Frage zu Gast-WLAN daheim - welche Ports sperren

[RaistlinMajere]

Folgendes Szenario: Hin und wieder entsteht die Notwendigkeit, Geräte in mein WLAN zu lassen, denen ich sicherheitstechnisch nicht vertrauen kann (bzw. dem Sicherheitsbewusstsein ihrer Besitzer). Um in solchen Fällen (z.B. lädt Freundin ein paar Studienkollegen zum gemeinsamen Arbeiten mit nach Hause, manchmal muss aber auch ich fremde Notebooks warten und brauche dazu einen Internetzugang) nicht immer auf Tethering zurückgreifen zu müssen (wie bisher), habe ich mir überlegt, einen eigenen AP mit DD-WRT bei Bedarf einzuschalten, welcher ein Gast-WLAN zur Verfügung stellt.

Grundsätzlich habe ich mir überlegt, diesen AP mit einem anderen IP-Range als meinem eigenen DHCP-Server ein Gateway spielen zu lassen (ganz so als wäre ich mein Hauptrouter der eines Internetproviders, der per DHCP eine externe IP-Adresse zur Verfügung stellt), damit z.B. Malware ggf. nicht einfach den IP-Range nach weiteren Hosts oder Shares durchsuchen kann. Zusätzlich habe ich jene Ports, die von Windows für den Zugriff auf Netzwerkshares verwendet werden, gesperrt (TCP 139, 445, UDP 137-138) und SMB gesperrt. Das funktioniert auch, der Zugriff aufs Internet funktioniert vom Gast-WLAN uneingeschränkt, auf meine Shares in meinem eigenen WLAN kann jedoch nicht zugegriffen werden.

Meine Frage: Gibt es sonst noch Ports, die ich sperren sollte? Natürlich könnte ich auch einfach nur 80 und 443 erlauben, aber dann kann es doch sein, dass irgendwer etwas abseits davon nutzen will und wenn das dann nicht funktioniert, gibts Ärger mit der besseren Hälfte.

[enjoy2]

ich würde einen günstigen Wlan-Router kaufen und dein Netzwerk mit den WAN Anschluss des neuen Routers verbinden; damit trennt der neue Router dein Netzwerk von dem "Gäste-Netzwerk", ohne große Anstrengungen, bzw. weniger möglichen Konfigurations-Fehlern

ein paar ältere Artikel zu dem Thema, hoffe diese verwirren nicht
http://www.heise.de/netze/artikel/Ro...n-1825801.html
http://www.heise.de/netze/artikel/Bi...r-2099453.html

[RaistlinMajere]

Zitat:

Zitat von enjoy2

ich würde einen günstigen Wlan-Router kaufen und dein Netzwerk mit den WAN Anschluss des neuen Routers verbinden; damit trennt der neue Router dein Netzwerk von dem "Gäste-Netzwerk", ohne große Anstrengungen, bzw. weniger möglichen Konfigurations-Fehlern

Genau das hab ich eh gemacht (hab einen alten Linksys WRT54GS mit DD-WRT hergenommen), nur war dann halt ohne Sperre irgendwelcher Ports über das Gast-WLAN immer noch ein Zugriff auf meine Netzwerkshares im Haupt-LAN möglich (was ich natürlich nicht möchte). Hat mich gewundert, da das eigentlich im Gateway-Modus nicht möglich sein sollte, nur für einen Router bei entsprechend gesetzten Routingregeln, aber es war so. Das konnte ich dank der Sperre von TCP 139, 445 und UDP 137-138 unterbinden, nur wärs halt interessant gewesen, ob ich sonst noch Ports sperren soll.

Zitat:

ein paar ältere Artikel zu dem Thema, hoffe diese verwirren nicht
http://www.heise.de/netze/artikel/Ro...n-1825801.html
http://www.heise.de/netze/artikel/Bi...r-2099453.html

Danke für die Links, die sehen gut aus.

[cub]

Hallo RaistlinMajere

ich würde am Linksys WRT54GS den Zugang zum Haupt-Lannetz generell sperren da für die Gäste sowieso nur das Internet wichtig ist wird ihnen diese Einschränkung egal sein.

Normalerweise sperrt man alle Ports und schaltet dann nach Bedarf frei.

Also wäre die einfachste sinnvolle Konfiguration von WLan gesehen Zugriff nur auf Hauplannetz-Router zu gestatten.

Im Hauptlannetz merkst Du ebenfalls nichts da diese Einschränkung ja nur für den Linksys Zugang gilt.

Achtung
Innerhalb des WLans also zwischen zwei Gastrechner wirkt der Firwallschutz des Linksys natürlich nicht.