xDSL.at

[dipldip]

Hallo liebe Experten,

zunächst einmal großes Lob an dieses Forum.
Ist das umfassendste im österreichischen Bereich... spitze!

Habe zu folgender Situation noch keine Lösung hier im Forum gefunden:

Angenommen jemand ist Hauptmieter einer Wohnung in Österreich und wohnt zusammen mit zwei weiteren Untermietern in einer Wohngemeinschaft.
Die WG hat sich einen "complete student"-Anschluss (Flatrate) bei Tele2 zugelegt und nutzt diesen über das WLAN des vom Provider zugestellten Routers (= "Vood 452W_A"). Die Verwendung eines anderen WLAN-Routers wird von Tele2 meines wissens und nach Auskunft von Tele2 nicht unterstützt (oder gibts da tricks ?).

Der Anschluss ist auf den Namen des Hauptmieters registiert, die WLAN-Verbindung wird zwar über WPA verschlüsselt, jedoch hat der Hauptmieter nun bedenken, dass die Untermieter den Anschluss für illegale Downloads bzw. für das bereitstellen rechtlich geschützter Dateien (z.B. mit emule oder bittorrent) mißbrauchen könnten.
Es wurde zwar unter den Bewohnern eine Vereinbarung getroffen diese Angebote nicht zu nutzten, jedoch möchte sich der Anschlussinhaber zusätzlich rechtlich absichern, da ja nach dem derzeitigen juristischen Stand der Dinge, der Anschlussinhaber alleine Verantwortlich für die Nutzung des Internets ist.
(Bitte berichtigen, falls das nicht stimm...)

Wie kann der Anschlussinhaber, der ein totaler technischer Noob ist mit möglichst wenig (und am besten ohne finanziellen) Aufwand software- oder hardwaretechnisch sich vor Mißbrauch des Internetzugangs durch seine Untermieter schützen?

Die Techniker von TELE2 selbst konnten auf Anfrage des Hauptmieters hin keine Auskunft geben, wie so ein "Betrugschutz" bzw. eine Ãœberwachung software- oder hardware-technisch zu realisieren sei !!!!
wortwörtlich: "wir können bestenfalls nur das verfolgen, was bis zum Router passiert... alles was darüber hinausgeht, da müssten sie sich an einen Spezialisten wenden"... supper, gell ? aber Verkaufen können sie gut...

Also, die Spezialisten sind nun gefragt !

Geht das mit über WLAN mit diesem Router, dem Anbieter und 3 Laptops (zwei haben Windows XP Pro und einer ist ein Apple Mac-Book) ohne dass man sich gleich einen Proxy oder sowas in der Art einrichten muss und ohne dass es zu übermäßigen Einschränkung des Internets kommt (z.B. IRC sollte trotzdem funktionieren) ??

Bin gespannt auf Eure Antwort und Meinungen....

[roro]

Erstens: Das ist nicht Aufgabe des ISP sondern des Anschlussbesitzers.

Zweitens: Es gibt Möglichkeiten, die beste wäre auf WLAN zu verzichten, wobei WPA an sich sicher genug, solange die Passphrase ausreichend sicher ist. Wobei das nur ein Schutz davor ist, dass keine Fremden in das WLAN eindringen, ein Schutz vor illegalen Aktionen gibt es nicht.

Drittens: Wenn jemand Zugang zu einem Internet hat, und sich entsprechend gut auskennt, dann wird es schwer den Zugang so einzuschränken, dass nur bestimmte Dinge erlaubt sind.
Eine relativ sichere Kontrolle ist nicht ganz unaufwendig und vor allem nicht ganz billig, wobei das sehr vom Wissenstand der User abhängig ist.

[jutta]

> Die Verwendung eines anderen WLAN-Routers wird von Tele2 meines wissens und nach Auskunft von Tele2 nicht unterstützt (oder gibts da tricks ?).

du kannst jeden wlan-router verwenden. tele2 stellt sogar anleitungen zur verfuegung. http://www.tele2.at/ds?pagename=TELE2/S ... faqc113910

allerdings wird es dir ohne hilfe eines firewall-experten kaum gelingen, das geplante unterfangen zu realisieren. und mit einem 50 euro soho-router wird es nicht gehen, weil die schnell ueberfordert sind, wenn man mehrere firewall-regeln einbaut. ueberleg dir, ob dir das unternehmen einige hundert euro wert ist, leute die dir bei der realisierung helfen koennen gibt es hier. (wohnort oder zumindest bundesland waere auch noch interessant, von wegen anfahrtsweg)

[dipldip]

Danke für die schnellen Antworten.

Eine relativ sichere Kontrolle ist nicht ganz unaufwendig und vor allem nicht ganz billig, wobei das sehr vom Wissenstand der User abhängig ist.

Könntest du, da etwas konkreter werden? wie teuer? Den Wissenstand könnte man sich ja aneignen oder muss man da erst ne Ausbildung als Netwerktechniker abschliessen....

Und ist es nun mit dem Router "Vood 452W_A" prinzipiell möglich diesen so einzustellen, dass die einzelnen Rechner seperat geloggt werden oder nicht?

> Die Verwendung eines anderen WLAN-Routers wird von Tele2 meines wissens und nach Auskunft von Tele2 nicht unterstützt (oder gibts da tricks ?).

du kannst jeden wlan-router verwenden. tele2 stellt sogar anleitungen zur verfuegung. http://www.tele2.at/ds?pagename=TELE2/S ... faqc113910

Hab mich da auf die telefonische Auskunft des zunächst sehr kompetent erschienenen Tele2-Technikers verlassen...
desweiteren hat dieser gesagt, dass bei einem Update durch Tele2 sämtliche Einstellungen am Router verloren gehen...
wäre das bei einem anderem Router z.B. Netgear auch der Fall bzw. stimmt diese Aussage überhaupt ??
Wie oft kommen solche Updates? Wozu dienen diese Updates?

Schätze mal, der sicherste Weg ist wohl die Anschaffung/Errichtung eines Internet-Gateways.
Hab mal wo gelesen, dass es da schon recht gut vorkonfigurierte Linux-Distributionen gibt, die man auf so einem filter-basierten Proxy (ist doch nix anderes, oder?) via Boot-CD laufen lassen könnte?
Könnt Ihr da eine Linux-Distribution emfpehlen, die auch für nicht-linux-freaks geeignet ist (sagen wir mal für jemanden der sich bis jetzt nur mit Windows-Netzwerken beschäfftigt hat) ?

Wie wär's mit einer Linux-Distribution die z.B. sowas wie Squid schon enthält, wobei mir Squid an sich ziemlich kompliziert vorkommt.... ich versteh da nur Bahnhof...
Im Prinzip muss eigentlich auch kein Filter im Internet-Gateway eingbaut sein, sondern nur eine Art Log-Funktion, die es erlaubt auch im Nachhinein eine Unterscheidung zu treffen, von bzw. zu welchem PC die "illegalen" Pakete geschickt bzw. empfangen worden sind... jedem PC müsste doch ne feste IP zuweisbar sein.

...und mit einem 50 euro soho-router wird es nicht gehen, weil die schnell ueberfordert sind, wenn man mehrere firewall-regeln einbaut. ueberleg dir, ob dir das unternehmen einige hundert euro wert ist, leute die dir bei der realisierung helfen koennen gibt es hier. (wohnort oder zumindest bundesland waere auch noch interessant, von wegen anfahrtsweg)

Es wird doch wohl auch selber zu machen sein ohne das man mehrere hundert Euro ausgeben muss ? Ist das Internet schon so komplex geworden, dass man nur noch als ausgebildeter Netzwerktechniker legal surfen kann ??

Wie gesagt Firewall ist eigentlich nicht so wichtig (jeder weiß ja selbst für sich was er machen darf und was nicht), wichtiger ist das vernünftig geloggt wird...

[wicked_one]

dass man nur noch als ausgebildeter Netzwerktechniker legal surfen kann ??

<ot>Hin und wieder würde ich mir das so wünschen, ja... </ot>

[jutta]

Den Wissenstand könnte man sich ja aneignen oder muss man da erst ne Ausbildung als Netwerktechniker abschliessen....

ja klar. auch netzwerktechniker und firewallspezialisten sind nicht als solche auf die welt gekommen, sondern haben das gelernt. ein router-handbuch und deine lieblingssuchmaschine sind schon ein guter anfang.

Und ist es nun mit dem Router "Vood 452W_A" prinzipiell möglich diesen so einzustellen, dass die einzelnen Rechner seperat geloggt werden oder nicht?

nein, geht nicht (und ich kenne keinen einzigen soho-router, bei dem das moeglich waere).

dass bei einem Update durch Tele2 sämtliche Einstellungen am Router verloren gehen...
wäre das bei einem anderem Router z.B. Netgear auch der Fall bzw. stimmt diese Aussage überhaupt ??
Wie oft kommen solche Updates? Wozu dienen diese Updates?

ja, stimmt.
nein, bei anderen routern selbstverstaendlich nicht.
dienen vor allem dazu, dass von kunden verkonfigurierte cpes durch einen reset wieder aufgleich gebracht werden koennen und zum updaten von einstellungen und firmware.

Im Prinzip muss eigentlich auch kein Filter im Internet-Gateway eingbaut sein, sondern nur eine Art Log-Funktion, die es erlaubt auch im Nachhinein eine Unterscheidung zu treffen, von bzw. zu welchem PC die "illegalen" Pakete geschickt bzw. empfangen worden sind... jedem PC müsste doch ne feste IP zuweisbar sein.

oben schriebst du, dass der anschlussinhaber sich vor missbrauch schuetzen will, jetzt, dass es nur um die dokumentation des missbrauchs geht. das sind zwei voellig verschiedene aufgaben.

wenn er alles mitloggen will, was seine untermieter tun, begibt er sich auf datenschutzrechtlich sehr heikles gebiet. das sollte er nicht ohne rechtsberatung tun, nicht einmal, wenn die untermieter zugestimmt haben.

ausserdem kommen dabei *unmengen* von daten zusammen. die auch noch zu analysieren erfordert neben fachkenntnis auch viel zeit. hat er die? oder gehts nur darum, den untermietern zu drohen? die einfachere loesung waere, per firewall oder proxy nur jene anwendungen zuzulassen, die einvernehmlich erlaubt sind (http, https, mails abholen und versenden, ftp, ...). ein squid waere dafuer geeignet, logfiles produziert der auch. (ich kann dir den squid aber nicht erklaeren.)

feste ips fuer die rechner sind die einfachste uebung (allerdings koennen die pc-besitzer die auch aendern)

ich gebe ausserdem zu bedenken, dass man auch mit "guten" anwendungen "boese" sachen anstellen kann (also zb per e-mail urheberrechtlich bedenkliches material oder auch schlimmeres versenden oder empfangen).

es waere fuers erste also zweckdienlich, zu klaeren, wovor sich der anschlussbesitzer genau schuetzen will, was die untermieder duerfen, was sie nicht duerfen und wieviel aufwand die durchsetzung verursachen darf.

[ANOther]

Ist das Internet schon so komplex geworden, dass man nur noch als ausgebildeter Netzwerktechniker legal surfen kann ??

IMO hat das nix mit dem internet zu tun... nur mit ANWÄLTEN


und du brauchst netzwerktechniker, um den anwälten keine angriffsfläche zu geben...

[back0rifice]

also wenn du upnp am router deaktivierst funktionieren die meisten filesharing progs eh schon nicht mehr ordentlich, da keine einkommenden verbindungen aufgebaut werden können.

außerdem kannst du die einschlägigen ports outgoing blocken.

dass jemand rapidshare oder usenet nützt wirst du schon schwerer kontrollieren können, da müsste dann wohl wirklich was mächtigeres als ein normaler soho router bzw. ein squid proxy o.ä. her.

wenn du so großes misstrauen hast sicher dich halt vertraglich ab und logg alles mit. oder was weiß ich...

[ANOther]

also wenn du upnp am router deaktivierst funktionieren die meisten filesharing progs eh schon nicht mehr ordentlich, da keine einkommenden verbindungen aufgebaut werden können.

also mein router hat upnp deaktiviert und µt rennt trotzdem...

außerdem kannst du die einschlägigen ports outgoing blocken.

IIRC waren die beim eselchen(?) frei wählbar....

[wagsoul]

Wenn man einen Linksys oder Buffalo-Router mit alternativer Firmware verwendet (zB DD-WRT oder Tomato), kann man es den Filesharern im LAN so richtig schwer machen.

Diese Firmwares haben IPP2P, das ist eine eingebaute Traffic-Analyse, die den Traffic je nach Protokoll - in diesem Fall - Filesharing kennzeichnen kann.

Bei DD-WRT kannst du P2P-Traffic überhaupt verbieten, bei Tomato kannst du einstellen, dass P2P-Traffic zB mit 10 Kilobit/sec beschränkt ist.

So wirklich alles blocken lässt sich damit nicht, da zB manche Bittorrent-Clients ihre Kommunikation auf ganz beliebigen Ports und auch noch verschlüsselt abwickeln, so dass der Verkehr nicht als P2P-Transfer erkennbar ist.

P2P wird so aber ziemlich unbrauchbar. Denn wenn es im Schnitt nicht schneller läuft als mit 0,5 Kbyte/s, dann lässt man es schnell bleiben.

[back0rifice]

also wenn du upnp am router deaktivierst funktionieren die meisten filesharing progs eh schon nicht mehr ordentlich, da keine einkommenden verbindungen aufgebaut werden können.

also mein router hat upnp deaktiviert und µt rennt trotzdem...

aber sicher nicht gut! (außer du forwardest den port statisch)

außerdem kannst du die einschlägigen ports outgoing blocken.

IIRC waren die beim eselchen(?) frei wählbar....

nie behauptet, dass man den hartnäckigen usern alles verbieten kann, aber man kann gewisse sachen wesentlich unattraktiver machen bzw. der nicht so versierte user gibt schnell mal auf.

[wagsoul]

Genau, prinzipiell verbieten, sodass es technisch nicht möglich ist, kann man genau genommen so gut wie nix.

Beispielsweise könnte sich jemand vom LAN einen swissvpn-Account kaufen, dorthin eine VPN-Verbindung aufmachen und schon könnte man beliebigen Netzwerkverkehr durch diese Verbindung tunneln. Die Einschränkung eines NAT-Routers oder sonstiger Filter wäre man schlagartig los, da mit dieser Methode der Rechner eine Schweizer IP erhält und inmitten für alle erreichbar im schweizer Internet hängt.

Gerüchten zufolge könnte man so IP-TV über Zattoo betrachten - auch wenn man nicht in der Schweiz sitzt (steht auf blog.ctk.at)

Richtig verbieten für den technisch versierten Benutzer wird man auf einem Router wenig können. Aber wie hier ja schon steht: Man kann die unerwünschten Dinge ziemlich unattraktiv gestalten.