FAQ und HowTo's zum Thema Netzwerke

#1 Der Sinn dieses Threads besteht darin, daß im Laufe der Zeit hier eine Sammlung der häufig gestellten Fragen (FAQ) zum Thema Netzwerktechnik und -sicherheit entstehen soll. Da es bei vielen Sachen sicherlich nicht bei einfachen Antworten bleibt, sondern eher in kleine Anleitungen (HowTo's) ausarten wird, heißt das Ganze FAQ und HowTo's

Die Verfahrensweise stelle ich mir wie folgt vor:

Dieser Thread bleibt schreibgeschützt - Vorschläge und Ideen, postet Ihr bitte in diesen Thread. Wenn wir eine ordentliche Antwort zur Frage oder zum Vorschlag haben, dann wird diese hier aufgenommen. Natürlich könnt Ihr auch Frage und Antwort posten

FAQ:

Welche Bedeutung hat Port x?
Wie deaktiviere ich die Firewall von Windows XP?
Was ist der Unterschied zwischen Crossover- und Patchkabel?
Netzwerkfreigaben unter Windows XP
Verschiedene Anmeldeinformationen für Verbindungen zu einem Netzwerkrechner nutzen
new Sicherheit von Funk-LANs
new Kontrolle über den Router





HOW TO LISTE:

Seitenerreichbarkeit bei DSL im Netzwerk
Konfiguration von ICS
Unterstützt Windows XP keine NetBUI Protokoll?
newWie setzt man den TCP/IP Stack unter Windows XP zurück?

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#2 Seitenerreichbarkeit bei DSL im Netzwerk


Warum werden manche Seiten auf den Netzwerkclients nicht angezeigt, obwohl sie am Server erreichbar sind?


Das Problem ist der eingestellt MTU-Wert (MTU = Maximum Transfer Unit --> maximale Größe des IP-Pakets). Bei DSL wird standarmäßig ein Wert von 1492 verwendet. Im Ethernet (IEEE 802.3) selber ist standardmäßig ein Wert von 1500 vorgesehen. Es sind bei DSL bzw. speziell PPoE 8 Byte für Protokollinformationen reserviert. Das Problem in Netzwerken ist teilweise, daß durch die verwendeten Protokolle noch mehr Informationen übertragen werden müssen und die Pakete unterwegs fragmentiert werden. Dies kann dazu führen, daß Informationen nicht korrekt übertragen werden.

Bitte als Erstes DFÜ-Speed probieren!

Wie findet Ihr nun den richten MTU - Wert?

1. Wenn Ihr Probleme habt, dann sucht euch eine problematische Seiten (hier web.de) und gebt in der Commandozeile (command.com (Win9x) oder cmd (WIN NT+)) ping -f -l 1492 web.de ein

2. erhaltet Ihr die Meldung "Paket müsste defragmentiert werden, DF-flag ist jedoch gesetzt", so ist der Wert zu hoch

3. diesen Test nun mit immer geringeren MTU Werten (so -10 und dann noch Feintunning)

4. Zu diesem ermittelten Wert müssen nun noch 28 addiert werden um die maximale MTU zu ermitteln. Dies ist notwendig, da die Pingpakete den IP/ICMP Header nicht berücksichtigen.

5. eine dauerthafte Änderung könnt Ihr nur in der Registry durchführen: Im Zweig [HKEY_Local_Machine\system\CurruntControlSet\Services\TCPIP\Parameters\Interfaces\{......}] einen neuen Wert (D-Word) namens MTU erstellen. Dieser erhält als Wert den herausgefundenen Wert (in dezimaler Schreibweise) ( {...} steht für eine hexadezimale Zahl - verwendet den Zweig, indem bei IPAdress Eure IP Adresse steht)

6. Neustart

Hinweise:

- diese Einstellung ist meist nur auf Clients in einem Netzwerk nötig
- nach jeder Änderung Rechner neu starten
- Backup der Registry anfertigen - am besten komplettes Backup des Systems
- MTU-Wert kann von System zu System verschieden sein
- Freeware Tool zum Einstellen der MTU: MTU Speed Pro oder DFÜ-Speed (Danke an Joschi!)

Kommt die Meldung "Zeitüberschreitung", so ist der verwendete MTU Wert zu niedrig. Kommt die Meldung "Paket müsste fragmentiert werden!, so ist der Wert der MTU zu hoch. Daraus folgt, daß der richtige Wert irgendwo dazwischen liegt.

Robert

!! Anwendung dieses Tipps erfolgt auf eigenen Gefahr und Risiko - der Autor oder der Betreiber des Boards übernehmen keinerlei Garantie für die Richtigkeit und somit auch keine Haftung für eventuell entstehende Schäden durch die Anwendung dieses Tipps !!
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Konfiguration von ICS

Wie konfiguriere ich den Internet Connection Sharing (ICS) Dienst unter Windows?


Dazu seien folgende Webseiten empfohlen:

How to Map a Port in ICS Using an .inf File
ICS How To
ICS Configuration Mappings
Special Applications
ICS Installationsguide
ICS Trouble Shooting
Links zum Thema
Internet Connection Sharing Page von Microsoft
How to Troubleshoot Internet Connection Sharing Problems

Windows 98 SE
Internet Connection Sharing
Internetverbindungsfreigabe
Router-Einrichtung mit dem windowseigenen ICS
http://www.windows-netzwerke.de/inetfreigabe.htm
Wer noch interessante Seiten kennt, der [url="mailto:robert@protecus.de"]mail[/url] mir, oder schicke eine PM!

http://www.chip.de/praxis_wissen/praxis_wissen_147335.html
http://www.chip.de/specials/chip_special_175079.html
http://www.wintotal.de/artikel/ics98se/ics98se.htm
http://www.netzadmin.org/ics98se.htm
http://home.t-online.de/home/Joerg.Blaschke/

NEU: http://www.infinisource.com/techfiles/ics-mskb.html
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 Unterstützt Windows XP keine NetBUI Protokoll?

Windows XP: Verborgenes NetBEUI +++

Wenn Ihr ein Netzwerk unter Windows XP einrichtet, könnt Ihr alle gängigen Protokolle einrichten, nur nicht NetBEUI. Ihr müsst dieses Protokoll per XP-CD-ROM manuell installieren.
Öffnet Systemsteuerung/Netzwerkverbindungen. Klicket mit der rechten Maustaste auf die Netzwerkverbindung, in der Ihr NetBEUI einrichten möchtet. Im Kontextmenü ruft Ihr die Eigenschaften auf, und über Installieren/ Protokoll installiert Ihr aus dem Verzeichnis \valueadd das Protokoll NetBEUI. Dazu wählt Ihr die Schaltfläche Datenträger im Dialogfeld Netzwerkprotokoll, die Ihr anklickt.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#5 Welche Bedeutung hat Port x?

Es gibt von der Internet Assigned Numbers Authority (IANA) eine offizielle Liste von vergebenen TCP/UDP Portnummern. ---> http://www.iana.org/assignments/port-numbers

Des Weiteren gibt es eine Liste, die die TCP/UDP Ports aufführt, die von Trojanern standardmäßig (!) verwendet werden. ---> http://www.glocksoft.com/trojan_port.htm

An dieser Stelle sei gesagt, daß dies alles die Standardeinstellungen für die jeweiligen Applikationen sind. Es ist ohne Weiteres möglich, einen Dienst auf einem anderen port anzubieten. Gerade bei Trojaner wird der Standardport wohl sehr selten bzw. von unerfahrenen "Angreifern" genutzt.

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 Wie deaktiviere ich die Firewall von Windows XP?

Start >> Programme >> Einstellungen >> Systemsteuerung >> Netzwerkverbindungen
Eigenschaften der vorhandenen Internetverbindungen >> Erweitert >> Internetverbindung >> AUS
(Häkchen entfernen)


Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#7 Was ist der Unterschied zwischen Crossover- und Patchkabel?

Der Unterschied besteht in der Belegung der einzelnen Pins. Während bei einem normalen Patchkabel alle Leitungen 1:1 von einem zum anderen Ende gelegt sind, werden beim Crossoverkabel einige Leutungen "gekreuzt".

Normales TP Kabel:

1:1 Tx+ orange-weiss
2:2 Tx- orange
3:3 Rx+ gruen-weiss
4:4 blau
5:5 Rx- blau-weiss
6:6 gruen
7:7 braun-weiß
8:8 braun

gekreuztes Kabel (Senden-Empfangen sind gekreuzt):

1:3
2:6
3:1
4:4
5:5
6:2
7:7
8:8

Aufgrund dieser baulichen Unterschiede ergibtt sich auch ein Unterschied in der Verwendung:

Patch-Kabel:

- Verbindung von Netzwerkkarte zu Hub/Switch/Router
- Verbindung zwischen zwei Hubs/Switches über Uplinkport

Crossover-Kabel

- Verbindung zweier Netzwerkkarten
- Verbindung von Hubs/Switches ohne Uplinkport


Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#8 Netzwerkfreigaben unter Windows XP

In der Tat hat Microsoft die Freigabefunktionen in der XP Home Edition krass beschnitten: Wenn Sie eine Freigabe einrichten, kann jeder x-beliebige Benutzer darauf zugreifen - er braucht dazu nicht mal ein lokales Konto auf dem freigebenden System, wie es in der NT-Familie eigentlich üblich ist. Die einzige Methode, in der Home Edition freigegebene Dateien oder Verzeichnisse vor unberechtigten Zugriffen zu schützen, bietet sich bei der Wahl des Dateisystems. Mit NTFS lassen sich die Zugriffsrechte einzelner Benutzer definieren. Doch auch das ist in der Home Edition dornenreich: Eine Manipulation der Rechte ist nämlich nur über die Kommandozeile mit dem Kommando ‘cacls’ möglich. XP Professional entspricht in diesen Dingen dagegen weitgehend seinen Vorgängern NT und 2000. Um die Rechte von Freigaben konkret einschränken zu können, muss man allerdings auch hier erst die Option ‘Vereinfachte Dateifreigabe (empfohlen)’ deaktivieren, die im ‘Extras’-Menü des Explorer unter ‘Ordneroptionen’ auf der Dialogseite ‘Ansicht’ zu finden ist. (Quelle: heise.de)


Wird unter Windows XP mit "Vereinfachte Dateifreigabe verwenden" gearbeitet, wird "ForceGuest" aktiviert. Diese Funktion führt dazu, daß jeder Zugriff, egal ob der Nutzer einen gültigen Benutzernamen hat oder nicht, als Gast-Zugriff durchgeführt. Selbst wer das lokale Administratorpasswort kennt, wird als Gast eingeloggt. Dieses Feature ist nur auf Windows XP Home Rechnern standardmäßig aktiviert.

Der Wert "ForceGuest" ist in der Registry unter HKLM\System\CurrentControlSet\Control\LSA zu finden. (Robert)
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Verschiedene Anmeldeinformationen für Verbindungen zu einem Netzwerkrechner nutzen

Unter Windows 2000 und XP ist es normalerweise so, daß für alle Verbindungen zu einem Computer übers Netzwerk nur ein und dieselben Berechtigungsnachweise genutzt werden können. Verbinde ich mich als via net use \\ServerA /user:[username] [password] mit dem Rechner Server A und Robert:Protecus als Benutzername:Passwort-Kombination, kann ich nicht eine weiter Verbindung mit Lukas:Protecus als Benutzername:Passwort-Kombination zu ServerA aufbauen. Es kommt zu einer Fehlermeldung. Bevor ich mich mit anderen Berechtigungsnachweisen zu einem Rechner verbinden kann, müssen alle anderen Verbindungen unterbrochen werden: net use \\ServerA /d

Es ist jedoch möglich diese Beschränkung zu umgehen. Verbinde ich mich einmal zum ServerA über net use \\ServerA /user:Robert Protecus , kann
ich danach noch eine Verbindung über net use\\192.168.112.5 /user:Lukas Protecus herstellen. ServerA und 192.168.112.5 bezeichnen hier den selben Rechner! Dies eröffnet die Möglichkeit zwei Verbindungen zu einem Rechner mit unterschiedlichen Rechten zu haben!

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#10 Sicherheit von Funk-LANs (wireless LAN)

Da mir persönlich die Erfahrungen mit FunkLANs fehlen, möchte ich hier einige brauchbare Links und einen englischen Beitrag über die Grundsätze der Sicherheit von kabellosen LANs nach IEEE.802.11b posten:

http://www.iss.net/wireless/WLAN_FAQ.php

http://www.wardriving.com/
http://www.practicallynetworked.com/support/wireless_secure.htm
http://www.microsoft.com/windowsxp/expertzone/columns/bowman/december03.asp
http://www.cisco.com/warp/public/784/packet/jul01/p74-cover.html
http://online.securityfocus.com/guest/5479


Question: How do I lock down my Access Point?

Answer:
Basics for secure wireless computing.

1. Disable SSID broadcasts.
2. Enable WEP encryption.
3. Use Mac filtering if possible.
4. Know your wireless footprint.
5. Limit IP's from AP DHCP.

Explanations:
1. By disabling SSID broadcasts, you effectively make your wireless
network disappear. Only authorized clients that have he correct SSID can
connect to your network. Even Netstumbler can't see the network,
although some linux versions of wireless sniffers still can.

2. Use WEP even though it can be cracked, it's better that no
encryption. Also cracking the WEP key would require a steady network
flow to capture enough packets the begin working on the key. Most
Wardrivers, aren't going to have access to your system long enough to
worry about it, they see WEP enabled and move on. There are too many
unencrypted networks out there already, why waste time working on one
that has encryption turned on.

3. By setting Mac filters on your AP's you can effectively control who's
able to connect to them for use. Granted, it's not going to be an easy
solution to implement if you had hundreds of users that could possibly
connect to a given AP. But if you maintained strict control of AP access
to those who really need it you limit the exposure for abuse to your
network.

4. Do a walk through with a wireless laptop to see where your hotspots
for your network are. It's always a good thing to know that if you have
a big hotspot with access available to video store parking lot next door
to your office. That's a good place for wardrivers to stop and park to
leech off your network. By knowing your footprint, you can reposition
your AP's to minimize the amount of bleed through that you have
available.

5. Enable AP DHCP to release only 1 or 2 IP addresses. This way if both
are taken up, it will not assign another IP.

Make sure you change the default admin password on the router as well,
there are lists available that provide almost every consumer level
default admin password.

More information can be found on www.netstumbler.com.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#11 Kontrolle über den Router

Ein Router in Netzwerk kann meist über eine Weboberfläche bzw. eine Telnet-Session verwaltet werden. Um aber die Kontrolle über die wichtigsten Daten zu haben, ist dies zu umständlich.

Zu Zwecke der Überwachung kann man die Software Router-Control einstetzen:
Router-Control - Tool zur Routerkontrolle
RouterControl Editor 1.04 - Routereinstellung für RouterControl ändern</li>

Bei den Geräten

- Netgear RT311/314 ROM ab 3.20
- Netgear RP114 ROM ab 3.25
- Zyxel Prestige 310
- Zyxel Prestige 314
- Teledat DSL

kann man mit Hilfe der Software LK-RouterControl noch einiges mehr machen.
http://www.chimp.de/index.php?id=200
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#12 Wie setzt man den TCP/IP Stack unter Windows XP zurück?

In WIndows XP wird der TCP/IP Stack als ein Bestandteil des Systemkernels gesehen und kann aus diesem Grund nicht einfach deinstalliert werden. Jedoch gibt es eine Möglichkeit bei Problemen den Protokoll Stack zurück zu setzen:

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q299357&sd=tech
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...