Einrichtung eines lokalen Netzwerkes im Heimbereich (siehe auch Beispiel)

In nachfolgendem Beispiel (auf 8 Seiten) gehen wir auf die Einrichtung eines lokalen Netzwerkes mit gemeinsamer Nutzung eines Internetanschlusses ein. Wir unterstellen, dass Sie sich bereits mit den Grundlagen vertraut gemacht haben. Ansonsten können Sie das auf den Seiten Tipps und Sicherheitsthemen, insbesondere die nachfolgenden Bereiche betreffend, nachholen:

• Ports- und Protokolle
• IP-Adressen
• Router
• Firewall
• Wireless

Gerne können Sie diese Netzwerktopologie nachbauen. Am jeweiligen unteren Rand der Seite werden Sie zu den weiteren Kapiteln geführt, die Sie durch die einzelnen Konfigurationsschritte leiten.

Folgende Hardware-Ausgangssituation und Absichten haben wir:

• 1 Windows XP-Desktop-PC 1, der verkabelt auf das lokale Netzwerk und das Internet zugreifen sollen. Dieser PC soll im LAN Quelle (Server) für verschiedene Dateien sein, welche unter dem Pfad “c:\Mein_Netzwerk\” bereitgestellt werden. Ferner haben wir ein netzwerkfähiges Fakturen-Programm installiert, welches eine Datenbank im Netzwerk unter “C:\Programme\Faktura\Datenbank\” bereitstellt.

• 1 Suse 9.0-Linux-Desktop-PC 2, der verkabelt auf das lokale Netzwerk und das Internet zugreifen soll

• 1 Windows XP-Notebook, welches Zugriff per Kabel und kabellos auf das lokale Netzwerk und das Internet haben soll

• 1 Handheld/PDA mit Palm OS 5.X (z.B. Palm Tungsten C). Der Zugriff soll sich lediglich kabellos auf das Senden und Empfangen von E-mails über das Internet beschränken

• 1 Drucker (z.B. HP Deskjet), welcher allen Clients zur Verfügung stehen soll. Hierbei handelt es sich um einen “normalen” (nicht Netzwerk-) Drucker

• 1 Router mit Access-Point und Printserver (LPR-Port)

• Internetzugang über 1 Breitband-DSL-Modem

Vorüberlegungen

Unser lokales Netzwerk wird aus LAN (verkabelt) und WLAN (kabellos) bestehen. Da wir den Verkehr zwischen LAN und WLAN aus Sicherheitsgründen kontrollieren wollen, bilden wir zwei getrennte Subnetze.

Diese beiden Subnetze werden wiederum vom Internet isoliert, um auch hier höchstmögliche Sicherheit zu gewährleisten. Dies erreichen wir durch die Vergabe von IP-Adressen, welche ausschliesslich für private Netzwerke reserviert wurden, und durch die Verwendung von NAT (Network Address Translation) und den Einsatz einer Firewall (auf Router wie auf Client).

Es befinden sich eine SPI-Internet-Firewall sowie eine Wireless Firewall (zur Verbindung und Kontrolle der beiden Subnetze) auf dem Router/AP, die verbindungsbasiert arbeiten. Bietet der Router keine Firewall für 2 Subnets (nur anspruchsvollere Geräte), benötigt man für die Bildung und Kontrolle der Subnets zwei Geräte (einen DSL-Router und einen weiteren Router/Access-Point. Letzterer wird dann von seinem WAN-Anschluss (WAN = Wide Access Network) mit den LAN-Anschluss (LAN=Local Area Network) des DSL-Routers verbunden).

Ferner sind Virenscanner und Desktop-Firewalls, die all die Eigenschaften mitbringen, welche auf dieser Seite beschrieben sind, auf den Clients installiert.

Die Vergabe von internen IP-Adressen erfolgt manuell, d.h. der DHCP-Server auf dem Router wird deaktiviert und kann so keine IP-Adressen mehr automatisch vergeben. Dies stellt eine weitere Sicherheitsmassnahme dar. Die statischen IP-Adressen werden wiederum mit den dazugehörigen MAC-Adressen (12-stellige Geräte-Nr.) über die Firewall kontrolliert.

Das WLAN wird mit der derzeit sichersten Methode (WPA-PSK mit TKIP bzw. AES) verschlüsselt und alle sonstigen sicherheitsrelevanten Massnahmen - gemäss dieser Liste - getroffen.

Die Freigaben auf Desktop-PC 1 im lokalen Netzwerk werden über Berechtigungen gesteuert (Benutzer und Kennwörter). So haben wir z.B. die Möglichkeit unterschiedliche Berechtigungen zu setzen. Zudem ist dies ein weiterer Sicherheitsfaktor.

Wir arbeiten nicht als Administrator (Windows) bzw. als Root (Linux) auf den Systemen, sondern als eingeschränkte Benutzer (Hintergünde). Lediglich die Einrichtung des Netzwerkes müssen wir unter Administratorrechten ausführen.

Das virenunanfällige Linux-System soll uns zum Filesharing legaler Dateien* (z.B. Open-Source-Software über eMule, BitTorrent, UseNet) und gewöhnlichem Surfen im Internet dienen.

*Keinesfalls sollten Dateien heruntergeladen (egal, ob per Filesharing, FTP etc.) oder bereitgestellt (Server) werden , die Urheberrechte verletzen (könnten) oder verboten sind. Die Rückverfolgung der IP-Adresse zum letztendlichen Nutzer vor dem Monitor ist kein Problem und führt mittlerweile zu empfindlichen Strafen, sprich wird juristisch nicht mehr als Kavaliersdelikt behandelt.

Der Arbeitsgruppenname (Verbund der vernetzten Rechner) für das lokale Netzwerk soll “MyNet” lauten.

Verkabelung

Die Netzwerkkarten des PC 1, PC 2 und Notebook werden jeweils über ein Cat5e-Kabel mit dem Router (LAN-Ports) verbunden. Das DSL-Modem wird ebenfalls mit dem Splitter und mit dem Router (WAN-Port) verbunden. Paralleles Druckerkabel an Drucker und Router anschließen. Sind Router und Access-Point getrennte Geräte, müssen diese ebenfalls mit einem Cat5e-Kabel verbunden werden (und zwar von WAN-Anschluss des AP zum LAN-Anschluss des DSL-Routers).

Nun können wir mit den einzelnen Einstellungen beginnen, sinnvollerweise starten wir mit dem Herzstück, nämlich dem Router und Access-Point, gefolgt von den einzelnen Clients.

Konfiguration

• Einstellungen des Routers (Seite 2)

• Einstellungen des Access-Points (Seite 3)

• Einstellungen des Desktop-PC 1 und Desktop-PC 2 (Seite 4)

• Einstellungen des Notebooks und Handhelds (Seite 5)

• Einstellungen der Firewalls auf Clients (Seite 6)

• Zugriff der Clients auf das lokale Netzwerk und Internet (Seite 7)

• Zusammenfassung (Seite 8)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |