Welche Freigaben im Heimnetzwerk nötig?

[Mr. Brooks]

Mahlzeit,

mein kleines Heimnetzwerk sieht folgendermaßen aus:

• WLAN-Fritzbox mit 100Mbit-LAN als Knotenpunkt (ungemoddet)
• PC per LAN an der Fritzbox
• HTPC und Laptop per WLAN an der Fritzbox
• direkte LAN-Verbindung zwischen PC und Laptop (da über die Fritzbox nur 100er LAN)

Ich steuere per Desktopremote bzw. VNC den HTPC wenn etwas einzurichten ist sowie kopieren Daten drauf bzw. ziehe sie von dort (alles über die Direktverbindung; über WLAN gänge es auch). Steuerung des Laptop vom PC auch per VNC und Daten kopieren über WLAN. Der Laptop darf auch Daten auf einen freigegebenen Ordner auf dem PC kopieren (Schreibrecht). Auf dem PC läuft kein VNC-Server. Daten werden per Windows-Freigabe kopiert. Zur Sicherheit habe ich auf dem HTPC noch einen Filezilla-Server laufen. Alle haben Internetzugriff (Antivirus und Firewall), der HTPC über WLAN, nicht über die Direktverbindung.

PC und HTPC laufen unter Windows 7 Ultimate, Laptop unter XP. Alle haben Benutzerkonten.

So, für mich wäre jetzt mal interessant zu wissen ob man die Rechte der Rechner irgendwie eingrenzen kann und trotzdem o.g. hinbekommt? In erster Linie geht es darum Infektionen zu verhindern, wenn sich einer der Rechner etwas "einhängt". Kann man die Verbindungen zur Datenübertragung irgendwie tunneln?

 

[uhrzeit]

Hi,

in erster Linie würde ich eig. den Netzwerkaufbau so verändern dass du einen Zentralen Knotenpunkt hast, also ein Sternförmiges Netzwerk, ohne die Direktverbindungen.

Mich würde eh mal interessieren wie du die Direktverbindung konfiguriert hast.
Im PC musst du demnach ja 3 Lankarten haben. Eine Verbindung zur Fritz, die anderen beiden Zu Laptop und HTPC.

Am Sinnvollsten wäre, ja eig. an die Fritz einen Gigabitswitch zu hängen (z.B. HP V1410-8G), und dort dann alle Clients dran zu hängen.
Das mit der Direktverbindung fände ich viel zu umständlich, ausserdem hättest du dann auch eine schnelle Verbindung zwischen HTPC und Laptop


Auf die Gefahr hin, dass ich jetz von anderen gefleddert werde aber

Ansonsten würde ich alles beim alten lassen. Sehe keine großen Vorteile darin die einzelnen Clients weiter einzuschränken um sicherheit vor Viren etc. zu erlangen. Einen Virenschutz hast du ja eh schon. Und die beste Methode sich vor Viren zu schützen ist neben dem Virenschutz "vorausschauendes" Surfen

Gruß

 

[Mr. Brooks]

Hab im 1. Beitrag nen Fehler gemacht. Die Direktverbindung besteht zwischen PC und HTPC per Kabel. Demnach hab ich am PC 2 LAn-Karten.

Im Grunde ist es eine sternförmige Verbindung, nur halt noch eine direkte Verbindung zwischen PC und HTPC. Das mit dem Switch hatte ich auch überlegt, aber da muss ich wieder alles neu verkabeln (und hab am Ende mehr Kabel als vorher liegen, denn der Switch braucht ja auch Strom). Da der Laptop nur per WLAN dran hängt würde mir eine schnelle Verbindung da nichts bringen (brauch ich auch nicht; die paar mal wo "größere" Datenmengen geschrieben werden geht auch per WLAN). Die WLAn-Verbindung vom HTPC zur Fritzbox hab ich nur wegen der Internetverbindung.

Kann man die Netzwerkfreigaben noch absichern und für die einfachen Netzwerkfreigaben automatisch mitsenden? So das selbst wenn jemand ins WLAN kommt er keine Verbindung zu den Daten hat.

 

[Wilhelm14]

Also mit der Querverbindung hast du ja keine Fragen, sondern nur zur Sicherheit. Ich würde kein VNC/Remote-Desktop nehmen, sondern nur Freigaben. So können Daten kopiert, aber nichts ausgeführt werden. Die Rechner stecken sich nicht an. Du kannst auf "Freigeben" für... "Bestimmte Personen" klicken. Und mit Kennwort freigeben, siehe "Erweiterte Freigabeeinstellungen". Bricht jetzt jemand in dein WLAN ein und will auf die Freigabe zugreifen, muss er Benutzername/Kennwort eintippen. Wenn du WPA2 hast und der Schlüssel möglichst lang (60 Zeichen), würde ich mir keine Gedanken machen.

Generell, bist du alleine zu hause, bzw. der einzige, der Freigaben kennt? Ich würde sonst den ganzen Sicherheitskram auslassen. Bringt nur Ärger.
PS: WLAN verschlüsseln ja, aber Freigaben offen lassen.

 

[uhrzeit]

Warum würdest du keine Fernwartung verwenden?
Mich würde mal interessieren welcher Virus einen anderen PC per Remote Desktop infizieren kann.
Also wegen der Fernwartung würde ich mir keine Gedanken machen. Und ein WPA2 gesichertes WLAN ist für dein Heimgebrauch auch sicher genug geschützt.

Kennwortgeschützte Freigabe kann man zwar machen, aber mMn steht der Nutzen hier in keinem Verhältnis zum Aufwand

 

[Wilhelm14]

Ich bin kein Sicherheitsexperte und kenne mich mit Fernwartung und ihrem Riskio/Sicherheit nicht aus. Aber per Freigabe kann man eine verseuchte *.exe kopieren, per Fernwartung ausführen. Ohne Fernwartung könnte man das nicht, sondern nur über die Freigaben kopieren - nicht zünden. Ein theoretischer Gedankengang.

Zuhause im Heimnetzwerk natürlich ein kleines Risiko. Zuhause sind aber wie gesagt auch normale Freigaben einfacher zu händeln. WPA2 gegen ungebetene Gäste, der Rest ist im Heimnetz nicht nötig.

PS: Mr. Brooks kann ja nochmal präzisieren, was er gegen was absichern will. Das eigene Notebook gegen den eigenen PC gegen den eigenen HTPC abzurammeln würde ich lassen.

 

[Mr. Brooks]

Auf die Fernwartung kann ich nicht verzichten, ich muss ja manchmal Sachen am HTPC ändern. Und Maus und Tastatur am Wohnzimmertisch da krieg ich Ärger mit der Frau.

Ich bin mir nicht so recht im klaren darüber, wann ein Virus auf dem Rechner zum Problem wird. Angenommen ich kopiere mir etwas von einem USB von einem Bekannten, dann starte ich den Virus ja auch nicht direkt, dennoch kann er in mein System eindringen (wenn man z. B. als Admin angemeldet ist). Von daher hab ich es für möglich gehalten, dass wenn z. B. der HTPC nicht etwas einfängt sich dieser Schadcode auch über die Netzwerkfreigaben verbreiten kann, auch ohne das ich ihn direkt starte. In meinem Fall sicher durch die Virenscanner und die eingeschr. Rechte unwahrscheinlich.

 

[Wilhelm14]

Von daher hab ich es für möglich gehalten, dass wenn z. B. der HTPC nicht etwas einfängt sich dieser Schadcode auch über die Netzwerkfreigaben verbreiten kann, auch ohne das ich ihn direkt starte.

Mal abwarten, ob andere CBler was dazu sagen. Mir ist das allerdings noch nicht zu Ohren gekommen. Ich würde es komfortabel gestalten. Rechteeinschränkung und Kennwortfreigaben bringen (meiner Erfahrung nach) keinen Sicherheitsgewinn.

 

[uhrzeit]

Also, dass sich ein virus über die Freigabe verbreitet und über die Fernwartung dann ausführt, ist - kurz gesagt - Käse. (Das ist jetz nix persönliches oder so, lediglich eine Feststellung)
Die Fernwartung findet ja über ein Fremdprogramm statt. Und um den virus dann mit diesem Programm zu starten müsste der Virus ja erstmal das Fernwartungsprogramm benutzen können, und das kann er nicht!


Am Wahrscheinlichsten ist eigentlich die Verbreitung via E-mail, Internetseiten, USB-Stick. Und von Viren die sich von allein in einen Freigegebenen Ordner kopieren habe ich bisher nix gehört.

Ergänzung (27. August 2011)

Mal abwarten, ob andere CBler was dazu sagen. Mir ist das allerdings noch nicht zu Ohren gekommen. Ich würde es komfortabel gestalten. Rechteeinschränkung und Kennwortfreigaben bringen (meiner Erfahrung nach) keinen Sicherheitsgewinn.

Meine Rede