WLAN-Absicherung

[GoBBy]

Hoi,

wenn ich jemandem in meinem Wohnhaus WLAN vorübergehend einer Person gewähren möchte, gibt es - z.B. durch ein unterschriebenes Schreiben - irgendwie die Möglichkeit mich gegen Missbrauch abzusichern, so dass im Zweifelsfall der WLAN-Nutzer zur Kasse gebeten wird?
Ich kann LAN und WLAN ja unterschiedliche IP-Adressen zuweisen (zumindest lt meinen Einstellungsmöglichkeiten im Vodafone-Menü) - ich nutze ausschließlich LAN, der Betroffene dann halt WLAN - möglicherweise ein Ansatzpunkt?

Oder bei Unsicherheit grundsätzlich keine Nutzung ermöglichen?

 

[deleted_24196]

Du kannst natürlich diverse Ports schließen (Firewall; iptables) und bestimmte http-requests auf z.B. rapidshare.com unterbinden. Oder du startest einen Proxy und logst mit was der andere macht. Dann kannst du, sollte es zu einer Strafverfolgung kommen, beweisen wer auf die Homepage zugegriffen hat.

 

[GoBBy]

Wird das mit den HTTP-Requests nicht etwas umständlich? Weil gibt ja schon 'ne Menge?
Kann ich die Ports auch ausschließlich für WLAN schließen? Weil soviel Einstellungsmöglichkeiten gibt das Vodafone-Menü scheinbar nicht wirklich her - und falls ja, gibt es eine Möglichkeit, "wichtige" Ports, bei denen eine Schließung Sinn macht, in einer Übersicht zu überblicken? Oder ist da Google mein Freund?
Thx so far

 

[deleted_24196]

Was dein Router kann oder nicht kann weiß ich nicht. Mit 'tomato' (eine alternative Firmware für diverse Routermodelle) geht das alles. Du kannst natürlich einfach mal "alles" schließen und nur 80 (http), 21/23 (eMail) und ein paar für Messenger öffnen.

 

[Annihilator]

Was dein Router kann oder nicht kann weiß ich nicht. Mit 'tomato' (eine alternative Firmware für diverse Routermodelle) geht das alles. Du kannst natürlich einfach mal "alles" schließen und nur 80 (http), 21/23 (eMail) und ein paar für Messenger öffnen.

21 ist FTP, 23 Telnet
Ich glaube rechtlich kannst du dich da nicht wirklich absichern. Du kannst es nur schwerer machen indem du wirklich (ausgehende) Ports schließt.
Natürlich kann er, wenn ers denn drauf anlegt, alles auch über Standardports machen.

Aufmachen kannst du z.B. 80, 443, 25, 465, 110, 995, 143, 993

 

[deleted_24196]

Eh, ja, natürlich. Wie komme ich denn auf 21 und 23 für eMail?

 

[parats']

Vielleicht weil 25 SMTP ist?

Zum Topic:
Du kannst bei vielen Routern eine DMZ aufbauen, das ist mehr oder minder ein getrenntes Netz in welchem du dann extra Regeln vergeben kannst. Üblich ist dann halt Port 80 (HTTP) und Port 443 (HTTPS) nach außen freizugeben.

 

[viedion]

Aber mitloggen muss er doch trotzdem - nach aussen gibts doch nur die eine IP - allerdings wenn ich in meinem Heimnetz mitlogge und das dann als Beweis nehmen kann, dass der andere es war...
Ob das gilt?

 

[deleted_24196]

Wenn du einen Proxy nutzt und jedem Teilnehmer eine einzelne Benutzerkennung gibst, dann ja. Denn dann kannst du ja sagen/beweisen "Hey, der Paul von Nebenan hat am 01.12.2010 um 8:31 die URL russenschlampen.de aufgerufen. Hier ist die Log mit seiner Benutzerkennung!".

 

[Annihilator]

Und wieso sollte das jemand akzeptieren?
Ich kann doch in das Log reinschreiben was ich will...

 

[deleted_24196]

Wie sichern sich denn z.B. Unis ab? Glaube kaum, dass sich dort der Admin für jede aufgerufene URL rechtfertigen muss. Oder die Telekom. Die kann theoretisch auch die Logs der IP-Vergabe fälschen.

 

[viedion]

Ich denke, dass es einen Unterschied zwischen den Beziehungen:

kommerzieller, professioneler Anbieter mit xk für ihn mehr oder weniger anonymen Kunden <==> Netzzugangsbenutzer

-- und --

Ich der genervt ist von der Katze meines Nachbarn <==> Nachbar der mein Netzzugang mitnutzt

-- gibt.


Nicht umsonst haben Unternehmen Sicherheitsbeauftragte, ISO 9000:4zwölfunzwanzig Zertifizierung und Frauen- und Behindertenbeauftragte...

Aber eigentlich müsste so ein Problem ja schonmal jemand gehabt haben, sollte also u.U. schon Präzendenzfälle gegeben haben...

 

[deleted_24196]

Eine Log-Datei ist eine Log-Datei, ist eine Log-Datei. Egal von wem die angelegt wird.

 

[Annihilator]

lol, eben nicht.
Es geht ja nur um Glaubwürdigkeit... und da steht man privat wohl hinter einer Firma dir irgendwelche Normen erfüllt, Schulungen macht und was weiß ich.

Natürlich können die auch faken, aber es wird wohl als weniger wahrscheinlich angenommen.



Aber damit sind wir jetzt wohl schon etwas von der eigentlichen Frage weg.

 

[iFang]

## Annihilator

zertifizierung ist das zauberwort

Wie sichern sich denn z.B. Unis ab? Glaube kaum, dass sich dort der Admin für jede aufgerufene URL rechtfertigen muss. Oder die Telekom. Die kann theoretisch auch die Logs der IP-Vergabe fälschen.

wie das an unis funktioniert, hatte ich dir doch bereits erklärt. das geht sehr oft über vpn verbindungen, jeder hat sein eigenen login

 

[deleted_24196]

Hätte man bei einem Proxy auch. Ich wollte wissen, wie sich die Uni absichert was Protokollierung usw. angeht.

 

[iFang]

Hoi,

wenn ich jemandem in meinem Wohnhaus WLAN vorübergehend einer Person gewähren möchte, gibt es - z.B. durch ein unterschriebenes Schreiben - irgendwie die Möglichkeit mich gegen Missbrauch abzusichern, so dass im Zweifelsfall der WLAN-Nutzer zur Kasse gebeten wird?
Ich kann LAN und WLAN ja unterschiedliche IP-Adressen zuweisen (zumindest lt meinen Einstellungsmöglichkeiten im Vodafone-Menü) - ich nutze ausschließlich LAN, der Betroffene dann halt WLAN - möglicherweise ein Ansatzpunkt?

Oder bei Unsicherheit grundsätzlich keine Nutzung ermöglichen?

ich glaube du bist nicht ganz so sicher was diesen technischen bereich angeht, oder? jedenfalls deuten deine ausführungen darauf hin.

im grunde kann man sagen, du kannst dich nie zu 100% absichern. auch wenn sie nur zugang zum www haben, kann derjenige immer noch scheiße machen. die ganzen vorschläge hier bringen dich sehr wahrscheinlich nicht wirklich weiter.

ganz einfache sache:
wenn du den leuten vertraust, sag ihnen, sie sollen keinen scheiß machen und gebe ihnen den zugang frei. hast du kein vertrauen, lass es halt bleiben.

 

[iFang]

Hätte man bei einem Proxy auch. Ich wollte wissen, wie sich die Uni absichert was Protokollierung usw. angeht.

natürlich führen die auch ihre logs. der unterschied zu deinen und meinen logs und den von unis und providern ist die zertifizierung verbunden mit technischen maßnahmen. wir könnten nur irgend ein text file vorweisen.

 

[deleted_24196]

Eine "Zertifizierung" dass keine Logs gefälscht werden? Ich bleibe dabei. Eine Log ist eine Log, ist eine Log.

 

[viedion]

Pah, "Zertifizierung" hab ich sogar schon vorher geschrieben...

€: @morph: Hast du mal eine Ausschreibung gemacht bzw. dich bei was beworben um Leistungen auszuführen? "Eigenerklärung nach §7 über ihre Datenschutzkonzepte und Sicherheitsbeauftragten" sind idR immer gefordert - und da zählt dann ein Zertifikat, ja. Klar kann man das (€: die Manipulation, die Red.) immer machen - haste aber ein 4- oder 6-Augenprinzip für gewisse Vorgänge, dann wirds schonmal heikler...

Das Problem ist neben der Technik halt auch das rechtliche, Datenschutz usw.
Ich würde ehrlichgesagt nicht dein WLan mitnutzen wollen wenn du da alles mitloggst. Als IT-Amateur mal n Haken falsch gesetzt (oder bewusst) und schon loggst du nicht nur Besuche sondern auch PWs o.ä...

ganz einfache sache:
wenn du den leuten vertraust, sag ihnen, sie sollen keinen scheiß machen und gebe ihnen den zugang frei. hast du kein vertrauen, lass es halt bleiben.

#2

Und wenn du plötzlich n Brief bekommst, denen nichts davon sagen und unter fadenscheinigen Gründen plötzlich an Ihren Rechner müssen und dann zapzarap, beweise ziehen.
(spass!)

 

[iFang]

das mit den beweisen ziehen, würde ich jetzt aber nicht empfehlen. ich mein, was soll er für überhaupt für beweise von anderen rechnern ziehen?

 

[Steep]

Ich würds lassen.

Es sei denn du hast einen Router (also eher ein richtigen Rechner der Routet) welcher haarklein sämtlichen aktivitäten aufzeichnet und für die ewigkeit wegspeichert.

Da du solch hardware aber mit sicherheit nicht vorweisen kannst bzw ganz sicher keine Lust haben wirst extra für jemanden sowas einzurichten ....würd ichs lassen.

 

[iFang]

Ich würds lassen.

Es sei denn du hast einen Router (also eher ein richtigen Rechner der Routet) welcher haarklein sämtlichen aktivitäten aufzeichnet und für die ewigkeit wegspeichert.

Da du solch hardware aber mit sicherheit nicht vorweisen kannst bzw ganz sicher keine Lust haben wirst extra für jemanden sowas einzurichten ....würd ichs lassen.

und wieder einer, den thread nicht wirklich gelesen hat

 

[Steep]

und wieder einer, den thread nicht wirklich gelesen hat

Und wie ich ihn gelesen habe aber steh nicht so auf einzeller und habs begründet und dabei isses mir relativ egal ob schon weitere und in diesem fall ja auch nur zum teil meine Aussagen schon vorher getätigt haben...

 

[PiZzA]

Ich hatte genau das gleiche Problem und habs schlussendlich gelassen, weil ich (!) keine vernünftige Lösung gefunden habe...

 

[ElBollo]

Eine "Zertifizierung" dass keine Logs gefälscht werden? Ich bleibe dabei. Eine Log ist eine Log, ist eine Log.

Sollte man eigentlich meinen das es so ist, aber in einen jüngsten CTs wird gerade das gerügt, eine Log-Datei ist nämlich leider in der aktuellen Rechtsprechung nicht gleich eine Log-Datei.

In dem beschriebenen Fall ging es um eine Abmahnung wegen Urheberrechtsverletzungen. Der Abgemahnte hatte angeblich lückenhafte Logdateiaufzeichnungen für den bestimmten Zeitraum, mit denen er Nachweisen wollte, dass er die Urheberrechtsverletzungen nicht begangen haben. Das war dem Gericht aus Beweis nicht genügend mit den Hinweis private LogFiles lassen sich leicht manipulieren. Die von der Kanzlei erhobenen LogDateien aber, welche zur IP-Ermittlung genutzt wurden, wurden akzeptiert. Ich will den Fall selbst da gar nicht weiter kommentieren (gibt ja auch Gründe für das Verhalten des Gerichts), aber ich denke das beweisst, dass Log Datei nicht gleich LogDatei ist (zumindeste auf juristischer Ebene).