Möglichkeiten zur Netzwerkbeschränkung (MAC-Filter & Co.)

[Nacho_Man]

Hi,
für unser Gästezimmer dient eine Vu+ Zero per LAN an einem AVM 450E WLAN-Repeater zum Streamen der TV-Programme an einen alten Fernseher.

Da keiner mit seinem Laptop o.ä. auf unser Netz zugreifen soll wäre eine Möglichkeit schön, den LAN-Anschluss des Repeaters nur an der erwähnten Receiver-Box "funktionsfähig" zu machen.

Per WLAN ist das ja problemlos, da die Gäste das WLAN-Passwort nicht erhalten, nur der LAN-Anschluss macht direkt jedes Gerät internetfähig.
Gibt es Möglichkeiten, dies zu realisieren? Es dürfen auch gerne andere WLAN-Repeater/Bridges dazu empfohlen werden.
Ein einfacher MAC-Filter, bei dem die MAC-Adresse des Receivers als Ausnahme eingetragen wird fällt mir da ein. Ginge das mit den vorhandenen Geräten, bzw. gäbe es da noch andere Möglichkeiten?

Vielen Dank.

 

[thebackfisch]

Geht es nur darum, dass Gäste keinen Zugriff auf andere Geräte erhalten oder darum, dass sie generell keinen Netzwerkzugang erhalten sollen?

Falls nur die Netze getrennt werden sollen, kann man ein Gastnetz einrichten (http://avm.de/nc/service/fritzwlan/fritzwlan-repeater-450e/wissensdatenbank/publication/show/1445_Gastzugang-privater-Hotspot-in-FRITZ-WLAN-Repeater-einrichten/)

Falls aber generell kein Netzwerkzugang möglich sein soll, wird es schwieriger. So weit ich weiß, unterstützen die AVM-Geräte nur MAC-Filter im WLAN. Abgesehen davon, ist es nicht wirklich schwer einen MAC-Filter zu umgehen. MAC-Adressen lassen sich beliebig ändern und meist stehen sie irgendwo auf dem Gerät.
Mir würde nur ein physischer Schutz um den Repeater einfallen, z.B. eine Plastikbox

 

[Nacho_Man]

Geht es nur darum, dass Gäste keinen Zugriff auf andere Geräte erhalten oder darum, dass sie generell keinen Netzwerkzugang erhalten sollen?

Es sollen generell keine weiteren Geräte sich einloggen/surfen können. Quasi wie im Repeater eingestellt "Zugriff auf die bekannten Geräte beschränken"
Der Repeater greift erst über einen weiteren Repeater (allerdings als LAN-Brücke, daher innerhalb der Spezifikation) auf die die Fritz!Box mit dem Internetzugang zu, daher müsste die Beschränkung auf die bekannten Geräte im 1. Repeater ja theoretisch bereits erfolgreich sein, oder?
Seltsamerweise funktioniert Internet bei dieser Einstellung trotzdem wenn ich den Laptop an den LAN-Anschluss des zweiten Repeaters anschliesse.
Laut AVM-Support wird das beim nächsten FW-Update evtl. "bedacht"

Abgesehen davon, ist es nicht wirklich schwer einen MAC-Filter zu umgehen. MAC-Adressen lassen sich beliebig ändern und meist stehen sie irgendwo auf dem Gerät.
Mir würde nur ein physischer Schutz um den Repeater einfallen, z.B. eine Plastikbox

Klar doch, der Repeater wird auf eine Holzplatte mit Winkeladaptern montiert und mit einem Stahlträger verschweisst und gekapselt, so wird der WLAN-Zugang aktiv verhindert.
Theoretisch würde ein "Übermalen" der MAC-Adresse des Receivers ebenso ausreichen, oder?

 

[Raijin]

MAC-Filter bieten keine Sicherheit, sie sind reine Illusion. Man kann mit Windows-Boardmitteln (Gerätemanager) binnen 10 Sekunden die eigene MAC-Adresse ändern. Gültige MACs findet man fast genauso schnell heraus, nicht nur durch Aufkleber, sondern auch durch gängige WLAN-Scanner...

Du könntest den LAN-Anschluss im fraglichen Zimmer auf ein eigenes VLAN setzen. Dazu benötigst du einen VLAN-fähigen Switch, dem du dann den Ports jeweils ein VLAN zuweisen kannst. Entsprechende Regeln erlauben bzw. verhindern dann den Zugriff von einem VLAN auf das andere. Alternativ kannst du auch eine Hardware-Firewall bzw. einen fähigen Router (kein 08/15 Consumergerät) verwenden.

Genau genommen beschreibst du aber zwei verschiedene Szenarien. Einerseits soll niemand auf dein privates Netzwerk zugreifen können (VLAN/Firewall), andererseits soll aber auch kein anderes Gerät überhaupt surfen können. Mit letzterem habe ich mich offen gestanden noch nicht beschäftigt. MAC ist wie bereits erwähnt kein ausreichendes Kennzeichen. Mir würde spontan ein ähnliches System einfallen wie es in Hotels genutzt wird, über Nutzerlogins. Eine andere Möglichkeit wäre ein interner VPN-Tunnel zwischen einem Router im Gästezimmer und dem LAN.

Ich weiß nicht wie gut/schlecht die Gästefunktionen in 08/15 Consumer-Routern sind.

 

[Nacho_Man]

MAC-Filter bieten keine Sicherheit, sie sind reine Illusion.

Jupp, ist schon recht einfach zu umgehen, je nach Alter.

Du könntest den LAN-Anschluss im fraglichen Zimmer auf ein eigenes VLAN setzen. Dazu benötigst du einen VLAN-fähigen Switch, dem du dann den Ports jeweils ein VLAN zuweisen kannst.

Wäre dieser Smart managed Switch hier passend? Er beherrscht port-basiertes VLAN:
http://www.amazon.de/Netgear-GS105E...ie=UTF8&qid=1431342001&sr=8-1&keywords=gs105e
Nur wo (Ort) wird er dann physisch eingebunden?
Hiesse dann ja, dass nur das abgetrennte VLAN auf die Funktionen im Netzwerk habe die ich ihm im Interface zuweise und die anderen LAN-Ports gesperrt sind.
Liesse sich dasselbe auch mit einer einfachen WLAN-Bridge in einem einzigen Gerät realisieren oder sind die Firmwares der "Consumer"-Geräte dazu zu rudimentär?
http://www.amazon.de/dp/B00I4UPYFO/...&creativeASIN=B00I4UPYFO&childASIN=B00I4UPYFO

Mir würde spontan ein ähnliches System einfallen wie es in Hotels genutzt wird, über Nutzerlogins.

Die Software/Hardware dazu wäre wohl allgemein zu teuer/aufwändig, wäre aber auch sehr interessant, danke.

Die Gastfunktion in der Fritz!Box ist nicht besonders umfangreich, stimmt.

 

[st0rax]

vlan ist natürlich ne schöne sache, keine Frage.
Ich bezweifele allerdings ob das das richtige für deinen Fall ist.

Mmn macht es keinen Sinn ein Vlan zu erstellen an dem nichts hängt, das wäre wie ein weiterer switch der nur ein Stromkabel angeschlossen hat.
Sinnvoller wäre es hier nach einem Switch zu schauen bei dem man einzelne Ports abschalten kann (ich gehe davon aus das der von dir genannte das beherrscht).

 

[Nacho_Man]

Mmn macht es keinen Sinn ein Vlan zu erstellen an dem nichts hängt, das wäre wie ein weiterer switch der nur ein Stromkabel angeschlossen hat.
Sinnvoller wäre es hier nach einem Switch zu schauen bei dem man einzelne Ports abschalten kann (ich gehe davon aus das der von dir genannte das beherrscht).

Wieso, der Receiver soll doch als Nutzgerät im VLAN daran sein?
Hier geht es nicht nur darum, die anderen Ports abzuschalten, sondern auch den belegten LAN-Port nur für den erwähnten Receiver freizuschalten bzw. nur das Streaming zu erlauben.

 

[Raijin]

Naja, beim VLAN könnte man wie folgt vorgehen:


- Switch (zB 8-Port) mit VLAN an zentraler Stelle
- Port 1 = VLAN1 = Internet (Router)
- Port 2-7 = VLAN2 = Heimnetzwerk
- Port 8 = VLAN3 = Gast

An dieser Stelle sind erstmal alle VLANs voneinander getrennt. Man benötigt nun ein Gerät, dass zwischen den VLANs routet. Das kann ein Layer3-Switch sein oder auch ein Rechner bzw. (HW-)Router, der in allen VLANs drin ist. Genau genommen muss man aber nicht zwangsläufig VLANs nutzen, ein Router mit 3 Netzwerkschnittstellen ist prinzipiell ausreichend. Beispielsweise der EdgeRouter Lite (~100€).

Wie gesagt, das trennt nur die einzelnen Netzwerke untereinander. Das ist KEINE Zugriffskontrolle auf Basis spezifischer Geräte. Zieht man den Receiver raus und steckt den Laptop rein, ist hat er dieselben Zugriffsrechte. In dem Falle entweder "nix" oder eben "nur Internet".

Deswegen hatte ich ja erwähnt, dass wir von zwei Szenarien reden, die Trennung Heimnetzwerk <-> Gastnetzwerk auf der einen Seite und die Beschränkung auf ein spezifisches Gerät auf der anderen.


Mit besagter Beschränkung auf ein Gerät habe ich mich wie gesagt nie wirklich beschäftigt. Vermutlich fährt man einfacher, wenn man in der Firewall Regeln definiert, die nur die Streaming-Ports erlauben. Darüberhinaus fallen mir nur teure professionelle oder bastelintensive und komplexe Lösungen ein.

 

[Nacho_Man]

So, scheint ja schwerer als gedacht zu sein.
Theoretisch reicht auch das Gegenteil vom Gastnetz, welches ja Internetzugriff aber keinen Netzwerkzugriff erlaubt, kann man leider auch nicht in den spezifischen Einstellungen ändern.

Technisch wird es auch gar nicht möglich sein, nur ein bestimmtes Gerät an einem LAN-Port zu erlauben, da die Identifizierung ja mit der MAC-Adresse erfolgt, und die kann man ja ohne Probleme ändern.

 

[st0rax]

Naja das mit den Mac adressen sehe ich persönlich nicht so kritisch, denn das mit der Mac adresse "ändern" ist immer leicht dahergesagt, probiers mal, so einfach ist das gar nicht:

1. müsste man erstmal rausfinden was für mac adressen überhaupt zugelassen sind.
2. muss die eigene mac adresse entsprechend abgeändert werden.

Dafür braucht man schon ein bischen know-how.
Du wirst ja auch niemandem auf die nase binden wie genau dein Netzwerk abgesichert ist.

Außerdem braucht der jenige sowieso erstmal physikalischen Zugriff auf dein Netz.
Entsprechende relevante Daten würde ich einfach per Passwort schützen.

Ich frage mich auch was denn jemand in deinem Netzwerk anrichten soll.

Wichtige daten und dokumente gehören nicht in offene freigaben.

 

[Twostone]

In einfacher Form könnte IEEE802.1x-basierte Anmeldung in etwa dem entsprechen, was Dir so vorschwebt. Diese Anmeldeinformationen kannst Du dann auch für einen Proxy nutzen, der (nutzerbasiert) Zugriff auf die große weite Welt einschränkt.

Dumm nur, daß nicht alle Consumer-Geräte dies unterstützen.

Eine weitere Möglichkeit wäre der Aufbau mehrerer, über einen Gateway verbundener Subnetze. Auch hier wäre ein Proxy für den Zugang zur weltweiten wundertüte recht hilfreich, um eine feiner strukturierte Zugriffsbeschränkung zu ermöglichen, die nicht von leicht änderbaren/herausfindbaren Faktoren wie etwa der MAC-Adresse abhängt. Weiterhin gäbe es auch die Möglichkeit, sowohl WLAN als auch LAN mit einem "captive Portal" zu versehen, welches auch hier nur einer geschlossenen Gruppe den Zugang zu weiteren Diensten ermöglicht.

 

[Raijin]

Eine Lösung, die deinen Anforderungen möglichst nahe kommt, wäre wohl folgendes Setup:

EdgeRouter Lite
- Port0 = Internet
- Port1 = LAN
- Port2 = Gast

Firewall
Gast-to-LAN = block
Gast-to-Internet = allow (Port 80, xx, yy, zz only)

Dafür gibt es schon fertige Konfigurationen, die man auch als Laie auf dem EdgeRouter aufspielen kann. Die Ports, die man freigeben will, muss man natürlich definieren. Ich weiß zB nicht über welche Ports deine Box streamt. Wenn man das entsprechend konfiguriert, kann der Gast zwar seinen Laptop anklemmen, aber nur das nutzen was man freigegeben hat (zB Port80 wwwsurfing only).

 

[Nacho_Man]

Wichtige daten und dokumente gehören nicht in offene freigaben.

Natürlich nicht, dass ist alles gesichert, keine Sorge. Mir geht es darum, dass der Receiver nur Zugriff auf die Serverbox (Vu+ Duo²) hat und auch unter den gesicherten "Medienservern" die anderen Geräte nicht erscheinen.
Mit einer Vu+ (falls einer die kennt) kann man nun mal sehr viel machen.

Gültige MACs findet man fast genauso schnell heraus, nicht nur durch Aufkleber, sondern auch durch gängige WLAN-Scanner...

Kann man die MAC-Adresse nicht "maskieren" indem man das Netzwerk unsichtbar o.ä. macht?
Sorry dass ich auf deine Anmerkung erst so spät zurückkomme.

Eine Lösung, die deinen Anforderungen möglichst nahe kommt, wäre wohl folgendes Setup:
EdgeRouter Lite
- Port0 = Internet
- Port1 = LAN
- Port2 = Gast
Firewall
Gast-to-LAN = block
Gast-to-Internet = allow (Port 80, xx, yy, zz only)
Dafür gibt es schon fertige Konfigurationen, die man auch als Laie auf dem EdgeRouter aufspielen kann. Die Ports, die man freigeben will, muss man natürlich definieren. Ich weiß zB nicht über welche Ports deine Box streamt. Wenn man das entsprechend konfiguriert, kann der Gast zwar seinen Laptop anklemmen, aber nur das nutzen was man freigegeben hat (zB Port80 wwwsurfing only).

Interessant, danke.
Mir fällt es nur schwer, zu verstehen, wie man physisch die drei LANs verbinden soll? Der Receiver und WLAN steht ja ganz woanders als der Router? Oder kann ich die Leitungen einfach am Router "zusammenstöpseln"? Immerhin läuft auf dem LAN-Kabel auch das normale private Netzwerk.

Zuerst kann ich ja mal die einfache Variante mit der MAC-Adresse ausprobieren, ginge das mit den vorhandenen Repeatern und der Fritz!Box? Einfach die Funktion nutzen "Bekannte Geräte beschränken" (ist sowieso immer an)?

Falls der Gast Torrent-Seiten oder "Schmuddelkram" nutzt ist dann noch nachvollziehbar welches Gerät das war oder gilt hier nur die nach aussen hin verfolgbare IP-Adresse des DSL-Anschlusses als Verursacher (Haftung)?

 

[Twostone]

Falls der Gast Torrent-Seiten oder "Schmuddelkram" nutzt ist dann noch nachvollziehbar welches Gerät das war oder gilt hier nur die nach aussen hin verfolgbare IP-Adresse des DSL-Anschlusses als Verursacher (Haftung)?

Wenn Du sowas willst, bist Du auch schon wieder beim Proxy, wenngleich hier auch ein transparenter ausreichen würde. Der Packet filter setzt etwas tiefer an, so müßtest Du zu jeder "Schmuddeladresse" auch die CIDR kennen, um sie im Log des pf wiederzufinden.

 

[Nacho_Man]

Ich glaube hier liegt ein kleines Missverständnis vor, die Gäste sollen gar kein Internet erhalten, nur der Receiver soll per Netzwerk mit der Serverbox kommunizieren und so die Programme streamen.

Ich suche nur eine Möglichkeit, den LAN-Anschluß des Repeaters (oder eines anderen Geräts, bis 100€) aus dem Internet auszusperren und nicht aus dem Netzwerk, dort ist nämlich alles gesichert.

Macht das das ganze Vorhaben vielleicht einfacher?
Langsam wird es nicht mehr machbar für Laien ohne Zeit zur umfangreichen Einarbeitung.

 

[Raijin]

Irgendwie ist das immer noch etwas undurchsichtig. Ganz ehrlich: Wenn du dem Gast nicht traust, solltest du ihm überhaupt keinen Zugang gewähren. Nur durch ein Forum kann man dir nicht ausreichend helfen, wenn dir selbst das Fachwissen fehlt. Möglichkeiten gibt es, aber sie bedürfen einerseits zT Hardware und andererseits das KnowHow sie auch einzusetzen.

 

[Nacho_Man]

Wenn du dem Gast nicht traust, solltest du ihm überhaupt keinen Zugang gewähren.

Das tue ich, nur der Hauseigentümer ist da etwas ängstlich.

Ich werde zuerst einmal die normale Version mit der MAC-Adressen-Beschränkung nutzen, danke an alle für das Teilen eures Fachwissens.