WLAN über bestehendes LAN

[yvonneja]

Hallo,

habe mal eine Frage ob das grundsätzlich möglich ist.
In meinem Router sind drei Netzwerkkarten
eth0 geht ans DSL-Modem IP wird zugeteilt
eth1 geht ins bestehende LAN an einen Hub ip 192.168.13.10
ra0 ist eine concpetronic wlan karte

wollte jetzt diese wlan karte im ad-hoc modus über gateway 192.168.13.10 ins inernet schicken ip 192.168.1.1
in meinem laptop habe ich ebenfalls eine pcmci conceptronic ebenfalls ad-hoc mit ip192.168.1.2 gateway dann 192.168.1.1.
Habe das auch schon ausprobiert und es hat funktioniert. Leider ist mein Router dann irgendwie komplett abgestürtzt, mußte neu installieren. Weiß allerdings nicht ob das jetzt daran lag. DAs ganze wollte ich dann über openvpn absichern, also das der laptop nur ins internet kann aber nicht in
das LAN.
Ist das grundsätzlich möglich?

Danke und Viele Grüße!
Yvonne

 

[devilz]

Ja Gründsätzlich ist das kein Problem .... du könntest das ganze sogar sehr sauber und sicher mit OpenBSD realisieren

 

[yvonneja]

Hallo devilz,

habe Debian Sarge installiert. Ich müßte doch dann praktisch nur
die zwei Rechner, also den Server ra0 192.168.1.1 und den Laptop ra0 192.168.1.2 tunneln, also mit openvpn absichern. Ist dann gewährleistet das niemand in das interne Netz kommt? Habe da auch zwei Windows XP Rechner dranhängen und die mögens nicht so mit den Viren .
Wollte das ganze dann auch noch mit iptables in der Firewall absichern.
Müßte man dann das ganze Device ra0 absichern oder genügt dann das durch openvpn angelegte tun0?

Viele Grüße
Yvonne

 

[theton]

Um Viren auszufiltern, wirst du wohl einiges mehr machen muessen als Tunneln. Auf jeden Fall solltest du das Interface, das im Internet haengt mit iptables sichern und wenn du auch noch Viren ausfiltern willst, sollte natuerlich auf der Kiste ein Viren-Filter installiert sein. Sophos Antivirus, ClamAV u.ae. bietet sich da an.
OpenVPN ist ansich recht sicher, aber 100% sicher sein kannst du dir nie, dass niemand in dein System kommt. Irgendeine Luecke findet sich fast immer. Das schlimmste koenntest du z.B. mit einem IDS auf der routenden Kiste unterbinden, so dass sich zumindest durchschnittlich gute Cracker und Script-Kiddies die Zaehne dran ausbeissen.

 

[yvonneja]

habe auf dem router bereits ClamaV installiert.
Auch ist das LAN bereits mit einer Firewall abgesichert.
Was meinst du mit IDS?

 

[phrenicus]

Hallo,

ein IDS ist ein Intrusion Detection System.
So was gibt es für lokale Sicherheit im Filesystem (Tripwire oder ViperDB) und auch für's Netzwerk (z.B. snort).
Der Trick ist dabei immer, irgendwelche Veränderungen des von Dir definierten Zustands der Servers/Routers zu suchen, die Du nicht selbst veranlasst hast.

Gruß

 

[theton]

Hallo,

ein IDS ist ein Intrusion Detection System.
So was gibt es für lokale Sicherheit im Filesystem (Tripwire oder ViperDB) und auch für's Netzwerk (z.B. snort).
Der Trick ist dabei immer, irgendwelche Veränderungen des von Dir definierten Zustands der Servers/Routers zu suchen, die Du nicht selbst veranlasst hast.

Gruß

Tripwire und ViperDB sind keine IDS, sondern Daten-Integritaetstools. Ein IDS, wie z.B. snort, ist dazu da, dass bestimmte Muster, die bei bekannten Angriffstechniken genutzt werden, im Netzwerkstream erkannt, geloggt und (wenn es als Intrusion Prevention System eingesetzt wird) unterbunden werde. Daten-Integritaetstools sind erst dann brauchbar, wenn ein erfolgreicher Angriff stattgefunden hat, um herauszubekommen, was der Angreifer am System alles veraendert hat und diese Aenderungen rueckgaengig machen zu koennen.