Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
BenutzerGa4gooPh

Re: Router/AP, WPA2 und Sicherheit im Heimnetzwerk

Beitrag von BenutzerGa4gooPh » 20.01.2018 18:33:10

smutbert hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 17:46:20
Danke liebe Jana ...
Unserem hilfsbereiten (und wohl auch lieben) Audio-/Video-/Foto-Bert hilft man doch gern. :wink: :D
smutbert hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 17:46:20
Außerhalb aber schon – ein fremder DNS-Server kann sich nicht nach dem Domainnamen richten, den ich zu Hause verwende, selbst wenn er ihn kennen würde. Genaugenommen stört mich in fremden WLANs schon, dass überhaupt eine DNS-Anfrage à la „wie lautet die IP-Adresse von drucker.zuhause“ hinausgeht und ich habe nicht den Eindruck, dass ich das verhindern kann indem ich .example statt .zuhause verwende.
Bei Anfrage eines lokalen FQDNs von dir privat im Fremdnetz (und auch zuhause mit fehlerhaftem DNS-Server) wird durch die reservierten (und standardisierten) Domains zumindest nicht auf eine falsche IP aufgelöst. Ansonsten für Fremdnetze eine unter Linuxern ach so unbeliebte Desktop-Firewall / iptables aufsetzen, Filter outbound/egress, nur HTTP, HTTPS, NTP, DNS und was du sonst noch brauchst (ICMP, traceroute, whois, SSH, ...) abgehend zulassen und Ruhe ist. Rechner als DHCP-Client im Fremdnetz? UDP Port 67 outbound und 68 inbound bei Bedarf auch zulassen, sonst zu viel Ruhe. :wink:
smutbert hat geschrieben: ↑ zum Beitrag ↑
20.01.2018 17:46:20
Immerhin habe ich aus dem 2. Teil herausgelesen, dass Blockieren anhand von IP oder MAC vollkommen ok ist?
M. E. kann man nicht viel mehr im Heimnetz tun, hochwertige Switches haben u. a. noch DHCP-Tricks (Pruefung richtige MAC vs. richtiger dynam. IP-Adresse am richtigem Port). MACs kann man ja leicht spoofen, denen dynamisch zugeordnete IPs somit auch. Dazu müssten dann aber andere und von dir zugelassene, vorhandene MACs/IPs/Subnetze verwendet werden. Aber die Systeme selber tun das wohl nicht, mein Androide will nur nach Hause telefonieren, das weitgehende Unterbinden trotz Internetzugang habe ich oben genannt. Zu "best practices" gehört, an allen LAN-/WLAN-Ports nur gewollte IP-Subnetze per Paketfilter zuzulassen. Das Wichtigste zuletzt: Du willst blocken? Falsch! Erlaube nur das, was gewollt! Meist genügen Quell-IPs oder/und Subnetze und Zielports/Dienste. Dazu sind Subnetze sinnvoll, die entsprechend verschiedener Sicherheitsanforderungen gebildet werden (Gast,- WLAN-, LAN-, Server-Segment, ...)

Nur MAC-Filter für WLAN? M. E. nur weitere Sicherheitsschicht zum Paketfilter, alleine nicht so sinnvoll wegen Spoofing. Wie gesagt, mein Androide tut's nicht von selber. Nachbarn vielleicht.

Falls ich zu umständlich antworte, einfach weiter bohren, gibt noch mehr hier.

Antworten