Netzwerk hinter dem Router sichern

reemrev · 18.03.2009, 22:24

Ausgangssituation: Router (Airport), daran hängen 2 Macs mit Kabel und 2 Win-Rechner per WLan. Haben mittels Cain&Abel von einem WinRechner mal testweise den Netzwerkverkehr gescannt mit dem Ergebnis, dass alle Passwörter sichtbar wurden, die aufgerufenen Internetseiten angezeigt wurden.... kurz: gläsener Netzwerkverkehr eben.

Kann man das verhindern? Gibt es die Möglichkeit einer verschlüsselten Verbindung zum Router oder zu einem 2.PC/Mac, ohne dass der 3. mitlesen kann?

maxxmaxx · 18.03.2009, 22:47

wlan verschlüsselung ist aber aktiviert oder?
und war der dritte rechner mit dem du allles mitgesnifft hast im wlan-netz eingebucht?

wenn 2x ja, hast du hat da einen denkfehler:

es ist logisch das alles sichtbar war, da der rechner ja im verschlüsselten wlan-netz autorisiert ist!
wlan verschlüsselung schützt nur vor unberechtigten zugriff von außen stehenden rechnern!
-> alle im wlannetz eingebuchten rechner können den datenverkehr mitlesen, genauso wie jeder netzwerkadministrator der sich beim internet-provider mit einen mirror-port verbindet, den ganzen über den switch laufenden datenverkehr mitlesen kann!

daten ins internet werden erst verschlüsselt übertragen, wenn du mit dem server per https verbunden bist, wenn beim mailprogramm die verschlüsselung aktiviert ist oder wenn du eine verschlüsselte verbindung per vpn aufbaust!

gruß,
markus

reemrev · 18.03.2009, 23:07

Ja klar, Wlan aktiviert und alle Rechner autorisiert, das Ergebnis hat mich ja auch nicht so wirklich verwundert. Wollte eigentlich nur wissen, ob man innerhalb des eigenen Netzes "abhörsichere" Verbindungen aufbauen kann. Ich mein, wenn's nach draußen geht, warum sollte es auch drinnen nicht möglich sein?

ZombyKillah · 18.03.2009, 23:32

Bei einen normal konfigurierten Router/WLAN Access Point solte nur der Traffic vom WLAN mit einen sniffer sichtbar sein.

Das was von LAN ins internet geht dürftest du im WLAN nicht sehen können.

Wenn das doch der Fall ist, ... entschuldige die Ausdrucksweise ... ist der Router ein sch***.
Oft hat das WLAN sogar eine eigene MAC und manchmal ein getrenntes Sub-Netz.

Aber seit der switch den hub abgelößt hat kann nur noch der router oder der switch sniffen.

Wenn du die WLAN Geräte so haben wilst, dass keiner den Traffic einfach mitlesen kann, Verschlüsselung aktivieren (WPA + AES).
Oder einen VPN Server einrichten auf den du dich nach dem anmelden am WLAN verbindest.

LouCypher · 19.03.2009, 09:18

Zitat:

Zitat von reemrev

Wollte eigentlich nur wissen, ob man innerhalb des eigenen Netzes "abhörsichere" Verbindungen aufbauen kann. Ich mein, wenn's nach draußen geht, warum sollte es auch drinnen nicht möglich sein?

kurze antwort für leute mit homeuser budget/knowhow: nein

crisu69 · 19.03.2009, 10:19

ein router mit dd-wrt + vpn-paket wäre eine preisgünstige möglichkeit (mein buffalo hat ca 45eur gekostet), wenn man gelegentliche neustarts in kauf nimmt ja nach auslastung

flashbare router bzw. featureliste ist im dd-wrt wiki nachlesbar

reemrev · 21.03.2009, 20:05

Also 45€ wären ja noch machbar, aber spätestens beim homeuser-knowhow gehen die Lichter aus ...

LouCypher · 22.03.2009, 11:16

imho wird das zum einen daran scheitern das dd-wrt sicher nicht davür entwickelt wurde um lan seitig vpns aufzubauen, ausserdem wirds am routing scheitern. Schliesslich brauchst im lan ein subnetz das die clients mit dem router verbindet durch das aber keine daten gehen dürfen, d.h. der router muss die einzelnen switch ports steuern können was bei einem €45,- sicher nicht geht. Und selbst wenn das alles funzt, musst bedenken das eine verschlüsselung von einem 100mbit datenstrom eine enorme rechenleistung beansprucht. Die übertragungsrate zwischen den einzelnen pc's wird daher vermutlich bei ein paar hundert kbit liegen.

Mit einem alten pc, 1 lankarte je client und der monowall software könntest das ganze relativ preiswert hinbekommen, habs aber nicht getestet deine privaten anforderungen übersteigen die sicherheitsstandards jedes unternehmens.

reemrev · 22.03.2009, 12:02

Ich hab mir den Link von crisu69 durchgelesen (also den Anfang), für ellenlange Anleitungen bin ich absolut nicht geeignet. Häkchen in einfach zu verstehenden Dialogen setzen, das ist mein Ding (gesicherte Verbindung zum Router ja/nein - fertig). Daher: Kapitel abgeschlossen und danke für die Antworten!

18.03.2009, 22:24	#1
reemrev Inventar Registriert seit: 31.01.2000 Beiträge: 1.706 Mein Computer	Netzwerk hinter dem Router sichern Ausgangssituation: Router (Airport), daran hängen 2 Macs mit Kabel und 2 Win-Rechner per WLan. Haben mittels Cain&Abel von einem WinRechner mal testweise den Netzwerkverkehr gescannt mit dem Ergebnis, dass alle Passwörter sichtbar wurden, die aufgerufenen Internetseiten angezeigt wurden.... kurz: gläsener Netzwerkverkehr eben. Kann man das verhindern? Gibt es die Möglichkeit einer verschlüsselten Verbindung zum Router oder zu einem 2.PC/Mac, ohne dass der 3. mitlesen kann?

18.03.2009, 23:32	#4
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	Bei einen normal konfigurierten Router/WLAN Access Point solte nur der Traffic vom WLAN mit einen sniffer sichtbar sein. Das was von LAN ins internet geht dürftest du im WLAN nicht sehen können. Wenn das doch der Fall ist, ... entschuldige die Ausdrucksweise ... ist der Router ein sch***. Oft hat das WLAN sogar eine eigene MAC und manchmal ein getrenntes Sub-Netz. Aber seit der switch den hub abgelößt hat kann nur noch der router oder der switch sniffen. Wenn du die WLAN Geräte so haben wilst, dass keiner den Traffic einfach mitlesen kann, Verschlüsselung aktivieren (WPA + AES). Oder einen VPN Server einrichten auf den du dich nach dem anmelden am WLAN verbindest. ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

19.03.2009, 10:19	#6
crisu69 immer-wieder-viel-sufer Registriert seit: 14.11.2005 Ort: stmk Beiträge: 19	ein router mit dd-wrt + vpn-paket wäre eine preisgünstige möglichkeit (mein buffalo hat ca 45eur gekostet), wenn man gelegentliche neustarts in kauf nimmt ja nach auslastung flashbare router bzw. featureliste ist im dd-wrt wiki nachlesbar ____________________________________ Gott gebe mir die Gelassenheit, Dinge hinzunehmen, die ich nicht ändern kann, den Mut, Dinge zu ändern, die ich ändern kann, und die Weisheit, das eine vom anderen zu unterscheiden. (von Reinhold Niebuhr)

22.03.2009, 11:16	#8
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	imho wird das zum einen daran scheitern das dd-wrt sicher nicht davür entwickelt wurde um lan seitig vpns aufzubauen, ausserdem wirds am routing scheitern. Schliesslich brauchst im lan ein subnetz das die clients mit dem router verbindet durch das aber keine daten gehen dürfen, d.h. der router muss die einzelnen switch ports steuern können was bei einem €45,- sicher nicht geht. Und selbst wenn das alles funzt, musst bedenken das eine verschlüsselung von einem 100mbit datenstrom eine enorme rechenleistung beansprucht. Die übertragungsrate zwischen den einzelnen pc's wird daher vermutlich bei ein paar hundert kbit liegen. Mit einem alten pc, 1 lankarte je client und der monowall software könntest das ganze relativ preiswert hinbekommen, habs aber nicht getestet deine privaten anforderungen übersteigen die sicherheitsstandards jedes unternehmens. ____________________________________ Greetings LouCypher

18.03.2009, 22:47	#2
maxxmaxx Elite Registriert seit: 05.03.2003 Alter: 52 Beiträge: 1.000	wlan verschlüsselung ist aber aktiviert oder? und war der dritte rechner mit dem du allles mitgesnifft hast im wlan-netz eingebucht? wenn 2x ja, hast du hat da einen denkfehler: es ist logisch das alles sichtbar war, da der rechner ja im verschlüsselten wlan-netz autorisiert ist! wlan verschlüsselung schützt nur vor unberechtigten zugriff von außen stehenden rechnern! -> alle im wlannetz eingebuchten rechner können den datenverkehr mitlesen, genauso wie jeder netzwerkadministrator der sich beim internet-provider mit einen mirror-port verbindet, den ganzen über den switch laufenden datenverkehr mitlesen kann! daten ins internet werden erst verschlüsselt übertragen, wenn du mit dem server per https verbunden bist, wenn beim mailprogramm die verschlüsselung aktiviert ist oder wenn du eine verschlüsselte verbindung per vpn aufbaust! gruß, markus

18.03.2009, 23:07	#3
reemrev Inventar Registriert seit: 31.01.2000 Beiträge: 1.706 Mein Computer	Ja klar, Wlan aktiviert und alle Rechner autorisiert, das Ergebnis hat mich ja auch nicht so wirklich verwundert. Wollte eigentlich nur wissen, ob man innerhalb des eigenen Netzes "abhörsichere" Verbindungen aufbauen kann. Ich mein, wenn's nach draußen geht, warum sollte es auch drinnen nicht möglich sein?

21.03.2009, 20:05	#7
reemrev Inventar Registriert seit: 31.01.2000 Beiträge: 1.706 Mein Computer	Also 45€ wären ja noch machbar, aber spätestens beim homeuser-knowhow gehen die Lichter aus ...

22.03.2009, 12:02	#9
reemrev Inventar Registriert seit: 31.01.2000 Beiträge: 1.706 Mein Computer	Ich hab mir den Link von crisu69 durchgelesen (also den Anfang), für ellenlange Anleitungen bin ich absolut nicht geeignet. Häkchen in einfach zu verstehenden Dialogen setzen, das ist mein Ding (gesicherte Verbindung zum Router ja/nein - fertig). Daher: Kapitel abgeschlossen und danke für die Antworten!

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)