Zugriff für Wlan-Clients NUR auf Fritzbox?

alpha1974

Neuer User
Mitglied seit
5 Sep 2006
Beiträge
185
Punkte für Reaktionen
0
Punkte
0
Hi folks,

hier läuft eine Fritzbox 7170 mit Freetz-Samba. Auf die Samba-Freigaben auf dem USB-Stick soll per Wlan zugegriffen werden. Das Wlan kann nur WEP-gesichert sein, weil die Wlan-Bridge, an der der Client hängt, nur WDS-WEP kann. Der Client soll deshalb nur und ausschließlich auf die Samba-Freigaben zugreifen können. Für den Fall, dass ein böser Bube die WEP-Verschlüsselung knackt, die MAC- und lokale IP-Adresse fälscht und sich als Client ausgibt, soll die Fritzbox verhindern, dass der Bösewicht im Internet surft oder auf das LAN zugreifen kann.

Ich habe bereits Folgendes gemacht:

1. Wlan und Lan haben getrennte Subnetze (über das AVM-WebIF)
2. Über die AVM-Firewall werden alle ausgehenden Verbindungen aus dem WLAN-Subnetz blockiert. Damit ist kein Zugriff mehr vom WLAN-Subnetz ins Internet möglich (funktioniert auch).

Aber wie kann ich den Zugriff vom WLAN-Subnetz ins LAN verhindern und trotzdem noch (nur) auf die Fritzbox-Samba-Freigaben zugreifen? Offenbar routet die Fritzbox trotz unterschiedlicher Subnetze munter zwischen LAN und WLAN.

Kann man das evtl. per route add / route del ändern oder muss ich iptables bemühen (die AVM Firewall filtert ja nur den Traffic über Iface dsl)?

Über die Suchfunktion habe ich zwar einiges über vlans und DMZ gefunden, aber ich brauche ja "nur" eine Kastration des WLAN-Routings auf genau eine IP, nämlich die der Fritzbox.

Besten Dank,
alpah1974
 
Mal ganz banal unter WLAN-Funkeinstellungen "WLAN-Netzwerkgeräte dürfen untereinander kommunizieren" deaktiviert und getestet?
 
Wenn Du es ganz sicher machen willst, kannst du das Bridge Interface zwischen LAN / WLAN deaktivieren, iptables in freetz packen und per Firewall Regeln auf den Interfaces genau nur die gewünschten Adressen / Ports freigeben und den Rest sperren.

So eine Art WLAN-DMZ.

Darüberhinaus könntest Du den Zugriff aus dem LAN ins WLAN für bestimmte Ports / Dienste zulassen um zum Beispiel die Kisten zu Monitoren.

Die Möglichkeiten sind da sehr umfangreich.

(Google mal nach Netfilter / iptables)
 
Wenn Du es ganz sicher machen willst, kannst du das Bridge Interface zwischen LAN / WLAN deaktivieren,...
Wie mache ich das?

"brctl show" zeigt mir nur ein Bridge Interface "wlan", in dem nur die wlan /wds-interfaces auftauchen.
 
AVM-Menü

Vorher in
Einstellungen
-> System
--> Ansicht
---> Experten Ansicht aktivieren

Einstellungen
-> Netzwerk
--> IP Einstellungen
---> Alle Computer befinden sich im mselben Netzwerk (Haken raus)

dann hat dein WLAN ein eigenes IP Segment und schon kann man regeln über netfilter / iptables für diese Adressen definieren...
 
Ach so, das hatte ich bereits gemacht. Beide Netze sind zwar nicht mehr in einem Bridge Interface verbunden, aber trotzdem routet die Box zwischen beiden Subnetzen. Mir ging es um eine einfache Möglichkeit, dieses Routing zwischen wlan und lan komplett abzuschalten (anstatt per iptables zu blockieren). Das Filtern habe ich ja bereits erfolgreich mit der AVM Firewall gegen Zugriffe von wlan auf wan umgesetzt: Der gesamte ausgehende Verkehr aus dem WLAN-Subnetz wird blockiert. Ist aber eigentlich auch nur eine Notlösung, weil ich bisher nicht herausgefunden habe, auf welche Weise man abschalten kann, dass überhaupt aus dem WLAN-Subnetz an das Interface "dsl" weitergeroutet wird. Dann gäbe es gar keinen Traffic über das Iface dsl, den man über die AVM Firewall blocken müsste.

Gruß
alpha1974
 
Die Fritzbox ist ein router, die Default Route 0.0.0.0 für alles was nicht explizit geroutet wird zeigt auf das dsl interface, alle internen IP Adressen werden automatisch im routing der box registriert, was ja auch ok ist. Die beste Lösung ist wirklich über eine Firewall darauf aufsetzend den Verkehr zu regeln.

Natürlich könntest du den dhcp server der Box abschalten und den dnsmasq hernehmen und so "konfigurieren" dass er eine falsche (an der box nicht existierende) default router Adresse an den WLAN Clients verteilt, die natürlich nicht routen kann. aber dann geht halt gar kein traffic as WLAN in irgend ein Netz. Sicher ist das aber nicht, denn ein User könnte sich ja eine feste IP verpassen und die IP vom DHCP Server als Router eintrage und schon hat er es ausgehebelt.

Du kannst aber den MAC Filter aktivieren (keine weiteren WLAN Geräte zulassen). Damit wird nur mit "bekannten" MAC Adressen verhandelt.;)

Die sauberste und professionellste Lösung ist und bleibt aber iptables.
 
aber wenn ein angreifer geduldig is
kann er ja drauf warten bis er auf einen clienten im wlan trifft
dann kann er ganz locker die mac adresse faken und ist drin ...
 
Ja, wenn eine NVIDIA-GFORCE Graphikkarte hat und dein WPA2 Passwort aus 4 kleinbuchstaben besteht, kann er es wohl mit einer brute-force atacke knacken und dann sich einwählen. ;)

Also

1. Regel: Ein möglichst langes WPA2 Passwort aus Buchstaben(Gross/klein) Sonderzeichhen und zahlen wählen.

2. Regel MAC Filter verwenden, IP Adressen im DHCP fest zuweisen auf MAC Adresse

3. Regel Firewall installieren und für die zulässigen IP Adressen konfigurieren.

4. Regel WLAN abschalten, wenn man es nicht braucht.
 
Das Szenario "MAC faken und er ist drin" lässt sich derzeit für mich nicht über WAP2 minimieren, weil mein Netgear WGR614V9 als WLAN-Bridge mit meiner 7170 nur per WDS-WEP kommunizieren kann (andere Hardware steht derzeit nicht zur Verfügung; Kabel durchs Haus verlegen scheitert am weiblichen Miteigentümer ;-)).

Im Ergebnis soll der Angreifer aber nur das machen können, was der Client an der WLAN-Bridge kann: Auf ein SMB-Share auf dem USB-Stick an der Fritzbox zugreifen und sonst nix ;)

Am einfachsten ist das wohl tatsächlich über iptables (und zusätzlich die AVM-Firewall, um Zugriffe nach außen zu blockieren).
 
...und zusätzlich die AVM-Firewall, um Zugriffe nach außen zu blockieren...

Das schaffen die iptables auch alleine, aber den dsld brauchst du wahrscheinlich sowieso zum einwählen ins Internet, da kannst Du natürlich auch die AVM Firewall gleich mitnutzen...

Machst Du noch was anderes mit dem WLAN, oder bridge'st du nur von einer Ecke der Wohnung in die andere? Ein VPN Tunnel über die Bridge könnte da auch hilfreich sein
 
Zuletzt bearbeitet:
Da ich es einem WLAN-Eindringling möglichst schwer machen will, werde ich iptables und AVM-Firewall "in Serie schalten" ;-)

Das WLAN soll nur und ausschließlich dazu dienen, von einer gepimpten XBox vom Wohnzimmer aus auf diverse Mediendateien zuzugreifen, die sich auf einem USB-Laufwerk an der Fritzbox befinden (z.B. Bilder, die gleichzeitig auch für Freunde und Bekannte per https über's Web eingesehen werden können).

Leider habe ich "vor langer Zeit" ;-) noch nicht damit gerechnet, dass ich im Wohnzimmer mal einen LAN-Anschluss brauche, weshalb das bis zur nächsten Renovierung per Wlan realisiert werden muss... Sicher kann man die XBOX auch zum Tunneln überreden, da ja auch ein stinknormales Linux drauf läuft. Ich finde das XMBC aber ganz nett, und das kann meines Wissens nicht tunneln.
 
Mal über Powerline stecker nachgedacht? LAN über Stromnetz, weniger Strahlung, gute Geschwindigkeit...

Ich hab übrigens auch die AVM Firewall + iptables kaskadiert in Betrieb. Geht recht gut. Das einzige was mir abgeht ist das fehlende Firewall-Log (wegen DECT der 7270)
 
Zwischenzeitlich habe ich nun Powerline ausprobiert und durfte dabei feststellen, dass es an den jeweiligen Steckdosen nicht funktioniert (jedenfalls nicht mit dem geliehenen Powerline-Equipment)... Die XBox im Wohnzimmer hängt jetzt wieder am LAN-Port des Netgear, der sich per WDS-Wlan (leider nur WEP128) mit der Fritzbox verbindet. Das Wlan-Interface auf der Fritzbox wird nun per iptables so kastriert, dass vom Wlan aus nur die Ports für den Samba-Server auf der Fritzbox offen sind. Als zweite Barriere verhindert AVM Firewall Zugriffe vom Wlan auf das DSL-Interface. Ob sich böse Buben in mein Wlan einklinken, um meine Musik vom Samba-Share anzuhören, ist mir egal...

Nette Nebeneffekte meiner Spielereien: Ich habe iptables einschließlich ip_conntrack-Modul auf der 7170 so stabilisiert, dass es zu keinen Reboots mehr kommt (jedenfalls in meiner Konfiguration), siehe hier.

Die Abschottung des Wlans per itables stand übrigens schon im Wiki. Und damit man die dortigen Rules auch bequem über das Web-Interface von iptables-cgi eingeben kann, ist als Nebenprodukt noch ein passender Patch für Freetz entstanden ;)
 
Die Powerline Lösung hat oftmals Probleme, wenn man einen 3 Phasen Anschluss
hat und die Dosen auf unterschiedliche Phasen geschaltet sind.

Es gibt wohl entsprechende Module, die man in den Schaltschrank bauen kann, um
LAN über alle 3 Phase machen zu können und die gleichzeitig als Netzfilter dienen,
um den hochfrequenten LAN - Traffic vom Nachbarn fernzuhalten.

Ich persönlich bevorzuge eine ordenliche Cat5e Verkabelung mit einem Patchfeld,
wo man seine Dosen wahlweise für Telefon (analog z.B. FAX), ISDN oder Gigabit
Ethernet beschalten kann, oder eben per WLAN.

Mit MAC-Adressen Filter, WPA2 und ordentlichen Firewalls sowohl auf dem Router
als auch auf den Clients sollte man eigendlich auch ausreichend vor seinen bösen
Nachbarn geschützt sein. ;)
 
Ich persönlich bevorzuge eine ordenliche Cat5e Verkabelung
Ich eigentlich auch. Derzeit laufen noch die Diskussionen, ob ich das vorhandene, aber beim Kellerausbau leider zugebaute Leerrohr, das in Wohnzimmer führt, nochmal "freilegen" darf.... Die andere Alternative (vom Keller aus in Wandnähe nach oben ins Wohnzimmer bohren) hat einen noch geringeren Woman Acceptance Factor :rolleyes:

Mit MAC-Adressen Filter, WPA2 und ordentlichen Firewalls sowohl auf dem Router als auch auf den Clients sollte man eigendlich auch ausreichend vor seinen bösen Nachbarn geschützt sein. ;)
WPA2 fehlt mir für die Wlan-Bridge (jedenfalls mit dem derzeit vorhandenen Equipment). Damit kann ich aber wohl leben, denn ein potentieller Angreifer hat dank AVM-Firewall und iptables hoffentlich nur read-only Zugriff auf die SMB-Shares. Anderer Traffic läuft nicht über mein Wlan, weshalb ich mir denke, dass es in diesem Szenario nicht zwingend auf WPA2 ankommt.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.