distribution IPCop (www.ipcop.de,www.ipcop-forum.de) die zum einen VPN Zugang ermöglicht aber andererseits auch die Möglichkeit bietet unterschiedliche Netzwerke anzulegen (also physikalisch getrennte Netze mit unterschiedlichen "Sicherheitslevels". Das ganze dann auf einem Embedded PC wie z.B (es gibt auch andere Möglichkeiten) einem Alix Board. Insgesamt liegt man dann preislich bei max. 200€ (je nach Ausstattung) und hat zudem eine stromsparende Lösung (3-5W, ohne Festplatte mit CF Karte). Mfg Jojo
d.h. ich bräuchte EIB, b&o und den rest in eigenen ip-bereichen (V)LAN's ? ich glaub ich muss mich doch mal mehr mir sowas beschäftigen ;-) ich frag mich wie die geräte in den 3 ip-breiche dann miteinander kommunizieren können (untereinander..) b&o fernseher z.b. auf EIB zugreifen, oder auf VIdeos im privaten Netz aber jemand der von extern kommmt (z.b. der eib-typ) nicht auf b&o usw..
Zur Kommunikation zwischen zwei Netzen gibts schließlich Router. Ein Probem ist aber, dass die meisten Leute heute nicht wissen, was ein Router eigentlich ist und diesen Begriff fast immer mit der kleinen bunten Plastikkiste assoziieren, die bei ihnen zuhause den Internetzugang realisiert. Klar ist da auch ein Router mit drin, aber im Extremfall viel mehr, was man in diesem Falle garnicht braucht: - ein BBAE (Splitter) - ein NTBA - eine ISDN-Anlage - ein (DSL-) Modem - ein VOIP-Gateway - ein VPN-Gateway - ein Router - ein MAC-Adressfilter - ein Paketfilter (oft als Firewall verkauft) - ein Switch - ein WLAN-Accesspoint - ein USB-Printserver Im Profibereich gibts dafür je einen 19-Zoll-Einschub :-) Einfach nur "Router" gibts im Konsumerbereich nicht zu kaufen und die Profigeräte sind "schweineteuer". Hinzu kommt, dass man sie mit Google und Co. im Massenschund kaum ausfindig machen kann ...
und wie "löst" du das ganze jetzt? zu deiner letzten "Antwort": ist doch toll, dass alles integriert ist (vorallem im SOHO bereich), und das routing selber nur mehr ein "nebenjob" von dem z.b. dd-wrt ist... NAT hast übrigens vergessen (DAS ist eigentlich das, was die meisten unter "router" verstehen..)
ich hab mir das jetzt nochmal angeschaut.. meiner meinung kann das nicht funktionieren... man kann beim OpenVPN einem client eine FIXE IP zuweisen d.h. der EIB-Fernwartungs-Typ würde immer die selbe IP adresse bekommen dann noch diese IP mit IPTables nur den zugriff auf die IP des Panels zulassen... er kommt also nur auf das Panel oder der b&o typ nur auf die HiFi anlage... eigentlich ganz schön, nur: problem: das EIB-Pannel(oder HiFi anlage) kann/musss auf "alles" zugreifen können (z.b. auf den Server um dort videos abzurufen..) d.h. sobald der b&o auf die HiFi zugreifen kann, kann er auch auf den server zugreifen ... oder sehe ich das falsch?
ich habe das ganze mit einem Ipcop geloest (DMZ Openssh etc). Das ganze in ein Gehaeuse und fertig. http://www.ipcop-forum.de/galerie/unix.php
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.