Hallo, ich habe eine 15jährige Tochter, die leider alles mögliche mit ihrem Laptop anstellt. Ich bin mir nie sicher, ob bei ihren Spielereien nicht doch Schadsoftware auf ihrem Notebook gelandet ist. Der Versuch ihr die Adminrechte zu entziehen, ist leider nach kurzer Zeit gescheitert. Wer eine Tochter in diesem Alter hat, weiß wovon ich rede ;) Ich möchte nun mein Netzwerk vor dem Zugriff von ihrem Laptop schützen. Das Bild zeigt eine Konfiguration, wie ich es mir im Moment vorstelle. Ich suche nun einen Router, Firewall oder etwas besser geeignetes. Könnt ihr mir ein Produkt mit GigBit-Ports empfehlen? Vielen Dank
Angehängte Dateien:
-
Firewall.png
51 KB
Keine Ahnung ob deine Fritzbox das kann, aber wie wäre es mit der Funktion "Gäste-WLan"?
Danke für Deine Antwort. Das Gäste WLAN eignet sich leider nicht, weil es nur eine einstellbare Laufzeit hat und auch nicht vom Haus-Netzwerk getrennt ist.
Suche mal nach DMZ "Demilitarized Zone", das können die meisten Router. Der Rechner ist sann aber viel leichter angreifbar, und sollte nicht in den anderen Bereich versehentlich eingesteckt werden.
Uff schrieb: > und auch nicht vom Haus-Netzwerk > getrennt ist. Das Gäste WLAN hat nur zugriff auf Inet, wenn du den Haken bei "deaktivieren nach" rausnimmst bleibt es auch dauerhaft aktiv... Uff schrieb: > Die DMZ scheint genau das zu sein, was ich suche Glaube ich nicht, es sei den du willst in Zukunft über den Laptop deiner Tochter mit dem Internet kommunizieren...
Läubi .. schrieb: > Glaube ich nicht, es sei den du willst in Zukunft über den Laptop deiner > Tochter mit dem Internet kommunizieren... Nein, eine DMZ ist ein vom übrigen LAN abgetrenntes Segment, das vom Netz aus zugreifbar ist. Server bringt man dort unter. Der Begriff ist allerdings sehr unsinnig gewählt. http://de.wikipedia.org/wiki/Demilitarized_Zone
Ggf einen Openwrt fähigen router organisieren und diesen entsprechend konfigurieren?? Ich kenne das Problem ;-) Mein Opa hat aber zum Glück einen eigenen Internetzugang für seine Sachen
Uhu Uhuhu schrieb: > Nein, eine DMZ ist ein vom übrigen LAN abgetrenntes Segment, > das vom Netz aus zugreifbar ist. Server bringt man dort unter Ja.. z.B. mail-server oder den Proxy mit dem man "nach draußen" kommuniziert, aber nichts von alle dem ist "der Laptop der Tochter", das macht einfach keinen Sinn. Werder soll alle Welt auf den Laptop der Tocher zugreifen, noch bietet dieser irgendwelche Dienste für die "Sichere Zone" an. Für diesen Fall reicht es einfach die Funktion der FB zu nutzen welche es einzelnen Rechner nur gestattet über NAT zu kommunizieren vorbei am "Rest" des Netzes...
Läubi .. schrieb: > Ja.. z.B. mail-server oder den Proxy mit dem man "nach draußen" > kommuniziert, aber nichts von alle dem ist "der Laptop der Tochter", das > macht einfach keinen Sinn. Ob das Sinn macht, hängt davon ab, wie die ganze Geschichte konfiguriert ist. Man kann dort auch einen beliebigen PC anschließen - Verbindungen nach außen aufbauen kann er während das LAN nur eingeschränkt, oder gar nicht zugänglich ist. Wer das Prinzip "warum einfach, wenns auch kompliziert geht" liebt, der kann das durchaus per DMZ lösen. Für die Anderen bietet sich in der Tat der Gastzugang des Routers an, wenn es einen gibt ;-)
In der Tat. Hatte ich übersehen. Man kann das deaktivieren des Gastzuganges deaktivieren. Nun muss ich nochmal schauen, ob der Gastzugang wirklich keinen Zugriff auf den Rest des Netzes hat. Vielen Dank für die ganzen Hinweise.
Uhu Uhuhu schrieb: > Wer das Prinzip "warum einfach, wenns auch kompliziert geht" liebt, der > kann das durchaus per DMZ lösen. Für die Anderen bietet sich in der Tat > der Gastzugang des Routers an, wenn es einen gibt ;-) Hmm, leider wirds wohl doch kompliziert. Ich habe den Drucker übersehen, der weiterhin zugänglich sein muss. Wikipedia hatte einen Link auf Heise: http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html Nach diesem Muster werde ich das ganze nun aufbauen. Habe zum Glück noch einen "alten" Router hier liegen.
...statt Fritzbox, Router und Access-Point lieber einen "gescheiten" WLAN-Router nutzen, auf dem DD-WRT läuft. Damit lässt sich alles in einem Gerät realisieren. Die gewünschte Trennung der Geräte erfolgt über VLANs. Innerhalb der VLANs werden den Netzwerksegmenten unterschiedliche IP-Bereiche zugewiesen. "Wer" jetzt mit "wem" "was" darf, wird dann im Firewall-Script (iptables) definiert. Das hat den Vorteil, dass man nach belieben jederzeit mal wieder umkonfigurieren kann... und das Geräte, wie z.B. ein Drucker auch von unterschiedlichen Geräten genutzt werden kann, die sich untereinander aber wiederum nicht "sehen" dürfen....
> Das hat den Vorteil, dass man nach belieben jederzeit mal wieder > umkonfigurieren kann... und das Geräte, wie z.B. ein Drucker auch von > unterschiedlichen Geräten genutzt werden kann, die sich untereinander > aber wiederum nicht "sehen" dürfen.... Das geht doch in DD-WRT auch ohne Umkonfiguration über IP-Freigaben ...
Wenn der Router es kann ("richtige" Router können das): Die Tochter in
ein eigenes Subnetz "abschieben", ohne Routing zum eigentlichen Hausnetz
...
Frank schrieb: > in eigenes Subnetz "abschieben", wäre eine Idee, nützt aber kaum gegen Virenbefall, verseuchte USB-Sticks oder fehlendes Backup. Die Arbeit hat Papi hinterher trotzdem. Ein paar freundliche, erklärende Worte von Papa sind manchmal auch ganz hilfreich.
Uhu Uhuhu schrieb: > Der Begriff ist > allerdings sehr unsinnig gewählt. Da muss man die militärische Logik verstehen: DMZ ist das Niemandsland zwischen den befestigten Frontlinien - da wagt man sich nur bis an die Zähne bewaffnet hin. Also Server für die DMZ müssen von sich aus maximal geschützt sein, und ihren Verlust muss man einkalkulieren. Gruss Reinhard
Reinhard Kern schrieb: > Da muss man die militärische Logik verstehen: DMZ ist das Niemandsland > zwischen den befestigten Frontlinien - da wagt man sich nur bis an die > Zähne bewaffnet hin. Das ist falsch. Eine DMZ ist kein Niemandsland zwischen den Fronten, sondern ein Gebiet, "in dem kein Militär stationiert oder bewegt werden darf und das damit nur der zivilen Nutzung offensteht." http://de.wikipedia.org/wiki/Entmilitarisierte_Zone Die Wahl des Begriffes DMZ ist maximal unglücklich gewählt und steht mit "militärischer Logik" völlig quer - Quarantänestation wäre besser.
oszi40 schrieb: > Ein paar freundliche, > erklärende Worte von Papa sind manchmal auch ganz hilfreich. Du hast keine 15-jährige Tochter ? Viel Spaß beim erklären...
Jens PICler schrieb: > Du hast keine 15-jährige Tochter ? Ersatzweise tuts auch eine rollige Katze ;-)
Jens PICler schrieb: > Du hast keine 15-jährige Tochter ? > Viel Spaß beim erklären... Lernen durch Schmerz ist dann Phase 2. Wenn der 1.Virus die Hausaufgaben oder das Posi gelöscht hat, wird sie klüger sein. Mach BALD ein Backup vom System und ein getrenntes von den Daten und lass sie wursteln. Dann spiel nur das System zurück und lass ihre Daten weg. Du wirst begeister sein, was für große Augen Deine Tochter machen kann.
Wie wärs mit einem eigenen Subnetz für den Nachwuchs und 2 statischen Routen: Eine fürs Internet (Laptop->Router) und eine für den Drucker (Laptop->Drucker). Mit einem z.B. Netgear Router könnte das klappen. Oder man fährt den Drucker, sofern möglich über ein anderes Protokoll, z.B. Appletalk oder HP-Direct - an allen TCP/IP Protokollen vorbei. Wobei - HP-Direct ist glaube ich, TCP basiert, macht mich schlau. Uhu Uhuhu schrieb: > Die Wahl des Begriffes DMZ ist maximal unglücklich gewählt und steht mit > "militärischer Logik" völlig quer - Quarantänestation wäre besser. Oder noch besser - Schlachtfeld :-P Das Dings in der DMZ steht ja allen Angriffen von allen Seiten hilflos gegenüber. Hat Töchterchen denn keinen Virenschutz auf der Kiste? Falls es sich um ein Betriebssystem aus Redmond handelt, wäre MSE vllt. eine gute Wahl.
Matthias Sch. schrieb: > Oder noch besser - Schlachtfeld :-P Das Dings in der DMZ steht ja allen > Angriffen von allen Seiten hilflos gegenüber. Nicht unbedingt - mindestens eine Firewall steht i.d.R. davor. Die Idee ist, den Server-Verkehr vom LAN fernzuhalten, denn je mehr los ist, um so höher ist die Wahrscheinlichkeit, daß da auch ein Bösewicht dabei ist, der Schwachstellen sucht.
Uhu Uhuhu schrieb: > Die Wahl des Begriffes DMZ ist maximal unglücklich gewählt und steht mit > "militärischer Logik" völlig quer - Quarantänestation wäre besser. Naja, "Quarantäne"-Station passt aber für die DMZ aber auch nicht... denn aus der Quarantäne soll ja niemand raus kommen ... Zum eigentlichen Problem ... Notebook in einem eigenen Subnetz, über NAT ins Internet und eine Route zum Drucker setzen, den restlichen Verkehr einfach blocken...
Uff schrieb: > Ich suche nun > einen Router, Firewall oder etwas besser geeignetes. Könnt ihr mir ein > Produkt mit GigBit-Ports empfehlen? Routersoftware: www.fli4l.de Hardware: GiBit ist für den Router, wenn er nicht auch Switch sein soll - eh vermutlich nicht nötig. Alsp irgend ein LowCost - Low Power Embedded Board (alix) oder ein alter PC, der auf Stromsparen eingerichtet ist. Di Konfiguration ist zwar Handarbeit und ein bischen tüffteln ist am Anfang sicher nötig, aber extrem mächtig um Dein Problem zulösen. Es gibt ein paar recht gute Usenet-foren, die gerne und gut weiterhelfen. hier hab ich das mit irgend einem Geode-System (mit 3 LAN-Interfaces) aufgebaut, 1x LAN an den ADSL-Modem, 1x LAN ins private Netz und 1x LAN ins öffentliche (Gäste, WLAN etc) funktioniert seit vielen Jahren vollkommen problemlos und wächst mit den Erfordernissen mit. Grüße MiWi
oszi40 schrieb: > Lernen durch Schmerz ist dann Phase 2. Wenn der 1.Virus die Hausaufgaben > oder das Posi gelöscht hat, wird sie klüger sein. ...und die Mutter betritt das Schlachtfeld. Typischerweise dann, wenn man es nicht braucht. Ist zumindest bei mir so. Ein zweiter Router, mit anderem Subnetz läuft nun. Mal schauen, ob sichs bewährt. Vielen Dank für Eure Hinweise.
Uff schrieb: > oszi40 schrieb: >> Lernen durch Schmerz ist dann Phase 2. Wenn der 1.Virus die Hausaufgaben >> oder das Posi gelöscht hat, wird sie klüger sein. > > ...und die Mutter betritt das Schlachtfeld. Typischerweise dann, wenn > man es nicht braucht. Ist zumindest bei mir so. Ein zweiter Router, mit Wenn man denn so besch..... dran ist, hilft nur noch dummstellen. "Hab ich keine Ahnung von, geh zum Haendler an die Ecke und lass Dir das reparieren." fonsana
Also ich habe es so gelöst unser Router hat ein IP filter genau wie MAC Filter nach dem du das eingestehst hast gibt es sicher auch bei deiner FB PORTs da alle zumachen die du nicht brauchst und verbots worte vergeben wie ZB xxx und alle seiten wo XXX steht lassen sich nicht mehr laden. IP und MAC filter das sie nicht auf die idee kommen kann eine andere IP zu verwenden und den Schutz zu umgehen. Und ein Viren Programm mit Firewall macht den rest. Falls es noch wichtig ist.
Auf die Fritzbox Freetz drauf mit mit den Paketen cpmaccfg und bridge-utils. Mit cpmaccfg die Netzwerkports im split-Modus konfigureren, dann hat jeder Netzwerkanschluss ein einzelnes Interface. Dann nur noch mit bridge-utils die Interfaces passend nach Wunsch brücken!
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.