Internetzgugang (gemeinsamen) sicher gestalten?

[Defenz0r]

Hallo, ich habe vor kurzem die Anfrage bekommen, ob mein Zimmernachbar meinen Internetzugang mitbenutzen dürfe, für ein kleines Entgelt.
Ich bezahle 25€ mtl. für Inet und Telefon und er würde 10€ mtl rauflegen.
Speziell jetzt wegen der Sicherheit: Ich kenn ihn nicht zu 100%, aber gibt es Möglichkeiten es komplett sicher zu gestalten?

Klar, Handy Nummern werden gesperrt, aber was ist mit den anderen Aspekten wie:

-Illegale oder nicht gewollte Kommunikation über das Netzwerk, im Prinzip geht das ja auch alles auf meine Kappe, sollte da etwas passieren.

Er prozentig eher auf Konsole zocken, (Könnte dann http ) z.B deaktivieren und die xbox ports lassen?

Wie würdet ihr das machen? Vertrauen kann nie 100% sein, aber kontrolle ist besser?

Werde auch kein Wlan aufmachen, weil zu wenig Kontrolle, alles über Local Area Network(LAN)

 

[Hatuja]

Also sicher bekommst du es nicht! Je nach dem, wie viel kriminelle Energie in deinem Nachbarn steckt, kann das für dich sehr viel Ärger bedeuten.
HTTP Port dicht machen... schön und Gut, aber selbst wenn du für seinen Peer den HTTP Port gesperrt hast, könnte er immer noch z.B. eine Tauschbörse über einen anderen, offenen Port betreiben.
Und wen ihr beide im Kabel-gebundenen LAN hängt, kann er sich dann immer noch unbeschränkt darin bewegen. Es ist ein Kinderspiel, sämtlichen Datenverkehr mitzuschneiden.
Um zumindest ein wenig Sicherheit rein zubringen, bräuchtest du schon einen richtigen Proxyserver, der den kompletten Datenverkehr überwacht.

Außerdem darfst du rein Rechtlich dein Internet anderen nicht gegen Bezahlung zu Verfügung stellen. Dann würdest du nämlich ebenfalls als ISP (Internet Service Provider) agieren, was dein ISP dir 100%ig untersagt. Selbst wenn nicht, wärst du damit Gewerbetreibender mit allen Pflichten, sowohl steuerlich also auch z.B. bei der Vorratsdatenspeicherung!

Wenn dein Nachbar also mist baut, bist du der gearschte. Nicht nur, weil du als Anschlussbesitzer sowieso für sämtliche Dinge verantwortlich bist, könntest du es ihm nicht mal weiterreichen!

Wenn du ihm nicht zu 100% vertraust, würde ich es lassen!

 

[Superwip]

Eine "Patentlösung" ist sehr schwierig.

Um effektiv zu verhindern das er in deinem Netzwerk Schaden anrichtet kannst du einen zweiten Router kaufen und damit ein zweites LAN aufbauen, das von deinem eigenen weitgehend abgekoppelt ist

-> DMZ selbst gebaut | heise Netze

Der PC von deinem Mitbewohner würde dann an den ersten Router gehängt, auch "öffentliche" Netzwerkgeräte könntest du an den ersten Router hängen, deine "privaten" Geräte hängst du an den zweiten Router, sie sind dann zumindest softwaretechnisch sehr gut vor Zugriffen durch ihn geschützt. Vor einem "physikalischen" Angriff (LAN Kabel umstöpseln) schützt das freilich nicht.

Um dir beim Internetzugriff eine höhere Priorität zu geben kannst du noch einen Managed Switch dazwischen hängen. Ist freilich alles nicht billig.

Beachten solltest du weiters, das er gegebenenfalls deinen Internetverkehr belauschen kann (man in the middle Attacke); wirklich guten Schutz bietet hier nur ein verschlüsselter Internetzugang via Proxy Server oder VPN.

Eine weitere Möglichkeit auf W-LAN Basis wäre ein Router mit der Möglichkeit einen Gäste-W-LAN Zugang zu erstellen.

Um vor physikalischen Angriffen zu sicher zu sein solltest du gegebenenfalls den gesamten internen Netzwerkverkehr und alle Datenträger sicher verschlüsseln, das ist natürlich mit einigem Aufwand verbunden.

Das alles schützt aber nicht davor das du für eventuelle illegale Aktivitäten seinerseits im Netz verantwortlich gemacht wirst. Dies ist tatsächlich fast unmöglich. Selbst wenn du seinen Internetzugriff per Firewall stark einschränkst gibt es fast immer irgendeine Möglichkeit durchzutunneln. Wie wichtig dieses Problem ist hängt natürlich auch von der Gesetzgebung in deinem Heimatland ab; in Österreich würde ich mir etwa keine Sorgen machen, in Deutschland ist das Problem dafür kaum vernachlässigbar.

Die einzige halbwegs effektive Möglichkeit um dieses Problem zu lösen ist es beim Netzbereiber eine zweite IP zu beantragen, dann brauchst du noch einen DHCP Server, der beide Adressen jeweils einem Subnetz zuteilt, dann sollte gegebenenfalls relativ einfach "nachgewiesen" werden können von wem die Missetat begangen wurde. Diese Möglichkeit ist aber nicht ganz einfach zu realisieren, in der Praxis wird sie wahrscheinlich beim Beantragen der zweiten IP scheitern wenn du keinen entsprechenden teuren Business Tarif nimmst.

 

[Defenz0r]

Kann ich wenigstens den "Lan" Zugang mit einem Passwort versehen?
Oder keine weiteren Geräte mehr ne IP leasen lassen iwie geht das?
So das man sich halt nicht einfach dran hängen kann...

 

[Superwip]

Na ja... nicht einfach jedenfalls.

 

[Timsu]

Ich würde mir da einen Softwarerouter hinstellen, wenn du gebraucht kaufst, kommst du mit 50€ hin, beu Neukauf etwa 150€.
Damit kann man komplett voneinander unabhängige Netze erstellen (er kann nicht auf dein LAN zugreifen), du kannst nur bestimmten Geräten den Zugriff erlauben, QoS ist möglich, außerdem kannst du Websiten und Ports mit Black und Whitelist sperren.
Hab mal noch ein Bild hinzugefügt, damit du mal ein Überblick über die Einstellmöglichkeiten bekommst.

 

[Superwip]

Ja, mit Softwarerouter geht einiges, damit kann man die DMZ Methode praktisch in einem Gerät konzentrieren.

Wirkliche Vorteile gibt es aber abgesehen von weitergehenden Optionen, vor allem beim Filtern gegenüber der 2-Router Methode auch nicht. Vor allem das Problem der Möglichkeit eines "physikalischen" Angriffs bleibt genauso bestehen.

Und wie gesagt: herkömmliche Filter, for allem auch Port basierende sind nur ein sehr schwammiger Schutz, mit mehr oder weniger Aufwand kann man eine Verbindung für beliebige Daten durch fast jegliche Barrieren dieser Art tunneln außer du willst ihn (fast) vollständig vom www abkapseln- aber wer würde schon dafür bezahlen?

 

[Defenz0r]

Bekomme von 1&1 die Fritzbox 7270SL mit 100gb Festplatte, würde es die schon tun?

Meine Frage war eher die:

Wenn jemand "anderes" das Lan Kabel bei sich anschließt, das man praktisch ein passwort haben muss das man überhaupt ins inet kommt...
Also ned wenn ich mich mim Laptop dransetz das das inet direkt da ist.
Oder kann man keine Mac Adressen außer meine "erlauben"?

 

[Timsu]

Geht mit einem Transparenten Proxy und Authentifizierung, siehe mein Screenshot.

 

[Defenz0r]

Ja... wenn der Proxy keine allzugroße Bandbreite frisst dann ists ja ok.
Gibt es kostenlose Proxy die alle Funktionen bieten?
Ist es ratsam?
Kann man sich kostenlos nen eigenen Proxy aufziehen?
Wenn ja wie, und lohnt es sich?
Was kostet ein Proxy?

 

[Timsu]

Natürlich ein eigener Proxy.
Squid ist da eigtl. Standard.