Sicherheitsworkshop: Internetzugang für Dritte

Hi Forum!

Ich möchte einer dritten Person den Zugang zu meinem WLAN-Netzwerk ermöglichen. Mein PC (Win XP Home) ist per WLAN-Kabel an die FritzBox 7170 angeschlossen. Der Dritte soll sich per WLAN verbinden.

Meine Frage lautet nun:
Welche Sicherheitsmaßnahmen sollte ich treffen, damit der Dritte nicht an meine Daten kommt, Einstellungen verändert, etc...

Als Maßnahmen sind mir diese zwei Punkte eingefallen:
1. Kennwort für die Fritzbox setzen
2. Meinen PC aus der Workgroup nehmen

Kennne mich jetzt nich sooo super damit aus. Trotzdem wär das super wichtig für mich!
Wer hat noch Tipps für die Sicherheit? Alle Tipps herzlich willkommen (auch wenn Sie banal scheinen)!
DANKE
Gruß mineralbean

 

Hättest du eine Fritzbox 7270, könntest du einen Gastzugang einrichten. Dann befindet sich dein Nachbar in einem eigenen Netz, das von deinem Heimnetzwerk getrennt ist. In der Fritzbox 7170, kannst du die Option "WLAN-Geräte dürfen untereinander kommunizieren" deaktivieren.

 

ok prima danke! Werde ich auf jeden Fall einstellen!
An was muss ich noch denken?

 

UPnP-Funktion würde ich noch deaktivieren.

 

gut dann fasse ich mal zusammen:

1. PC aus der Arbeitsgruppe nehmen
2. Kennwort für die Fritzbox Benutzeroberfläche setzen
3. WLAN-Geräte dürfen untereinander kommunizieren deaktivieren
4. UPnP-Funktion deaktivieren.

Ist das wirklich schon alles was ich machen kann? Ich möchte weder, dass er Zugriff auf meinen PC noch auf die Einstellungen der Fritzbox hat!
Gruß mineralbean

 

Windows Firewalls aktivieren und Freigaben entfernen.
Dann kannst du die PCs noch mit nessus scannen, ob es eine Zugriffsmöglichkeit gibt.
Wenn du sicher gehen willst, schließt du einen WLAN-AP an der Fritzbox an und betreibst ihn in einem eigenen Netz. In der Fritzbox dann dessen IP als statische Route eintragen, damit er auch Internet kriegt.

 

Das hat überhaupt keinen Einfluss auf irgendwelche Sicherheit. Die Arbeitsgruppe dient nur der leichteren Zuordnung, für den Zugriff auf einen Netzwerkrechner spielt sie keine Rolle.

Das ist ja wohl eine grundsätzliche Notwendigkeit und unabhängig von der Nutzung des Netzwerkes durch einen Dritten.

Das wirkt sich dann natürlich auch auf deine eigene WLAN-Nutzung aus, denn wenn du selber mehrere WLAN-Geräte verwenden willst, blockierst du deren Kommunikation auch. Auf den Zugriff von per Kabel an die Fritzbox angeschlossenen hat die WLAN-Sperre keinen Einfluss.


Viel wichtiger in einem gemeinsam genutzten Netzwerk sind die Freigaben und die NTFS-Zugriffsrechte. Hinzu kommt natürlich auch ein entsprechendes gegenseitiges Vertrauen.

 

Das "original" Nessus ist ja jetzt kostenpflichtig.
Das BSI hat aber eine gute Alternative, das auf Nessus aufbaut:
https://www.bsi.bund.de/cln_165/ContentBSI/Themen/ProdukteTools/BOSS/BSIOSS.html

 

Die NTFS-Zugriffsrechte sind aber doch nur relevant wenn der Dritte an meinem PC sitzt oder wenn ich Freigaben erstellt habe, oder?

Allgemeine Frage: Würde der Gastzugang der 7270 denn wirklich all die angesprochenen Probleme lösen?

 

http://www.avm.de/de/Service/Servic...gastzugang.php?portal=FRITZ!Box_Fon_WLAN_7270

Dein Heimnetzwerk ist vom Gastzugang getrennt. Ein Problem bleibt aber, dass der Gast deinen Internetanschluss missbrauchen kann.

 

Das zeigt, dass du gar nicht weißt, um was es dabei geht.
Wenn du an deinem Rechner sitzt, hast du als Administrator die Möglichkeit, NTFS-Rechte zu ändern. Im Netzwerk hat nur der Zugriffsrechte, keine NTFS-Änderungsrechte, dem sie erteilt wurden. Wenn ich in meinem eigenen Netzwerk mit mehreren Netzwerkgeräten arbeiten will, wofür eigentlich ein Netzwerk da ist, brauche ich auch Freigaben. Neben den selbst erstellten gibt es da aber standardmäßig noch die Administrator-Freigaben, die gerade bei XP-Home recht leicht ausgehebelt werden können, wenn man nichts dagegen unternimmt.

 

hmmh ich bin jetzt wirklich am überlegen:
1. Alternative 1: 120 Euro (für die Fritzbox 3270, die auch Gastzugang unterstützt) ausgeben
2. Alternative 2: all die bisher hier im Artikel besprochenen Maßnahmen ergreifen.

Komme ich wenn ich wenn die 2. Alternative wähle auf ein vergleichbares Sicherheitsniveau oder wird das immer schlechter sein als ein getrenntes Netzwerk für den Gast zu haben?

 

Wenn der Gast im gleichen Netz ist, sieht er auch die anderen PCs und kann dann eine Schachstelle suchen. In einem eigenen Netz ist das Heimnetzwerk und die darin befindlichen PCs für ihn aber nicht sichtbar.

 

Das hört sich (ich hab leider wirklich keine Ahnung) so an als wenn du die Situation beschreibst, dass die beiden PCs in derselben Arbeitsgruppe sind und wenn Freigaben erstellt wurden.
Wenn aber ein Dritter mit seinem eigenen PC und seiner eigenen WLAN-Karte nur über meinen Router im INternet surfen will, dann stellt sich das Problem doch gar nicht oder?

 

Doch, es stehen alle Sicherheitsfragen, wenn du nicht möchtest, das jemand auf die Daten deines Rechners zugreifen kann oder diesen sogar manipulieren kann.
Als erstes stellt sich doch die Frage, ob und wie du dieser dritten Person gegenüber verpflichtet bist, einen Internetzugang zur Verfügung zu stellen.
Als zweites steht die Frage, wie du selber dein Netzwerk nutzt.
Zu beiden Sachen hast du keinerlei Aussagen gemacht, obwohl bereits angesprochen.

Und dann solltest du mal die bereits gemachten Ausführungen lesen:
- Die Arbeitsgruppe ist lediglich eine optische Sache und hat mit der Sicherheit nichts zu tun.
- Wenn du deinen Internetzugang zur Verfügung stellst, bist du trotzdem für die Nutzung verantwortlich.
- Ein Router mit Gastzugang stellt zwei interne Netzwerke zur Verfügung, die vollkommen gegeneinander blockiert sind. Das lässt sich auch aus den entsprechenden Handbüchern lesen, die man sich ja problemlos und kostenlos besorgen kann. Zudem hat der Gastzugang keinen Zugriff auf die Routereinstellungen.
- Du musst dir im klaren sein, dass ein Internetnutzer neben surfen und EMails-lesen irgendwann auch mal andere Dienste, wie Spielen oder Chatten, Telefonieren möchte. Dann benötigt er Portfreigaben, die einen Router "löchrig" machen.

 

Warum nicht diese Methode?
Ist verhältnismäßig sicher, da eigenständiges Wlan -unabhängig von deinem Netz.
Nachfolgend ein günstiges Beispielgerät:
http://www.idealo.de/preisvergleich...s-lite-n-access-point-tl-wa701nd-tp-link.html

Gruß kingjon

 

Diese Frage stellt sich eher gar nicht, denn:

 

Wenn die Fritzbox "echtes DMZ" könnte, könnte man das nutzen, da der Rest des Heimnetzwerks von dem getrennt ist, aber die Fritzbox bietet nur einen Exposed Host an. http://de.wikipedia.org/wiki/Demilitarized_Zone

 

Da Du dem "Dritten" offensichtlich nicht vertrauen kannst, daß ersiees Deine Einstellungen in Ruhe läßt, würde ich das Thema lieber komplett abhaken.
Denn sonst sitzt Du schnell mal auf ein paar 100, wenn nicht gar 1000€ an Abmahnkosten, weil derjenige die falschen Dinge runterlädt.
Wenigstens 1000€ Kaution würde ich da schon vorher einkassieren...

 

also nicht vertrauen wäre ein bisschen viel, aber mann macht sich schon so seine gedanken - vorallem wenn man weiss, dass derjenige mehr Ahnung von pcs hat als man selbst...Und der mysteriöse Dritte kann z. B. ein Untermieter sein.

Also fasse ich nochmal zusammen:
Die Variante mit dem AP an der Fritzbox ist die sicherste Methode, noch besser sogar als der Gastzugang mit der Fritzbox?
(Ja mittlerweile ist mir auch klar, dass zwei getrennte DSL Anschlüsse noch besser wären)

@deoroller: Kann ein AP z. B. der von kingjon verlinkte "echtes DMZ"?