TwoCom Online-Forum

[fibco2]

Tja, da will ein Freund den Mitbewohnern auch das Emailabfragen und surfen ermöglichen (evtl. sogar per Airport am Vigor 2200), aber wie kann er verhindern, daß die Mitbewohner Unsinn machen können.

Klar, die Konfiguration des Vigors 2200 ist erstmal zu sperren. Reicht die Passwort-Sperre, oder geht das evtl. auch noch besser?

Aber, wie kann man es verhinderen, daß jemand über den DSL - t-online Account mailt oder Tarifwechsel vornimmt oder kostenpflichtige Angebote nutzt, oder oder?? Wenn der Vigor 2200 den DSL-Zugang herstellt, ist ja automatisch jeder im lokalen Netz t-online gegenüber als berechtigt authentifiziert.

Da können einem schon graue Haare wachsen, ...

Müßte man zur Not den ganzen t-online IP-Bereich sperren? Ginge das denn wasserdicht?


Danke für alle Hinweise!
Wer hatte diese Fragestellung schonmal?

Fragt sich,
Bernd

[deMattin]

Den Router kannst du relativ sicher sperren, indem du zusätzlich zu dem Passwort auch noch das Webinterface auf einen total ungewöhnlichen Port leitest (z.B. 45187), dann muss man den Port kennen und das Passwort knacken und da gehört schon einiges an Versuchen, Zeit und krimineller Energie zu.

Achja und dann gibt's da noch die "Access List" unter "System Management> Management Setup", da kann man die für Konfiguration zulässigen IPs eintragen (habe ich allerdings noch nicht ausprobiert).
Das macht dann Sinn, wenn zumindest der Konfigurationsrechner eine feste IP im LAN hat.

Mit der Sperre von t-online ist's da schon etwas schwieriger.
Das Sperren der entsprechenden IPs (nur die, auf denen die Dienste Mail und Accountwechsel laufen) wäre ansich kein Problem (auch selektiv für alle ausser dich), aber was passiert, wenn die IPs der Dienste von t-online sich ändern sollte?
Man müsste dies also regelmässig abchecken (ich weiss allerdings nicht ob und wenn, wie oft t-online dies macht).

Gruss,
Martin



Edited By deMattin on Apr. 03 2002 at 21:41

[sbellon]

Sorry, deMattin, hier muss ich Dir einmal widersprechen. Den Port des Webinterfaces umzubiegen, zählt nicht als Sicherheit! Das ist "security through obscurity". Innerhalb von Minuten kannst Du rausfinden, auf welchem Port das Webinterface liegt. Das ist kein Sicherheitsgewinn! Das ist eher dazu da, um einen lokalen Webserver auf Port 80 laufen lassen zu können. Aber mit Sicherheit hat das wirklich nichts zu tun.

Der Rest Deines Postings geht in Ordnung. ;-)

Gruß, sbellon.

[lupus359]

Ich würde sagen der Grad des Sicherheitsgewinns durch umbiegen des Ports hängt davon ab, ob die Mitbewohner wissen, was ein Portscanner ist und wie man damit umgeht. Für durchschnittlich begabte "Das Betriebssystem auf meinem Computer ist Word 6"-Leute dürfte ein gutes Passwort fürs Router-Setup allemal ausreichen.

Mindolluin

[sbellon]

Es läuft trotzdem unter "security through obscurity". Punkt.

Um Leute, die kein 10-Fingersystem können oder das Tastaturlayout nicht auswendig gelernt haben, vom Computer abzuhalten, reicht eine Tastatur ohne Beschriftung aus. Ich würde das aber nicht als Sicherheitsmaßnahme betrachten. Ich hab mir die Tastatur nur gekauft, weil sie nur 7 DM gekostet hat und "saucool" aussieht. ;-)

Gruß, sbellon.

[deMattin]

So meinte ich das auch.
Verstecken ist natürlich nur sinnvoll, solange der "Gegner" nicht weiss, wie und was man suchen muss.
Es ist eine zusätzliche erste Hürde den Port umzustellen und kein alleiniger Zugriffschutz.

Und ich denke auch erfahrenere Coumputeranwender und nicht nur blutige "mein BS ist word"-User dürften es schwer haben einen Router (bzw. überhaupt ein Passwort) zu knacken.
Wer arbeitet schon normalerweise mit Portscannern oder weiss, wie man ein Passwort per Script knackt.

Ausserdem:
Es gibt viele Router (nicht nur Vigor) und auch eine Menge anderer Dienste im Netz, die nur mit Passwort geschützt sind.
Und im Vergleich dazu ist das Risiko in einer überschaubaren Usergruppe, die man auch noch persönlich kennt, doch verhältnismässig gering, oder?

Gruss,
Martin

[fibco2]

[quote="deMattin"][/quote]
Okay, ...

sehe ich es richtig, daß ein Filtern nach http-Adressen xxx.t-online.de nicht geht?

Wo kann ich den t-online IP-Adressraum oder sogar dessen genauere Aufgliederung nachgucken?

Gibt es 'ne Möglichkeit, die IP-Funktionalität (nicht die Konfiguration) des Vigor auf bestimmte IP-Adressen des lokalen Netzes oder sogar auf bestimme Ethernet MAC-Adressen einzuschränken.

Oder gibt es dafür kleine bezahlbare 'Kästchen' zum dazwischenschalten, ich an den Vigor hängen kann (bevor das Ethernetkabel in einen anderen Raum geht)?

Danke,

Bernd

[deMattin]

sehe ich es richtig, daß ein Filtern nach http-Adressen xxx.t-online.de nicht geht?

Ja

Wo kann ich den t-online IP-Adressraum oder sogar dessen genauere Aufgliederung nachgucken?

z.B. per "nslookup" die entsprechenden Diensteseiten in die IP auflösen.

Gibt es 'ne Möglichkeit, die IP-Funktionalität (nicht die Konfiguration) des Vigor auf bestimmte IP-Adressen des lokalen Netzes oder sogar auf bestimme Ethernet MAC-Adressen einzuschränken.

Ja, per Firewalldefinition (IP-Adressen) - aber man muss natürlich die Ziel-IPs vorher ermitteln, s.o.

Oder gibt es dafür kleine bezahlbare 'Kästchen' zum dazwischenschalten, ich an den Vigor hängen kann (bevor das Ethernetkabel in einen anderen Raum geht)?

Das Kästchen wäre eine Firewall und die gibt's als fertige Standalone-Geräte von bezahlbar bis nahezu unbezahlbar. Aber du hast ja schon eine im Router, die für deine Zwecke eigentlich (mit etwas eigener Arbeit) ausreichend sein sollte.

Gruss,
Martin