heim LAN Absicherung Umstrukturierung torrent block

[Phil84bln]

Nabend zusammen ich hab hier ein heim netz das sich aus einer fritzbox und zwei weiteren wlan ap's zusammen setzt, die ap‘s sind via kabel an die fritz box angeschlossen die auch W-Lan verteilt
Zusätzlich hängt noch ein Rechner via LAN in dem Netz alle anderen ca. 20 Devices connecten via
W-Lan.

Ich möchte das Netz jetzt so absichern so das kein filesharing mehr läuft, da ich keine Lust hab eine Abmahnung zu bekommen und nicht zu 100% sicher stellen kann das niemand die pws weiter gibt oder diese mit geschnitten werden, W-lan sniffer etc,
daher würde ich gerne den Datenverkehr mitloggen um ggf eine Abmahnung trudelt doch ein, zumindest nachweisen zu können wer da gezogen hat,
und zusätzlich sicherstellen das p2p garnicht oder nicht so ohne weiteres eingesetzt werden kann.

Ich hab jetzt einen Mac filter eingerichtet um das wenigstens fremd surfen ein bisschen einzudämmen, bin mir aber bewust das man auch dies aushebeln kann.

Möchte jetzt noch eine Stufe weiter gehen und nach Möglichkeit einfach technisch einen riegel vorschieben, so das selbst wenn sich jemand in mein netz einklinken sollte er einfach nicht per Torrente etc downloaden/uploaden kann.

Ich hab nicht wirklich eine Idee wie ich das technisch umgesetzt bekomme.
Vorgestellt habe ich mir folgende netz Struktur.

jau wie gesagt ich hab noch keine idee, wie ich das umsetzten kann/werde
die Struktur wird so oder so etabliert da ich einen media server auf dem lappy aufsetzten möchte um von außen und innen darauf zugreifen zu können (nas/ftp/mediaserver/itunesserver).

schönen Abend euch, und danke

 

[Pitam]

Hmm könntest in der Fritzbox die Ports dafür Sperren... aber mit HTTPS wär das wieder sehr einfach zu umgehen

 

[marcol1979]

Wie weit reichen deine technischen Netzwerkkenntnisse ? OSI-Modell etc...

 

[Phil84bln]

@pitman
port sprennen nützen leider rein garnichts da zb torrent einfach random ports nutzen kann und den port 80 muss ich eh offen lassen

@marcol1979
eher rudimentär würd ich denken, also n lan kann ich einrichten, aber ich bin bereit mich wirklich in die Materie zu fressen, auch erst mal ne Woche oder mehr zu lesen

 

[Cotom]

@pitman
port sprennen nützen leider rein garnichts da zb torrent einfach random ports nutzen kann und den port 80 muss ich eh offen lassen

Ich verstehe deine Ausgangsfrage nicht, wenn du schon weißt das eine Portsperre nicht möglich bzw sinnlos ist. Das ist doch schon die Antwort auf deine Frage. Oder sehe ich da was Falsch?

 

[marcol1979]

Um so etwas zu unterbinden bräuchtest einen Proxy/Router der direkt hinter dem Modem hängt und den ganzen Netzwerkverkehr überwacht.
Wenn du entsprechende Netzwerkkenntnisse hast kannst dir mal

http://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition.aspx

anschauen.
Gibts in der Home Version kostenlos mit fast allen Features.
Damit kannst so gut wie alles im Netzwerk blockieren/erlauben/protokollieren.
Besonders praktisch wenn man seinen Nachwuchs ärgern will

 

[conf_t]

Nutze WPA2 und nimm ein generiertes, sicheres WLAN-Passwort mit 64 Zeichen. Alles andere verzögert den Zugrif aufs WLAN höchstens 5 Sekunden.

Und die Geschichte mit nem Proxy kannst du Tunneln, mache sowas häufiger. Und versuche mal HTTP(S) auf einem Proxy zu sperren

Wenn hilft nur deep paket inspection und das ist etwas overkill in Kosten und Bedienung.

 

[marcol1979]

@Nicht ich

Der Meinung war ich auch.
Das Problem bei irgendwelchen Verschlüsslungen/Tunneln ist das diese sich unverschlüsselt erstmal authentifizieren müssen.
Und das kann die Astaro schon auf Anwendungsebene unterbinden.
Habe es in Tests geschafft per SSH zu tunneln, aber als ich SSH auf Anwendungsebene sperrte ging auch das nicht mehr!

 

[Phil84bln]

@Cotom
jap siehste falsch ^^

ein port is ja nur eine art adresse/straße/route wo was rein und raus geht,
,du schliest einen port zb 2033 sagst dann halt ok da is dicht.

naja is für nen torrent kein problem nimmt dann nen anderen port und kann alles wieder rein und raus,
daher musst man noch weiter in die tiefe Gehen, und so weit ich das verstanden habe den Inhalt der Datenpakete analysieren

deshalb ist nach dem was ich gelesen habe eine potente hardware dafür erforderlich,
alles was durch geht, wird aufgemacht, ausgepackt analysiert und wieder verpackt und weiter geschickt oder halt auch nicht.

@Nicht ich
ich hab wpa 2 tkip+aes aktiv allerdings nur ein 16 stelliges generiertes pw, klingt als wüsstest du wovon du sprichst was schätzt du wie lange man brauchen würde das zu knacken ? mit 16 stellen und wie lange mit 64

@marcol1979
ok also is das was ich nutzen wollte nich so verkehttß, den bei sophos bin ich auch schon angekommen, aber wie ich das genau auf setze ist mir noch unklar.

 

[conf_t]

Also mit Astaro hatte ich noch nichts zu tun, aber die allgemein in Unternehmen installierten Proxys sind lachhaft und im Nu auszutricksen. Und einige Businesslösung die Anforderungen nicht sauber packen, wieviel Geld soll denn der TE in die Hand nehmen?

@ Phil84bln: Wie du schon richtig sagst, bringt der MAC-Filter nichts, also kannst du in auch aus machen, kostet mehr Zeit ihn zu pflegen als in zu hacken (hatte mal zu WLAN-Hacking mit Back Track Linux ne interessante Schulung). Die Tools zum Herausfinden einer vertrauten MAC oder auch versteckte SSIDs zu finden sind bei so einer Distribution genauso dabei, wie Passwortcracker mti Bibiliothek.
Da bei einem "sicheren" Passwort eine Bibiliothek nix hilf und man mit Brute-Force ran muss, kann das bei 64 Zeichen durch aus bei aktueller Rechenleistung Jahre daueren. Wechseln sollte man das PW dennoch regelmäßig. Vielleicht gibt auch das Router-Log etwas her, was dich dann bei häufigen falschen "Eintippen" pro Minute per Email informiert. Es hilft auch einfach das WLAN nicht immer an zu lassen. Die meisten Router können das WLAN per Zeitplan ein und ausschalten. Nachts braucht man es doch i.d.R. nicht, der selbst muss aber für die Bruteforce nicht wach sein und auch nachts seinen Rechner weiter machen lassen.

 

[Phil84bln]

@nicht ich
jau gut zu wissen mac adressen eintragen nervt nämlich ....

die sophos lösung scheint für heimanwender free zu sein

http://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition.aspx

http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-firewall.aspx

 

[marcol1979]

ok also is das was ich nutzen wollte nich so verkehttß, den bei sophos bin ich auch schon angekommen, aber wie ich das genau auf setze ist mir noch unklar.

Mit der UTM kann sehr viel machen, ist halt die Frage ob der Aufwand lohnt.
Kannst dich dort ja anmelden, die ISO runterladen und das ganze mal in einer VM testen.

1 VM mit der ASG, 1 VM mit einem Client der hinter der ASG hängt und kannst so mal die ganzen Szenarien durchspielen.

 

[Phil84bln]

@marcol1979 jo grade runtergeladen, werd ich wenn ich zu hause bin gleich mal testen, aber die utm ersetzt wohl das komplette bs .... ich wollt auf dem lappy eigendlich noch media server etc laufen lassen .. kann ich die utm dann auf dem lappy auch in einer vm laufen lassen ?

 

[marcol1979]

@Nicht ich

Hier 2 Sprüche die bei meiner Astaro Schulung hängengeblieben sind:

 

[Phil84bln]

^^ nice

 

[conf_t]

@marcol1979: So ist es!

 

[marcol1979]

aber die utm ersetzt wohl das komplette bs

Richtig

ich wollt auf dem lappy eigendlich noch media server etc laufen lassen .. kann ich die utm dann auf dem lappy auch in einer vm laufen lassen ?

Am besten läuft die UTM auf einer separaten Maschine mit 2 Netzwerkkarten oder auf einem Server mit entsprechender Virtualisierung.
Aber wie schon gesagt, teste es am besten erstmal in Virtualbox

 

[Cotom]

deshalb ist nach dem was ich gelesen habe eine potente hardware dafür erforderlich,
alles was durch geht, wird aufgemacht, ausgepackt analysiert und wieder verpackt und weiter geschickt oder halt auch nicht.

Also fassen wir mal zusammen, du willst für einen Privathaushalt, der bereits ein WPA2 Verschlüsseltes WLAN hat eine Infrastruktur aufbauen, die P2P-verhindert.
Da dies nicht ohne weiteres Möglich ist, wie dir bereits bekannt ist, möchtest du in zusätzliche Hard- Software investieren.
In meinen Augen rechtfertigt das Risiko nicht den Aufwand und die Kosten. Aber jeder sieht das bestimmt anders.
Ich sehe aber das Risiko, dass jemand genau mein WLAN hackt um dann über meine Leitung einen P2P download zu machen als verschwindend gering an. Vor allem wenn es in näherer Umgebung leichter zu knackende WLANs oder sogar ungesicherte Netzwerke gibt. Außerdem kann ich mir kaum vorstellen, dass sich jemand diese Mühe macht um dann ggf. 2-3 Stunden oder noch länger vor deinem Haus/Wohnung steht um sich illegale Daten aus dem Netz zu laden.
Ich tippe eher dadrauf, dass wenn sich jemand diese Mühe macht, er was anderes mit deinem Netzwerk bzw. deiner IP vor hat, als "nur" ein paar Urheberrechtsverletzungen. Da nutzt dir dann die P2P-Sperre auch nichts.

Ich halte im Privathaushalt ein WPA2 gesichertes WLAN, ggf. noch mit MAC Filter und ein bei Bedarf zu aktivierendes Gäste WLAN für Sicher genug. Zumindest wenn man Aufwand/Kosten/Nutzen abwägt, aber wie eingangs erwähnt, mag das jeder anders sehen.

 

[Phil84bln]

Am besten läuft die UTM auf einer separaten Maschine mit 2 Netzwerkkarten

chek

http://samsung.de/de/Privatkunden/M...NP-R60F002SEG/detail.aspx?atab=specifications

da drauf sollte das ganze laufen, als bs dachte ich an win7 ultimate da hab ich noch ne spare lizens rumfliegen, ne gbit expresscard hab ich grade heute gekauft.


edit
@Cotom
da ich alles da hab ist die einzige Investition zeit und das ist es mir wert

zumal bei mir ca 20 clients online sind is da massig Datenverkehr und da alle ap's 300 mbit fahren das lan gbit lan ist geht da schon mal ordendlich die post ab.

wichtiger als das nach außen dicht zu machen ist, das egal wer grade über mein ap's online geht, kein fs p2p nutzen kann und wenn doch ich ne log davon hab.

 

[EvilKnivel1]

Ich hab hier eine schöne Lösung Router -> Sun Firewall -> Astaro -> Hausnetz mit Authentifiezierung der User. Ohne Account und Passwort gibt es erst gar kein Internet und wer auf welche Seiten geht (sogar suchanfragen bei google etc.) werden Protokoliert. So kann man schön nachschauen wer was im Netz macht.