Wie werde ich Herr im eigenen Netzwerk?

Hallo,

ich habe eine Frage bzgl. Sicherheit und Verteilung der Ressourcen in meinem kleinen Heimnetz.
Ich habe einen Router mit DSL-Modem, an dem mehrere Rechner im Haus hängen.
Nun suche ich eine Möglichkeit, Zugangsberechtigungen und auch Bandbreitenbeschränkungen vergeben zu können.

Konkret z.B.: Ich möchte dem PC eines Kindes nur eine begrenzte Bandbreite zuteilen und mir persönlich mehr. Außerderm möchte ich verhindern, daß sich Freunde im Kinderzimmer einfach mit ihren mitgebrachten PCs und Switches in mein Netz einklinken.

Am wichtigsten wäre mir aber, daß z.B. der PC im Kinderzimmer zwar ins Internet kommt, aber physikalisch keinen Kontakt mit meinen eigenen PCs herstellen kann, denn ich möchte keine Viren durch sorglosen Umgang des Kindes mit dem Internet auf meine Rechner übertragen bekommen.

Also meine Frage: Gibt es Router, die in der Richtung mehr können als der Standard ?
Die z.B. hardwaremäßig eine Abtrennung bestimmter Netzwerkkabel-Anschlüsse ermöglichen, so daß der betreffende Anschluß zwar ins internet kommt, aber keinen Zugriff auf die anderen Anschlüsse hat ?

MfG,
Matthias

 

Das funktioniert nicht. Wenn Kabel dran, dann grundsätzlich auch Kabel dran. Wenn du eine physikalische Trennung willst, brauchst du 2 Netzwerke und 2 Internetleitungen.

Ich verwende Netgear ProSafe Router (siehe "mein System"). Damit lassen sich Rechner im Netz anhand der IP/MAC Adresse beliebig lenken und auch die Kommunikation per Portfilter untereinander unterbinden. Die Bandbreitensteuerung ließe sich per QoS auch im Router erledigen. Um den Zugriff fremder Rechner zu verhindern, gibt es einmal den MAC-Filter und zum anderen die Möglichkeit mit festen IPs zu arbeiten. Damit brauchts im Kinderzimmer schon eine Netzwerkbrücke - selbst wenn diese vorhanden wäre, würden die dortigen Rechner automatisch den Beschränkungen des "Ziel-PC" unterliegen. Kostenpunkt für das "Top-Modell" um die 350 Euro (nur der Router - kein WLAN oder Modem dabei )

 

Hallo,

ich weiß nicht, ob 'physikalische Trennung' der richtige Begriff war.
Ich suche eine Möglichkeit zu verhindern, daß bestimmte PCs meine eigenen PCs im Netzwerk sehen und auf deren Platten zugreifen können. Meinst du das mit '... die Kommunikation per Portfilter untereinander unterbinden' ?

Und wie finde ich die MAC Adressen heraus ?

Matthias

 

Der Fragesteller schreibt leider nichts über die beteiligten Betriebssysteme. Ich denke, bei einem modernen Betriebssystem wie z.B. XP Pro lassen sich die angedachten Beschränkungen auch auf dem jeweiligen Rechner konfigurieren. Das heißt, es ist problemlos möglich, einen Rechner zwar ins Internet gehen zu lassen, aber trotz physikalischer Netzwerkverbindung keinen oder nur einen eingeschränkten Kontakt mit den anderen Rechnern zu erlauben (NTFS-Sicherheitseinstellungen, Freigabeberechtigungen ). In diesem Fall, müßte man nicht unbedingt in neue Routerhardware investieren.

Bandbreitenbeschränkung läßt sich auch softwaremäßig über ein Tool wie Netlimiter regeln :

http://www.netlimiter.com/download.php

 

Hallo Tante,

ich möchte Betriebssystemlösungen ausschließen, deshalb konkret die Frage nach einer Hardwarelösung.
Vielmehr erfordert es mein spezieller Anwendungsfall, daß auf meinen 3 PCs alle Platten freigegeben sind, außerdem habe ich keine Passworte vergeben und bin überall permanent als Admin eingeloggt. Das ist Fakt und unabänderbar.
Und um noch eins draufzusetzen: Ich habe keine Firewall und keinen Hintergrund-Virenscanner. Alle paar Wochen lasse ich mal einen Scan laufen und habe noch nie einen Virus gefunden.

Das soll alles so bleiben, denn meine PCs werden nur zu einem Zweck genutzt (Homecockpit, Flugsimulation).
Deswegen brauche ich einen Hardwareschutz.

Matthias

 

...auf einem Rechner, auf dem die versammelte Jugendbande eines Zöglings Zugriff hat... - ist nicht dein ernst

 

Ja. Hab grad nochmal in meinem Router geschaut. War die falsche Baustelle. Ich würde den "Ziel-PC" in die DMZ des Routers stecken und sämtlichen Traffic zum LAN blockieren - ist wohl die einfachere Lösung.

Per ipconfig in der Konsole. Der Weg über die IP-Adresse der Rechner ist aber sicherer. Den MAC-Filter würde ich nur zusätzlich einsetzen.

 

Konfiguriert würden die Rechner, auf die nicht zugegriffen werden soll. Auch wenn dann auf dem Kinderzimmer-Rechner jeder unbegrenzten Zugriff hat, ist das für die Netzwerksicherheit der anderen uninteressant.

 

Wie soll das z.B. bei der Bandbreite gehen?

 

Das ließe sich mit Netlimiter regeln

http://www.netlimiter.com/featurelist.php

Verstehe ich trotzdem nicht so ganz. Wenn ich auf zwei PCs alleinigen Zugriff habe, und diese zwei PCs physikalisch mit einem dritten verbunden sind, auf dem andere auch Admin-Rechte haben, bedeutet das doch nicht, das deshalb auf meine beiden PCs zugegriffen werden kann; auch wenn dort keine Passworte vergeben sind. Wenn dort nichts freigegeben worden ist f ü r d e n Kinderzimmer-PC, dann kann der auch auf nichts zugreifen; egal, wer was machen kann auf dem Kinderzimmer-PC.

Aber vielleicht habe ich ja nur irgendwas falsch verstanden.

 

Also ich installiere Netlimiter nicht auf dem Kinder-PC und selbiger geht per Router direkt ins Internet. Ich wüsste nicht, wie Netlimiter auf einem "unbeteiligten" PC, dem Kinder-PC die Bandbreite einschränken sollte.

 

@Kalweit:
"Ich würde den "Ziel-PC" in die DMZ des Routers stecken und sämtlichen Traffic zum LAN blockieren - ist wohl die einfachere Lösung."
Das klingt interessant, scheint zu sein, was ich suche ! Kannst du mir das nochmal erklären ? DMZ sagt mir nicht wirklich was; aber Traffic zum LAN blockieren, das suche ich !

@TanteElse:
'Netlimiter' hatte ich auch schon mal gefunden, aber ich sehe das Problem so wie kalweit: Das Programm müßte auf dem zu 'saktionierenden' PC laufen, und dort kann es das 'böse Kind' (uahh, jetzt wird's kinderfeindlich) ja auch manipulieren, bzw. ich habe keinen Remote-Zugriff darauf.
Aber erklär mir das doch noch mal mit den Rechten. Ich kannte es bisher nur so, daß, wenn ich kein Login einrichte und eine Platte freigebe, diese dann auch von jedem PC im Netz gesehen und manipuliert werden kann ?!


MfG,
Matthias

 

Warum nicht ? Ich habe ja von einem der anderen PCs aus die Remote-Kontrolle, ob er korrekt läuft; er läßt sich mit einem eigenen Konfigurationskennwort schützen. Außerdem habe ich die Möglichkeit, den lokalen Programmzugriff sogar für Accounts mit Admin-Rechten über secpol.msc zu sperren.

 

Habe gerade noch folgendes entdeckt:

"am besten hängst du einfach einen weiteren router vor den rechner deines sohnes. dann musst du nur noch den ip-bereich anpassen und schon hast du dein zweites subnetz, inkl. eigenem dhcp server, filtermöglichkeiten etc. zwei router hintereinander ist auch eine sichere lösung für z.b. eine dmz."

Wie ist denn das zu verstehen ?

Matthias

 

Unter XP Pro kannst du deine Freigaben so konfigurieren, dass nur authentifizierte Benutzer darauf zugreifen können.Ob dann die ganze Platte freigegeben ist oder nur ein Ordner, spielt für das Prinzip keine Rolle.

An sich ist für den Netzwerkzugriff unter XP Pro mit der erweiterten Freigabe ein Kennwort Standardvoraussetzung. Das kann man aber auf dem jeweiligen Zielrechner über die Sicherheitsrichtlinen deaktivieren und macht dann die Angelegenheit etwas komplizierter; aber nicht unmöglich. In diesem Fall wäre es wichtig, auf dem Zielrechner den vollen Zugriff nur für Benutzer einzurichten, deren Accountnamen für den Kinderzimmerrechner nicht bekannt sind. Der Administrator (der ja auch standardmäßig als Account auf dem Kinderzimmerechner vorhanden ist, kann von den Freigaben her ausgesperrt werden (erweiterte Dateifreigabe)).

 

Danke erstmal, das sind ja schon ein paar gute Tips.
Ich hoffe, ich kann noch mal nachfragen, wenn ich mich beim Ausprobieren verrenne ....

Matthias

 

...das nützt dir nicht die Bohne, wenn der Zögling eine Live-CD ins Laufwerk schiebt und von da seinen Esel anwirft.

 

Die DMZ ist ein IP-Bereich, der sich in der Routerfirewall unabhängig von den restlichen Rechnern im LAN konfigurieren lässt. Sie dient eigentlich dazu, Server, die Dienste ins WAN bereitstellen vom restlichen Netz zu trennen.

 

Das kann ich mit BIOS-Passwort verhindern.

 

Jo, so lange wie die Elkos die Spannung der BIOS-Batterie halten können.