mikrocontroller.net

Forum: Offtopic Port eines Switches nur in Richtung eines PC öffnen?


Autor: Danny P. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hi Zusammen !

Ich will morgen Netzwerkleitung im Rohbau verlegen und da keimt langsam
ein grosses Fragezeichen in mir auf:

Ich möchte ein Heimnetzwerk (PC, Notebook, DVD-Recorder, ext.HDD,
etc...) aufbauen und alles soll bei Bedarf per DSL ins Internet
gelangen können. Das ist wohl der Standartfall und wird so auch
funktionieren.

Nun möchte ich eine Netzwerkdose (also ein Anschluß des Switches)
zeitweise auch so konfigurieren können das von dort aus nur eine
Kommunikation mit meinem PC möglich ist (Beispiel: Kumpel kommt zum
Netzwerkzocken - er soll dann natürlich ne Verbindung mit meinem PC
zustande bekommen, hat aber nichts im übrigen Heimnetzwerk verloren).

Ist dies so möglich? Benötige ich einen speziellen Switch dafür?
Oder muss ich um sicher zu gehen eine vom Netzwerk getrennte Leitung zu
ner 2. Netzwerkkarte ziehen?


thx & greetz
Danny

Autor: A.K. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das geht beispielsweise mit einem Switch mit Support für VLANs. Damit
kannst du mehrere logisch getrennte Netze (virtual LAN = VLAN) in einem
physikalischen Netz betreiben. Die Dose deines PCs ist in beiden VLANs
konfiguriert, der Rest vom Heimnetz im einen und dein Freund im
anderen.

Ob allerdings unter den Billig-Switches welche sind, die VLANs können,
weiss ich nicht.

Autor: Danny P. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@A.K.: Danke für die Antwort...  kann man generell sagen (vorausgesetzt
man hat einen VLAN-fähigen Switch) dass es immer möglich ist bei diesem
einen Port doppelt zu "adressieren" ?

thx & greetz
Danny

Autor: A.K. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich kenne nicht alle Switches ;-). Aber jeden Port individuell auch in
mehrere VLANs konfigurieren zu können, gehört m.E. zur
Grundvoraussetzung. Ist zudem technisch nicht weiter schwierig.

Wenn dein Kumpel allerdings zur Gattung "Hacker" gehört, wird das
freilich interessanter. Denn in manchen Switches lassen sich
VLAN-Grenzen überwinden, wenn die MAC-Adresse des Zielsystems bekannt
ist. Dieser Schwachstelle kann man auch bei grossen Namen wie
Cabletron/Enterasys begegnen.

Autor: Danny P. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@A.K.: nochmals vielen Dank, denn kann ich nun meine Leitungen in die
Wand prügeln :D

zum thema hacken: oki, 100% sicher kann man nie sein... aber ich wär ja
eh in der nähe... es soll halt nur nicht auf den ersten blick alles
offen darliegen.


thx & greetz
Danny

Autor: Unbekannter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> nochmals vielen Dank, denn kann ich nun meine Leitungen
> in die Wand prügeln

Du willst die aber nicht ohne Leerrohre verlegen, oder etwa doch? Wenn
ja, gut gemeinter Rat: Gib das Geld für Leerrohre aus...

Ansonsten: Alle Netzwerkdosen sterförmig in einem Raum, z.B. irgendein
grumpliger Kellerraum, ziehen.

Später kommt dort dann der Switch rein. Für das Trennen zwischen den
beiden Netzwerksegmenten würde ich mich nicht auf so ein 14,50 Euro
Switch verlassen, sondern würde einen kleinen Router hinstellen, der
die Netze auf IP-Ebene trennt.

Dann ist alles exakt einstellbar.

Autor: Jan (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich weiß nicht, aber ich halte VLANs und so weiter wie oben beschrieben,
in diesem Fall für zu hoch gegriffen.

Jeder Router hat auch einige Funktionen zum Filtern von Paketen drin.
dem sagst du dann einfach, das (beispielsweise) dynamisch vergebene IPs
bzw. unbekannte Macs nur Zugriff auf deinen Rechner und das Internet
haben und sonst alles geblockt wird.
Gut, ist nicht ganz so sicher wie VLANs, aber man sollte sich fragen,
ob es im Heim-Netzwerk-Bereich nicht doch ausreicht.

Autor: A.K. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
"sondern würde einen kleinen Router hinstellen, der die Netze auf
IP-Ebene trennt."

Nur braucht der dann mindestens 3 Beine (PC, Heimnetzwerk+Internet,
Kumpel), Danny darf sich mit der Konfiguration von 3 IP-Netzen und
entsprechenden DHCPs herumärgern und muss das gute Stück auch noch zum
Port-Forwarding für P2P oder Internet-Gaming überreden. Und wenn das
ein Reste-PC ist, dann frisst der reichlich Strom weil wohl permanent
eingeschaltet. Wenn nicht, reichlich Geld.

Für diesen Job sind VLANs denn doch eine gute Grössenordnung einfacher.
Nur halt u.U. nicht ganz wasserdicht.

Autor: A.K. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@Jan: Wenn Kumpel, PC und DVD-Recorder alle im gleichen Netz sind,
kannst du an deinen DSL-Router rumkonfigurieren wie du willst, es nützt
nichts. Bei der Kommunikation zwischen Kumpel-PC und DVD-Recorder wird
der dann überhaupt nicht gefragt, die sieht der nicht einmal.

Tatsächlich ist Port-basiertes VLAN sehr viel einfacher als Routing.
Ich rede hier ja nicht von VLAN-Trunking wie es in der Wikipedia
beschrieben ist, sondern vom klassischen Switchport-basierten VLAN.

Autor: Rainer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@Danny P.


Wenn du deinem "Kumpel" nicht soweit vertrauen kannst das du diesen
Aufwand treiben mußt dann würde ich ihn erst garnich in die Bude
lassen.

Autor: Wolfram (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Zur Not kannst du ja immer noch überlegen, ob du ihn wieder rausläßt...

Autor: Danny P. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@all: danke für die rege Diskussion, ich werde es dann versuchen per
VLAN zu realisieren.

@Unbekannter: nein, die Leitungen kommen so in die Wand, aber wie du
schon beschrieben hast enden alle an einem zentralen Punkt an dem der
switch später hängt

@Rainer: das hat in meinen augen nix mit "soweit vertrauen" zu tun.

wenn ich besuch habe und man möchte files tauschen oder zocken o.ä.
soll das bequem per bereits verlegter Leitung geschehen. Weiterhin
möchte ich evt. von gleicher stelle mit dem notebook arbeiten (bevor
die tips kommen - ich halt nix von wireless LAN)

und mal ganz ehrlich: du stöpselst dich an ein netzwerk, siehst andere
rechner die alles freigegeben haben; das ist schon ne einladung.
vertrauen hin oder her... ein bild was kein anderer sehen soll ist
schnell geöffnet...


greetz
Danny

Autor: Unbekannter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Vertrauen hin oder her. Egal wie hoch das Vertrauen ist, auf der fremden
Kiste kann auch irgendein Wurm oder Virus sein.

Genau deswegen ein IP-Router. Dann ist Ruhe.

Autor: A.K. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Natürlich ist das sicherer. Aber zu welchem Preis/Aufwand?

Übrigens möchte ich mal den Virus und Wurm sehen, der diesen VLAN-Trick
beherrscht. Das fängt schon damit an, dass die MAC Adresse a priori
bekannt sein muss, erschnüffeln lässt sich die nicht.

Autor: Rainer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@Danny P.

-und mal ganz ehrlich: du stöpselst dich an ein netzwerk, siehst
andere
-rechner die alles freigegeben haben; das ist schon ne einladung.
-vertrauen hin oder her... ein bild was kein anderer sehen soll ist
-schnell geöffnet...

Das Problem habe ich nicht.
Seit NT (Is also auch für W2K,XP und folgende gültig) gibt es bei
Windows Accounts und damit Freigaben die Spezifisch sind.
(Andere Betriebssystem schon länger und/oder auch)
Wenn du mit deinem Rechner in mein Netz kommst dann wirst du eventuell
andere Rechner sehen aber das wars dann auch schon weil dein Account
keine Berechtigungen hat.
Du kannst dir also bei mir kein Schädlich holen oder abladen.

Zum Zocken brauchst du keine Dateifreigaben und Dateien die man
Tauschen möchte kann man auch über nem einfachen FTP erledigen.
Ein Verzeichnis mit Gastfreigabe ist auch machbar.
Ich vergebe einfach Berechtigungen wenn was zum Kopieren ansteht.
Das dauert nur einige Sekunden bzw. eben 2-3 Minuten wenn man keine
Übung hat.

Hast du denn einfach alles für jeden freigegeben ?

Das ist Risikoreich.

Autor: A.K. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Full ack. Ich bin auch so ein schräger Vogel, der zu Hause unter Windows
mit einem non-Admin User arbeitet. Allerdings stehe ich damit
erfahrungsgemäss auch unter IT Kollegen ziemlich allein da. Insofern
ist der Tip gut aber etwas surreal.

Aber ich denke dass wir uns mittlerweile meilenweit von der Dimension
von Dannys Frage ins prinzipielle wegbewegt haben.

Autor: Wolfram (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Aber ich denke dass wir uns mittlerweile meilenweit von der Dimension
>von Dannys Frage ins prinzipielle wegbewegt haben

Wieso, wer ein VLAN einrichtet aber selbst auf einem Rechner ständig
als Administrator arbeitet und alles freigibt, das ist so als würde ich
beim aus dem Haus gehen die 3 Schlösser an der Wohnungstür zuschliessen
und das Fenster sperrangelweit offenlassen.

Autor: A.K. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Weil selbst viele Leute, die um das Risiko wissen, aus Bequemlichkeit
nicht bereit sind, den eigenen Rechner entsprechend abzusichern.

Es ging ihm bei der Frage nicht so sehr darum, seinen PC abzusichern,
als vielmehr den Rest des Heimnetzes, muss der Kumpel ja wissen, was
man da alles an Filmchen draufhat. Und auf die Sicherheitsphilosophie
eines DVD-Rekorders hat man nur begrenzt Einfluss (und wenn doch, dann
schlägt man wieder die Bequemlichkeit zu).

VLANs retten ihm also nicht seinen PC, wohl aber den Rest vom Netz.

Autor: Danny P. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@Wolfram: da stimme ich A.K. 100%ig zu.

Nicht alle Geräte die am Netzwerk hängen sind konfigurierbar wie ein
Windows NT/XP Betriebssystem.
Und falls doch um so besser. Aber mit VLAN wäre ich zunächst mal auf
der sicheren Seite, vor allem weil ich ja heute noch nicht abschätzen
kann/will was in 3 Jahren tatsächlich mal am Netz bummelt.


greetz
Danny

Autor: guelcki (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ist das mit dem managbarem Switch nicht ein bißchen überdimensioniert?
Warum ziehst du alle Dosen nicht auf ein Patchfeld, um im Fall der
Fälle (Kumpel zu Besuch) umpatchen zu können, und nur eine Verbindung
von deinem PC zu dem deines Kumpels zu erstellen?

Oder bei einer "ganzen" Lanparty, kannst du ja auch einfach einen
kleinen billigen Switch nehmen, und nur die spielenden PCs an diesem
Switch direkt am Patchfeld anbinden.

Du kannst dann zwar währendessen nicht ins Internet, aber beides
gleichzeitig ist ja auch nicht unbedingt nötig.

Aber ich muss schon sagen, dass du meinen vollen Respekt hast, wenn du
wirklich in einem modernem Haus ohne Leerrohre arbeitest, und sogar
eine komplette Netzwerkverkabelung einputzen willst!

Bis dann
guelcki

Autor: Danny P. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@guelcki: Es ist evt. unmodern geworden... aber nenn mir doch bitte mal
Gründe Netzwerk zwingend in Rohren zu verlegen (ausser "kann
kaputtgehen" etc.).

Ich kann dir aber mal meine "Gegen"-Gründe nennen:

Altbau: Der Schlitz in der Wand für die entsprechend dimensionierten
Leerohre ist etwa 3 bis 4 mal so groß... und wofür?
Ich habe jedenfalls keine Lust mir die ganzen (alten) Wände zu
zerkloppen um nen 16er Rohr statt ner 4er Leitung zu legen.

Bei mehr als 2 Ecken bekommst du eh keine Leitung mehr durchgezogen, es
sei denn du hast Biegeradien die im Altbau nicht realisierbar sind.

und kaputt geht da nischt... oder wie oft hast du schon deine
Telefonleitung erneuert?


Ich habe pro Raum eine Stelle vorgesehen in der ein Leerrohr gerade
hoch in die Abseite (Kniestock des DG) läuft. Nachziehen von
irgendwelchem modernen Schnickschnack ist also noch möglich.


Meinungen???


greetz
Danny

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail, Yahoo oder Facebook? Keine Anmeldung erforderlich!
Mit Google-Account einloggen | Mit Yahoo-Account einloggen | Mit Facebook-Account einloggen
Noch kein Account? Hier anmelden.