stevooo
Goto Top

Absicherung für Internet-Anschlussinhaber in WG - evtl. RADIUS

Hallo,
Ich wohne in einer WG mit 9 Personen. In dieser WG gibt es ein Netzwerk (ein Router, viele Clients (Kabel und WLAN), meherer Wlan Access points, Server (Windows Server 2008)) das mit VDSL50 (in den nächsten tagen) an das Internet angeschlossen ist.

Nun soll das Netzwerk sicherer werden (in erster Linie für den Anschlussinhaber). Es hat sich heraus gestellt, das der Internetzugang bei einer WG dieser größe leider nicht mehr richtig kontrollierbar ist. Deshalb soll sich etwas ändern.

Ich dachte dabei an einen Radiusserver (FreeRadius), der in einer VM auf dem Server läuft. Somit müsste sich schonmal jeder einzeln Authentifizieren bevor er das Netzwerk nutzen darf. Darauf aufbauend, wollte ich nun den Traffic mitschneiden, um im falle von Filesharing etc. die Schuld von mir (dem Anschlussinhaber) abweisen zu können.

Mein Frage ist nun, ob ihr vllt. eine Idee habt, die das Problem evtl. besser lösen würde? Habt ihr Tipps/Anmerkungen zur Durchführung dieser Idee?
Der neue Router (Speedport W723v) ist noch nicht bei uns, unterstützt er einen exterenen radius Server?

Bringt es überhaupt was, den Traffic mitzuschneiden? Ist das im Falle des Falles ein gültiger "Beweis"?
Ich weiß, dass das nicht gerade die feine Art ist, den Traffic mitzuschneiden, aber es würde mit allen abgesprochen werden. Die WG will auch nicht zusammen zahlen, nur weil einer Mist gebaut hat.

Der Ratschlag, dass man einfach Ausmachen sollte, dass Filesharing etc. tabu sind, hilft in dieser Situation leider nicht sehr weiter, da 9 Personen nunmal auch Besuch kriegen etc.. In der WG ist ein sehr großer "Durchlauf" an Personen, die nunmal auch ab und zu das Internet mit Ihren Laptops nutzen.
Am Ende wird dann vllt. gesagt "Der wars!"...was mir dann aber auch nicht weiterhilft.

Ich hoffe Ihr helft mir.

Content-ID: 169178

Url: https://administrator.de/forum/absicherung-fuer-internet-anschlussinhaber-in-wg-evtl-radius-169178.html

Ausgedruckt am: 26.12.2024 um 14:12 Uhr

Hubert.N
Hubert.N 05.07.2011 um 19:37:18 Uhr
Goto Top
Moin

Die Frage ist erst einmal, was dir ein RADIUS-Server da helfen soll ? vgl. dazu http://de.wikipedia.org/wiki/RADIUS
(...)ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und zum Accounting (Triple-A-System) von Benutzern bei Einwahlverbindungen in ein Computernetzwerk dient.

Ich glaube, du suchst eher einen Proxy-Server.

Gruß
csw
csw 05.07.2011 um 19:49:03 Uhr
Goto Top
"um im falle von Filesharing etc. die Schuld von mir (dem Anschlussinhaber) abweisen zu können."

Das wird so leider nicht klappen, über die Störerhaftung ist der Anschlussinhaber immer dran.
Präsentiert der Anschlussinhaber den wahren Urheberechtsverletzer, so kann der Abmahnanwalt beide abmahnen den Anschlussinhaber und den Filesharer.
SteVOOO
SteVOOO 05.07.2011 um 20:03:04 Uhr
Goto Top
Gibt es da keine Möglichkeit? Wie macht es den z.B. eine Universität?
SteVOOO
SteVOOO 05.07.2011 um 20:04:35 Uhr
Goto Top
Damit wollt ich den jeweiligen Nutzer identifiezieren, da eine Identifizierung über MAC oder IP Adresse nicht sinvoll wäre, da vereinzelte Personen auch mehrere Rechner haben. Da fiel mir als einzige Lösung ein Radius ein
danielfr
danielfr 05.07.2011 um 21:18:20 Uhr
Goto Top
Zitat von @SteVOOO:
Nun soll das Netzwerk sicherer werden (in erster Linie für den Anschlussinhaber). Es hat sich heraus gestellt, das der
Internetzugang bei einer WG dieser größe leider nicht mehr richtig kontrollierbar ist. Deshalb soll sich etwas
ändern.

Ich dachte dabei an einen Radiusserver (FreeRadius), der in einer VM auf dem Server läuft. Somit müsste sich schonmal
jeder einzeln Authentifizieren bevor er das Netzwerk nutzen darf. Darauf aufbauend, wollte ich nun den Traffic mitschneiden, um im
falle von Filesharing etc. die Schuld von mir (dem Anschlussinhaber) abweisen zu können.
Frage das am besten einen Anwalt. In Foren darf sowieso keine Rechtsberatung gegeben werden...

Bringt es überhaupt was, den Traffic mitzuschneiden? Ist das im Falle des Falles ein gültiger "Beweis"?
Ich weiß, dass das nicht gerade die feine Art ist, den Traffic mitzuschneiden, aber es würde mit allen abgesprochen
werden. Die WG will auch nicht zusammen zahlen, nur weil einer Mist gebaut hat.
Na super, dann bringt Dein Gegenüber halt auch ein "Logfile" mit dem er / sie beweist, das es jemand anders war... oder macht Deinen Server aus oder kippt einen Eimer Wasser drüber oder oder.
Ganz Abgesehen davon: Du willst Traffic mitschneiden und auch auswerten? Bei WG-Kollegen? Mit alles? Sehr schlau... frag das vielleicht auch mal einen Anwalt. Mit mir würdest Du auf jeden Fall Probleme kriegen, wenn ich mal meinen Laptop in so ner WG einstöpseln würde und das dann erfahre.

Für mich ist das keine technische Frage. Daher: Auf jeden Fall einen Anwalt fragen, ich glaube in der CT war auch mal ein Artikel zu dem Thema. Soweit ich weiss müssen ja kleine ISPs (<1000?) auch nix mitloggen (?).

Viel Spass noch und Gruß
Daniel
SteVOOO
SteVOOO 05.07.2011 um 21:32:31 Uhr
Goto Top
Vielen Dank für die ganzen Nettigkeiten face-smile

"Ich weiß, dass das nicht gerade die feine Art ist, den Traffic mitzuschneiden"
also, wie du vllt. bemerkt hast, ist mir diese Lösung auch nicht gerade Recht.

"Mein Frage ist nun, ob ihr vllt. eine Idee habt, die das Problem evtl. besser lösen würde?"
deshalb schreibe ich hier, um evtl. zu erfahren wie Ihr sowas in solch einer Situation lösen würdet
AUS MEINER SICHT IST DAS EINE TECHNISCHE FRAGE. ICH FRAGE NACH TECHNISCHEN ALTERNATIVEN. WAS WÜRDE GEHEN AUSSER TRAFFICMITSCHNITT

Es heißt dabei immer "bei wg kollegen blabla" oder "mit mir würdest du probleme kriegen" ... versetze dich doch einfach mal in meine Lage, wie würdest du den handeln wenn der anschluss auf dich läuft? Auf gut Glück? Wir sprechen hier (wie bereits oben genaustens beschrieben) nicht von 3 Leuten unter denen sowas leicht abzusprechen oder zu klären ist.

Ich will es selber auch ohne TrafficMitschnitt klären, aber ich habe keine Idee die wirklich etwas bringen würde.

Übrigens: Ich hab vor mehreren jahren schonmal eine Abmahnung zahlen dürfen.


Eine Anmerkung noch:
"Mit mir würdest Du auf jeden Fall Probleme kriegen, wenn ich mal meinen Laptop in so ner WG einstöpseln würde und das dann erfahre."
Wenn ich ein Auto klaue und dann bleibe ich stehen weil der tank leer ist, verklage ich dann den Besitzer? o.O
dog
dog 05.07.2011 um 22:11:47 Uhr
Goto Top
Der aktuelle Rechtsstand ist wohl, wenn man als Inhaber schriftlich nachweisen kann, dass man den Nutzern illegales Krams untersagt hat, dann ist man raus.

Ansonsten einfach mehrere öffentliche IPs über PPPoE verteilen.
Anbieter für sowas gibts (wobei man dann bei VDSL mit VPN arbeiten muss) und du musst dich um nichts mehr kümmern, weil jeder seine eigene IP hat.

Trafficmitschnitt ist rechtlich so grenzwertig, dass wir darüber gar nicht reden wollen...
danielfr
danielfr 05.07.2011 um 22:17:58 Uhr
Goto Top
Der Vergleich mit dem geklauten Auto hingt wohl arg, da Du ja den Traffic auch mitschneidest wenn ich nichts illegales mache.

Ich würde meinen Anschluss halt nicht teilen, wenn das so ein Problem ist (habe ich auch immer so gemacht).

"Bringt es überhaupt was, den Traffic mitzuschneiden?Ist das im Falle des Falles ein gültiger "Beweis"?" -> hat mit Technik nichts zu tun und ist wohl das Kernproblem und das ist ein juristisches.

Zur Technik: Als Proxy nehme ich ganz gerne den IPCop mit Advanced Proxy und BOT. Nur Zugang von bekannten Geräten (Identifizierung per MAC Adresse), sollte mit BOT gehen. Außerdem den IPCop dann als transparenten Proxy einrichten, und auf allen Clients als Router verwenden. Inwieweit es Logging Funktionen und Module zur Überwachung gibt kann ich nicht sagen, lässt sich aber wohl ganz gut selbst recherchieren und sollte eigentlich kein Problem sein.

Gruß Daniel
danielfr
danielfr 05.07.2011 um 22:19:06 Uhr
Goto Top
Gerade erst gelesen, das wäre ja sogar eine Lösung... versuche ich mir zu merken.
SteVOOO
SteVOOO 05.07.2011 um 22:31:27 Uhr
Goto Top
also erstmal: Hauptsache du hast daran Spaß.

"Ich würde meinen Anschluss halt nicht teilen, wenn das so ein Problem ist (habe ich auch immer so gemacht)."
in unserer Wohnung gibt es leider, wie in dem überwiegenden Teil der Privatwohnungen in Deutschland, keine 9 telefonanschlüsse.

"hat mit Technik nichts zu tun und ist wohl das Kernproblem und das ist ein juristisches."
für mich ist das Kernproblem die Technik, deshalb standen die Fragen dazu auch vor den Juristischen ;)

trotzdem danke für deine Nette Beschreibung deines IPCop.
SteVOOO
SteVOOO 05.07.2011 um 22:33:18 Uhr
Goto Top
ok, ich werde also von einem Trafficmitschnitt abstand nehmen. Das mit den IPs ist wohl die beste Lösung. Soweit wird es wohl dann aber doch nicht kommen.
ybBln
ybBln 05.07.2011 um 23:43:56 Uhr
Goto Top
Hallo SteVOOO,
Vielleicht eine etwas einfachere Lösung:
Schnödes DSL-Modem hinter dem Splitter, dann ein Switch und für jeden ein DSL-Router, jeweils mit eigenen Verträgen, jeweils mit eigener IP.
Ich habe das noch nicht ausprobiert, die Nachfrage besteht eher darin, mehrere DSL-Leitungen für ein Netz zur Geschwindigkeitssteigerung zu nutzen. Aber wenn der Anschluss bei z.B. der Telekom ist, sind alle ankommenden zu Telekom-DSL-Verträgen gehörenden Authentifizierungen auch dort bekannt, wo "das andere Ende der Leitung" ist.
Die Geschwindigkeit der Leitung teilen sich dann alle, aber jeder hat seine eigene Einwahl. Einziges Manko: Alle müssen ihre Verträge beim gleichen ISP abschließen.
Rein technisch ist das Protokoll vor dem DSL-Modem Ethernet (mit verkapsteltem PPP), von daher können unzählige IP´s da rüber gehen. Die Frage ist nur, ob Dein ISP nicht jeder MAC-Adresse auf der anderen Seite des DSLAM nur eine IP zuordnet.

Ich werde es die nächsten Tage mal ausprobieren, erstmal rumtelefonieren, wer noch beim gleichen ISP wie ich seinen Vertrag hat und mal gucken, wer mir so sehr vertraut, dass er mir seine Daten rübergibt.
Zwei DSL-Modems gleichzeitig kann ich dann immerhin testen, nur ein separaten Switch muß ich dafür ordern. Alternativ mehrere Rechner, die sich direkt, ohne DSL Router einwählen. Dann stehen diese allerdings ungeschützt im Internet und wenigstens NAT/Firewall des DSL-Routers braucht man schon.
Ich werde Dir berichten.
Gruß - Björn

Update: Die Verbindung vom DSL-Modem per Patchkabel in den Switch des DSL-Routers und dann die WAN-Seite des Routers per Cross-Over-Kabel in den selben Switch des selben Routers hat schonmal funktioniert, schreibe grade dieses Update in dieser Konfiguration. Also nur noch Die Anmeldedaten bekommen und den zweiten DSL-Router in den Switch des ersten DSL-Routers.
Mein Gott, was für eine verwurschtelte Konfiguration... *lach*
SteVOOO
SteVOOO 06.07.2011 um 00:38:24 Uhr
Goto Top
Bin jetzt noch auf was anderes gestoßen, und zwar die watchguard firebox. Damit könnte man doch auch einfach die Sharing Programme rausfiltern. Hat jemand Erfahrung damit? Vllt auch eine Freeware alternative?
SteVOOO
SteVOOO 06.07.2011 um 00:41:13 Uhr
Goto Top
Interessante Idee, aber 9 mal für ein und die selbe Leitung zahlen hört sich nicht so toll an. Aber wäre trotzdem interessant ob's funktioniert face-smile (kannst aber zb bei der Telekom kein dsl buchen an einer Adresse wo schon ein Vertrag läuft)
ybBln
ybBln 06.07.2011 um 01:19:04 Uhr
Goto Top
Die Leitung zahlst Du nur ein Mal. Aber der Vertrag, an den auch die Zugangsdaten geknüpft sind, zahlt jeder einzeln, z.B. 4*Flatrate, 5*Volumentarif. Das mit dem Buchen muss man dann halt mal sehen. Softwarelösungen sind dazu da, ausgehebelt zu werden.
aqui
aqui 06.07.2011, aktualisiert am 18.10.2012 um 18:47:28 Uhr
Goto Top
Am besten fährst du mit einer Kombination aus mehreren Dingen.
Z.B. Squid Proxy und einer Firewall mit einem Captive Portal für Gäste:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auf dem Gästenetz setzt du ganz strikte Firewall Regeln so das z.B. nur Surfen und Email erlaubt ist (oder weniger) und hier von vorn herein schon ein Riegel vorgeschoben ist. Über die Einmalpasswörter kannst du auch jeden wieder identifizieren der sich angemeldet hat. Oder du gibst jedem WG Bewohner ein CP Passwort was er dann wenn er will und das Risiko trägt auch seinen individuellen Gästen mitteilen kann. Wenn die Mist machen nimmst du den Bewohner in die Pflicht...ganz einfach.
Du kannst das auch mit FreeRadius in einer VM machen wie dieses Tutorial beschreibt:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Allerdings ist der Aufwand recht hoch und bei 9 Bewohneren kannst du auch mit statischen Benutzereinträgen auf der FW bzw. Proxy problemlos leben.
Vor die Firewall plazierst du dann z.B. einen Squid_Proxy für die Bewohner
http://www.proesdorf.de/linux/squid_conf.php
mit Authentisierung oder eben transparent. Bei letzterem Modus musst du aber anhand der Mac Adressen der Bewohner feste IPs im DHCP vergeben um die Benutzer wieder authentifizieren zu können.
Hier kannst du dann ganz genau sehen welcher Benutzer wann, mit welchem Volumen, was gemacht hat. Damit ist eigentlich ein (fast) lückenloser Nachweis für dich möglich im Falle das.... Mit weiteren Squid Tools kannst du detailiertere Auswertungen fahren.
Was du letztlich mit den Benutzer bzw. Bewohnerdaten machst sei dir anheim gestellt.....besser dazu keine Diskussion entfachen hier !!
Alle Traffic Daten mitzuschneiden ist Blödsinn und scheitert allein schon an den Voluminas des Traffics, abgesehen davon ist es ja gar nicht nötig wenn du die obigen Massnahmen ergreifst. Du kannst ja dann zeitlich und aus den Authentisierungsdaten jeden Zugriff zuordnen und belegen.
Such dir das schönste aus....
csw
csw 06.07.2011 um 09:57:16 Uhr
Goto Top
Ob man "raus" ist entscheidet immer ein Richter, ein Abmahnanwalt wird sich mit dem Hinweis, man habe Urheberrechtverletzungen untersagt, nicht begnügen.
Nagus
Nagus 06.07.2011 um 10:49:58 Uhr
Goto Top
Moin,
so muss jetzt auch noch meinen Senf dazu geben, da ich etwas ähnliches allerdings im größeren Rahmen umsetzen muss!

So wie das sich im Moment darstellt, trittst Du als Provider auf. Derzeit ist noch keine Vorrat-Datenspeicherung beschlossen. Als Provider brauchst Du nur die Abrechnungsrelevanten Daten vorhalten bis, zur Abrechnung! Ob das bei Dir auch greift bin ich mir unsicher ... Mitstörer wärst Du aber trotzdem. Mir ist aber bspw. nicht bekannt, dass eine Telekom oder eine 1&1 etc. für illegale Downloads in die Haftung genommen wurden. Meine Annahme wäre in diesem Fall, dass Du eine Unterlassungserklärung abgeben müsstest und in dem Fall das der eigentlich Täter nicht ermittelbar ist, Du in die Haftung genommen wirst.

Vorsichtig würde ich auch in Bezug auf das "heimliche" Mitschneiden sein! Da kannst Du rechtlich Probleme bekommen (sog. Hacker Paragraph, Telefongeheimnis, Briefgeheimnis, etc. ...). Ich würde Dir empfehlen, das Deine Mitbewohner mindestens eine Erklärung unterschreiben, in der Du darauf hinweist und die Regeln der Nutzung erläuterst ....

Ich würde Dir auf jeden Fall empfehlen, noch einmal einen Rechtsanwalt zu konsultieren!

Interessant ist, das ja auch die großen Provider die Speicherung er IP Adressen ganz unterschiedlich halten. Soweit ich weiß, löscht 1&1 direkt, Telekom speichert länger - immer mit der Begründung Sie brauchen die IP Adressen für die Abrechnung oder eben nicht!

Mein Plan sieht bspw. derzeit so aus, dass ich jeden Nutzer eine entsprechende Erklärung unterschreiben lasse. Unklar bin ich mir noch darüber, ob es genügt, das ich die Loginzeiten mit der internen IP speichere, oder ob ich tatsächlich auch Verbindungsdaten speichern muss. Letzteres möchte ich aus Datenschutzgründen nur ungern tun, falls doch, müssen diese aber nach vier Wochen automatisch gelöscht/überschrieben werden. Das werde ich in diesem Fall aber noch mit unseren Datenschutzbeauftragten klären.

Deswegen nochmal der Hinweis: ohne Beratung gehst du im Zweifelsfall unter! Aber Du könntest ja auch mal beim Datenschutzbeauftragten Deines Bundeslandes anfragen, auch der sollte Dir helfen ..

Gruß
Nagus
aqui
aqui 11.07.2011 um 20:00:42 Uhr
Goto Top
Vermutlich hat SteVOOO das Interesse an einer sinnvollen Lösung verloren wie man am mangelnden Feedback ja sehen kann hier face-sad
Hoffentlich reichts dann noch für
Wie kann ich einen Beitrag als gelöst markieren?
Nagus
Nagus 11.07.2011 um 20:42:02 Uhr
Goto Top
Nö - dass wird nix mehr .... iss einfach ne unsitte ...

Nagus
SteVOOO
SteVOOO 11.07.2011 um 21:47:01 Uhr
Goto Top
Ich danke euch allen für die Ideen. Werde wahrscheinlich einen mix daraus realisieren.
ybBln
ybBln 11.08.2011 um 17:28:03 Uhr
Goto Top
Um auch den Deckel auf meinem Senf hier zu schließen noch folgendes abschließend:
Ich habe keinen zweiten Satz Zugangsdaten erhalten, alle sind bei anderen Providern.
Obwohl ich jetzt gern auch ausprobieren würde, ob Verträge zweier unterschiedlicher Provider auch gehen würden, kann ich bis jetzt mal sagen, dass mehrere Einwahlen über die selbe DSL-Leitung funktionieren.
Ich habe das probehalber ein zweites Mal mit meinen eigenen Zugangsdaten gemacht!
Konfiguration war folgende: Hinter dem DSL-Modem auf einen Splitter, dann einmal nen Router dran und parallel ein PC direkt über den Wan-Miniport von Windows (auch PPPoE) eingewählt.
Ergebnis: Zwei unterschiedliche Internetadressen (78.52.xxx.xxx) gleichzeitig.

Es geht also, über eine DSL-Leitung mittels einem DSL-Modem über Splitter mehrere Teilnehmer mit eigenen Verträgen sich einwählen zu lassen!
Eigener Vertrag, eigene Verantwortung, was jeder macht.

Allerdings sollte vielleicht noch ein Load-Balancing stattfinden, damit nicht einer 90% der Bandbreite belegt und die Restlichen sich die verbleibenden 10% teilen.
Wie das allerdings bei PPPoE geht bin ich überfragt. Vielleicht kann jemand anders da ein passendes Stichwort geben.
Gruß - Björn
Lapuldi
Lapuldi 05.05.2015 um 11:33:08 Uhr
Goto Top
Versuchs mal mit ner zusätzlichen Hardware. Du könntest zum Bspl. eine Netbarry Box dazwischenhängen, die blockt den ganzen Kram.
www.netbarry.org Hab ich nach einigen Abmahnunge auch im Einsatz. Echt super!
aqui
aqui 05.05.2015 um 17:29:51 Uhr
Goto Top
Wie das allerdings bei PPPoE geht bin ich überfragt. Vielleicht kann jemand anders da ein passendes Stichwort geben.
Mit einem Dual WAN Port Load Balancing Router ala Draytek 29xx oder Linksys LRT 244 oder eine Dual Port Firewall:
https://doc.pfsense.org/index.php/Multi-WAN
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät