Wie Airport Extreme richtig einrichten?

[iGebrezel]

Hallo,

ich weiss nicht ob die Frage eventuell unberechtigt ist, aber wie richte ich meine Airport Extreme "sicher" ein?
Das WLAN ist selbstverständlich per WPA2 gesichert und die AE mit einem Passwort versehen, aber war's das schon?
Was genau ist "NAT-Port-Mapping-Protokoll"? Wahrscheinlich die Portweiterleitung, oder? Was bedeutet in diesem Zusammenhang "Standard-Host unter" wie es im Airport-Dienstprogramm steht?
Und was genau hat es mit "nach außen mit nur einer IP-Adresse" auf sich? Hat man nicht immer nur eine IP-Adresse auch wenn mehrere Rechner ins Netzwerk integriert sind.


Fragen über Fragen, aber ich hoffe ihr könnt mir auf die Sprünge helfen.


MfG

 

[Stargate]

>ich weiss nicht ob die Frage eventuell unberechtigt ist, aber wie richte ich meine Airport Extreme "sicher" ein?
>Das WLAN ist selbstverständlich per WPA2 gesichert und die AE mit einem Passwort versehen, aber war's das schon?

WPA2, langes sicheres Passwort. Die Basis mit einem extra Passwort sichern. MAC-Zugriffsbeschränkung geht auch noch.

>Was genau ist "NAT-Port-Mapping-Protokoll"? Wahrscheinlich die Portweiterleitung, oder?

Genau das ist es und genau das macht es.

>Was bedeutet in diesem Zusammenhang "Standard-Host unter" wie es im Airport-Dienstprogramm steht?

Das ist etwas das du nicht willst

Es kann mal sein das ein Mac (Host) direkt aus dem Internet erreichbar sein soll. Warum auch immer. ftp-Server oder was auch sonst. Dann kann man genau damit mehr oder weniger den Router umgehen. Du definierst hier einen Rechner als Standard-Host. Alle Pakete aus dem Internet, die keine Antworten auf Anfragen interner Rechner sind, gehen ohne Umweg und Schutz an diesen Standard-Host.

Es sollte erwähnt werden das dies ein relativ hohes Sicherheitsrisiko ist.
Den Einsatz würde ich mir sehr genau überlegen.

Der Standard-Host wird gern mit "DMZ" verwechselt.
Ein DMZ ist ein eigenes Netzwerksegment und zum Internet als auch zum heimischen Netz durch jeweils eine Firewall getrennt.

>Und was genau hat es mit "nach außen mit nur einer IP-Adresse" auf sich?

Das wird dir vermutlich hier klar:

http://www.elektronik-kompendium.de/sites/net/0812111.htm
http://de.wikipedia.org/wiki/Portweiterleitung

>Hat man nicht immer nur eine IP-Adresse auch wenn mehrere Rechner ins Netzwerk integriert sind.

Meistens ist es die welche der Router beim Anmelden beim Provider bekommen hat.

http://manuals.info.apple.com/de_DE/Apple_AirPort_Networks_Early2009_D.pdf

 

[iGebrezel]

Vielen Dank für deine Antwort. Sehr ausführlich das Ganze.
Wenn ich das richtig verstanden habe bringt es nichts meine PS3 als Standard-Host einzutragen damit nur für die IP-Adresse meiner PS3 keinerlei Firewall-Schutz besteht?

 

[Stargate]

Keine Ursache.
Nein, ich würde überhaupt nichts als Standard-Host eintragen.

Wenn du für die PS3 etwas spezielle Ports für irgend was brauchst gibt es NAT/Firewall.
Darin einzelne Ports für etwas zu verwenden ist immer sicherer als die Haustür für alles und jeden zu öffnen.

 

[iGebrezel]

Ah ok und wieder etwas gelernt!
Vielleicht kannst du mir noch etwas zu den öffentlichen und privaten Ports sagen?

Wenn ich einen bestimmten Port freigeben will (Bsp: 12345) werde ich nach einem öffentlichen und privaten Port gefragt. UDP und TCP ist mir klar. UDP ist ausgehend, während TCP die eingehenden Verbinden sind, oder?
Was bedeutet genau öffentlich und privater Port anhand dem Beispiel 12345?

 

[roedert]

UDP und TCP ist mir klar. UDP ist ausgehend, während TCP die eingehenden Verbinden sind, oder?

nö - völlig falsch! UDP und TCP sind einfach nur 2 verschiedene Protokolle innerhalb des TCP. UDP ist auf Geschwindigkeit ausgelegt und nicht auf Sicherheit (Sicherheit im Sinne dass die Daten bei der Übertragung auch korrekt ankommen). UDP wird deshalb zB für Sprach- oder Videoübertragung genutzt wo es auf schnelle Verbindung ankommt und es nicht unbedingt schlimm ist wenn mal 1 Bit fehlerhaft ist.
TCP arbeitet mit Checksummen etc. - bei Übertragungsfehlern wird das Paket erbauet Übertragung und es wird sichergestellt dass es wirklich 1:1 ankommt. Durch mehr Protokoll ist die Nutzdatenrate aber kleiner.
In den meisten fällen wird TCP genutzt.

Mehr Infos zB bei wikipedia

 

[iGebrezel]

Oh je, da unterlag ich einem Mega-Irrtum.
Die ganzen Begriffe habe ich selbstverständlich recherchiert, aber das Geschriebene ließt sich immer so geschwollen und ist teilweise Fachchinesisch.
Deswegen bin ich immer Usern wie Stargate oder dir dankbar, wenn das Ganze in verständlichen Worten erklärt wird!!!

Kannst du mir was zu den öffentlichen und privaten Ports sagen?

 

[roedert]

Kannst du mir was zu den öffentlichen und privaten Ports sagen?

...sagt mir so erstmal auch nix - ich kenne private und öffentliche IP-Adressen - aber nicht Ports. Zeig doch mal nen Screenshot - vielleicht ist es nur unglücklich formuliert und die meinen auch IP-Adressen.

Ist hier http://de.wikipedia.org/wiki/Network_Address_Translation und hier http://de.wikipedia.org/wiki/Port_Address_Translation aber ganz gut erklärt - öffentlicher Port ist nur die Bezeichnung für die Portnummer die aus dem Internet (also öffentlich) angesprochen wird.

 

[iGebrezel]

Hab für ein besseres Verständnis trotzdem mal den Screenshot gemacht.

Würde es auch gehen öffentlich den Port 12345 und privat den Port 12346 zu nutzen, oder hab ich das jetzt wieder falsch verstanden?
Wenn die Ports immer identisch sein müssten wo wäre dann der Sinn?

 

[roedert]

Technisch gibt es keine Unterscheidung zwischen "öffentlichen" und "privaten" Ports. Klar können die Ports unterschiedlich sein - du kannst den aus dem Internet erreichbaren (öffentlichen) Port 1111 auf den einen internen Computer 192.168.x.x auf den (privaten) Port 2222 weiterleiten. Das ganze geht getrennt für TCP und UDP - in den meisten Fällen wird es TCP sein was du benötigst.

In einer Fritzbox sieht das zB so aus - viell. etwas verständlicher aber inhaltlich identisch.