All in One Lösungen für sicheres Heimnetzwerk mit Protokollierungsfunktion

[Gelassenheit]

Moin, ich bin Student, neu hier und nicht ganz so tief in dem Thema drin wie die meisten hier, entschuldigt also von vorne herein "dumme" Fragen oder falls die Diskussion im falschen Forum stattfindet:

Zu meiner Ausgangssituation: Ich wohne in einer WG mit Fremden und Freunden insgesamt 7 Parteien 3 davon freundlich. Einem Mitbewohner von mir gehörte bis jetzt der Anschluss für alle, den hat aber irgendjemand genutzt um da illegal Filme runter zu laden. Kurz um: Abmahnung ist da, der Router hat keine Logging Funktion soweit uns das ersichtlich ist (es handelt sich um einen Vodafone TG3442De) somit wird er wohl nicht den Verantwortlichen haftbar machen können. Deswegen hat er den Vertrag mit Anschluss gekündigt und ich will in Zukunft für mich und meine "Freundlichen" Mitbewohner ein sicheres Netzwerk aufbauen und bin jetzt auf der Suche nach Hardware Lösungen (um das Budget bestmöglich aus zu schöpfen auch gebraucht) diese sollte in meinen Augen folgendes beinhalten und sich alles in allem unter 250 Euro belaufen:​

• Protokollfunktion des gesamten Datenverkehrs ( Speicherung für mindestens 6 Monate) um falls nochmal eine wie oben geschilderte Situation eintritt auf der sicheren Seite zu stehen​
• am besten integriertes Modem (muss nicht sollte aber in das 250 Budget mit rein gehen)​
• sollte stabil laufen und ne Firewall (pfsense o.Ä) beinhalten sein​

(WAccesspoints sind vorhanden, ne Unify Switch auch) Ich bin sehr dankbar für jede Meinung und Hilfestellung gerne auch außergewöhnliche Lösungen vorschlagen!

 

[Slayn]

Protokollfunktion des gesamten Datenverkehrs

wirst du im Consumerbereich nicht finden und Bereich Enterprise bist du dann eher bei 1000€ aufwärts

 

[assman17]

Keine Ahnung wie das im Privat bereich aussieht mit der DSGVO. Immerhin ist ein Log+Datenspeicherung für 6 Monate geplant.

Abgesehen davon
Eine Abmahnung für das runterladen von Filmen?!?!

 

[Askedos]

Sind diese Abmahnungen nicht eh alle halbseiden und nicht wirklich durchsetzbar? Zumal du auch mit Logging nicht sicher wissen kannst wer irgendwas runtergeladen hat. Die meisten Files heißen ja nicht FilmXy.2022.rar sondern haben irgendeinen kryptischen Namen

 

[andy_m4]

Abmahnung ist da, der Router hat keine Logging Funktion soweit uns das ersichtlich ist

Was war denn der "Beweis" der vorgelegt wurde und was hätte denn im Log drin stehen müssen, um den Täter dingfest zu machen?

 

[scooter010]

Security Onion Solutions

Einen Port an der Fritte als Mirror konfigurieren und ein ziemlich performantes System mit dieser Software dran hängen...

Die Software ist zwar gratis, aber die wissen schon, warum die trotzdem Geld dafür bekommen. Die Konfiguration ist so spezifisch für das Netzwerk und so umfangreich, aufwändig und komplex, dass man nur als wirklich sehr fähiger IT-ler innerhalb von 1-2 Arbeitswochen das Ding für einfache bzw. einfachste Netze deployed.

Zusammenfassend: Es ist nicht möglich, was du möchtest. Ich wüsste drölfzig Wege, wie ich aus einem "gesicherten" Netzwerk heraus doch wieder unerkannt "quatsch" machen könnte.

Entweder ist das Vertrauen da, oder jeder hat seinen eigenen Internetzugang bei einem Provider. Fertisch ist die Laube.

 

[AGB-Leser]

Wie wärs mit: jeder macht seinen eigenen Scheiß? Da das ja scheinbar nicht klappt und Daten heute auch in Deutschland weniger kosten, ist das mittlerweile machbar.

Ob Du überhaupt speichern darfst, weiß ich garnicht, weil Du kein Internetanbieter bist, sondern ein Privater

 

[nosti]

Neues WLAN einrichten und nur den "netten" Kollegen das Kennwort geben. Die physischen Ports meinetwegen noch versiegeln/zugießen.

Die reine Protokollfunktion nützt dir gar nix, wenn eine VPN genutzt wird. So ziemlich der gesamte Datenverkehr wird über TLS verschlüsselt sein und du kannst nicht rein schauen. Somit müsste man auch noch einen Transparenten Proxy dazwischenschalten, der die Zertifikate entsprechend frisiert.

Was du willst kostet im Enterprise Bereich schon richtig Geld und dann muss sich auch noch jemand darum kümmern und das aktiv administrieren. Sonst hast du nämlich deine tolle Lösung, nur um festzustellen, dass die keine korrekten Logs geschrieben hat, oder was auch immer. Von den Datenschutzrechtlichen Themen ganz zu schweigen.

Am ehesten vielleicht noch sowas mal ansehen:
https://www.sorglosinternet.de/

Grüße

 

[Bohnenhans]

Naja wenn ein Mitbewohner dann VPN nutzt wird man wohl kaum mehr auf die echte IP kommen, so international sind die dt Behörden dann auch nicht unterwegs

 

[BFF]

Freu Dich nicht zu frueh. @Bohnenhans

Die Rechteverwerter, wenn sie wollen, haben den VPN-Exit. Danach wird der VPN-Dienst angeschossen, der wird sehr schnell erklaeren wer wann von wo mit welchem Provider zum "Verbrecher" wurde. Der Rest ist einfach.

 

[scooter010]

Die Rechteverwerter, wenn sie wollen, haben den VPN-Exit.

Das grenzt an Verschwörungstheorien.

Ja, es gibt VPN-Anbieter, die führen entgegen ihrer Versprechungen Logging durch.
Die Content-Industrie betreibt aber keine "VPN-Exits". Das ist techniscer Blödsinn.

VPN-Anbieter mieten ganz normal, wie es jeder Endnutzer auch könnte, weltweit dedicated Server an und spielen da ihre jeweilige Software und Konfiguration rauf. Der Server gelangt nach Tests in das Serververzeicnis des Anbieters und steht dann den Kunden zur Verfügung.
An welcher Stelle soll da nun geheimdienstmäßig die Content-Industrie rein kommen?

Ich glaube, du wirfst da Aussagen zur vermuteten Eigentümerschaft vieler TOR-Exit-Nodes und deren Zusammenhang zur NSA durcheinander?! Wer soll denn noch alles über 50% der Exit-Nodes besitzen, wenn sich NSA und Content-Industrie schon 100% der Nodes aufteilen müssen?

 

[BFF]

Das grenzt an Verschwörungstheorien.

Ja, es gibt VPN-Anbieter, die führen entgegen ihrer Versprechungen Logging durch.

Gemeint ist damit das die Rechteverwerter wissen von welchen Exits auf Inhalte zu gegriffen wird. Ich würfele da nix mit TOR durcheinander.

VPN schützt nicht.

 

[scooter010]

Ja, diese IP haben sie.

Aber ein Stück weit schützt es schon. Gründe:
1. Es gibt VPN-Anbieter, die loggen quasi "nachweißbar", nicht
2. Selbst wenn der VPN-Anbieter loggt, ist eine zusätzliche Anfrage zur Auflösung des Anschlussinhabers erforderlich. Das erhöht den Aufwand, die Fehleranfälligkeit und verringert somit die Wahrscheinlichkeit, dass der Aufruf zurück verfolgt wird.

Ist es eigentlich tatsächlich rechtskonform, dass der Anschlussinhaber haftet?

 

[BFF]

Es wird leider so praktiziert.
Such mal danach was bei einer Oma ohne PC veranstaltet wurde nachdem der Enkel ihr Netzwerk mit benutzt hatte.

Ich denke einem Privaten wird immer versucht an die Karre zu pieseln.

Es gibt VPN-Anbieter, die loggen quasi "nachweißbar", nicht

Die werden (länger) loggen wenn sie dazu aufgefordert werden.

 

[scooter010]

Jap, das werden sie.

Finde ich aber irgendwie "witzig". Technisch ist es einem Anschlussinhaber nicht möglich, derlei Zugriffe zu verhindern. Spätestens seit DNSoverHTTPS kann er es nicht einmal mehr ermitteln, wer es gewesen ist/sein könnte. Nur unter Zuhilfenahme von Business Konzepten: Keine Adminrechte am Rechner, Zwangsproxy, durchgesetzt mittels Regeln im Router und entsprechend installiertem Zertifikat usw.

Auch die Urteile, die akzeptieren "ich war garnicht Daheim, kann es nicht gewesen sein" strotzen nur so vor Absurdität. Einerseits kann man sowas Zeitgesteuert in der Abwesenheit durchführen und andererseits kann man sich, ausreichend Sachverstand vorausgesetzt, von überall auf der Welt Daheim einloggen und den Download starten.

Ja, das mit der Oma war echt lächerlich. Letztlich gewinnen die Abmahner solche Prozesse auch deswegen, weil es sich einfach nicht lohnt, solche Verfahren bis zum BGH durchzukämpfen bzw. die Kläger vorher die Klage zurückziehen würden.

 

[andy_m4]

1. Es gibt VPN-Anbieter, die loggen quasi "nachweißbar", nicht

Soso. Wie sieht denn dieser "Nachweis" aus?

Selbst wenn der VPN-Anbieter loggt, ist eine zusätzliche Anfrage zur Auflösung des Anschlussinhabers erforderlich. Das erhöht den Aufwand, die Fehleranfälligkeit und verringert somit die Wahrscheinlichkeit, dass der Aufruf zurück verfolgt wird.

Ehrlich gesagt ist Fehlerwahrscheinlichkeit jetzt nicht etwas, was mich beruhigt. Das heißt nämlich, das ich auch unschuldig ins "Fadenkreuz" geraten kann.

Ich weiß nicht, wie es im Augenblick ist, aber früher hat es ja als "Beweis" immer gereicht, wenn der Abmahner dem Richter irgendwie ein Screenshot mit der entsprechenden Quell-IP-Adresse unter die Nase gehalten hat. Sowas ist strenggenommen natürlich kein Beweis. Aber letztlich kommt es sehr darauf an, ob der Richter das für echt hält. Und da Richter gern auch mal eng am Rentenalter sind (sprich älter und nicht so IT-bewandert), dann wurde das im Zweifel akzeptiert.

Ist es eigentlich tatsächlich rechtskonform, dass der Anschlussinhaber haftet?

Naja. Teils, teils. Er hat zumindest bessere Karten sich zu wehren:
Da gibts ein BGH-Urteil zu: https://www.baumgaertner-friedrich.com/anschlussinhaber-taeterbenennung-filesharing/

Ansonsten ists so ähnlich wie beim Auto. Da gehts bei Verkehrsverstößen ja auch zu erst zum Fahrzeughalter.

 

[DerGast]

Mal über OPNSense nachgedacht?
Für jede Partei ein eigenes Netz.
WebProxy mit Content-Filter (ist halt die Frage...)
Application-Firewall.
Geloggt wird auch.
Je nach Anschluss reicht auch eine Fritzbox 7490 als Modem.
Ich weiß zwar gerade nicht wie die APs konfiguriert werden können (VLAN), aber das ist dann die nächste Baustelle.
Zur Not kann man an jeden physischen Port einen AP hängen.

 

[Gelassenheit]

Vielen Dank für die Antworten, haben uns jetzt aus den hier genannten Gründen entschieden jeder einen eigenen Anschluss zu beantragen und dann hole ich mir nen kann ich erst mal selbst auf nem Pi bisschen mit OPNSense rumspielen in nem funktionierenden Netzwerk bevor ich mich davon abhängig mache.