Ich habe eine Frage, wie erreiche ich es am Besten, dass ich ein W-LAN in zwei Netze physisch trenne, sodass z.B. mein Nachbar ins W-LAn kann, er aber in einem anderen Netz ist, z,B. Subnetz, sodass er den Traffic von mir nicht sniffen kann? VLAN? Einfach neues Netzwerk aufbauen? also Subnetz? Wie mache ich das am Besten?
Netzwerke physisch trennen
- Ersteller R.Carlos
- Erstellt am
Alfred Tetzlaff
Reaktionärer Spießer
Gastzugang z.B., geht mit Fritzboxen und auch mit Fritz-Repeatern...
The_Emperor

- Registriert
- 17 Juli 2013
- Beiträge
- 2.774
Was deinen Anforderungen entsprechen würde wäre ein eigener Access-Point der am DMZ-Port deines Routers angeschlossen wird sofern dieser einen solchen Port besitzt, bzw. sich ein vorhandener Port als DMZ konfigurieren lässt.
- Thread Starter Thread Starter
- #4
Vielen Dank an beide!
Ja, wenn ich ein Gastnetzwerk einrichte, das einen anderen SChlüssel hat, dann kann man ja nicht vom Gastnezuwerk in das "richtige" Netzwerk, um z.b. per MITM Daten abzugreifen, ist das korrekt? Denn ich bin ja nicht mit diesem verbunden.
Macht es Sinn, eine IP Range zu bestimmen? Möglicherweise ein anderes Netzwerk? also statt 192.168.2.x z.B. 192.168.1.x?
Ja, wenn ich ein Gastnetzwerk einrichte, das einen anderen SChlüssel hat, dann kann man ja nicht vom Gastnezuwerk in das "richtige" Netzwerk, um z.b. per MITM Daten abzugreifen, ist das korrekt? Denn ich bin ja nicht mit diesem verbunden.
Macht es Sinn, eine IP Range zu bestimmen? Möglicherweise ein anderes Netzwerk? also statt 192.168.2.x z.B. 192.168.1.x?
keinbenutzername
gesperrt
- Registriert
- 21 Juli 2015
- Beiträge
- 3.722
was aber keine physische Trennung ist.
Wie sicher das ganze dann ist, kann keiner sagen.
Ob eine wirkliche physische Trennung erfolgen muss, kann auch nur der TS wissen.
Womöglich aber weiß er das nicht mal selbst.
Der Gastzugang bekommt eine andere IP Range. Und zumindest kann man zwischen normalen Netz und Gastzugang keinen Ping versenden.
Wie das die Fritzbox intern handhabt, weiß ich nicht. Wird wohl ein Bündel aus IPTable-Rules sein.
Wie das die Fritzbox intern handhabt, weiß ich nicht. Wird wohl ein Bündel aus IPTable-Rules sein.
virtus
Gehasst
Netzwerke physisch trennen? Du willst also effektiv 2 isolierte Netze mit jeweils eigener Hardware.
Phsyisch trennen geht nur, wenn du 2 Accesspoints verwendest und die dahinter keine Verbindung zueinander haben. Die Accesspoints sollten natürlich auch nicht untereinander verbunden sein. Sprich jeder sollte direkt mit einem eigenen DSL Modem verbunden werden und zwischen den Netzen sollten keine Verbindungen bestehen. Das wäre eine physische Trennung der beiden Netze. Die wird jedoch nicht alle Angriffsvektoren auf WLAN-Verbindungen ausschließen. Es gibt diverse Möglichkeiten, wie man Angriffe auf wlan Verbindungen fahren kann, ohne selbst Zugriff auf das wlan zu haben.
Ich bin mir zu 99,99% sicher, dass du die Netze nicht physisch trennen willst.
Phsyisch trennen geht nur, wenn du 2 Accesspoints verwendest und die dahinter keine Verbindung zueinander haben. Die Accesspoints sollten natürlich auch nicht untereinander verbunden sein. Sprich jeder sollte direkt mit einem eigenen DSL Modem verbunden werden und zwischen den Netzen sollten keine Verbindungen bestehen. Das wäre eine physische Trennung der beiden Netze. Die wird jedoch nicht alle Angriffsvektoren auf WLAN-Verbindungen ausschließen. Es gibt diverse Möglichkeiten, wie man Angriffe auf wlan Verbindungen fahren kann, ohne selbst Zugriff auf das wlan zu haben.
Ich bin mir zu 99,99% sicher, dass du die Netze nicht physisch trennen willst.
Das ist falsch. Mit wenigen Informationen kann man dem Accesspoint Pakete senden, so dass diesem vorgegaukelt wird, der Client wolle die WLAN Verbindung abbauen. Die Folge ist, dass der Accesspoint ebenfalls die Verbindung terminiert. Der Client muss sich nun erst mal neu zum Accesspoint verbinden, bevor er wieder Daten senden kann. Je nachdem, wie "stark" der Angriff ist, kann der Client damit zumindest stark ausgebremst werden oder sich effektiv gar nicht mehr zum Accesspoint verbinden. Auch das ist ein MITM Angriff, wobei in diesem speziellen Fall keine Information mitgelesen wird, sondern Datenpakete in die Kommunikation eingeschleust werden und die Kommunikation auf diese Weise gestört wird.
- Thread Starter Thread Starter
- #9
Es muss nivht sein, dass eigene Hardware verwedent wird. Ich meinte eher in Richtung VLAN, um sie eben zu trennen, aber nicht auf hardwarebasis.
Logisch, nur ich meinte nicht auf hardwarebasis, sondenr so gut es geht per Emulation/VLAN etc.
Stichwort "De-Auth" Befehle? Man muss nur "sniffen" bzw. W-LAN theoretisch zu nutzen. Ja, klar, aber so gesehen, dann muss man offline bleiben^^
Ja, das wäre auch ein Angriff, jedoch nicht einer, der Informationen mitlist, wie du ja auch sagst.
virtus
Gehasst
Physisch trennen heißt aber genau das. Also entweder willst du sie physisch trennen, dann musst du eigene Hardware für jedes Netzwerk verwenden oder du willst sie logisch trennen, dann brauchst du keine eigene Hardware. Aber physische Trennung ohne eigene Hardware ist ein Widerspruch.
Deine Aussage war, dass du dir von der Trennung der Netze einen Schutz vor MITM Angriffe versprichst. Den kann eine physische Trennung aber nicht gewährleisten bzw. sie kann es nur für bestimmte Arten von MITM Angriffe.
- Thread Starter Thread Starter
- #11
Ich habe nicht genau unterschieden, demnach wäre es eine logisch Trennung. du hast recht.
Ja, man kann in das Netzwerk eindringen, wie gesagtr mit "De-Auth" Befehlen und erlangen des Handshakes, das stimmt (im Falle von WEP, auch das gibt es noch, mit genügend Datenpaketen).
Wqs ich meinte, wenn es twei logische Netzwerke sind oder eben zwei physisch getrennet, dann ist es nicht so einfach, wenn man im selben Netzwerk ist, Daten abzugreifen. Dazu muss man nur Cain&Abel etc. laufen lassen, oder Wireshark, das war gemeint. DAs ist einfacher, als in eine verschlüssletes Netz einzudringen.
virtus
Gehasst
Das stimmt so auch nicht ganz. Es mag in bestimmten Konstellationen zutreffen, nicht aber in allen. Besonders in komplexeren als Plug&Play (Heim-) Netzwerken ist das nicht ohne weiteres möglich. Abgesehen davon hast du ja auch noch ein paar Layer darüber, die für Vertraulichkeit und Integrität der Daten sorgen können.