WLAN für Gästezimmer wie absichern gegen Filesharing

[Ralfii]

Hallo

Für ca. 15 Gästezimmer wird WLAN benötigt.

Als Hauptrouter ist eine Fritzbox 7270 eingebaut, die die DHCP Vergabe regelt, das WLAN an der FB ist aus, weil sie imer Keller ist.

Auf den Stockwerken sind D-Link Router, die als Accesspoint fungieren (DHCP aus, WPA2 ist aktiviert, DHCP macht die Fritzbox)

Es funktioniert eigentlich alles wie gewünscht, die Gäste bekommen das WPA Passwort auf wunsch, das Passwort wird alle paar Monate geändert, Passwort der Fritzbox und der Router sind geheim.


Nun wollen wir verhindern, das irgendwelche Abmahnungen ins Haus flattern, weil irgendjemand was geshared oder geladen hat.


Leider kann ich bei der Fritzbox nur Ports freigeben und nicht sperren.

Wie könnte man das verhindern und ordentlich absichern. HTTP, FTP sollte noch gehen, der rest kann gerne im ganzen haus blockiert werden.


Vielen Dank !

 

[miac]

Das geht nicht so einfach. Im Prinzip mußt Du das wie Firmen machen, und einen Proxy einrichten, der nur gewisse IP Adressen erlaubt, bzw. bestimmte Adressen sperrt. Diese Adressen bekommt man meist über ein Abo. Ob es da freie gibt, weiß ich leider nicht.

Filesharing Programme sind ziemlich kreativ und können, wenn auch mit verminderter Leistung, beliebige Ports nutzen.

 

[compixel]

Hallo,
bei deiner Problemstellugn würde ich dir raten die Fritzbox als Modem zu nutzen und dann für die Gästezimmer eine ordentliche Firewall zu kaufen. Eine kostenlose Möglichkeit währe IPFire falls du irgeneinen alten rechener rumstehen hast.

Link zu der Webseite von IPFire

MfG Compixel

 

[miac]

Die einfachste Möglichkeit wäre, den Zimmern eine eindeutige IP zu vergeben und den Traffic zu protokollieren und dann bei einer Abmahnung, diese den Gästen weiterzuleiten.

 

[Noxman]

Wie miac schon sagte, feste IPs für jedes Zimmer kombiniert mit einer professionellen Firewall Lösung wie dieser hier und schon sind die Probleme vom Tisch.

Gruss Nox

 

[miac]

Hier habe ich noch aus einem anderen Thread ein paar Informationen einer Firma, die solche Geräte bereitstellt:
http://www.hotspot-server.eu/sylbek...ution/hotspot-vorratsdatenspeicherung-de.html

 

[Olunixus]

@noxman und miac

inwieweit ist denn eine protokollierung möglich in rechtlichem rahmen möglich? weil die leute werden über den internetzugang ja -private- emails usw... abrufen wollen. oder ist man da rechtlich fein raus, wenn man ausdrücklichst darauf hinweist, dass alles protokolliert wird?

 

[miac]

Es sollen ja nur die aufgerufenen IP Adressen mit der Möglichkeit der Namenszuordnung protokolliert werden.

eMail-Verkehr und andere wichtige Sachen finden doch eh (hoffentlich) mit SSL Verschlüsselung statt. Da kann man gar nichts protokollieren.

Wenn Du eine Hotspot Lösung nimmst, dann wird bestimmt nicht der Inhalt protokolliert (habe ich aber jetzt nicht geprüft), dafür bräuchte man schon Festplatten wegen der großen Menge.

Du trittst dann eben als Hotspot Betreiber auf. Ich denke, das ist die sauberste Lösung. In meinem Link haben die das für 249€ für 100 User angeboten (http://www.router-switch-shop.eu/ho...ftware-solution-f.-hotels/sylbek-81666-de.htm ) (schnell überflogen, 25MB Protokollspeicher). Gibt aber bestimmt noch andere Anbieter. Ist ja nicht die Welt an Geld.

Du hast aber recht, lt. Telekommunikationsgesetz ist eine vollständige Protokollierung verboten.

 

[mhd_ec_alex]

Die Fritzbox gegen nen Draytek-Router tauschen. Dort lassen sich in vielen Modellen sehr konkrete Filter einstellen, Web-Filter, Begrenzungen und Sperren für sämtliche P2P Protokolle und für Instant-Messaging Programme. sehr sehr umfangreich.

www.draytek.de, einfach mal schauen, die 2800 Serie hats auf jeden Fall.
schon bei meinem Vigor 2900 (gute 8J alt) kann ich das Netz bis zur Unbenutzbarkeit sperren

 

[miac]

Filterung ist definitiv nur dann zu gebrauchen, wenn die Blacklists aktuell sind. Da geht eigentlich gar nicht. Und einzelne IP Adressen oder Ports zu sperren reicht nicht aus.

 

[Hausmeister76]

@Ralfii: Besorg dir mal die letzte c't. Da war ein Artikel genau zu dem Thema drin. Speziell auch zu rechtlichen Aspekten. Lies dir das mal durch und überleg dir dann wie du das rechtlich machen willst. Technisch gint es verschiedene Wege.

Einfach nur auf nem PC/Server mitprotokollieren ist übrigens vor Gericht immer ziemlich dünnes Eis, da meistens nicht manipulatiossicher.

 

[b1nb4sh]

Ich habe das so gemacht, dass ich alle Ports gesperrt hab und nur bestimmte geöffnet habe.
z.b nur 80, 443.
Das ganze muss an einem Proxy vorbei, der eine Blacklist führt, was somit das Filesharing unterbrochen hat.

Funktioniert bis jetzt einwandfrei.

lg
dalini

 

[D.M.X]

Ich würd da garnicht lange rummachen, schnapp dir einen alten Rechner und spiel den IPCop auf. Ist frei und bietet ziemlich viel. Damit solltest du alles kontrollieren können.

 

[b1nb4sh]

Ich würde dir IPFire vorschlagen, darauf läuft auch mein Proxy

 

[nissin]

Denk mal über eine M0n0wall nach!!!
http://de.wikipedia.org/wiki/M0n0wall

Das wäre glaube ich am besten!!

 

[Olunixus]

habe ich das aus dem wiki-artikel über monowall richtig verstanden?: DSL-Modem - Monowall-PC NIC1 [dieser PC muss IMMER laufen, weshalb sich ein stromspar-intel-atom-system anbieten würde?] - Monowall-PC NIC2 - Switch - alle anderen pcs

und der monowall-rechner ist jetzt mein "router", welcher firewall, dhcp-server, internetfilter/zugrifferlaubnis zum internet regelt und alles andere mitbringt?!

 

[Helge01]

Hallo

Für ca. 15 Gästezimmer wird WLAN benötigt.

Nun wollen wir verhindern, das irgendwelche Abmahnungen ins Haus flattern, weil irgendjemand was geshared oder geladen hat.


Leider kann ich bei der Fritzbox nur Ports freigeben und nicht sperren.

Wie könnte man das verhindern und ordentlich absichern. HTTP, FTP sollte noch gehen, der rest kann gerne im ganzen haus blockiert werden.

Vielen Dank !

Kurz und knapp, vergiss es

Außer du hast vor, etwas Geld in die Hand zu nehmen und dir eine Firewall zuzulegen, die nicht nur Portbasierend / Filterbasierend per Abo und was noch wichtig ist, eine Intrusion Prevention Firewall beinhaltet. (Pakete werden auf ihre Integrität untersucht)

Diese macht auch nur mit Abo Sinn, wodurch Jährliche Kosten aufschlagen.

Günstigere Versionen wären z.B. Draytek wie der Vigor 5300.

Alles andere ist nur nervende vertane Zeit. Ich hatte das schon mal durch (Studentenheim ), im Endefekt wurde Filsharing über das Port 80 abgewickelt

Nur mit einer aktuellen guten IPS Firewall, in Verbindung das Sperren sämtlicher SSL Verbindungen, kann helfen, das zu unterbinden.

Einfaches Beispiel, versuche nur mal Skype zu sperren die fahren dann eben eine SSL Verbindung über Port 80.....