Rechner vom Netzwerk abschotten, dennoch I-Net gestatten?

petzi schrieb:
Die einzige halbwegs sichere und einfachste Lösung für meine Startpost-Frage wäre also so ein "Gastnetz", was aber nur mit einem neuen Modem realisierbar ist.
Wenn das dein Fazit ist, empfehle ich dir, deinen eigenen Thread nochmal von vorne zu lesen.
 
Raijin schrieb:
Wenn das dein Fazit ist, empfehle ich dir, deinen eigenen Thread nochmal von vorne zu lesen.
Ok, hab ich gemacht.
Zieht man die Win10 Empfehlungen ab, bleiben ein paar Tipps übrig, die mir aber allesamt eher für versierte Anwender scheinen.
Doch gleich der 2.te Poster, ein gewisser Raijin, spricht von "Gast-Netzwerk des Routers " Was ang. nur mit einer Fritzbox geht.
Und diese Lösung legen mir auch andere hier nahe ...

Was ist also falsch?
 
petzi schrieb:
Was ang. nur mit einer Fritzbox geht.
In meinen Augen ist nur das falsch. Auch andere Router als die Fritzboxen beherrschen ein Gastnetz.
Router Kaskaden wären aber auch eine gute Überlegung. Aber bedenke, keine Firewall ist jemals 100 sicher.

Ich persönlich bin bei weitem keine Experte, aber von dem was sich lese würde ich eine Fritzbox kaufen und diese als Kaskade (Firewall richtig dazwischenschalten!) einbauen + dann deren Gastnetz für den Laptop nutzen und das Hauptnetz der Fritzbox quasi ungenutzt. Der Laptop hat dann einen eigenen Router der quasi doppelt absichert... Ob das Sinn macht musst du entscheiden, ich würde nach allem gelesenem so verfahren. Auf eigenes Risiko.
 
petzi schrieb:
Was ist also falsch?
Weil es nicht die einzige Lösung im Thread ist. Eine Routerkaskade lässt sich mit einem zusätzlichen 20€-Router bauen. Dazu braucht man weder Gastnetzwerk, was dein Internetrouter ja eh nicht bietet, noch eine Fritzbox. Man braucht auch nicht wirklich KnowHow dazu, weil die Firewall eines 08/15 Routers den Job bereits out-of-the-box erledigt.
 
Nilo schrieb:
In meinen Augen ist nur das falsch. Auch andere Router als die Fritzboxen beherrschen ein Gastnetz.

Natürlich beherrschen das auch andere Router. Eine FritzBox war ja nur ein Beispiel. Aber wenn man schon etwas Geld ausgibt, dann kann man IMHO auch etwas drauflegen und gleich einen ordentlichen Router kaufen, der den alten ersetzt. Finde ich sinnvoller, als irgendwelche Router-kaskaden. (Ausser man hat eh noch einen Router rumfliegen)
 
Also gut, auch andere Router können das auch, (sind uU. sogar noch besser).
Nur das A1 Pirelli nicht. Stimmt das jetzt so?
Ich bin absolut kein Netzwerker, sagte ich ja schon. Daher schnappte ich halt das mit der Fritzbox auf, weil die so oft empfohlen wurde.

Diese Kaskade erschien mir daher auch zu kompliziert.
Aber im Prinzip meint ihr, 2 Router ... in Serie, Router 1 am I-Net und verteilt zu den Client, der zweite Router hängt am ersten Router und ist dann nur für den heiklen Laptop zuständig.
Wobei bez. Reihenfolge und FW-Konfiguration noch einiges Wissen mehr vonnöten ist.
Also nach diesem Post ... oder nach diesen vorgehen? Ersteres kommt mir logischer vor ...

Fazit 2.0: (ja ich wage es nochmal)
Neben der immer noch einfachsten Lösung, den Laptop mit Linux + Win in einer VM ausstatten, ist diese "Kaskade" das sicherste. Oder?
 
Ein Gast WLAN ist genauso sicher, da dort einfach gewisse Routen per Default so gesetzt sind, wie du sie bei der Kaskade manuell setzen müsstest.

Tun dir 120€ nicht weg, Kauf dir ne Fritzbox, ersetze deinen Router damit und hab was du brauchst.

Willst du basteln, Kauf dir nen billigen Router und bastel es selbst als Kaskade.
 
petzi schrieb:
Diese Kaskade erschien mir daher auch zu kompliziert.
Aber im Prinzip meint ihr, 2 Router ... in Serie, Router 1 am I-Net und verteilt zu den Client, der zweite Router hängt am ersten Router und ist dann nur für den heiklen Laptop zuständig.
Wobei bez. Reihenfolge und FW-Konfiguration noch einiges Wissen mehr vonnöten ist.
Da die Routerkaskade prinzipiell bereits durch die integrierte Firewall in den beteiligten Routern die Sicherheit gewährleistet, ist sie tatsächlich so kompliziert wie ein Kabel von einem Router in den anderen zu stecken. Die Funktionsweise muss man als Anwender ja nicht zwingend in voller Gänze nachvollziehen können.

Als ich meinen Beitrag verfasst habe, war das Stichwort WLAN noch nicht gefallen und so ging ich von einer verkabelten Situation aus - warum auch immer ich das getan habe ;)
In Anbetracht dessen ist eine klassische Routerkaskade die passendere Variante, die dann so aussähe:

Internetrouter (LAN+WLAN) --- verwundbare Geräte (zB Windows 7)
(LAN)
|
|
(WAN)
Zweitrouter (LAN+WLAN) --- sichere Geräte (Hauptnetzwerk)

Im Prinzip steckt man das nur zusammen, die Router können direkt nebeneinander stehen.

Wenn du aber sowieso einen neuen Router dafür anschaffen müsstest, kannst du natürlich auch gleich eine Fritzbox, o.ä. kaufen, wenngleich die in der Regel teurer ist als ein Router ohne Modem, der bei der besagten Kaskade ausreichen würde. Die Archer-Serie von TP-Link gibt es zB ab ~30€ bis ~100€, Fritzboxxen können bis zum Flaggschiff das doppelte kosten. Es kommt also auf dein Budget an.




petzi schrieb:
Neben der immer noch einfachsten Lösung, den Laptop mit Linux + Win in einer VM ausstatten, ist diese "Kaskade" das sicherste. Oder?
Jein. Eine VM hilft nicht viel, wenn die VM selbst angreifbar ist und eine Verbindung ins Netzwerk hat. Malware ist es herzlich egal ob sie von einer physischen oder einer virtuellen Maschine das Netzwerk infiltriert und zB Daten vom NAS abgreift. Die lokale Firewall der VM oder je nach dem auch des darunterliegenden Linux-Hosts ist nicht per Definition sicher, sondern will auch sicher konfiguriert werden.

Bedrohungen für das Netzwerk muss weitestgehend auch durch die Infrastruktur begegnet werden.

Sicherheit kommt im IT-Bereich durch die Konfiguration und nicht durch die bloße Existenz von VMs, Firewalls und Co. Bei einem Router aus dem Consumer-Markt (Fritzbox, Asus, Speedports, etc) ist die Firewall bereits konfiguriert und so sicher wie 08/15 Router eben sind. Bei Windows ist die Firewall unter dem Aspekt des "vertrauenswürdigen Heimnetzwerks" vorkonfiguriert, bei Linux ist sie nach der Installation in der Regel komplett offen und nackt.
 
  • Gefällt mir
Reaktionen: Old Knitterhemd
Raijin schrieb:
bei Linux ist sie nach der Installation in der Regel komplett offen und nackt.

Wobei man dazu sagen muss, dass unter Linux idR alle Ports erst mal zu sind.

Wenn man sie also nicht selbst öffnet oder Software installiert, die diese öffnet, steht man nicht nackt dar.

Desweiteren hat der Linux Kernel eine Firewall integriert und für die meisten dürfte UFW bzw GUFW sehr simpel zu bedienen und ausreichend sein.

http://gufw.org/
 
  • Gefällt mir
Reaktionen: Raijin
Ich vermute mal das hängt auch von der Distribution ab. Sagen wir mal so: Man sollte sich nicht darauf verlassen, dass "alles zu ist" und zumindest mal einen Blick in die iptables werfen.

UFW und Co sind zwar einfach zu bedienen, man muss aber trotzdem wissen was man da bedienen soll. Sprich: Ein gewisses KnowHow für die Funktionsweise von Netzwerkverbindungen ist auch mit einem komfortablen Frontend für iptables notwendig (wobei iptables ja auch nur eine Art Frontend für netfilter ist ;) )
 
  • Gefällt mir
Reaktionen: Old Knitterhemd
Iptables ist übrigens auch deprecated und wird durch nftables ersetzt.

UFW bringt eine Standard Konfig mit, damit ist man schon mal besser aufgestellt als ohne.
Nix rein alles raus quasi...

SSH und co sind auch sehr schnell aktiviert/deaktiviert.

Raijin schrieb:
Ich vermute mal das hängt auch von der Distribution ab
Das stimmt, die meisten haben aber den Ubuntu Ansatz:
https://wiki.ubuntuusers.de/Personal_Firewalls/
 
Hallo!
Danke nochmals für die vielen Tipps.
Leider sind diese (für mich Laien) doch etwas zu viel, etwas zu verschieden, wüsste nicht was ich nun echt machen soll. Aber das ist nun nebensächlich.

Update:
  1. All der Linux Kram ist nun mal auf Eis, das geht so eh nicht (warum, wieso ist mal egal, will ich hier auch nicht vertiefen)
  2. Daher hat MS gewonnen, wir (ja auch meine bessere Hälfte ist einverstanden) rüsten alles auf Win 10 auf.
    Denn was gibt es sonst? (Mäc fällt finanziell dzt. aus)
  3. Dieses Upgrade beginnt bereits mit Problemen ... Aber das ist ein anderes Thema und wird extra gepostet.
Das nur als abschließendes Fazit

Danke nochmals!
 
  • Gefällt mir
Reaktionen: chartmix und iron-man
Zurück
Oben