netwerk beveiligen tegen ongewenste aansluitingen

[gerrit B]

Ik wil mijn netwerk beter gaan beveiligen maar weet niet goed waar te beginnen.

Het probleem is dat er wel eens vriendjes of vriendinnetjes meekomen die gewoon even inpluggen voor internet maar daarmee wel meteen ook toegang krijgen tot alle apparatuur in het netwerk.

 

Nu heb ik e.e.a op mijn fritzbox 7490 al wel zo ingesteld dat een nieuwe aansluiting standaard rechten krijgt en die rechten hebben dan meteen een block voor internet maar dan hebben ze nog wel toegang tot mijn eigen netwerk.

Een handig vriendje kon desondanks wel even zijn computer connecten met een andere om zo toch van alles te kunnen downloaden (en evt. rommel binnen halen die ik absoluut niet wil)

Maar was er laatst ook een vertegenwoordiger die even moest wachten en in de tussentijd zelf maar even zijn laptop had ingeplugd en doodleuk in ons eigen netwerk aan het snuffelen was (die vertegenwoordiger is dus ook direct de deur gewezen) maar dat moet dus onmogelijk gemaakt worden.

 

Dus wat ik eigenlijk wil is dat als iemand zich op wat voor manier dan ook aanmeld, en om een IP adres vraagt, er meteen de melding komt dat aanmelden niet mogelijk is en dat deze dan ook geen enkele toegang krijgt tot het netwerk.

Ik wil dus een besloten netwerk met vaste IP adressen waar niemand zo maar even wat extra's op aan kan sluiten.

Heeft iemand dan toch een aansluiting nodig dan moet ik deze voor een bepaalde tijd kunnen geven maar moet deze absoluut geen toegang hebben tot mijn andere apparatuur.

 

Nu ben ik al flink aan het zoeken geweest in de Fritzbox maar kan zo'n mogelijkheid niet vinden.

Wie kan mij vertellen wat ik nodig heb of hoe ik e.e.a in moet stellen om mijn netwerk zo te beveiligen.

Ik heb nu dus een fritzbox 7490 aangesloten op glasvezel en een Zyxel 16 kanaals Unmanaged switch type ES1100-16

 

suc6

 

Gerrit

27 november 2016 aangepast door gerrit B

[Gast catw]

De apparaten die toegang hebben op jou thuisnetwerk zet je met het MAC-adres in je router en geef je toegang daarvoor is een netwerkkaart ook handig (staat ergens onder thuisnetwerk).
De rest kan niet zomaar "ïnprikken" en op die wijze toegang krijgen op jou netwerk, dit is de meest eenvoudige wijze om ongevraagde toegang te voorkomen.

28 november 2016 aangepast door catw

[Gast Mimisiku]

Onze Fritzboxen hebben daar een uitstekende oplossing voor! Gasttoegang instellen voor LAN 4 (bedraad) en/of via WiFi. Op deze gescheiden toegang is er alleen bescheiden surfen/mailen mogelijk en belangrijker nog: géén toegang tot je thuisnetwerk!

[ceesv]

De Duitse Fritzboxen kunnen nieuwe aanmeldingen blokkeren en geven meteen een notificatie per e-mail.

[gerrit B]

Ik heb gewoon een Nederlandse, maar wel met de laatste softwareversie en kan dat blokkeren dus nergens vinden.

 

Na het bezoek van het vriendje zie ik nu dit staan

 

 

Hoe heeft hij dat voor elkaar gekregen maar ook hoe krijg ik dat weer weg?

 

suc6

 

Gerrit

[Gast catw]

Bij mij werkt dat zo alleen dit is in een netgear dus wacht even op een plaatje van Mimisiku of ceesv die wel een Fritzbox(je) hebben.

 

 

[Gast Mimisiku]

Kijk hier eens .....

[Tonskidutch]

De gasttoegang met enkel toegang tot internet is simpel in te richten en moet op de fritz in te stellen zijn onder W-LAN.

 

en communiceren onderling niet toestaan als er in huis ook wifi apparaten zijn die wel op het intern netwerk mogen

 

je kunt het natuurlijk ook iets ingewikkelder aanpakken met de samba workgroup

28 november 2016 aangepast door Tonskidutch

[gerrit B]

Kijk hier eens .....

 

guest access instelling gemaakt en de 16 voudige switch naar aansluiting 4 omgezet

Alles lijkt te werken maar heb nu ook geen toegang meer tot mijn eigen recorder voor de videobeelden

 

suc6

 

Gerrit

[pcman15]

Ik werk zelf met mikrotik en unifi ap's.

Het voordeel met mikrotik en unifi kan je meerdere vlans aanmaken.

Waardoor dat je dus voor je eigen netwerk een eigen vlan hebt en voor je gasten een eigen vlan hebt.

Hierdoor kunnen ze niet bij elkaar komen en kan je toch in je eigen netwerk alles doen.

[gerrit B]

De gasttoegang met enkel toegang tot internet is simpel in te richten en moet op de fritz in te stellen zijn onder W-LAN.

 

en communiceren onderling niet toestaan als er in huis ook wifi apparaten zijn die wel op het intern netwerk mogen

 

je kunt het natuurlijk ook iets ingewikkelder aanpakken met de samba workgroup

 

Als ik e.e.a zo instel dan heeft niemand via het gastnetwerk meer internet nog bekabeld via de poort 4 nog via wifi.

Wat staat er dan nog verkeerd?

[theparasol]

Dat maar ongewenst en gevraagd lukraak aanpikken van vreemd materiaal kan je vroeg of laat een lelijke verassing bezorgen!

Nadeel is dan wel dat je bedrijf aan huis hebt waarbij zakelijke en prive belangen dwars door elkaar heen lopen.

 

Je kunt het goed aanpakken met 802.1X access policies maar dat betekend wel dat je moet investeren in een fatsoenlijke managed switch en een server. Daarnaast nog de nodige uurtjes voor afstelling en inregelen van het geheel.

Voordeel is wel dat als er dan ook maar een vreemd device zich om het even welke manier aan je netwerk aanpikt en zich niet kan authenticeren automatisch in een veilig vlan komt te zitten, of in zakelijk of in gast, of in prive.

 

Wat je maar wilt, de sky is the limit

[winwiz]

Je wilt dus 2 dingen:

 

Vreemden geen toegang geven tot je apparatuur.  Hier is dus een goede oplossing een guest netwerk zoals boven beschreven. Je kunt inderdaad ook met Vlans werken maar dan doe je ongeveer hetzelfde: Alleen internet toegang als je het juist instelt.

 

Ik zie ook: Een handig vriendje kon desondanks wel even zijn computer connecten met een andere om zo toch van alles te kunnen downloaden (en evt. rommel binnen halen die ik absoluut niet wil) Wat bedoel je met "een andere" ? 

Dit wordt een stuk lastiger en zou je met Vlans en een proxy server moeten gaan werken. (Dus inderdaad een Managed Switch en Server, hoewel dat voor onder de €100 kan) Dan kun je haarfijn instellen waar ze wel en geen toegang toe hebben. Downloaden kun je ook ontmoedigen door de bandbreedte flink te beperken van het gast netwerk. 

[gerrit B]

Wat bedoel je met "een andere" ?

Een ieder heeft een eigen Ip adres en ik heb het vinkje geplaatst bij dat deze computer zich altijd met dat IP adres aan moet melden en nieuwe aanmeldingen krijgen het label standaard wat ik gewijzigd heb dat ze geen toegang tot internet oid. hebben.

Desondanks zie dan in mijn Fritzbox dat er een computer met een nieuw IP adres is aangesloten.

Bij een andere computer in het netwerk welke wel bevoegdheden heeft zie ik dan staan "Connected with......" en op ...... staat dan de computer die extra is aangemeld en eigenlijk geen toegang heeft maar zo toch vrij toegang heeft tot het internet.

 

Het nadeel van het Gastnetwerk is dat je gebruiker daar geen beperkingen op kunt leggen qua tijdsgebruik.

Je kunt wel zeggen dat de wifi om bijv. 23.00 uur uit gaat maar poort 4 blijft altijd actief en daar kun je verder wel zeggen "je mag niet naar een bepaalde site" of bepaalde handelingen uitvoeren maar je kunt niet zeggen van "je mag alles, maar ben je 2 uur online geweest dan is het uit met de pret" (heb ik tenminste nog niet kunnen vinden) terwijl dat met het gewone netwerk wel kan.

 

suc6

 

Gerrit

[winwiz]

Dit soort dingen kun je in ieder geval perfect instellen met een Ubiquiti Access Point en de bijbehorende software. Je kunt gastgebruikers zelfs laten betalen voor toegang

https://help.ubnt.com/hc/en-us/articles/115000166827-UniFi-Guest-Network-Setup

 

Ik snap alleen het poort 4 verhaal niet. Ik neem aan dat dat alleen bedraad aangesloten is