Hi Thorsten, Thorsten Steinbrenner schrieb: > Hallo! > > Bitte nicht hauen wegen der blöden Frage, aber macht es > sicherheitstechnisch einen Unterschied ob ich einen WLAN-AP im LAN habe > (konkret im DSL-Router) oder diesen gleich im Server integriere?! Wie schon in der Antwort von Jan: Ja es macht einen Unterschied!
> Natürlich jeweils WPA-verschlüsselt usw. > Hintergrund ist der, dass ich in meiner Soekris eigentlich eine > WLAN-Karte eingebaut habe, diese aber z.Z. brach liegt, weil der > DSL-Router auch AP spielt. Jetzt würde ich die Soekris-Box nicht nur > Server sondern auch gerne AP spielen lassen. Prinzipiell natürlich möglich. Ich möchte nur noch ein paar Dinge zu beiden Varianten los werden. Vielleicht hilft dir das bei der Entscheidung. Szenario 1: AP bleibt AP, Server bleibt Server Jan hat schon Recht, wenn er sagt, das man grundsätzlich Dienste trennt, damit Sicherheitslücken sich nicht auf alles auswirken. Allerdings musst du hier bedenken, dass wenn jemand dein WPA knackt, er kompletten Zugriff auf dein Netzwerk hat. Er kann also alles mithören, was unverschlüsselt passiert. Loggst du dich zum Beispiel per Telnet oder http (kein https) auf deinem Router ein, bekommt der Angreifer alle Passwörter auf dem Tablett serviert. Das gleiche gilt für die Kommunikation mit deinem Server. Eventuelle Windows-Freigaben usw. liegen alle offen da. Szenario 2: Server spielt den AP Hier hat Jan auch Recht. Prinzipiell bedeutet das knacken des "APs" auch Zugriff auf deinen ganzen Server. Allerdings kann man dagegen auch vorgehen. Es gibt Möglichkeiten zur Virtualisierung (Xen), user-mode linux und chroot. Der Vorteil bei einer solchen Lösung? Du kannst dein WLan in ein eigenes virtuelles Lan packen und nur bestimmte Dienste über das Wlan zulassen (zum Beispiel nur http und ftp). Im Prinzip kannst du so noch eine Firewall zwischen Wlan und dem Rest packen. Das ganze ist dann allerdings schon ein gewaltiger Bastel-Aufwand ;) Aber wenn es dir Spaß macht hast du damit eine sehr flexible und meines Erachtens auch sichere Lösung (natürlich nur, wenn es sauber implementiert ist). Die c't hatte das ganze so ähnlich auch einmal in einem Homeserver mit Debian und IpCop. Da lief als Server OS Debian und per user-mode linux IpCop als Firewall. IpCop hat die Verbindung ins Internet hergestellt und als Firewall fungiert. Diverse Dienste des Servers waren dann aus dem Internet erreichbar, andere wiederum nur aus dem eigenen Lan. Gruß -Sascha- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)