17
Sicherheit für LAN in Studenten WG
Hallo,
meine Tochter ist in eine WG eingezogen, in der der Vermieter ein offenes LAN zur Verfügung stellt.
So wie es scheint ist das ein DSL-Anschluss mit Switch für ca. 16 Zimmer. Ein kurzer IP-Scan zeigt, dass alle Rechner, Handys und div. WLAN-APs im gleichen Subnetz sind.
Ich kann keinen Einfluss auf DSL-Router oder Switch nehmen.
Wie kann man den eigenen Zugang für Rechner/ Handy/ Tablet absichern?
Danke vorab.
meine Tochter ist in eine WG eingezogen, in der der Vermieter ein offenes LAN zur Verfügung stellt.
So wie es scheint ist das ein DSL-Anschluss mit Switch für ca. 16 Zimmer. Ein kurzer IP-Scan zeigt, dass alle Rechner, Handys und div. WLAN-APs im gleichen Subnetz sind.
Ich kann keinen Einfluss auf DSL-Router oder Switch nehmen.
Wie kann man den eigenen Zugang für Rechner/ Handy/ Tablet absichern?
Danke vorab.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 618014
Url: https://administrator.de/contentid/618014
Printed on: April 26, 2024 at 23:04 o'clock
17 Comments
Latest comment
Moinsen,
aus Sicht eines Hobby Anwenders würde ich einfach einen Router zwischen schalten mit NAT.
Deine Tochter hätte dann afaik einen eigenen Netzwerkbereich, kein Zugriff vom wg lan möglich aber andersherum durchaus.
Google dazu mal Stichwort routerkaskade...
Gibt sicherlichauch professionellere Lösungen, aber so auf die schnelle ohne viel gefriemel...
Grüssle
Th30ther
aus Sicht eines Hobby Anwenders würde ich einfach einen Router zwischen schalten mit NAT.
Deine Tochter hätte dann afaik einen eigenen Netzwerkbereich, kein Zugriff vom wg lan möglich aber andersherum durchaus.
Google dazu mal Stichwort routerkaskade...
Gibt sicherlichauch professionellere Lösungen, aber so auf die schnelle ohne viel gefriemel...
Grüssle
Th30ther
.
Moin,
Einfach einen eigenen Router mit Firewall-Funktion an den LAN-Anschluss klemmen und alle eigenen Geräte an diesen Router dran.
Im Router dann nicht vergessen NAT oder Firewall einzuschalten.
lks
Moin,
Einfach einen eigenen Router mit Firewall-Funktion an den LAN-Anschluss klemmen und alle eigenen Geräte an diesen Router dran.
Im Router dann nicht vergessen NAT oder Firewall einzuschalten.
lks
Der Gedanke ein alte FB zu nehmen kam mir auch schon. Wenn ich die FB auf "vorhandener Zugang über LAN" stelle und den IP-Bereich anpassen müsste es gehen.
Zitat von @Alhaman:
Der Gedanke ein alte FB zu nehmen kam mir auch schon. Wenn ich die FB auf "vorhandener Zugang über LAN" stelle und den IP-Bereich anpassen müsste es gehen.
Der Gedanke ein alte FB zu nehmen kam mir auch schon. Wenn ich die FB auf "vorhandener Zugang über LAN" stelle und den IP-Bereich anpassen müsste es gehen.
Jupp, würde funktionieren.
NAT ist kein Sicherheitsfeature.
Zitat von @142583:> NAT ist kein Sicherheitsfeature.
Schön, dass du das sagst - es bringt mich aber nicht weiter. Hast du auch einen Vorschlag zur Lösung?
Ohne zu wissen, vor was du dich schützen willst und wie die echten Schwachstellen sind, würde ich an SPI denken.
ICH persönlich, setze aber auf wenig Angriffsfläche. Im Allgemeinen.
ICH persönlich, setze aber auf wenig Angriffsfläche. Im Allgemeinen.
Bei so einem Anschluss kann man sich eigentlich nur mit einem Router inkl. Nat & Firewall schützen. Zusätzlich macht eine VPN direkt im Router durchaus sinn, da man nicht wirklich weiß was dort im Netzwerk abgeht.
Dabei beachten das auch der Router selber z.B. DNS u.ä. über die VPN Tunnelt. Nur initial zum Verbinden einmal mit einem lokalen oder Quad9 redet.
Dabei beachten das auch der Router selber z.B. DNS u.ä. über die VPN Tunnelt. Nur initial zum Verbinden einmal mit einem lokalen oder Quad9 redet.
Zitat von @142583:
NAT ist kein Sicherheitsfeature.
NAT ist kein Sicherheitsfeature.
Das reicht für diesen Fall, d.h. Aussperren" der anderen WG-Mitglieder aus dem.eigenen Netz, aber i.d.R. volĺkommen aus
Was anderes wäre, wenn man gemeinsam Rosurcen wie z.B. ein NAS nutzen wollte.
lks
Selbst eine NAS funktioniert mit NAT. Es liegt nur dran auf welches Seite sie steht bzw. nicht einmal das ggf. die FW ist richtig konfiguriert.
Zitat von @142583:
ICH persönlich, setze aber auf wenig Angriffsfläche. Im Allgemeinen.
ICH persönlich, setze aber auf wenig Angriffsfläche. Im Allgemeinen.
Ein NAT-Ruter, der nichts von Außen reinläßt, sondern nur von innen heraus aufgebaute Verbindungen zuläßt, hat kein Angriffsfläche. Nur wenn man den Traffic von innen heraus reglementieren will, braucht man mehr.
lks
Zitat von @Lochkartenstanzer:
Ein NAT-Ruter, der nichts von Außen reinläßt, sondern nur von innen heraus aufgebaute Verbindungen zuläßt, hat kein Angriffsfläche. Bur wenn man den Teaffic von innen heraus reglementieren will, braucht man mehr.
lks
Zitat von @142583:
ICH persönlich, setze aber auf wenig Angriffsfläche. Im Allgemeinen.
ICH persönlich, setze aber auf wenig Angriffsfläche. Im Allgemeinen.
Ein NAT-Ruter, der nichts von Außen reinläßt, sondern nur von innen heraus aufgebaute Verbindungen zuläßt, hat kein Angriffsfläche. Bur wenn man den Teaffic von innen heraus reglementieren will, braucht man mehr.
lks
Na wenn da so ist, dann würde ich mindestens drei NATer aufstellen und die dreifache Sicherheit genießen.
Oder ein NAT-Mesh bauen zur vollständigen Verwirrung des Angreifers.
Zitat von @142583:
Na wenn da so ist, dann würde ich mindestens drei NATer aufstellen und die dreifache Sicherheit genießen.
Zitat von @Lochkartenstanzer:
Ein NAT-Ruter, der nichts von Außen reinläßt, sondern nur von innen heraus aufgebaute Verbindungen zuläßt, hat kein Angriffsfläche. Bur wenn man den Teaffic von innen heraus reglementieren will, braucht man mehr.
lks
Zitat von @142583:
ICH persönlich, setze aber auf wenig Angriffsfläche. Im Allgemeinen.
ICH persönlich, setze aber auf wenig Angriffsfläche. Im Allgemeinen.
Ein NAT-Ruter, der nichts von Außen reinläßt, sondern nur von innen heraus aufgebaute Verbindungen zuläßt, hat kein Angriffsfläche. Bur wenn man den Teaffic von innen heraus reglementieren will, braucht man mehr.
lks
Na wenn da so ist, dann würde ich mindestens drei NATer aufstellen und die dreifache Sicherheit genießen.
Man kann auch zwanzig Zimmertüren hintereinanader an das Zimmer schrauben. Solange das aber nur dazu dienen soll, den neugierigen WG-Nachbarn abzuhalten, ist das Aufwand zum Risko-Verhältnis unausgeglichen.
Du mußt imerm dazu betrachten, welchen Aufwand man für welches Risiko betreibt.
Und ein NAT-Router ist nunmal "sicher" für den Andwendungsfall: "Alles von innen heraus erlaubt, Alles von außen rein verboten!". NAT wurde zwar nicht als Sicherheitsfeature eingeführt, aber ist ein einigen Fällen durchaus ausrecihend.
Oder ein NAT-Mesh bauen zur vollständigen Verwirrung des Angreifers.
Solange dr Prof nicht verwirrt ist, soll das recht sein.
lks
PS: Ich persönlich setze auch Firewalls ein, aber nur dort, wo sie auch einen Mehrwert gegenüber einem einfache NAT-Router bieten.
Zitat von @Visucius:
Dafür tuts doch jeder 08/15 Reiserouter?! Diese werden hier gerne empfohlen:
https://www.gl-inet.com
Dafür tuts doch jeder 08/15 Reiserouter?! Diese werden hier gerne empfohlen:
https://www.gl-inet.com
Die alte Fritte des TO reicht für diesen Zweck normalerweise auch.
Ich habe meiner Tochter auch eine 3272 an den LAN-Anschluß des Wohnheims geklemmt, die per VPN "nach Hause" verbunden war. Dann konnte ich die sogar fernwarten.
lks
Stimmt natürlich
Ich habe jetzt eine alte 7330 genommen. An den modernen DLS-Anschlüssen läuft die ja nicht mehr.
NAT reicht mir.
Ich könnte jetzt noch ein VPN nach Hause einrichten, aber darauf verzichte ich. Ich habe Bedenken wegen der Bandbreite.
Danke für die Hilfe.
NAT reicht mir.
Ich könnte jetzt noch ein VPN nach Hause einrichten, aber darauf verzichte ich. Ich habe Bedenken wegen der Bandbreite.
Danke für die Hilfe.