4. Home LAN sicher stellen; Bitte um Vorschläge!

Home LAN sicher stellen; Bitte um Vorschläge!

  • C

    Ich soll demnächst ein paar Rechner eines Bekannten sicherheitstechnisch auf Vordermann bringen und wäre für Tipps dankbar.

    Status Quo:
    Es sind insgesamt drei XP-Rechner (1x Geschäftlich, 2x Privat), welche per WLAN hinter einem Router (AFAIR Fritz!Box) sitzen.

    Zubeachten:
    Ich habe es mit einen Laien (kein DAU) zutun. Deshalb muß das ganze Konzept möglichst einfach zuwarten sein. D.h. auf allen drei Rechnern sollte die gleiche Software laufen. Außerdem sollte die Software Autoupdate fähig sein (sollte eigentlich standard sein, oder!?).
    Übrigens darf die Software auch was kosten (günstiger bzw. für lau wäre natürlich besser). Doch wäre es von Vorteil, wenn man sie direkt übers INet z.B. per Kreditkarte erstehen kann, da ich sonst ein zweites Mal antreten müßte.
    Ich habe ca. 3 Stunden Zeit, so daß das ganze relativ flott über die Bühne gehen muß.

    Todo:
    0.Aktuellen Benutzer von Administrator zum eingeschränkten Benutzer "degradieren".
    1.WLAN absichern (AFAIR MAC Filter und Verschlüsselung eingeschaltet)
    2.Spamfilter aufsetzen (kein eigener Mailserver; für Outlook evtl. auch Express)
    3.Antivirensoftware aufsetzen (OnDemand reicht IMHO völlig aus)
    4.Windows &Co. updaten; Konfig checken
    5.Crash-Kurs Sicherheit

    Zu 0.:
    Es gibt ein gutes c't-Howto zu diesem Thema, welches ich mal bemühen werde. Ansonsten muß ich ihm noch "Ausführen als..." näher bringen (für die etwas bockigen Applikationen).
    Zu 1.:
    Access Point und Clients durchchecken; Hier mache ich mir keine allzu großen Sorgen.
    Zu 2.:
    Hatte bisher keine Probleme mit Spam, so daß ich auch keine Erfahrung mit Filtern habe. Irgendwelche Vorschläge?
    Zu 3.:
    Irgendwelche konkreten Vorschläge/Namen? Ich hatte bisher FPROT benutzt. Dies ist jedoch in der freien Version nicht Autoupdatefähig.
    Zu 4.:
    Umsteigen ist nicht drin; Wollte aber erstmal Vorschau deaktivieren und noch ein paar Kleinigkeiten (Extensions anzeigen etc.).

    Habe ich sonst noch was vergessen?
    Danke!

    0
  • ?

    1.WLAN absichern (AFAIR MAC Filter und Verschlüsselung eingeschaltet)

    MAC-Filter kannste vergessen. Hindert absolut niemanden am Sniffen, und wer snifft, kann auch seine MAC auf eine gerade unbenutzte Adresse ändern. WPA einschalten, nicht WEP. Wenn möglich sogar WPA2.

    2.Spamfilter aufsetzen (kein eigener Mailserver; für Outlook evtl. auch Express)

    K9 fällt mir da spontan ein. Agiert als lokaler Proxy, wenn ich mich recht erinnere. Ansonsten gibts ne Menge Addins für Outlook - und natürlich Thunderbird, der alles schon mitbringt und nicht ständig das Opfer von Angriffen per E-Mail wird. Da ein Server existiert, würde ich den regelmäßig (alle 10 Min) die Mails abholen und filtern lassen, wobei dann die Clients auf den Server zugreifen.

    3.Antivirensoftware aufsetzen (OnDemand reicht IMHO völlig aus)

    Nein, nein, nein. OnDemand reicht nicht. Es gibt genug Schädlinge die beispielsweise Daten verschlüsseln, und dann Lösegeld fordern (Ransomware). Wer mit Geschäftsdaten in die Falle tappt, und keinen OnAccess-Scanner hatte, ist selbst schuld.

    AntiVir ist erschwinglich, ebenso wie Kaspersky (3er-Lizenz). Eventuell eine Version, die auch E-Mail scannt, für den Server. Durch obigen Ansatz werden dann eh alle Mails gescannt, bevor sie zugestellt werden. Wenn dann ein anderer AV-OnAccess-Scanner auf den Clients läuft, hast du die Sicherheit mehrerer Engines.

    Ansonsten: Firewalls installieren, die AUSGEHENDE Verbindungen unterbinden (damit Schadsoftware und Spyware nicht nachhause telefonieren kann, falls doch mal was installiert wurde).

    Überprüfen, das keine unnötigen Shares freigegeben werden.

    usw.

    0
  • G

    avast antivirus (für privat umsonst)

    Gegen Spam in Outlook ist ganz gut:
    http://www.spamfighter.com
    ...die 2007er Version von Outlook hat selber einen einigermaßen brauchbaren Spamfilter.

    0
  • T

    hi

    paar tips:

    1.1 sachen die sicher sein sollen über kabel nicht über wlan. wenn wlan dann wpa2+vpn (nice wäre auch ne .1x-authentifizierung)

    1.2 trenne die netze in ein privat netz + geschäftsnetz mit router (+firewal funktion wäre sicher praktisch)

    2. spamfilter unter windows hab ich auch keine ahnung 😉

    3. virenscanner hatte ich auf windows immer avira laufen... ka was aktuell tauglich ist 😉

    4. windows updates sollten keine probleme machen

    5. crashkurs sicherheit... bring den leuten bei das sie nicht alles aufmachen + über warnungen nachdenken + aufpassen auf welche seiten sie serven. bissle aufpassen was man macht hilft gegen die viele viele probleme und viren 😉

    0
  • M

    treor schrieb:

    1.1 sachen die sicher sein sollen über kabel nicht über wlan. wenn wlan dann wpa2+vpn (nice wäre auch ne .1x-authentifizierung)

    das ist verschwendung von ressourcen + mehraufwand. beide techniken werden nach dem derzeitigen stand der technik als sicher angesehen.

    treor schrieb:

    1.2 trenne die netze in ein privat netz + geschäftsnetz mit router (+firewal funktion wäre sicher praktisch)

    vlans reichen dafuer aus, und sind eher uebliche praxis.

    gruesse mm

    0
  • T

    @mm
    an vlans (vlans im router/switch für die einzelnen ports konfiguriert, keine dyn. vlans) hab ich bei netztrennung auch gedacht 😉 (oder geschäftliche sachen kabel, privat wlan + router mit wlan dazwischen -> wäre auch eine saubere trennung der netze) aber du hast recht, ich hätte es auch hinschreiben sollen und nicht nur denken.

    das vpn war im zusammen hang "wenn beides über wlan dann.." und dann ist es wirklich sinnvoll um den geschäftlichen datenverkehr vom privaten zu trennen. vlan wäre dafür nicht geeignet.

    .1x halt ich auch keinesfalls für overpowered. (nur bestimmte macs im wlan zulassen ist unsinn da es nur scheinbar mehr sicherheit bringt)

    0
  • ?

    Bloß keine on-access AV software. Lieber echte Benutzer-Rechte. AV software macht computer langsam und instabil!

    0
  • ?

    => nimm linux

    0
  • C

    Danke erstmal für kräftiges Feedback. Werde mir die Tipps zu Gemüte führen.
    Möchte nun mal zu einigen Punkten Stellung nehmen bzw. Fragen stellen.

    0.MAC-Filter
    Das der Sicherheitsgewinn marginal ist, ist mir klar. Doch sehe ich keine größeren Nachteile durch die Aktivierung (Klärt mich auf, wenn ich was verpaßt haben sollte!). Außerdem habe ich so wenigstens die 08/15-DAUs aus der Nachbarschaft ausgeklammert.

    1.OnAccess- vs. OnDemand-Virenscanner
    Mit vernünftigen Benutzerrechten ("zum eigeschränkten Benutzer degradieren") und etwas Hintergrundwissen ("Nicht auf alles was attached ist klicken") könnte man IMHO ganz auf einen Virenscanner verzichten. Ohne die beiden Säulen aber nützt der beste OA-Scanner (welcher auch noch das System ausbremst) nichts. Die Warnungen würden einfach weggeklickt werden.
    Wenn man sich trotz allen eine Infektion geholt hat, dann wird das System ja sowieso nicht mehr gestartet bzw. von einem Rettungsmedium aus gesäubert.
    Und gegen z.B. Ransomware gibt es ja noch das alt bewährte Backup.

    2.Personal Firewall
    Halte ich nicht viel von. Wäre auch besonders hilfreich, wenn denn das System bereits kompromittiert ist. Ansonsten gab´s ja genügend Threads zu dem Thema.

    3.VLANs
    Ich würde wenn dann VLANs auf IP-Ebene also mit verschiedenen Subnetzen bzw. Subnetmasks reallisieren. Gibt´s da Alternativen oder gar versteckte Gefahren?

    0
  • ?

    m,. schrieb:

    => nimm linux

    ja, da kannste WLAN vergessen. --> ein zusätzliches plus an sicherheit!
    🙂

    0
  • T

    c++==d schrieb:

    Danke erstmal für kräftiges Feedback. Werde mir die Tipps zu Gemüte führen.
    Möchte nun mal zu einigen Punkten Stellung nehmen bzw. Fragen stellen.

    0.MAC-Filter
    Das der Sicherheitsgewinn marginal ist, ist mir klar. Doch sehe ich keine größeren Nachteile durch die Aktivierung (Klärt mich auf, wenn ich was verpaßt haben sollte!). Außerdem habe ich so wenigstens die 08/15-DAUs aus der Nachbarschaft ausgeklammert.

    [...]

    3.VLANs
    Ich würde wenn dann VLANs auf IP-Ebene also mit verschiedenen Subnetzen bzw. Subnetmasks reallisieren. Gibt´s da Alternativen oder gar versteckte Gefahren?

    0. Guck mal nach ob du nicht .1x aufm wlan-router hast... ist auch nicht viel mehr arbeit und bietet bedeutend mehr schutz (richtiges zertifikat muss auf dem gerät vorhanden sein damit es sich zum ap verbinden darf). ansonnsten bring dir der mac-filter halt, wie du selber sagst, nur nen minimalen sicherheits gewinn (für meinen geschmack zu gering um den konfigurations aufwand rechtzufertigen)

    3. vlans kannst du quasi wie echt getrennte netze betrachten wenns über kabel ist und die ports am switch fest konfiguriert sind (nur ein festgelegtes vlan pro port).
    bei dynamischen vlans (der switch entscheidet auf grund des vlan-tags zu welchem vlan ein packet gehört) lässt sich recht leicht das vlan wechseln... einfach den tag im ethernet-frame fälschen.
    vlans für die wlan technologie gibt es leider noch nicht wirklich. ein paar hersteller unterstützen zwar den entwurf zu 802.11n bereits. ich zweifel allerdings dran das das ein deutlicher sicherheits gewinn wird (liegt einfach an der art des mediums, jeder in reichweite kann mithören). da ich mich mit 802.11n noch nicht auseinander gesetzt habe, kann ich allerdings nicht sagen ob die da nicht eine lösung für gefunden haben (sowas wie die tags im ethernet-frame bei vlan wäre einfach zu leicht zu fälschen)

    0
  • ?

    ich schwöre auf NOD32. der findet die meisten viren, würmer und ähnliches viehzeug.

    0
  • C

    0. Guck mal nach ob du nicht .1x aufm wlan-router hast... ist auch nicht viel mehr arbeit und bietet bedeutend mehr schutz (richtiges zertifikat muss auf dem gerät vorhanden sein damit es sich zum ap verbinden darf).

    Steht an!

    ansonnsten bring dir der mac-filter halt, wie du selber sagst, nur nen minimalen sicherheits gewinn (für meinen geschmack zu gering um den konfigurations aufwand rechtzufertigen)

    Andersrum ausgedrückt: Wozu ausschalten, wenn er denn nichts macht und sowieso schon eingeschaltet ist?

    3. vlans kannst du quasi wie echt getrennte netze betrachten wenns über kabel ist und die ports am switch fest konfiguriert sind (nur ein festgelegtes vlan pro port).

    Klar, daß man WLANs nicht physikalisch trennen kann.

    Ich werde evtl. noch versuchen die Sendeleistung soweit zudrosseln, daß man außerhalb der Wohnung bzw. vor der Haustür (Wohnung im 3.OG) keinen Empfang mehr hat.

    0
  • T

    c++==d schrieb:

    Andersrum ausgedrückt: Wozu ausschalten, wenn er denn nichts macht und sowieso schon eingeschaltet ist?

    da spricht nicht wirklich was gegen. ich fands nur extrem lästig jedes mal wenn besuch mit laptop da war deren macs eintragen zu müssen, bin halt nen fauler mensch 😉

    0
Anmelden zum Antworten