Heimnetzwerk - Fragen zu Sicherheit und Speed

[JR0]

Hallo Leute,

ich habe vor einige meiner Geräte an meinen Router anzuschließen. Folgende Situation:

Am Router hängen erstmal 2 Lan Kabel die für jeweils 1 Entertain Receiver da sind. Diese stehen nicht in meinem Zimmer und werden von meinen Mitbewohnern benutzt. In mein Zimmer führt nur 1 Lan Kabel.

An dieses soll nun ein 5 Port Gigabit Lan Switch angeschlossen werden. An den Switch wiederum sollen 1 PC, eine 1Festplatten NAS, ein Raspberry Pi und ein Smart TV angeschlossen werden.

Auf dem Raspberry Pi soll außerdem ein kleiner Minecraft-Server laufen, den ich nur bei Bedarf anmache. Dazu muss bekanntlich (oder auch nicht ;-) ) zum einen ein Port am Router geöffnet bzw. weitergeleitet werden auf das entsprechende Gerät (hier der Pi) und außerdem per Firewall TCP zugelassen werden.

So nun zu meinen Fragen dazu:
1. Da ja alles an einem Switch hängt und der Router während der Server an ist, von außen erreichbar ist, wie sieht es da mit der Sicherheit aus? Wie kann ich vom Benutzer eine Authentifizierung verlangen? Und wenn mein Raspberry angreifbar ist durch den Port, sind dann auch meine anderen Geräte in Gefahr?
2. Wie kann man seine externe IP erneuern ohne den Router ausmachen zu müssen? Die IP ändert sich nicht automatisch nach 24 Std. wegen Entertain -.- Gibt es da eine andere Möglichkeit? (per Konfig Programm des Routers hatte ich erst gedacht, aber kann danach nicht mehr die Verbindung herstellen und muss den Router dann doch ausmachen) Mein Router ist ein Speedport W921V.
3. Apropos Speed: Wenn ich z.B. eine große, stabile Bandbreite für meinen PC brauche (Online Games, Steam Updates etc.) und ich vielleicht noch was von der NAS ziehe, mein Pi auch noch was auf die NAS kopiert und mein Fernseher auch noch läuft und so weiter, ist das überhaupt über 1 einziges Lan Kabel realisierbar? Muss ich einen spürbaren Speedverlust in Kauf nehmen oder kriegt der Switch das hin? Kann mir das irgendwie nich vorstellen bei so vielen Verbindungen..


Danke für alle Beiträge

LG

 

[Pichl_71]

Hallo RealSlimKilla,

Zu 1: Ja, wenn ein Gerät im LAN angreifbar ist, wäre von diesem aus auch die restlichen Netzwerkkomponenten ersichtlich und im Falle von Sicherheitslücken angreifbar. Zur Authentifizierung kann ich dir jetzt direkt nichts sagen. Willst du dazu auch ein VPN aufbauen das auf dem Pi läuft?

Zu 2: Du kannst in der Konfigurationsoberfläche vom Speedport einen Reboot durchführen somit erneuert sich die IP-Adresse. (ist glaube ich unter Wartung zu finden)

Zu 3: da du ja Gigabit-Netzwerk hast also 1000Mbit und dein DSL maximal 50Mbit bei VSL, sollte für jeden PC der an deinem Switch hängt, genug lokale Bandbreite übrig sein. Nur wenn nebenbei dein Mitbewohner über die Receiver TV sieht, noch dazu in HD, wird deine externe Bandbreite eingeschränkt. (IP-TV hat vorrang) Da aber maximal 3 HD-Streams bei VSL 50 gleichzeitig gehen (~ ca 30Mbit, bleiben noch 20Mbit fürs surfen übrig, was ausreichen sollte)

Gruß Pichl

 

[andy_0]

Dein Router hat mit Sicherheit eine auf Port basierende Firewall. Das ist ein einfaches Stück Software, welches jedoch eine Menge Sicherheit schafft. Sämtlicher eingehender Traffic (das bedeutet Traffic der von außen gestartet wird) wird von der Firewall abgeblockt, außer deren Port ist "geöffnet". Ein geöffneter Port muss auf eine IP geleitet werden (z.B. dein Raspberry Pie). Der Zugriff auf z.B. Port 21 über deine externe IP landet damit auf dem FTP Server des Raspberry. Die anderen Netzwerkgeräte sind damit nicht erreichbar.

Ein Angreifer kann jedoch Zugang zum FTP Server erlangen (z.B. schlechtes Passwort, Sicherheitslücke, ...) und hat entsprechend Zugang auf den FTP. Theoretisch könnte man von dort über Sicherheitslücken Zugriff über das gesamte System erlangen - aber das ist weder leicht noch wirklich realistisch.

Was meinst du mit Authentifizierung? Welche Nutzer sollen sich bei welcher Nutzung (Webseite? Minecraft?) wegen was authentifizieren? Ob du eine neue IP Adresse erzwingen kannst, ist nicht so einfach. Das hängt erst einmal vom Provider ab. Die Telekom sollte bei jeder Einwahl eine neue erteilen. Du brauchst also wohl eine Art Skript, die die Verbindung abbricht und dann eine neue Einwahl durchführt. Genaueres kann ich dir zum Speedport nicht sagen.

Was hat der Traffic im inneren Netzwerk mit dem Traffic über das Internet zu tun? Der Switch sollte genügend Leistung haben, damit alles passt. Vom Switch zum Router geht nur Traffic, die auch fürs Internet bestimmt ist.

 

[unbreakablex]

Hi,

wieso willst du die IP überhaupt regelmäßig ändern?

Gruß

 

[ChavezD]

Guck mal ob beim 921 genauso wie beim 920er direkt auf der Benutzer oberfläche ein Button ist "Internet sperren" ganz unten nach dem einloggen.
wenn man damit das i net sperrt und dann wieder entsperrt bekam ich eine neue ip zu gewiesen. Aber wieso?

 

[JR0]

Die IP will ich eigentlich nur ändern wenn ich den Server wieder zumache, als zusätzliche Sicherheitsmaßnahme damit der Server nicht immer die gleiche IP hat.

Mit Authentifizierung meine ich eine Art Passwort eingeben um Zugriff zu bekommen, sozusagen noch bevor er sich mit meinem Rputer vebinden kann. (Ähnlich wie wenn man ins Wlan kommen will und das Wlan Passwort eingeben muss, nur halt von außen) Ich habe allerdings absolut keine Ahnung ob sowas geht deshalb frage ich Eigentlich würde schon eins von beiden reichen.

@andy_0: Genau das mit der Port Firewall wollte ich wissen, danke dir

@ChavezD, Pichl_71: Das mit dem Konfigurationsprogramm hab ich schon versucht, hab allerdings keinen Weg gefunden dass er sich reconnected, er trennt nur die Verbindung. (Was gäbe ich für ne FritzBox )

 

[andy_0]

Hmm. Eine Authentifizierung wie über einen Radius Server ist so ohne weiteres nicht möglich. Des Weiteren wäre noch zu klären, wie sich der jeweilige Nutzer überhaupt anmelden sollte. Du vergisst außerdem die Problematik mit dem Remote Zugriff durch die Firewall. Ohne einen Port zu öffnen, welcher (permanent) auf ein Gerät zeigt, kannst du solch eine Anmeldung nicht ermöglichen, diese erschafft natürlich eine Angriffsmöglichkeit, da die Gegenstelle auf diesen Port immer erreichbar wäre.

Sieht man von alldem ab, ist es gar nicht möglich "vor" dem Router eine Authentifizierung durchzuführen, da "vor" dem Router außerhalb deines Wirkbereichs liegt. Du kannst erst ab dem Router auf Anfragen reagieren.

Was du möglicherweise möchtest ein ein VPN Server auf dem Raspberry Pi. Der jeweilige Client muss sich dorthin erst einwählen, was u.a. eine Anmeldung am VPN Server notwendig macht.

 

[JR0]

So stehe nun vor dem nächsten Problem:

Bin gerade dabei mir einen Switch zu suchen und hab mal ein bisschen recherchiert. Verbessert mich wenn ich falsch liege aber so wie ich das verstanden habe braucht man für den Gigabit Switch mindestens ein CAT5e oder CAT6 Lan Kabel. Ich selbst habe ein Cat 6 Lan Kabel was auch fest verlegt ist und durch mehrere Wände geht (und ich will es auf keinen Fall ersetzen). Nun habe ich zwei Switches gefunden die auf dem ersten Blick und von den meisten Rezensionen günstig und gut sein sollen.

Einmal der hier:
http://www.alternate.de/Netgear/GS108GE-Switch/html/product/48944?

hierbei verwirrt mich dass dort steht Cat 5 Kabel, obwohl es ja erst ab Cat 5e erst Sinn machen soll.

Und dann noch der hier:
http://www.alternate.de/TP-LINK/TL-SG1008D-Switch/html/product/48929?

und der hier unterstützt nur bis Cat 5e laut einer Rezension.


Was tun?

 

[andy_0]

Die Bezeichnung Cat5e wurde irgendwann durch Cat5 ersetzt, da "echtes" Cat5 Kabel eh nicht mehr gebräuchlich war.

Die Darstellung bei den Switches ist irrelevant. Wichtig ist nur der Anschluss und dieser ist in 99% der Fälle RJ45. Mit RJ45 hast du bis zu Cat6 irgendwas eine ausreichend gute Schirmung, für den Cat7 Standard benötigt man andere Stecker wie z.B. GG45. Hardware hierfür ist jedoch kaum zu bekommen (inkl. Stecker) und entsprechend teuer.

Du verlegst das ganze fest im Haus? Du benötigst wohl mehr als nur acht Anschlüsse oder? Kauf dir für feste Installation ein ordentliches Gerät (was nicht teuer sein muss), dann musst du womöglich kein zweites mal kaufen. Ich würde ein ZyXEL GS1910 (http://geizhals.de/zyxel-gs1910-24-gs1910-24-eu0101f-a811068.html) ab 100 Euro empfehlen. Möchtest du wirklich etwas sehr preisgünstiges/kleines kaufen, sind die von dir erwähnten Geräte gut.

 

[JR0]

Du verlegst das ganze fest im Haus? Du benötigst wohl mehr als nur acht Anschlüsse oder? Kauf dir für feste Installation ein ordentliches Gerät (was nicht teuer sein muss), dann musst du womöglich kein zweites mal kaufen.

naja nicht direkt, das Lan Kabel führt halt bei mir nur ins Zimmer und meine ganzen Geräte sind dann auch dort. Deshalb komm ich mit den 8 Ports locker hin. Die Frage ist nur ob das kompatibel ist wenn ich nur Cat6 Kabel verwende aber beide nur bis mx Cat5 (bzw. Cat5e) gehen. Meinste das geht mit dem TP-Link?

Gruß

 

[andy_0]

Die gehen eben NICHT nur mit Cat5e. Die gehen mit jedem Kabel, welches ein RJ45 Anschluss bietet. RJ45 kann man bis zu Cat6 verwenden, Cat7 benötigt GG45 oder vergleichbares. Der RJ45 Stecker ist die Schwachstelle.

 

[JR0]

Sehr gut dann bestell ich den jetzt, vielen vielen Dank

LG