Ports sperren für FritzBox

Mit ner Firewall die auch ausgehenden Traffic kontrolliert, z.B. ZoneAlarm, Sygate (beide kostenlos) oder halt was kostenpflichtiges von Gdata, Symantec, Sophos und wenn es da noch alles gibt.

Moinz,

nein die gibt es leider nicht. Alle Standard-Router blocken zwar alles, was rein will (abgesehen von Ports, die man explizit frei gibt, lassen aber alles rein, was von innen angefragt wurde.

D. h. wenn Outlook über Port 110 oder 25 ins Internet will, wird das immer erlaubt. Auch die Antworten kommen auf dem gleichen Port zurück und werden durchgelassen.

Wenn du wirklich dicht machen willst, dann brauchst du schon was anderes. IPCop oder Squid oder beides

Greetz, Fugu

Bei der Firewall ZoneAlarm kannst du z.b. jedes Programm festlegen das ins Internet darf und welches nicht. Aber ist ein ziemlicher Aufwand und die Firewall müsste auf jedem PC laufen wenn du nur ne FritzBox als Router nehmen würdest. Und was an MSN, ICQ und Outlook so schlimm sein soll weiß ich nun auch nicht.

Hallo,

wie soll denn die Infrastruktur generell aussehen? Jeder Student kriegt bei sich auf das Zimmer DSL? Wenn jeder DSL bei einem "normalen" ISP hat, dann ist das ganze sowieso nicht dein Probelm oder das des Wohnheims, dann sollten da ja auch Verträge nur zwischen Studis und ISP bestehen. Oder stellt ihr einen DSLAM in den Keller und jeder kriegt das DSL von euch? Oder soll eine Fritzbox für alle reichen?
Grundsätzlich: dein "Billig Gerät, nur für Doofe etc." kann ich nicht teilen. Aber wahrscheinlich doch keins, was dafür geeignet ist, wirklich den Internetzugang für eine ganze Studentenhorde zu erledigen.
Also: wenn du ein bisschen was zur Infrastruktur schreibst werden dir hier bestimmt noch einige Vorschläge unterbreitet werden.

Filipp

schonmal gedanken zur bandbreitenkontrolle gemacht? sonst machen dir 1-2 user mit einem ganz normalen, legalen download von ein paar linux ISOs die leitung dicht.

Hi,
wie oben beschrieben, ist das nicht machbar. Firewall ist bei XP SP2 ohnehin onboard, könnte auch alle Kriterien erfüllen, aber die läßt sich eben auch von jedem PC- Eigentümer konfigurieren (es sei den, der Vermieter ist Eigentümer und sperrt die Kisten dementsprechend, was ich aber nicht glaube). Es läßt sich also den Studenten nicht einfach "ein Maulkorb" umbinden. Wie will denn der Vermieter z.B. verhindern, daß einer von Euch einen bösen Brief schreibt? MS-Word von den Kisten verbannen? Eine Firewall hilft hier auch nicht.
Wenn Du alle diese Ports dichtmachen willst, hilft nur ein Proxy- Server, über den der ganze Netzverkehr läuft und damit das Filtern und Blocken übernimmt. Am Besten dann noch ein Progrämmchen drauf, das bei bestimmten verdächtigen Wörtern eine Alarmmail an den Vermieter generiert (ggf. kann auch noch der Verfassungsschutz mit eingebunden werden).

Gruß - Toni

P.S.: Derjenige, der die Bewertungen in dem Beitrag gegeben hat, sollte sich mal die Bewertungskriterien durchlesen, ich finde nicht, daß alle Beiträge einen Punktabzug rechtfertigen (eher im Gegenteil!)

Doppelpost

Über die Funktion Fritz!DSL Protect kann man ausgehende Pakete von bestimmten Anwendungen blocken.

http://www.avm.de/de/Service/Handbuecher/FRITZBox/Handbuch_FRITZBox_Fon ...

Hi,
das macht auch jede Firewall, nur daß dieses Prog mitgeliefert wird.
Aber der Admin (Eigentümer) des Rechners kann damit machen, was er will,
da es ja auf seinem PC installiert ist.
Bringt also auch nicht wirklich was...

Gruß - Toni

Hi,
die Infrastruktur sollte wohl funktionieren, solange keiner wirklich "saugt", Du mußt mitbedenken, daß die Repeater die Bandbreite halbieren (ausser, man verkabelt die Dinger). Je nachdem, wie viele gleichzeitig drin sind und was sie tun, kann es ohne Bandbegrenzung dann schon mal eng werden.
Verschlüsselung: sollte WPA sein
MAC: ganz nett (schadet auf keinen Fall), allerdings sollte man wissen, daß mit Tools wie Ethereal die MAC's nach ein paar Minuten kein Geheimnis mehr sind. Und eine MAC zu klonen, dauert auch nicht länger.
Das Port- Problem würde ich schriftlich lösen (Nutzungsvertrag), da es technisch in dem Umfeld wohl kaum lösbar scheint, abgesehen davon gibt es weit schlimmere Dinge als den Esel, wie sollte man z.B. jemanden dran hindern, sich "nette" Bildchen runterzuladen?

Gruß - Toni

Je nach Bauart des Hauses kann das reichen, muss aber bei weitem nicht. Du solltest das auf jeden Fall mal testen. (Stell deine Fritzbox an die entsprechenden Stellen, und schau dann mal in welchen Zimmern du sie empfängst, wobei dir bewusst sein sollte, dass die Empfangsleistungen verschiedern WLAN-Sticks stark schwanken können.)

MAC-Authentifizierung ist völliger Unsinn. Die MAC-Adresse lässt sich bei nahezu jeder Karte einfach über die Treibersoftware einstellen. Das haben die Hersteller mal eingeführt, als der Ruf nach Sicherheit aufkam, sie aber keine Ahnung hatten wie, und wenigstens irgendwas von "Authentifizierung" und "Security" in ihren Produktbeschreibungen haben wollten.

Für sowas sind z.B. RADIUS-Server gedacht. Natürlich wirst du einen solchen nicht aufsetzen wollen. Aber manche Router (haben hier z.B. einen einfachen Zyxel) bieten selber eine Minimalimplementierung davon, d.h. hier kann man ganz einfach Nutzer einrichten und freigeben/sperren. Eine entsprechende Authentifizierung sollte auch von nahezu jedem WLAN-Treiber unterstützt werden.
Was die FritzBox in die Richtung kann weiss ich nicht, habe noch nie eine in den Händen gehalten. Du könntest dir aber auch die Linksys WRT54G - Geräte mal anschauen. Für die gibt es mehrere Firmwares auf Linuxbasis, die eine unmenge an Features bieten (und die man auch erweitern kann). Damit liesse sich eine sehr saubere Authentifizierung aufbauen: das WLAN kann man einfach unverschlüsselt betreiben, und statt dessen auf dem WRT einen VPN Endpunkt aufbauen. D.h. jeder kann in das WLAN, um aber ins Netz zu kommen muss er VPN-Zugangsdaten haben (d.h. sich persönlich authentifizieren). Das ist in der Client-Konfiguration ziemlich einfach, VPNs lassen sich unter Windows mit Bordmitteln einrichten, das ist oft leichter als die WLAN-Verschlüsselung zu aktivieren. Und auf der Serverseite (also dem WRT) ist das zwar erstmal ein klein wenig Aufwand zu betreiben, dazu gibts aber sicher Tutorials, und dann ist das dafür auch sicher. Daneben bietet der WRT auch ordentliche Firewall (mit alternativer Firmware) und Sachen wie Bandbreitenmanagement.

Filipp

Esel ist Urheberrecht, das gibt Geldstrafe, Bildchen mit sehr jungen Motiven gibt Knast.
Da hinter dem Router nicht festgestellt werden kann, welcher PC nun der Sauger war (NAT), bleibt für die Ermittler nur der Inhaber des DSL- Anschlusses. Da die in so einem Fall ohnehin alle PC's kassieren, läßt sich der Schuldige zwar ermitteln, aber vorab hast Du mal den Ärger an der Backe. Inwieweit ein Vertrag hierbei hilfreich wäre, weiß ich nicht, besser als nichts ist es allemal.

Gruß - Toni

Ein Router mit ziemlicher Sicherheit nicht.
Auch die Repeater wirst du wohl nicht wirklich ans Ende setzen können, weil da schon kein Empfang mehr sein wird (ausser du bist wirklich im Dachstuhl, da hats ja meist keine Wände). Solltest du aber im Dachstuhl sein, so kannst du da ja wahrscheinlich auch ein Kabel legen, dann würde ich dir auf jeden Fall empfehlen, zwei einfache APs zu nehmen (und eben über Netzwerkkabel zu verbinden).
Übrigens stellen Decken oft unüberwindbare Hindernisse dar. Aber sowas ist schwer zu schätzen, das muss man ausprobieren.

Das ist schlecht. Wie gesagt: das mit den MACs bringt nichts.
Du kannst übrigens auch davon ausgehen, dass deine WPA-Schlüssel nach einer gewissen Zeit korrumpiert werden, wenn da bei jemand mal ein Freund zu besuch ist, dann wird der Key halt weitergegeben... Das wäre wieder der Charme der VPN-Lösung. An WEP hast du hoffentlich gar nicht erst gedacht?


Etwas Arbeit wird das schon machen... ich würde dir auch empfehlen, dir jemand ins Boot zu holen, der sich mit sowas auskennt. Wenn man etwas Computer-Affin ist, ist das ganze auf jeden Fall schaffbar. Schlecht ist es halt, wenn dir die Mitbewohner auf den Deckel steigen, weil das Netz zu oft wegbricht, oder das Studentenwerk, weil doch jemand Schindluder treibt. Du solltest halt schauen, was du da für Vereinbarungen triffst.

Nutzerverwaltung, Firewallconfig etc. solltest du nur auf einem Gerät haben, sonst gibt das Probleme mit der Administration (Inkonstistenz). Es sei denn, du hast konkrete Vorteile davon, die Last verteilen zu können (z.B. 3 APs mit jeweils einem Admin, der dann dafür zuständig ist, aber auch dann solltest du eine zentrale Firewall haben).
Neben dem Linksys gibt es übringes noch ein paar andere Routermodelle, eine Liste für openWRT findest du unter http://wiki.openwrt.org/TableOfHardware Daneben gibt es auch noch ander Firmeware-Projekte, eine kleine Übersicht: http://www.sveasoft.de/

Ich weiss nicht wie man zu diesem einfachen Thema so lange diskutieren kann.

Einfach alle Ports blocken (dichtmachen) ausser 80, 443, 25, 110, 143 und jeder kann surfen und mailen.
Andere Ports für einzelne (oder alle Benutzer) u. U. absprechen, zb. für SSH P. 22 oder was halt gebraucht wird.
Die Öffnung zusätzl. Ports bringt halt immer die Möglichkeit, seinen Filesharing-Client auf diesen Port umzubiegen.

Home-Firewall prinzipiell:
Meist wird auf gängigen WLAN Routern eine Statefull Inspection Firewall verwendet.
Diese lässt ALLES raus, aber NUR das rein, was von drinnen angefordert wurde, z.b. eine Webseite. Daher "statefull". Die Firewall checkt ob eine Verbindung "established" ist und lässt für DIESE Verbindung die Antwortpakete aus dem Internet rein. Die Antwortpakete werden daran erkannt, dass sie als Zielport den anfragenden Port der Benutzeranfrage-Pakete haben (das ist ein beim Verbindungsaufbau zufällig gewählter Port zwischen 1025 und 65535), und dass in den Paketen das "SYN" und "Acknowledge" Flag gesetzt sind.
Eine Anfrage dagegen hat nur das "SYN! Flag gesetzt. (TCP/IP).
So ungefährt funktioniert das.

Man kann jedoch auch einstellen, dass nicht ALLES rausgelassen wird, sondern nur bestimmte Ports von drinnen nach draussen kontaktiert werden dürfen.
Das ist genau das was du brauchtst.
Von AUSSEN macht die Statefull Inspection Firewall eh dicht, ausser man hat Portforwarding konfiguriert. Falls die Fritzbox das nicht möglich macht, einen anderen Router holen (zb SMC, D-Link, Netgear).


Andere Firewalls machen erstmal ALLES DICHT, und man öffnet dann manuell ein- und ausgehend Port für Port den man benötigt. Aufwendig, aber man hat die totoale Kontrolle.

WPA Verschlüsselung benutzen, den Schlüssel verteilen.
Je nachdem wieviele Leute mindestens DSL6000, besser noch DSL16000 einsetzen.
Kostet ja fast nix mehr, vor allem wenn man es mit mehreren Leuten teilt.

Dann haste alles - Sicherheit, P2P wird massiv erschwert, und alle haben genug Bandbreite.

Themawechsel...

So ungefähr.. grob gesagt.
Das der Zielport der Antwort der Ausgehende der Anfrage ist ergibt sich schon aus dem NAT, dazu braucht man überhaupt keine Firewall. Was Stateful dagegen noch macht ist auch die IPs auszuwerten. Daneben ist das SYN-Flag nur bei dem ersten Paket jeder Seite gesetzt, später nicht mehr. Wenn man schon tolle Sätze wie "Ich weiss nicht wie man zu diesem einfachen Thema so lange diskutieren kann." schreibt, dann sollte man doch ein wenig aufpassen, dass etwas näher an der Richtigkeit liegt als nur "so ungefähr". Abgesehen davon ging die Frage noch etwas weiter.

Filipp

Naja, ganz so weit von der Richtigkeit war meine Aussage ganz und garnicht.
Einen dreiseitigen Report über TCP/IP kann man in diesem Thread wohl nicht erwarten.

User sendet Anfrage an Webserver (schematisch-vereinfachte Darstellung)

User>>syn>>>WEbserver

Webserver antwortet auf die Anfrage

User<<<syn..acknowledge<<<Webserver

User sendet Anfrage mit syn flag, entfernter Rechner antwortet mit syn und ack.
Das ist nicht falsch, sondern richtig. Eine Statefull Inspection erkennt anhand der Ports, Flags, des Verbindungs-Zustandes ("State") und IPs, welche Antwortpakete aus dem Inet für welchen User bestimmt sind und lässt sie gegebenenfalls durch.


de.wikipedia.org/wiki/Bild:Tcp-handshake.png


Amen.

Was den WLAN Router angeht - ich würd wohl zu Netgear (hohe Reichweite, gute Statefull Inspection Firewall mit Blocking Funktion (beliebige Ports können komplett geblockt werden, ausgehend), SMC oder D-Link probieren.
Am besten beim Fachhändler (zb. www.arlt.com oder www.alternate.de wo man das ganze binnen paar Wochen wieder umtauschen kann wenns nicht geht wie es soll.

Übrigens könntet Ihr statt WLAN auch Powerline (zb. Netgear oder Devolo) ins Auge fassen. Schöne Lösung, über das STromnetz des Hauses.

Nein, sie war nicht weit davon entfernt, aber sie war auch nicht da. Und zusammen mit deiner tollen Einleitung über "einfaches Thema" ist knapp daneben leider auch viel zu weit.

Was diskutierst du denn jetzt noch so ewig über so ein einfaches Thema herum...

Filipp

MuhahahHAAHAHhahahaha.
Naja, manche Leute sticheln eben gerne hab ich den Eindruck.
Wie wärs mit einem Spatziergang? Macht gute Laune!

Zumindest habe ich mich über dein erstes Posting ordentlich geärgert. Und nachdem du das auch nicht auf dir sitzen lassen wolltest...

Nein, dann lieber weitersticheln. Mit Federvieh (Spatz) habe ich nichts am Hut.

Filipp

ach kommt jungs, am anfang klang die Diskussion echt vielversprechend, und dann wird auf einmal ein nerdgespräch draus, das dann ohne ordentliche Lösung beendet wird.
Ich hab dasselbe Problem: ich will ein WLAN-Netzwerk nur für surfen und Emails öffnen. Ich dachte auch, dass dies mit dem Schließen von Ports (nach innen UND außen) möglich ist. Ich habe einen Linksys WRT54GL Router. Gibts da ne Firmware mit der das möglich ist? Oder ne andere Lösung?
Das Problem ist doch noch nicht gelöst denke ich.
Und an den Ersteller: Wie hast DU das jetzt denn gemacht?
mfg, blissini