.titleBar { margin-bottom: 5px!important; }

Zugriff für Wlan-Clients NUR auf Fritzbox?

Dieses Thema im Forum "Freetz" wurde erstellt von alpha1974, 2 Feb. 2009.

  1. alpha1974

    alpha1974 Neuer User

    Registriert seit:
    5 Sep. 2006
    Beiträge:
    185
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi folks,

    hier läuft eine Fritzbox 7170 mit Freetz-Samba. Auf die Samba-Freigaben auf dem USB-Stick soll per Wlan zugegriffen werden. Das Wlan kann nur WEP-gesichert sein, weil die Wlan-Bridge, an der der Client hängt, nur WDS-WEP kann. Der Client soll deshalb nur und ausschließlich auf die Samba-Freigaben zugreifen können. Für den Fall, dass ein böser Bube die WEP-Verschlüsselung knackt, die MAC- und lokale IP-Adresse fälscht und sich als Client ausgibt, soll die Fritzbox verhindern, dass der Bösewicht im Internet surft oder auf das LAN zugreifen kann.

    Ich habe bereits Folgendes gemacht:

    1. Wlan und Lan haben getrennte Subnetze (über das AVM-WebIF)
    2. Über die AVM-Firewall werden alle ausgehenden Verbindungen aus dem WLAN-Subnetz blockiert. Damit ist kein Zugriff mehr vom WLAN-Subnetz ins Internet möglich (funktioniert auch).

    Aber wie kann ich den Zugriff vom WLAN-Subnetz ins LAN verhindern und trotzdem noch (nur) auf die Fritzbox-Samba-Freigaben zugreifen? Offenbar routet die Fritzbox trotz unterschiedlicher Subnetze munter zwischen LAN und WLAN.

    Kann man das evtl. per route add / route del ändern oder muss ich iptables bemühen (die AVM Firewall filtert ja nur den Traffic über Iface dsl)?

    Über die Suchfunktion habe ich zwar einiges über vlans und DMZ gefunden, aber ich brauche ja "nur" eine Kastration des WLAN-Routings auf genau eine IP, nämlich die der Fritzbox.

    Besten Dank,
    alpah1974
     
  2. zirkon

    zirkon Aktives Mitglied

    Registriert seit:
    12 Aug. 2008
    Beiträge:
    906
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Mal ganz banal unter WLAN-Funkeinstellungen "WLAN-Netzwerkgeräte dürfen untereinander kommunizieren" deaktiviert und getestet?
     
  3. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wenn Du es ganz sicher machen willst, kannst du das Bridge Interface zwischen LAN / WLAN deaktivieren, iptables in freetz packen und per Firewall Regeln auf den Interfaces genau nur die gewünschten Adressen / Ports freigeben und den Rest sperren.

    So eine Art WLAN-DMZ.

    Darüberhinaus könntest Du den Zugriff aus dem LAN ins WLAN für bestimmte Ports / Dienste zulassen um zum Beispiel die Kisten zu Monitoren.

    Die Möglichkeiten sind da sehr umfangreich.

    (Google mal nach Netfilter / iptables)
     
  4. alpha1974

    alpha1974 Neuer User

    Registriert seit:
    5 Sep. 2006
    Beiträge:
    185
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wie mache ich das?

    "brctl show" zeigt mir nur ein Bridge Interface "wlan", in dem nur die wlan /wds-interfaces auftauchen.
     
  5. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    AVM-Menü

    Vorher in
    Einstellungen
    -> System
    --> Ansicht
    ---> Experten Ansicht aktivieren

    Einstellungen
    -> Netzwerk
    --> IP Einstellungen
    ---> Alle Computer befinden sich im mselben Netzwerk (Haken raus)

    dann hat dein WLAN ein eigenes IP Segment und schon kann man regeln über netfilter / iptables für diese Adressen definieren...
     
  6. alpha1974

    alpha1974 Neuer User

    Registriert seit:
    5 Sep. 2006
    Beiträge:
    185
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ach so, das hatte ich bereits gemacht. Beide Netze sind zwar nicht mehr in einem Bridge Interface verbunden, aber trotzdem routet die Box zwischen beiden Subnetzen. Mir ging es um eine einfache Möglichkeit, dieses Routing zwischen wlan und lan komplett abzuschalten (anstatt per iptables zu blockieren). Das Filtern habe ich ja bereits erfolgreich mit der AVM Firewall gegen Zugriffe von wlan auf wan umgesetzt: Der gesamte ausgehende Verkehr aus dem WLAN-Subnetz wird blockiert. Ist aber eigentlich auch nur eine Notlösung, weil ich bisher nicht herausgefunden habe, auf welche Weise man abschalten kann, dass überhaupt aus dem WLAN-Subnetz an das Interface "dsl" weitergeroutet wird. Dann gäbe es gar keinen Traffic über das Iface dsl, den man über die AVM Firewall blocken müsste.

    Gruß
    alpha1974
     
  7. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Fritzbox ist ein router, die Default Route 0.0.0.0 für alles was nicht explizit geroutet wird zeigt auf das dsl interface, alle internen IP Adressen werden automatisch im routing der box registriert, was ja auch ok ist. Die beste Lösung ist wirklich über eine Firewall darauf aufsetzend den Verkehr zu regeln.

    Natürlich könntest du den dhcp server der Box abschalten und den dnsmasq hernehmen und so "konfigurieren" dass er eine falsche (an der box nicht existierende) default router Adresse an den WLAN Clients verteilt, die natürlich nicht routen kann. aber dann geht halt gar kein traffic as WLAN in irgend ein Netz. Sicher ist das aber nicht, denn ein User könnte sich ja eine feste IP verpassen und die IP vom DHCP Server als Router eintrage und schon hat er es ausgehebelt.

    Du kannst aber den MAC Filter aktivieren (keine weiteren WLAN Geräte zulassen). Damit wird nur mit "bekannten" MAC Adressen verhandelt.;)

    Die sauberste und professionellste Lösung ist und bleibt aber iptables.
     
  8. bababong

    bababong Neuer User

    Registriert seit:
    19 Sep. 2007
    Beiträge:
    28
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    aber wenn ein angreifer geduldig is
    kann er ja drauf warten bis er auf einen clienten im wlan trifft
    dann kann er ganz locker die mac adresse faken und ist drin ...
     
  9. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, wenn eine NVIDIA-GFORCE Graphikkarte hat und dein WPA2 Passwort aus 4 kleinbuchstaben besteht, kann er es wohl mit einer brute-force atacke knacken und dann sich einwählen. ;)

    Also

    1. Regel: Ein möglichst langes WPA2 Passwort aus Buchstaben(Gross/klein) Sonderzeichhen und zahlen wählen.

    2. Regel MAC Filter verwenden, IP Adressen im DHCP fest zuweisen auf MAC Adresse

    3. Regel Firewall installieren und für die zulässigen IP Adressen konfigurieren.

    4. Regel WLAN abschalten, wenn man es nicht braucht.
     
  10. alpha1974

    alpha1974 Neuer User

    Registriert seit:
    5 Sep. 2006
    Beiträge:
    185
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das Szenario "MAC faken und er ist drin" lässt sich derzeit für mich nicht über WAP2 minimieren, weil mein Netgear WGR614V9 als WLAN-Bridge mit meiner 7170 nur per WDS-WEP kommunizieren kann (andere Hardware steht derzeit nicht zur Verfügung; Kabel durchs Haus verlegen scheitert am weiblichen Miteigentümer ;-)).

    Im Ergebnis soll der Angreifer aber nur das machen können, was der Client an der WLAN-Bridge kann: Auf ein SMB-Share auf dem USB-Stick an der Fritzbox zugreifen und sonst nix ;)

    Am einfachsten ist das wohl tatsächlich über iptables (und zusätzlich die AVM-Firewall, um Zugriffe nach außen zu blockieren).
     
  11. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #11 cando, 3 Feb. 2009
    Zuletzt bearbeitet: 3 Feb. 2009
    Das schaffen die iptables auch alleine, aber den dsld brauchst du wahrscheinlich sowieso zum einwählen ins Internet, da kannst Du natürlich auch die AVM Firewall gleich mitnutzen...

    Machst Du noch was anderes mit dem WLAN, oder bridge'st du nur von einer Ecke der Wohnung in die andere? Ein VPN Tunnel über die Bridge könnte da auch hilfreich sein
     
  12. alpha1974

    alpha1974 Neuer User

    Registriert seit:
    5 Sep. 2006
    Beiträge:
    185
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Da ich es einem WLAN-Eindringling möglichst schwer machen will, werde ich iptables und AVM-Firewall "in Serie schalten" ;-)

    Das WLAN soll nur und ausschließlich dazu dienen, von einer gepimpten XBox vom Wohnzimmer aus auf diverse Mediendateien zuzugreifen, die sich auf einem USB-Laufwerk an der Fritzbox befinden (z.B. Bilder, die gleichzeitig auch für Freunde und Bekannte per https über's Web eingesehen werden können).

    Leider habe ich "vor langer Zeit" ;-) noch nicht damit gerechnet, dass ich im Wohnzimmer mal einen LAN-Anschluss brauche, weshalb das bis zur nächsten Renovierung per Wlan realisiert werden muss... Sicher kann man die XBOX auch zum Tunneln überreden, da ja auch ein stinknormales Linux drauf läuft. Ich finde das XMBC aber ganz nett, und das kann meines Wissens nicht tunneln.
     
  13. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Mal über Powerline stecker nachgedacht? LAN über Stromnetz, weniger Strahlung, gute Geschwindigkeit...

    Ich hab übrigens auch die AVM Firewall + iptables kaskadiert in Betrieb. Geht recht gut. Das einzige was mir abgeht ist das fehlende Firewall-Log (wegen DECT der 7270)
     
  14. alpha1974

    alpha1974 Neuer User

    Registriert seit:
    5 Sep. 2006
    Beiträge:
    185
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Zwischenzeitlich habe ich nun Powerline ausprobiert und durfte dabei feststellen, dass es an den jeweiligen Steckdosen nicht funktioniert (jedenfalls nicht mit dem geliehenen Powerline-Equipment)... Die XBox im Wohnzimmer hängt jetzt wieder am LAN-Port des Netgear, der sich per WDS-Wlan (leider nur WEP128) mit der Fritzbox verbindet. Das Wlan-Interface auf der Fritzbox wird nun per iptables so kastriert, dass vom Wlan aus nur die Ports für den Samba-Server auf der Fritzbox offen sind. Als zweite Barriere verhindert AVM Firewall Zugriffe vom Wlan auf das DSL-Interface. Ob sich böse Buben in mein Wlan einklinken, um meine Musik vom Samba-Share anzuhören, ist mir egal...

    Nette Nebeneffekte meiner Spielereien: Ich habe iptables einschließlich ip_conntrack-Modul auf der 7170 so stabilisiert, dass es zu keinen Reboots mehr kommt (jedenfalls in meiner Konfiguration), siehe hier.

    Die Abschottung des Wlans per itables stand übrigens schon im Wiki. Und damit man die dortigen Rules auch bequem über das Web-Interface von iptables-cgi eingeben kann, ist als Nebenprodukt noch ein passender Patch für Freetz entstanden ;)
     
  15. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Powerline Lösung hat oftmals Probleme, wenn man einen 3 Phasen Anschluss
    hat und die Dosen auf unterschiedliche Phasen geschaltet sind.

    Es gibt wohl entsprechende Module, die man in den Schaltschrank bauen kann, um
    LAN über alle 3 Phase machen zu können und die gleichzeitig als Netzfilter dienen,
    um den hochfrequenten LAN - Traffic vom Nachbarn fernzuhalten.

    Ich persönlich bevorzuge eine ordenliche Cat5e Verkabelung mit einem Patchfeld,
    wo man seine Dosen wahlweise für Telefon (analog z.B. FAX), ISDN oder Gigabit
    Ethernet beschalten kann, oder eben per WLAN.

    Mit MAC-Adressen Filter, WPA2 und ordentlichen Firewalls sowohl auf dem Router
    als auch auf den Clients sollte man eigendlich auch ausreichend vor seinen bösen
    Nachbarn geschützt sein. ;)
     
  16. alpha1974

    alpha1974 Neuer User

    Registriert seit:
    5 Sep. 2006
    Beiträge:
    185
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich eigentlich auch. Derzeit laufen noch die Diskussionen, ob ich das vorhandene, aber beim Kellerausbau leider zugebaute Leerrohr, das in Wohnzimmer führt, nochmal "freilegen" darf.... Die andere Alternative (vom Keller aus in Wandnähe nach oben ins Wohnzimmer bohren) hat einen noch geringeren Woman Acceptance Factor :rolleyes:

    WPA2 fehlt mir für die Wlan-Bridge (jedenfalls mit dem derzeit vorhandenen Equipment). Damit kann ich aber wohl leben, denn ein potentieller Angreifer hat dank AVM-Firewall und iptables hoffentlich nur read-only Zugriff auf die SMB-Shares. Anderer Traffic läuft nicht über mein Wlan, weshalb ich mir denke, dass es in diesem Szenario nicht zwingend auf WPA2 ankommt.