Hallo! Ich suche seit einiger Zeit eine Möglichkeit, wo man in einem NT-Netzwerk mit 9x-Clients die IP-Nummern einschränken kann. D.h. Es sind jetzt nur die IP-Nummern gültig, die die Clients haben und falls ein neuer PC hinzukommt, muß vorher erst die IP-Nummer freigegeben werden bzw. freigeschaltet werden. Ich will damit verhindern, daß nicht irgendein Unbefugter mit seinem PC an das Firmennetz anschließt und in das Netz reinkommt. Weißt da jemand eine Möglichkeit? Ich danke schon mal im Voraus! Grüße Alex
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
hm...was du brauchst ist ein paketfilter, aber die schutzwirkung ist gering. wenn jemand doch dran will muß er nur einen rechner mit freigegebener ip abschalten und seinen mit der ip konfigurieren. die bessere wahl wäre eine domäne aufzusetzen. im domänenmodell werden rechte nicht nur für benutzer, sondern auch für rechner gesetzt. ist ein rechner nicht mitglied der domäne, dann kommt er nicht ins netz rein. hinzufügen eines rechners kann normalerweise nur ein domänenadmin, der in dem fall dann du wärst.
Hallo xafford!
Danke für deine Information. Ich habe im Firmennetz ja eine Domäne aufgesetzt. Brauche ich ein extra Programm um im Domänenmodell die Rechte für die einzelnen Rechner zu vergeben, oder kann man das bei Windows NT Server das machen?
Gruß
Fischerle
hast du nun das Wissen, eine Domäne aufzusetzen oder nicht?
Frag den Admin in deiner Firma, der muß das wissen, ansonsten ist der Job falsch besetzt worden! Sowieso schon verdächtig, daß er das Aufsetzen einer Domäne jemanden überlassen hat, der davon wenig versteht!
Entweder, war er nachlässig, oder wollte nur die Verantwortung an jemanden übergeben, damit er nicht im Schadensfall den Job verliert!
Also, du hast das völlig falsch verstanden. Ich und ein Kollege von mir sind die Administratoren von der Firma. Wir haben es von Anfang an eine Domäne aufgesetzt. Jetzt wollen wir in Sachen Sicherheit ein wenig Feintuning machen. Wir wollen halt, daß nicht x beliebige PC´s ans Netz angeschlossen werden können, aus Datensicherheit. Deswegen die Frage, ob man nur die IP-Nummern, die die jetztigen Clients haben, zugelassen werden und mehr nicht. Falls ein neuer PC hinzukommt, dann wird diese neue IP-Nummer dann "freigegeben".
Dann seit ihr beide fehl am Platze, wie es P.Anderson schon vermutete! Eure Personalabteilung hat die Positionen absichtlich falsch besetzt, weil sie wegrationalisiert werden soll, oder ihr habt denen falsche Tatsachen vorgespielt!
Als Admin für ein Firmennetz, verfügt man über das Wissen dieses zu administrieren (daher stammt auch der Ausdruck) und muß es sich nicht auch zweifelhaften Quellen wie diese hier im Internet beschaffen, ansonsten hat man in der Position einfach nichts verloren!
Hängt die Clients an einen Router, installiert auf allen Clients das NetBEUI Protokoll und aktiviert auf allen Clients die "Datei und Druckerfreigabe", dann ist euer Netz komplett und genug abgesichert.
Dabei nicht vergessen, auf dem Router die Ports 135-139 freizugeben!
Klar, machma.
Unser Netz hägt nirgend an einem Router, also nicht am Internet (der größte Schwachsinn, den man machen kann). Internet-PC sind bei uns Stand-alone PCs.
Depp! Hälst sich wohl für klug, was?! Schließlich entwickeln wir auch noch das komplette EDV-Programm für die Firma. Da steckt schon mehr Arbeit drinnen, als nur bei einem Administrator. Und das kann man auch nicht alles im Kopf haben.
na das EDV-Programm möchte ich nicht sehen, geschweige denn nutzen, das wird genauso ein konzeptioneller Murks sein wie das Netz, das von zwei Deppen als Admins verwaltet wird!
Aha, wo hast denn die Weisheiten her, das ein Router zwingend ein Anschluß ans Internet bedeutet? Schöner Admin bist du! Wahrscheinlich auch noch ein MCP Depp?
wenn einer schon fischele heisst tststs...
Das hat nichts mit dem Namen zu tun, sondern mit Wissenlücken bzw. gefährlichem Halbwissen, dieses gepaart und eingesetzt in der Fa.IT-Security kann brandgefährlich werden!
besonders wenn man fischele heisst
unter NT gibt es keine Computer-Konten, die man beeinflussen kann. Du kannst nur im svrmgr den PC zufügen z.B. Bei der Installation kann der Domänenadmin JEDEN PC zufügen.
Gilt das auch für Win 95, Win 98 und Win ME Clients?
ja, nur zur Remote-Verwaltung muss man glaub ich Remotereg installieren
also noch mal langsam zum mitdenken. wenn du schon eine domäne hast, und das hinzufügen zur domäne nur den domänenadmins gestattet ist (standard) dann kann zwar theoretisch jemand einen rechner ins netzwerk hängen, aber er kann sich von diesem rechner nicht im firmennetz anmelden, da dieser rechner nicht mitglied der domäne ist. jeder rechner in der domäne bekommt beim eintritt in die domäne eine id zugwiesen ähnlich der SID die für user verwendet wird, es würde also auch nichts nützen einfach die ip und den namen eines bereits in der domäne befindlichen rechners zu nutzen. somit habt ihr also schon, was ihr wollt. macht doch einfach mal den test. anderst wäre es, wenn ihr I-Net zugang hättet und nicht wolltet, daß einer mit einem eingehängten rechner auf eure kosten über den router surft, das ginge nämlich im normalfall ohne mitgliedschaft in der domäne.
Was erwartest du?
Die beiden (Möchtegern)Admin-Deppen sind doch nicht mal in der Lage ein Netz aufzusetzen bzw. deren Firmenleitung kann es sich nicht leisten jemanden dafür einzustellen oder zu beauftragen der es kann!
na und? wenigstens steht er dazu, daß er etwas nicht kann und fummelt nicht selbst so lange rum, bis nichts mehr funktioniert..diese version gibt es nämlich auch zur genüge...wer den mut hat unwissen einzugestehen is mir wesentlich lieber, als leute die denken sie wären allwissend geboren worden...und nicht jede firma zahlt ihren leuten eine mcse fortbildung, sondern irgendjemand wird dazu verdammt den admin zu spielen, wenn´s schief läuft is er der arsch...außerdem hab ich selbst schon so bescheuerte fragen gestellt, da müsst ich eigentlich auch meinen job und titel wieder zurückgeben.
wir reden hier von Netzwerkadministratoren und nicht von
M$-Strippenzieher/MultipleChoiceBeantwortern
achnee...is mir doch glatt entgangen.
Hallo xafford!
Danke für deine Information. Inzwischen habe ich es selber auch herausbekommen. Hoffe nur, daß es auch klappt. Werde es auf jeden Fall erst mal testen. Ich kann ja dann mal versuchen, darüber zu berichten. Arbeitest du auch als Admin?
Hallo Anonym (zu feige um sich zu zeigen?)!
Wir sind keine ausgebildeteten oder gelernte Admins, sondern mache es von Hobby aus schon. Unsere Firma sind mit uns sehr zufrieden, da wir innerhalb von 1 Jahr ein komplett neues EDV-System mit neuen Programmen versorgt haben. Und der vorherige Admin bzw. Programmierer (der ausgelernt hat), der weitaus bekannter ist als wir (zumindest in Österreich unter www.texcom.at), haben wir raus der Firma geschmissen. Und da soll wir keine Ahnung haben?! Gut, ich mache das erst seit 1 Jahr, mein Kollege schon länger. Natürlich weiß ich nicht alles (noch nicht), schließlich lernt man im EDV-Bereich nie aus! Und ich bin auch bereit, neure Sachen zu lernen bzw. zu wissen, um gewisse Dinge besser, zuverlässiger, ... zu machen.
ja, ich arbeite auch als admin und habe in etwa den selben werdegang wie du, also auch nicht durch die M$-schule gegangen.
na ja, eure Firma steht wohl auch beim "faithless-security-award" ganz oben in der Liste, wenn nicht gibt mal den Namen damit ich sie gleich anmelden kann!
Du hast ja ganz vergessen noch auf mir rumzuhacken...war wohl ein versehen, oder? ;o)
Die lmhost Datei ist dein Stichwort!
HÄ???
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
ja und? das ist nur ein ersatz für einen nicht vorhandenen dns-server im netzwerk, um eine schnellere namensauflösung als über netbios zu ermöglichen und hosteinträge resident im system zu halten.
sicherheitsaspekt gibt es dabei überhaupt keinen, da auch rechner die nicht in der hosts oder lmhosts aufgeführt sind im netzwerk vorhanden und ansprechbar sein können.
im Zusammenspiel mit einem Router wie einer auf WinRoutePro basierend nicht mehr, da wird die lmhost als einziges Quellmedium rangezogen um für den internen DNSServer zu fungieren
ist dur schon mal aufgefallen, daß netzwerke auch ohne lmhosts und dns funktionieren? es geht ja um eine interne absicherung, mag sein, daß winroutepro die lmhosts auswertet und seine routingtabelle damit generiert, oder es als authentifizierungsmechanismus nutzt, aber interne absicherung hast du damit wohl keine, es sei denn, du trennst dein netzwerk in untersegmente auf, die du über router mittels portfilter absicherst, aber wie unten schon geschrieben ist es recht einfach einen portfilter auszutricksen.
Die Anonymen Beiträge sind vielleicht unterhaltsam aber nicht hilfreich (Meiner so gesehen leider auch nicht).
Möchte zum Thema Sicherheit erwähnen, das Sicherheit zum evtl. Schaden stehen muss. Nicht jede Firma kann sich einen voll ausgebildeten Informatiker leisten. Wenn ich in sechs Monaten mein Studium Informatik abgeschlossen habe werde ich nicht unter 5000.- arbeiten -> fast jede Firma hat ein kleines Netzwerk. z.B. 10 Angestellte mit 2500.- und einen Admin für (sagen wir) 6000/Monat. Da schafft es die Firma vielleicht ihre Daten zu schützen, aber was nützt es, wenn die in ein paar Monaten kein Geld mehr hat ???
Ausserdem 100% Sicherheit gibt es nicht...
Da hilft den Anonymen Spezialisten kein Programm mit Schaltern und Knöpfen. Kenne viele solche Firewall"spezialisten"... die an Werten und Einträgen herumspielen (ist auch bei Windows so, praktisch allen grafisch orientierten Programmen) und denken sie wären sicher *lach
PS. Admin ist kein ein einfacher Job bzw. in vielen Firmen kein freiwilliger Job, und ich kann die nagativen Einträge nicht verstehen...
können nicht von berufstätigen Informatikern kommen...
kenne Fälle da hat sich der Vorstand für die Umstellung von Win31 auf NT-Server entschieden und die Wissenslücke hatten die armen Admins auszubaden!!!
noch ein kleiner nachtrag...welcher studierte informatiker geht denn freiwillig als admin in eine firma? und dann für 5000? (brutto???)...
außerdem sidn die besten sicherheitsexperten immer noch die, die aus der anderen ecke kommen, also welche, die sicherheitssysteme selbst schon mal geknackt haben.
>Wenn ich in sechs Monaten mein Studium Informatik abgeschlossen habe
>werde ich nicht unter 5000.- arbeiten
na dann such mal schön, ich bin selber Dipl. Informatiker seit
1 1/2 Jahren und keiner (bundesweit) will mich für mehr als 3700 Brutto haben, die Konzerne boten noch nicht einmal das!
hi.
da ist noch ein bisschen was hinzuzufuegen: was ihr wollt ist eine nt/w2k domain mit dhcp server und einer auf diesem betriebenen ip kontingent. dann kann a) niemand einfach einen rechner zur domain hinzufuegen und b) erst recht keine ip verwendet werden die ihr nicht sehen wollt. der dhcp server ist sowohl beim nt als auch beim w2k server dabei.
WM_HOPETHISHELPS
thomas woelfer
Noch ´ne Möglichkeit wäre einen "Dummy" Rechner einzusetzen, dem Ihr alle IP Adressen zuordnet die nicht benötigt werden.
Somit sind immer alle Adressen belegt.
Ist natürlich viel Verwaltungsaufwand, sollte man nur in einem relativ kleinen Subnetz machen ...
ihr seid alle so lächerlich wenn hier jemand was fragt dann gibt ihm doch ne antwort und macht ihn nicht nieder...
also ich würde dir ne nt-domän empfehlen mit dhcp/bootp
dhcp -> vergibt jedem client ne ip-adresse automatisch
bootp -> holt die mac (hardwareadresse) der netzwerkkarte und gibt die dafür definierte ip zurück
so erhält jeder client immer die selbe ip adresse
..und in der domain kannst du irgendwo einstellen er soll nur ips von dem dhcp akzepieren
eventuell durch zusatzsoftware
aber einfach mal im forum von www.fachinformatiker.de nachschauen
ist zwar ein it-azubi forum aber da wird man wenigstens nicht so blöd angemacht :-))
so long
Lesen ist auch nicht deine Stärke was? Oder warum gibst du Tips die schon zig mal hier im Thread gegeben wurden?
Bin neu im IT-Bereich und lerne dauernd dazu...habe mein Hobby zum Beruf gemacht!
Ich finde daß die STRICHER die unbedingt andere niedermachen wollen sich lieber vor Augen führen sollten, daß auch sie mal klein angefangen haben, wahrscheinlich haben die sich nicht getraut solche "Blöden Fragen" zu stellen!!...
Dafür sind doch diese Foren da du DUMPFBACKE!!!!!
Wenn dich diese "BLÖDEN FRAGEN" so belasten, dann nimm dir eins deiner Fachbücher und lern es Wort für Wort auswendig, das ist doch eine tolle Herausforderung für so ein Genie wie du es bist.....
Du kleiner Stricher....
Einen schönen Gruß an alle
...bis auf die Sricher hier...