Wie schütze ich einen Computer vor dem lokalen (drahtlosen) Netzwerk durch eine Firewall und erlaube ihm gleichzeitig weiterhin, Internetverkehr weiterzuleiten?

tag-icon tag-icon networking wireless-networking security home-networking lan
Wie schütze ich einen Computer vor dem lokalen (drahtlosen) Netzwerk durch eine Firewall und erlaube ihm gleichzeitig weiterhin, Internetverkehr weiterzuleiten?

Ich habe eine gemeinsam genutzte DSL-Verbindung und weiß, dass die Computer einiger Benutzer ständig infiziert werden. Daher mache ich mir Sorgen um die Netzwerksicherheit. Mein Computer ist der einzige, der über ein Ethernet-Kabel (eth0-Schnittstelle) mit dem Modem (das gleichzeitig der drahtlose AP ist) verbunden ist. Alle anderen Benutzer sind drahtlos verbunden (wlan0-Schnittstelle).

Welche Maßnahmen sollte ich ergreifen, um meinen Computer zu isolieren oder zu schützen? Ich weiß, dass man, wenn man mit dem drahtlosen Netzwerk verbunden ist, die mit Software wie Wireshark und Ettercap gesendeten Pakete abfangen und lesen kann. Wie kann ich also verhindern, dass die von mir gesendeten Pakete gelesen werden, oder, wenn das nicht möglich ist, welche anderen Vorsichtsmaßnahmen sollte ich treffen?

Ich suche keine Antworten wie„Sie sollten Ihr Netzwerk überhaupt nicht mit ihnen teilen“, da dies sowohl zu Hause (bei meinen Mitbewohnern) als auch bei der Arbeit der Fall ist (ich kann also nicht viel dagegen tun).

Einige Einstellungen, die relevant sein könnten:

Ein/Auto

NAT
LAN to LAN (intra LAN) multicast
WMM(Wi-Fi Multimedia)
WMM APSD
Client Isolation

Aus

Wireless Multicast Forwarding
Support 802.11n Client Only
OBSS Co-Existance
WMM No Acknowledgement
WPS
IGMP Snooping
QoS (quality of service)
LAN side firewall

Andere

Network Authentication - mixed wpa2/wpa - psk   
WPA/WAPI Encryption tkip+aes
DHCP slots match the number of clients

Durch die Aktivierung der LAN-seitigen Firewall habe ich meine Internetverbindung verloren und möchte die Sache nicht noch mehr durcheinanderbringen – ich bin kein Netzwerkexperte.

Schnittstellengruppierung:

Group Name | WAN Interface | LAN Interfaces
Default    | ppp0          | eth3
           |               | eth2
           |               | eth1
           |               | eth0
           |               | wlan0

LAN-Statistiken zeigen, dass nur eth0 und wl0 Daten senden/empfangen.

Mein Betriebssystem istDebian 6.0.7 (squeeze)

Antwort1

Nach dem, was Sie geschrieben haben, befinden Sie sich derzeit im selben Netzwerk wie Ihre Freunde – obwohl es den Anschein hat, dass die Infektionen derzeit nicht versuchen, Sie weiter zu infizieren (da nur eth0 und wl0 Daten senden/empfangen).

Wenn ich es richtig verstehe, könnte die Client-Isolierung ein wenig helfen, wird es aber wahrscheinlich nicht.

Die wirkliche Lösung besteht darin, sicherzustellen, dass Sie eine Firewall auf Ihrem PC ausführen, oder, wenn Sie es vorziehen, einen zweiten Router zu besorgen und den Hauptrouter mit Ihrem Router und dann Ihren PC mit Ihrem Router zu verbinden. Dies ist aufgrund von „Double-NAT“-Problemen keine „großartige Lösung“, bietet Ihnen jedoch ein viel besseres Maß an Schutz und Isolierung von ihrem Netzwerk.

Antwort2

Ich würde empfehlen, einen Router zu kaufen, der über ein Gastnetzwerk verfügt, das vom Haupt-WLAN-Netzwerk getrennt ist.

Dadurch kann das drahtlose Netzwerk in zwei separate Subnetze aufgeteilt werden, sodass nicht vertrauenswürdige Computer überhaupt keinen Zugriff auf Ihr Netzwerk haben, Sie jedoch drahtlose Geräte weiterhin sicher mit Ihrem eigenen Netzwerk verbinden können.

Die nächstbeste Lösung ist ein Router, der DD-WRT problemlos unterstützt (also ohne mechanische Arbeit), sodass man das Netzwerk auf diese Weise aufteilen kann. DD-WRT unterstützt auch QoS, wodurch die Bandbreite anderer Benutzer begrenzt werden kann, wenn sie das Internet übermäßig nutzen.

Für den letzteren Fall sieheTeilen Sie Ihr Internet sicher mit Ihren Freunden und Nachbarn.

Antwort3

Wenn Sie ohnehin verkabelt sind und die drahtlose Verbindung aufrechterhalten möchten, würde ich vorschlagen, einen billigen Computer mit 2 Netzwerkkarten bei eBay zu kaufen und zu installierenpfSensedarauf. pfSense ist wirklich einfach zu verwalten und stellt eine großartige Firewall dar, die Ihren Computer schützen sollte. Was das Schnüffeln betrifft, hängt es wirklich von Ihrem WLAN-Router ab. Wenn es ein halbwegs anständiger ist, sollte er keinen kabelgebundenen Datenverkehr über das drahtlose Netzwerk senden, es sei denn, er versucht speziell, eine drahtlose Maschine zu erreichen, da die Routing-Tabellen die Pakete nicht dorthin leiten würden.

Antwort4

Viele Router haben einen DMZ-Port, an den Sie Ihren WLAN-Router/AP anschließen können. Dadurch können Sie Ihr Netzwerk nach Wunsch segmentieren. Sie können auch einen Switch und einen weiteren Router kaufen und alle kabelgebundenen Clients an den neuen Router anschließen und die kabellosen Clients auf dem AP belassen. (Verwenden Sie unterschiedliche Subnetze.)

verwandte Informationen