Sicherheitsworkshop: Internetzugang für Dritte

Ein Accesspoint befindet sich üblicherweise im Adressbereich des von der Fritzbox verwalteten Netzes. Damit ist jeder daran angemeldete PC auch Bestandteil des Netzwerkes und hat Zugriff auf alle Netzwerkkomponenten.
Das ist also keine Option.
Die Funktion der statischen Routen in der Fritzbox ist mir nicht so richtig klar, da ich selber keine Fritzbox habe und dies wohl eine besondere Funktion der Fritzboxen ist.

Obwol bereits mehrfach angesprochen, hast du noch nicht darauf reagiert, was du selber für Netzwerkkomponenten betreibst, was du selber eventuell vorhast. Du musst auch berücksichtigen, dass du eventuell mal mit die Absicht hast, mit einem anderen Computer Daten auszutauschen.

 

...und genau das ist der Ansatzpunkt. Ich würde einfach einen entsprechenden Router mit "physikalischen" DMZ-Port nehmen und einen separaten AP dran hängen. Dazu sollte der Router entsprechende Logs erstellen können. Der Spaß kostet aber ein paar Euro. Alles andere ist Bastelkram mit dem man schnell auf die Nase fällt. Nach dem Verlauf des Threads, kann ich nur @magiceye04 zustimmen und @mineralbean sollte das Projekt besser zu den Akten legen.

 

>vorallem wenn man weiss, dass derjenige mehr Ahnung von pcs hat als man selbst..

Den willst du dann unter Kontrolle halten

 

...mir ist kein AP (den man im Laden kaufen kann) bekannt, der mehrere Netze trennen könnte. Es gibt welche, die mit mehreren VLANs umgehen können, aber das muss die restliche Netzwerktechnik auch erst mal. In sofern: als in-a-box Lösung hast du da keine Chance.

 

Das kann man der Fritzbox noch mit Freetz beibringen. Allerdings funktioniert es nicht mehr mit neueren Freetz-Versionen und der aktuellen Firmware. http://www.pcwelt.de/forum/members/...wlan-lan-eigenen-netzen-betrieben-k-nnen.html
Bis ich das so hin bekommen habe, habe ich gut 20 Firmwares erstellen müssen.

 

@kingjon: Danke für den günstigen Link, ich denke ich werde aber dieses Modell hier nehmen: http://www.amazon.de/TP-Link-54Mbps...J17I/ref=sr_1_2?ie=UTF8&qid=1294754390&sr=1-2
Es hat zwar nur 54Mbps aber dafür eine erhöhte Reichweite, bei mir muss das Signal durch mehrere Wände ich denke das wär dann angebracht.
Ansonsten kann das Ding aber auch alles wie das von Dir verlinkte, oder? Konnte keine Abweichungen feststellen.

 

...eine Fritzbox hat mehrere Netzwerkkarten für die einzelnen LAN-Ports? Ich melde da mal vorsichtig Zweifel an. Mit der genannten Firmware rüstest du einen portbezogenen VLAN-Support nach. Was der aber letztlich taugt, mag ich nicht beurteilen und würde auch dem TO - mangels Netzwerkerfahrung - nicht zu einer solchen Bastelei raten.

 

Gut ich versuche jetzt bestmöglich darauf zu antworten:
- Mein PC ist per WLAN-Kabel an der Fritzbox. Ausser Surfen mach ich nicht viel. Vorallem ist das der einzige PC im Haus und wird es auch bleiben.
- Jetzt kommt der Untermieter ins Spiel. Er soll Zugriff über mein Router aufs Internet haben. Auch er will nur surfen. Wir haben nicht vor Daten auszutauschen.
Waren das die Infos, die Du wolltest?

---
Jetzt hab ich den Thread mit Spannung gelesen und habe gemerkt, dass das Thema nicht so einfach ist wie ich gedacht habe.
Wenn ich davon ausgehe, dass mein Untermieter zwar sich mit PCs auskennt aber kein Programmierer etc ist - nehmen wir also einen Durchschnitts-User an - was schlagt ihr mir vor, um den Zugriff auf meine Daten zu verhindern, und um ein gewisses Maß an Sicherheit zu haben, in dem Wissen, dass da noch einige Sicherheitslücken sind, die man mit viel Aufwand finden könnte. Also die Lösung mit minimalem Aufwand zu akzeptabler Sicherheit (praktikable Lösung) wäre was?

Ich möchte ja nur nicht jedem Möchtegern-Hacker Zugriff bieten und löchrig wie ein Schweizer Käse sein. Das ist wie mit einem Virenscanner oder einer Firewall: Sie bieten einen gewissen Schutz, jeder der es aber drauf anlegt kommt durch. Was könnte also mein "Virenscanner" sein? Ein AP? Ein Gastzugang? etc?

 

...der gelegentlich mal eine Zeitung wie die PC-Welt liest und mit den dort beworbenen Hackertools aus lange Weile ein wenig rumspielt. Dazu kommen früher oder später "Portprobleme", wenn der Untermieter Chatprogramme, P2P, Spiele oder andere Dinge im Netz nutzen möchte.

 

@kalweit: Was würdest Du an meiner Stelle unternehmen? (Außer natürlich "es sein zu lassen")

 

Sicherer als ein zusätzlicher AP ist der Gastzugang beim Router, da der funktioniert. Bei einem AP, auch noch von einem anderen Hersteller, ist es gar nicht sicher, dass es auf Anhieb funktioniert und es kann dauern, bis du es zum funktionieren gebracht hast. Es kann auch sein, dass es gar nicht so funktioniert, wie du es dir vorstellst.
Am sichersten für dich wäre es, wenn der Untermieter einen eigenen Internetzugang hat. Das kann auch ein Surfstick sein.

 

Ok prima, danke Dir, deoroller, das ist doch mal eine Aussage, mit der man arbeiten kann. Das mit dem Surfstick wäre auch zu überlegen...

Habe gerade noch im AVM Labor gesehen, dass die 7170 doch noch nicht EOM ist und es sogar noch eine neue Firmware geben wird. Werde mir, wenn ich in der Wohnung bin, mal die Labor-Firmware runterladen und gucken, ob für die 7170 - wider erwarten - der Gastzugang implementiert wurde...Daumen drücken. Denn dann könnte ich mir den Kauf einer neuen Fritzbox ersparen.

 

...steht bereits in meinem ersten Beitrag in diesem Thread. Empfehlen kann ich z.B. den FVX538 von Netgear. Den kann man dann auch mit einem billigen 20-Euro AP kombinieren.

 

Die neue (Labor)Firmware kannst du dir sparen. Die Fritzbox 7170 hat nur 8MB Flashspeicher und der ist bereits mit der aktuellen Firmware gerammelt voll.
IPv6 und Gastzugang wird es nicht von AVM für die Fritzbox 7170 geben.

 

schade - Naja dann werd ich mal nach einer gebrauchten 3270 auf Ebay ausschau halten...

@Hnas2: Was würdest Du abschließend empfehlen, außer einen zweiten Internetzugang?

 

Dann versuche eine ohne Provider-Branding zu bekommen, ansonsten musst du sie dir noch zurecht friemeln!
Ist aber auch nicht so schwer, da gibt es genügend Anleitungen und Firmware......

Gruß kingjon

 

Ich rate eher dazu eine V3 zu kaufen.
http://www.router-faq.de/index.php?id=fbinfo&hwf=fbwlan3270v3

 

Wie wäre es denn erst mal mit einem MAC-Adressfilter, so daß er auch wirklich nur mit seinem PC reinkommt und den Zugang nicht weitergeben kann. Außerdem würde ich die Ports dicht machen wg. Tauschbörsen.
PW für Webinterface des Routers und Fernwartung off etc ist selbstverständlich.

 

...das darfst du getrost in den Skat drücken, schon seit Jahren gelten MAC Filter im AP als nicht mehr wirksam.

 

Dann am besten den Zugang auf seinem Rechner selbst einrichten und mit Password(Netzwerkschlüssel) schützen!
Danach den Router selbstverständlich wieder in den Unsichtbar-Modus setzen.
Bedenke aber das illegale Downloads nicht nur über Tauschbörsen laufen!
Die ganze Sache ist eine Vertrauensfrage......

Gruß kingjon