Ich habe heute mein LAN auf statische IPs umgestellt. Nun wollte ich alle IPs auser den von mir benötigten (ca 10 Stück) sperren. Ist das möglich? Und wenn ja wie?
Danke im Voraus,
Grüße,
xMeox
Man könnte die Netmask verkleinern.
Aber ich habe immer noch nicht verstanden was das bringen soll?
Du hast einen LAN-Router, und der kann DHCP. Diesen Dienst nutzt du nun nicht mehr und hast alle deine Geräte im LAN auf statische IP umkonfiguriert...
Warum willst du nun, dass nur 10 Geräte im Netz sein sollen?
habe mich jetzt mit wikipedia und google an einen tisch gesetzt und eine lösung gefunden
hatte zuerst immer die subnetzmask: 255.255.255.0 (=254 ips)
jetzt habe ich mir eine andere ausgerechnet welche nur 16 ips zulässt (abzüglich der für router und broadcast). Für alle dies interessiert wie sowas geht: wikipedia: netzwerkmaske
der grund für den ganzen aufwand ist dass ich mein netzwerk mit einem aiport express station erweitert habe und nun versuche das netzwerk so sicher wie möglich zu machen.
da jetzt nicht nur mein netzwerkname und passwort erraten werden müssen, sondern auch noch gateway, subnetmask und eine ip (jetzt nur noch ein kleiner rahmen und die meisten sind belegt) sollte es nun noch schwerer zu sein in das netzwerk einzudringen.
bei den paar nicht verwendeten ips in dem verfügbarem rahmen sperre ich per router alle protokolle. somit sind wirklich nur die verwendeten ips nützlich.
für weitere tipps wie ich mein wlan weiter absichern kann, bin ich selbstverständlich offen
(WPA2 verschlüsselt, airport station sowie router haben geänderte (nicht standart) passwörter)
grüße,
xMeox
Mac-Sperre hast du vergessen
-.- das war salz in die wunde...
ich könnte schwöhren dass ich das früher bereits hatte (glaube mich erinnern zu können das ich meine wii vergessen habe einzutragen und daher nix gegangen ist) ich finde den punkt aber nicht mehr (und ich bin das menü min. 20mal durchgegangen)
noch ne frage: wenn ich den router resette (mit knopf am router) ist dan auch jedes software update weg?
Antwort: Nein die software bleibt die zuletzt draufgespielte
Kann es sein das der mac filter nur bei einer alten software da war und bei der neuen nicht mehr?
Danke schonmal,
xMeox
Edit: der einzige punkt der da hinkommt ist "Adress Reservation" (man kann eine gewisse IP einer Mac Adresse zuteilen) allerdings steht in der berschreibung dass das benutzt wird wenn der router als DHCP server dient, sodass zb ein server immer die gleiche ip hat..
Edit: Wer suchet, der findet.... *schäm*
mein router hat keinen mac filter, aber meine airport station -.-
nochmals danke für die hilfe!!
Geändert von xmeox (09.01.2009 um 09:45 Uhr)
Wenn Du ohne statische IPs verwendet ist es letzten Endes absolut egal, was für eine Netzwerkmaske Du verwendest, da *tada* die IPs ja nicht dynamisch vergeben werden - also erhält ein unbekannter Client ja erst mal keine IP. Wobei die statische Vergabe üblicherweise dann ja doch an die Mac-Adresse der Geräte gekoppelt ist - wenigstens bei den Home-Routern, die mir bislang untergekommen sind. Wobei ein Mac-Filter, gerade im W-Lan absolut keine zusätzliche Sicherheit bietet, da Mac-Adressen sehr einfach gefälscht werden können.
"Quis custodiet ipsos custodos?" Juvenal
Die archaische Kultur von Minos hat dem Minotaurus alljährlich ihre Kinder geopfert, um Sicherheit zu gewinnen. Eine demokratische Kultur, die ihre Prinzipien dem Terrorismus in den Rachen wirft, handelt nicht anders. H. Prantl in NZZ Folio 09/07
Webseiten & Datenschutz - eine kurze Zusammenfassung
wie mans nimmt...
vl. lieg ich da ja falsch, aber wenn wer in mein netzwerk kommen will, muss er nun eine freie ip errahten.
wenn ich jetzt zb 255.255.255.0 als subnetmask hernehme, hat er 254 möglichkeiten, abzüglich der bereits verwendeten ips natürlich.
wenn ich jetzt aber 255.255.0.0 hernehmen würde, hatt er zig tausend möglichkeiten..
dh, desto genauer ich den freihen ip bereich den gebrauchten ips anpasse, desto kleiner ist die wahrscheinlichkeit eine ip zu errahten...
Hast du einen 63-stelligen Pre-Shared Key? Ein Schlüssel der im Wörterbuch steht würde dir nicht viel bringen.
@Jokai olvaso: Eine Mac-sperre würde allerdings das Eindringen verzögern, wenn dem Eindringling keine gültige Mac-Adresse bekannt ist.
Man kann auch einen anderen privaten Adressbereich nutzen, als den üblichen 192.168.0.0.
mein WPA2 schlüssel ist 8stellig, steht aber unter garantie nicht im wörterbuch..
und ja, meine ips sind nicht die 0815 dinger wie 192.168.... oder 10.0....
also um in mein netz zu kommen müsste man eine ip, eine von 2 mac adressen und das passwort rauskriegen
nun ist die frage, wass kann ohne eines der 3 ersnifft werden? wenn man mal das passwort für das netzwerk hat sollte das ersniffen der ip kein problem mehr sein, oder muss man dazu schon die richtige ip besitzen?. und kann man auch die mac adresse ersniffen?
und noch zu Jokai olvaso´s post: bei mir sind die ips mit keiner mac adresse gekoppelt. auf dem router kann ich nur meinen adressbereich einstellen (zb: 11.11.11.1 bis 11.11.11.12. ich kann allerdings nicht einzelne ips einzelnen macs zuweisen..
Noja, ich hätte dir ja jetzt einen Layer-3-Switch empfohlen, der tatsächlich nur bekannte MAC/IP-Kombinationen zulässt - aber das wäre gelinde gesagt extremst übertrieben
Wenn es jemand bis in dein WLAN geschafft hat, ist es für diese Person nicht schwer, eine gültige IP-Adresse zu finden. Denn es muss nur ein einziger Rechner einen Broadcast senden (den erhalten alle Clients) und er kennt eine gültige IP-Adresse.
Sichern kannst du dein Netz noch zusätzlich, indem du Ressourcen im Netzwerk nur Benutzerkontengesteuert freigibst. Das heißt konkret (ich nehme an du nutzt einen Mac?), dass jeder, der auf freigegebene Ressourcen eines anderen Rechners zugreifen will, Benutzername und Kennwort haben muss. Falls irgendwann mal eine leicht zu knackende Schwachstelle in WPA2 gefunden werden sollte könnte jemand, der diese ausnutzt, allerhöchstens im Internet surfen (wenn überhaupt), aber nicht in deinen privaten oder schlimmer noch geschäftlichen Daten rumwuseln.
Btw: Ich nutze zu Hause einen 63-Stelligen WPA2-Key mit Groß-/Kleinschreibung, Sonderzeichen und Zahlen. Und ja, den habe ich bereits auch schonmal einer Wii beibringen dürfen
8 Stellen ist das absolute Minimum für WPA - du solltest wenigstens auf 20 Stellen kommen, damit man das Netz als sicher bezeichnen kann.
Die SSID kannst du auch noch verbergen, damit hältst du zumindest schonmal einen Teil der neugierigen Nachbarschaft aus deinem Netz raus, damit kommen aber leider nicht immer alle Clients zurecht, müsstest du ausprobieren.
Nachtrag:
Man muss selbst keine gültige IP zugewiesen haben, um zumindest den Broadcast-Traffic mitzubekommen.
Und je nach verwendetem Betriebssystem und Protokollen wird dieser alle paar Minuten gesendet um neue Rechner zu ermitteln und die Netzwerkumgebung (oder das entsprechende Derivat) aktuell zu halten.
Meistens antworten alle anderen eingeschalteten Rechner daraufhin auch und ein Angreifer hätte eine Liste gültiger IP-Adressen und könnte sich selbst eine zuweisen, die nicht in dieser Liste auftaucht. Also solltest du primär dafür sorgen, dass das Netz vernünftig verschlüsselt ist. Wer diese verschlüsselung knacken kann - naja, um die müsstest du dich eigentlich nicht mehr kümmern, denn alle hier genannten Maßnahmen würden ihn dann wohl auch nicht mehr abhalten können das zu tun, was er will
Geändert von maxi89 (10.01.2009 um 02:07 Uhr)
Schau Dir die Sache doch einfach mal mit einem Linux und der Air-Crack-Suite selbst an. Die Mac-Adressen von Deinem Access-Point und alle verbundenen Clients ist für jedermann sichtbar.Zitat von xmeox
"Quis custodiet ipsos custodos?" Juvenal
Die archaische Kultur von Minos hat dem Minotaurus alljährlich ihre Kinder geopfert, um Sicherheit zu gewinnen. Eine demokratische Kultur, die ihre Prinzipien dem Terrorismus in den Rachen wirft, handelt nicht anders. H. Prantl in NZZ Folio 09/07
Webseiten & Datenschutz - eine kurze Zusammenfassung
@t Jokai olvaso:
alle wlan fähigen geräte (=2laptops) sind in verwendung.. da möchte ich nicht unbedingt ein linux drauf installieren (wäre das erste mal und da die geräte täglich gebraucht werden wäre ein systemcrash mehr als beschi**en..)
@t maxi89:
SSID ist versteckt und den schlüssel werd ich erweitern!
ich benutze ein MBP zum arbeiten, alle restlichen rechner im haus (inkl. server) laufen mit windows xp oder vista. habe mich mit der freigabe unter osx noch nicht beschäftigt, denke aber dass das nicht sehr schwer sein wird (bis jetzt waren alle einstellungen sehr leicht auffindbar und schön aufgelistet)
alle wichtigen freigegebenen laufwerke auf dem server sind natürlich mit benutzerabfragen gesichert.
nochmal zurück zum NW-schlüssel: soll ich da einfach wild auf der tastatur rumhacken und das dann als schlüssel nehmen oder gibts da irgentwas spezielles was ich tun soll?
nochmal danke an alle fürs euer input!
Grüße,
xMeox
Noja, wenn du wild rumhackst ist die Wahrscheinlichkeit, dass das Passwort in irgendwelchen Liste auftaucht deutlich geringer (es sei denn du fährst einmal über die erste Buchstabenreihe). QWERTZ ist KEIN sicheres Passwort
Am Besten noch ein paar Sonderzeichen und Zahlen rein, dann hast du einen recht guten Schlüssel.
Dann glaub' mir einfach, dass das Verstecken der SSID und die Filterung der Mac-Adressen keinen nennenswerten Sicherheitsvorteil ergeben.
Übrigens gibt es auch Linux-Live-CDs, die (wie der Name schon andeutet) von CD starten und ohne irgendwelche Installationsorgien funktionieren.
"Quis custodiet ipsos custodos?" Juvenal
Die archaische Kultur von Minos hat dem Minotaurus alljährlich ihre Kinder geopfert, um Sicherheit zu gewinnen. Eine demokratische Kultur, die ihre Prinzipien dem Terrorismus in den Rachen wirft, handelt nicht anders. H. Prantl in NZZ Folio 09/07
Webseiten & Datenschutz - eine kurze Zusammenfassung
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
LinkBack URL
About LinkBacks
Zitieren