Hintergrund meiner Frage: Man bräuchte sich ja bei auserhalb der Hauses verlegtem CAT-LAN-Kabel „lediglich“ Zugang zum CAT-Kabel zu verschaffen, um ins Heimnetz einzubrechen bzw. den Internetzugang des Netzwerks auszunutzen.
Ich frage deshalb, weil ich auch überlege, eine IP-basierte Sprechanlage am Gartentor zu montieren.
Gruß Rolf
hinter einer kleinen separaten Firewall (zb ausrangierter Lan-Router) mit nur einem geöffneten Port
Etwas bessere Router unterstützen eine Einteilung der LAN-Ports in verschiedene Zonen. Damit könntest Du z.b. erreichen dass die Outdoor-LAN-Schnittstelle nur einen ganz definierten Zugriffsbereich hat - basierend auf Port, MAC-Adresse, Dienst, VLAN usw.
Eine Alternative wäre ein Switch der auf Portbasis entsprechende Sicherheitsmechanismen anbietet.
Dlink Smart Link Router + VLAN --> VLAN-Port an der Astaro Firewall mit MAC-Adressenfilterung
…es gibt abschliessbare Kabel…
würde mich interessieren wie man ein Kabel abschliesst 
Also Mac-Filter ist sicher die beste und einfachste Wahl und hilft bei allen Möglichkeiten.
Firewall und Portfilter sind schon wieder etwas schwieriger, vor allem wenn dann unterschiedliche Dinge wie eben die SIP-Türklingel und die Webcam dran hängen.
Vor allem können das auch schon halbwegs günstige switches wie der Netgear GS 108
Danke. Die Idee mit den Switches hat mich auf die Idee gebracht, Sabotagekontakte mit einzuplanen. Auslösen des/der Sabotagekontaktes entzieht einfach dem Switch für das „Outdoor“ LAN die Versorgungsspannung - aus die Maus.
Gruß Rolf
Also Mac-Filter ist sicher die beste und einfachste Wahl und hilft bei allen Möglichkeiten.
Firewall und Portfilter sind schon wieder etwas schwieriger, vor allem wenn dann unterschiedliche Dinge wie eben die SIP-Türklingel und die Webcam dran hängen.
Es gibt nichts einfacheres als eine MAC zu faken (Mac Spoofing)!
Frei nach dem Motto „only the paranoid will survive“ geht kein Weg vorbei an Firewall, Portfilter und VLAN (z.B. der schon erwähnte ausrangierte Router).
Gruss, Michael
Schon mal gemacht oder nur davon gehört? In der Realität musst du so jemanden erst mal finden… Und wenn du diesen Menschen gefunden hast geht der nicht über das Kabel sondern über dein „sicheres“ WLAN rein. :rolleyes:
Gruß,
Toni
(der das tatsächlich mal ausprobiert hat)
Kabel sondern über dein „sicheres“ WLAN rein.
Welches auch in einer eigenen Zone angesiedelt sein sollte…
Damit ich meine Musiksammlung nicht am Handy hören kann. Macht Sinn.
Nee, im Ernst. Aufwand und Wirkung. In der Firma haben wir den ganzen Schmonz und immer wenn ein Server aus der DMZ eine Statusmail oder Errormail versenden soll muss die über einen externen Provider laufen weil die Green-Zone nicht kompromittiert werden darf. Das ist nervig aber notwändig.
Zuhause will ich das alles funktioniert ohne dass ich mir nen Kopf machen muss. Das Netz muss exakt so sicher sein, dass der Nachbarsjunge keinen Unfug anstellen kann. Alles Weitere ist „Hobby“. Es sei denn man wohnt im silicon valley und hat nen Nachbarschaftsstreit mit dem Professor für angewandte Schad-Informatik.
Toni
Volle Zustimmung
+1
NUR SO…auch Privat
Immerhin geht es um Serverdienste und nicht um Zugriff auf den Play-Store übers Handy
Wenn wir ernsthaft davon ausgehen würden, dass ein WLAN generell ungenügend sicher ist um Serverdienste zu beeinflussen/steuern, dann dürften iPads und Android Tablets leider nur noch lesend auf IPS zugreifen. Das wäre zumindest datentechnisch konsequent.
also unter Linux ist das ein Einzeiler…
Wlan kann man schon als sicher bezeichnen. Zumindest solange es WPA2 verschluesselt ist, das Passwort nicht ‚geheim‘ oder ‚12345678‘ lautet oder die Firmware nicht buggy ist.
Die urspruengliche Frage war ja, wie man ethernet sicher macht. MAC Filter allein ist nicht die Antwort.
Gruss, Michael
Ja, das kann man überall googeln. Soweit kein Problem.
Damit hast du jetzt aus einem Stück Metall etwas gefeilt was wie ein Haustürschlüssel aussieht, aber noch keine Tür gefunden wo er passt. Um bei dem Bildnis zu bleiben könnte ich meinen Haustürschlüssel nehmen und mit der Feile ein paar extra Riefen in den Bart feilen. Damit gehe ich jetzt zu deiner Haustür und… Er passt nicht. Seltsam… Hätte laut dieser mega coolen „Hacker-Webseite“ doch klappen müssen… 
Auf vielen Geräten steht die MAC-Adresse draussen drauf. Die zu ermitteln wäre also machbar wenn man den Aufkleber nicht entsorgt hat. Das dürfte auch für eine IP-gestützte Sprechanlage Gültigkeit haben.
Aber Toni hat Recht. Wer sollte sich die Mühe machen diese Anstrengungen zu unternehmen? Die Diskussion ist daher eher akademisch.
also, wenn ich euch richtig verstehe braucht Rolf-L im Grunde genommen gar nichts unternehmen. Weil ja eh nix passieren wird…
Da sich Rolf-L zu recht Gedanken macht, sollte man doch schon die möglichen Gefahren und Möglichkeiten aufzeigen.
Ich glaube euch ist nicht bewusst, was selbst Script-Kiddies (der Junge von Nebenan) mit Tools wie http://www.backtrack-linux.org/ und Co anstellen koennen. Dafür braucht man kein Akademiker zu sein.
Klar, die gespoofte Mac ist nur der erste Schritt. Aber wie war das noch?? Braucht man ein Passwort für eine ips_console.exe remote session?
Gruss, Michael
Eventuell ist das falsch rüber gekommen - ich wollte da nichts verniedlichen und ich selbst nehme den Aufwand ja auch in Kauf (siehe Post 3).
Beim mir ist das Netz in Zonen eingeteilt. Die gliedern sich in Haus intern, Garage (extern), WLAN und WAN auf. Das ist zwar manchmal gefühlt aufwendig zu pflegen aber ich fühle mich besser dabei. Und nachdem der Router das so vom Konstrukt her so anbietet lag es nahe das so zu handhaben.