Teilnehmer im LAN begrenzen -geht das?

[StefanP]

ein herzliches Hallo,

ich habe ein kleines Büro, das über eine FBF 7170 ins Internet geht. Intern hängen ca 10 Geräte (PCs, LAN-Drucker, NAS...) im LAN.

Frage:
kann ich mein LAN so gestalten, dass nur zugelassene TCP/IP sich über die FBF im LAN bewegen können?

Ich will verhindern, dass sich jemand unberechtigt in einen der Switche einsteckt und dann in meinem LAN Unfug treiben kann.

Danke & Gruß
StefanP

 

[andreas1983]

einfacher vorschlag..


fest IPS verwenden. fritzbox z.B. einfach mal auf 172.167.234.254 ändern... DHCP ausschalten und dann an jedem rechner feste IPs verteilen (bzw. auch an jedem Gerät)
DNS und Standardgateway muss dabei die IP der FritzBox sein...

klar, wenn jemand dann noch auf einen rechner zugriff hat kann er die IP dort auslesen aber wenn nicht wirds, wenn man nicht gerade jemand mit SEHR viel ahnung hat ist, schon schwieriger das netz zu nutzen...

grüße
andreas

 

[Psychodad]

bringt nicht viel

Hi

Nein, man muss nichts auslesen, einfach dem Rechner eine IP im gleichen Subnet geben und man ist drinn.

Aber immerhin eine kleine Hürde, einfach einstecken reicht zumindest nicht.

Ansonsten kannst Du wohl nicht viel tun, zumindest nicht auf der FB. Höchsten die "Kindersicherung" liesse sich evtl missbrauchen.

Gruss

Psychodad

 

[mathes72]

Ja, die Kindersicherung finde ich eine gute Idee.
Du wählst die Rechner aus, die ins Internet dürfen, und wer nicht aufgelistet ist, kommt nicht ins I-Net rein (dafür müsstest du den haken setzen bzw. entfernen).
Aber derjenige kommt dann immernoch ins Netzwerk, nur halt nicht ins Internet.

mathes72

 

[Bommel_0507]

...Frage: kann ich mein LAN so gestalten, dass nur zugelassene TCP/IP sich über die FBF im LAN bewegen können?...
...Ich will verhindern, dass sich jemand unberechtigt in einen der Switche einsteckt und dann in meinem LAN Unfug treiben kann...

Eine Möglichkeit gibt es da IMHO vielleicht noch. Schalte den DHCP-Server in der Fritz!Box ab und vergib die IP-Adressen an allen Rechnern manuell. Hierbei benutzt du in der Fritz!Box folgende Werte:

• IP-Adresse: 192.168.0.1
• Subnetzmaske: 255.255.255.240

In diesem Adressbereich stehen dir dann nur noch 13 Host's zur Verfügung, d.h. die IP-Adressen 192.168.0.2 - 192.168.0.14 können für deine Geräte im Netzwerk benutzt werden. Die IP-Adresse 192.168.0.0 und 192.168.0.15 (Broadcost) können nicht benutzt werden. Wenn noch IP-Adressen frei sein sollten (du sprachst von ca. 10 Geräten), dann kannst du diese im WLAN als Dummy mit irgendeiner MAC-Adresse eintragen. Somit dürften diese IP-Adressen auch nicht mehr von anderen Netzwerkgeräten benutzt werden können. Ob es tatsächlich funktioniert habe ich noch nicht getestet, ist halt nur reine Theorie...

Nachtrag: Für die Dummy-Einträge brauchst du wahrscheinlich ersteinmal ein echtes Gerät, damit auch die betreffende IP-Adresse in der Fritz!Box eingetragen wird. Alternativ kannst du auch für das LAN weitere Netzwerkkarten benutzen, die entsprechend einmal an der Fritz!Box angeschlossen werden müssen. Wie gesagt, es ist reine Theorie, daher weiß ich nicht genau ob es wirklich funktioniert... :noidea:

 

[knight20001]

Schöner artikel und sehr durchdacht

 

[Corrado-HH]

• IP-Adresse: 192.168.0.1
• Subnetzmaske: 255.255.255.240

Welche Auswirkungen hat die Verwendung von .240 statt .0 in der Subnetzmaske?

 

[doc456]

Moin,

@Corrado-HH, guckst du hier oder hier.

 

[smiley2]

J... und wer nicht aufgelistet ist, kommt nicht ins I-Net rein ...
mathes72

die Idde hatte ich auch schon. Finde ich auch richtig gut so.

Nun baut aber meine FB eine Internet Verbindung auf, wenn der betreffende Rechner hochfährt. Könnte natürlich nur Kosmetik sein, so nach dem Motto, Zugriff gewünscht, mal aufbauen und dann erst merken, daß es ja gar nicht erlaubt ist.

Weiß jemand konkret, ob diese Kindersicherung nach außen 100% dicht ist?

:spocht:

 

[LPW]

Hallo,

Weiß jemand konkret, ob diese Kindersicherung nach außen 100% dicht ist?

Sie ist deutlich sicherer als der Vorschlag mit dem eng begrenzten Subnetz (der auch mit DHCP funktionieren müßte), wenn Du es so einstellst, daß Rechner ohne Meldung nicht ins Internet kommen. Das eingeschränkte Subnetz ist unzuverlässig, weil oft nicht alle Rechner in Betrieb sind und deren IP-Adresse dann für ein anderes Gerät zur Verfügung stünde.

Der Schwachpunkt der Kindersicherung könnte darin bestehen, daß sich auch ein fremder Rechner anmelden kann, wenn er einen gelisteten Benutzernamen meldet. Ein Benutzername ist schnell abgeschaut oder auch verraten und auf dem unbefugten Rechner auch schnell eingerichtet, völlig problemlos auch mit Administratorrechten, um die "Toolz" betreiben zu können. Das geht nur dann nicht, wenn die Kindersicherung auf die SID (Sicherheitsbezeichner) des Windows-Accounts anstatt auf den Windows-Benutzernamen abstellt.

In der Praxis verwendet man einen managebaren Switch, der zumindestens eine Liste der zulässigen MACs führt, so wie es die meisten WLAN-Internetgateways ab Werk schon für das WLAN können. Zumindestens professionelle Router erlauben aber auch die Einbindung eines Radius- oder EAP-Servers, der um Erlaubnis gefragt wird.

Mit freundlichen Grüßen
LPW

 

[smiley2]

Danke für die Infos,
mir ging es aber darum, ob damit wirklich aller Datenverkehr außerhalb des LAN geblockt wird.