Home » Netzwerksicherheits- & Technik Forum » netzzugriff fuer eine workgroup sprerren » Themenansicht
netzzugriff fuer eine workgroup sprerren |
||
|---|---|---|
| #0
| ||
|
12.11.2003, 06:45
Member
Beiträge: 12 |
||
 
|
|
|
|
13.11.2003, 14:03
Member
Beiträge: 117 |
#2
Wow - das ist ja ein GAAAANZ altes Netz! "Windows 89" - war das der Vorgänger von Windows 3.0?
 Scherz beiseite. Was meinst Du mit "über den Hardware-Router frei bewegen können"? Wo geht es denn über den Hardware-Router noch hin, wenn nicht ins LAN zu den anderen Workgroups? Ins Internet? Das Problem dabei sind wohl die Win98-Rechner ohne gescheite Rechte- und User-Verwaltung.  Gruss Aahz |
|
|
|
|
|
|
17.11.2003, 02:34
Member
Themenstarter Beiträge: 12 |
#3
win89... gab es da schon windows?
ok, ja es geht ins internet. Und an den Rechten hackt es. Gibt es ein alternatieves windows system (ne NT version?) die auf schwachen rechnern stabil und schnell laeuft und die solche Rechte vergeben aknn? Windows deswegen, weil ich denke, dass es fuer totale Anfaenger am ehesten zu bedienen ist. Bin aber fuer andere Alternativen offen.  MfG Malvin |
|
|
|
|
|
|
17.11.2003, 15:40
Moderator
 Beiträge: 6466 |
#4
Gestattet eine Randbemerkung:
"haken" kommt von "der Haken", Haken und Öse, Fleisch-Haken. "hacken" kommt von "die Hacke", im Garten die Beete hacken..... ...ich lese das hier in letzter Zeit so oft, daß ich das mal loswerden musste . Nichts für ungut __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
20.11.2003, 02:14
Member
Themenstarter Beiträge: 12 |
#5
ok... thx. mein jetzt bitte nicht, dass ich mir das merken kann: rechdscheibung isd nicht mein ting
|
|
|
|
|
|
|
20.11.2003, 04:54
Member
Beiträge: 117 |
#6
@Malvin:
1. Ja, anno '89 gab es schon Windows 3.0. Ich kann mich noch gut erinnern, dass wir uns nach dem Erscheinen von Windows 3.0 einen Scherz erlaubt haben und auf die Standard-Frage "Haste mal eben Windows für mich?" eine Diskette weitergegeben haben - mit einem japanischen Windows 1.0. Ich habe hier noch 'ne NT 3.51-Lizenz rumliegen, für die könnten so alte Rechner noch "Neuware" sein - und die Rechtevergabe ist auch einigermassen. Das System hat soweit ich mich erinnere noch die Optik von Windows 3.11 ... So - genug Nostalgie verbreitet. Jetzt mal "Butter bei die Fisch'" - schliesslich soll Dir geholfen werden und nicht in Nostalgie geschwärmt werden. Zwei Lösungsansätze sehe ich im Moment, aber keiner hat mit Rechtevergabe, Userverwaltung, Netzfreigaben oder Workgroups zu tun: 1. Installation einer Personal Firewall auf jedem Rechner mit einem entsprechenden Ruleset. So ordne ich jeden Rechner in eine Gruppe ein oder schliesse ihn eben aus wie ich das haben will. Will ich nicht, dass Rechner A auf Rechner B schauen kann, sperre ich eben den Zugriff mit einer entsprechenden Regel - Ende der Geschichte. 2. Arbeit mit den IPs und der Subnet-Mask - aber da bin ich mir nicht sicher, ob und wie es genau funktioniert. Meine Idee ist folgende: Die Nicht-Admin-Workgroups bekommen IPs aus einem C-Class-Netzwerk, also mit Subnet-Mask 255.255.255.0, als IPs z. B. 192.168.1.x für die erste Workgroup, 192.168.2.x für die zweite Workgroup, 192.168.3.x für die dritte Workgroup. Somit liegt jede Workgroup in einem eigenen C-Class-Netzwerk, die anderen Workgroups sind für diese PCs jeweils "unsichtbar". Die Admin-Workgroup-PCs bekommen ein B-Class-Netzwerk, also Subnet-Mask 255.255.0.0 mit einer IP aus dem oben verwendeten C-Block, z. B. 192.168.100.x . Jetzt alle PCs in die gleiche Workgroup schmeissen. Der Effekt müsste folgender sein: 1. Die vorher existierenden Workgroups werden jetzt durch die IPs "getrennt" gehalten, weil jede vorher existierende Workgroup in einem eigenen Subnet liegt. Auch die vorherige Admin-Workgroup hat aus Sicht der anderen ehemaligen Workgroups ein eigenes Subnet und ist damit für diese Hosts "unsichtbar". 2. Für die Admin-PCs liegen aufgrund der Zuordnung zu einem B-Class-Netzwerk ALLE Workgroups in ihrem Subnet "192.168." und sollten damit "sichtbar" sein. Probier' mal aus und berichte von Erfolg oder Misserfolg. Ich will auch was lernen, vor so einem Fall stand ich noch nicht! Gruss Aahz |
|
|
|
|
|
|
20.11.2003, 08:58
Member
 Beiträge: 907 |
#7
@Aahz
der gedanke mit den IP's ist schonmal nicht schlecht, nur kam mir gerade der gedanke: wenn ein rechner aus dem Admin-Netz einen ping an ein Class-C netz schickt, wie soll der rechner aus dem Class-C-Netz dann auf diesen ping antworten, wenn er sieht, dass die quelle 192.168.100.x ist und somit _NICHT_ in seinem netz liegt? das äquivalent zum netbiostraffic.... habe soetwas noch nicht probiert, kann auch nur spekulieren, aber theoretisch ist es aus meiner sicht unmöglich (ohne routing) greez |
|
|
|
|
|
|
20.11.2003, 10:45
Member
Beiträge: 117 |
#8
@Emba:
Hast Recht, ich habe es eben mal mit zwei Rechnern ausprobiert. Klappt nicht. Bleibt die Lösung mit der Personal Firewall - oder jemand, der schlauer ist als wir beide, hat doch noch eine Lösung für das Subnet-Problemchen. Kleiner Nebeneffekt meiner "Forschung": Ich habe festgestellt, das W2K sich beim Verändern der Subnet-Mask ein bisschen störrisch anstellt. Eine Veränderung der Subnet-Mask auf B-Class wollte es bei einer 192.168.er IP zunächst nicht akzeptieren. Aber über die erweiterten Einstellungen hat es dann doch noch geklappt ... Gruss Aahz Dieser Beitrag wurde am 20.11.2003 um 10:49 Uhr von Aahz editiert.
|
|
|
|
|
|
|
20.11.2003, 15:35
Member
Beiträge: 546 |
#9
Hi!
@Malvin: Mann, sowas nenne ich wirklich eine gemischte Umgebung OK, du sprichst also von 2 verschiedenen Netzen im LAN. Netz 1 beinhaltet NT, 2K & 98'er Rechner und soll auf Netz 2 mit ausschließlich 98'er Clients zugreifen können. Umgekehrt darf dies aber nicht geschehen. Eine wirklich sehr einseitige Vertrauensstellung Dann versuch ich's mal... Anm.: Im nachfolgenden Text wird dein administratives LAN mit den Zugriffsrechten "Admin LAN" und das reine W98 LAN "Baby LAN" genannt. Here we go: 1.: Arbeitsgruppennamen bei sämtlichen Rechnern der beiden Netze müssen identisch sein. 2.: Auf allen W98 Rechnern (unabhängig ob "Admin" oder "Baby" LAN) sollte das Microsoft Family Logon installiert werden! 3.: Richte bei den 98'ern im Baby LAN Benutzer ein (im Sinne von Anmeldenamen für den lokalen Login) 4.: Freigaben der Laufwerke/Ordner/Dateien im Baby LAN: Auf jedem Host konfigurierst du die Frei- gaben bei dem entsprechenden Reiter durch Zugriffstyp = "Lese-/Schreibzugriff" 5.: NT4 & 2K Rechner im Admin LAN: Hier kannst du mit NTFS Rechten spielen. Du erstellst lediglich Benutzer mit Zugriffsrechten für die Personen, die sich später an den Rechnern des Admin LAN's aufhalten. 6.: W98 Rechner im Admin LAN: Freigaben der Laufwerke/Ordner/Dateien beim entsprechenden Reiter durch Zugriffstyp = "Zugriff abhängig vom Kennwort". Du vergibst Lese-/Schreibkennwörter für diese Rechner und teilst diese nur den Personen des Admin LAN's mit. Alternative: Firewall (s.u.) Wenn das alles so eingerichtet worden ist, sollten... ...alle Rechner des Admin LAN's Zugriff auf die Rechner im Baby LAN haben, denn dort darf sich jeder über's Netz anmelden, ...die 98'er Rechner im Admin LAN ebenfalls auf die NT4 & 2K Hosts gelangen, denn dort wurden Konten für die relevanten Benutzer angelegt, ...die 98'er Rechner im Baby LAN defintiv kein Zugriff auf die NT4 & 2K Rechner im Admin LAN erlangen, da dort keine Benutzerkonten für diese Rechner /Personen angelegt wurden, ...die 98'er Rechner des Baby LAN's beim Verbinden mit den 98'er Rechner des Admin LAN's die Meldung bekommen "Bitte Schreib-/Lesekennwort eingeben" (oder so ähnlich). Ergo: Kein Zugriff. Alternativ kannst du auch für die 98'er Rechner im Admin LAN die von Aahz beschriebene Möglichkeit einer Firewall ins Auge fassen! Du sperrst dann (wie von Aahz erwähnt) die IP's der 98'er Rechner des Baby LAN's. Der Schwachpunkt sind und bleiben in diesem Netz aber logischerweise die 98'er Rechner, da sich dort "Sicherheit" in einem nur sehr eingeschränkten Maße realisieren lässt. Bevor du jetzt anfangen solltest, dieses Szenario nachzustellen, warte vielleicht kurz ab, was die Profis & Kenner von dieser Konfiguration halten. Ist nämlich meinerseits ein wenig mit der "heißen Nadel gestrickt" worden. Zwar bin ich der Meinung, dass es so klappen könnte/sollte aber vielleicht habe ich hier ja einen Gedankenfehler eingebaut. Bye |
|
|
|
|
|
|
20.11.2003, 17:27
Member
 Beiträge: 5291 |
#10
@Aahz
Nun ja da 192.168 class-c netz ist und nicht wirklich in ein 16bit subnet gehört sollte es zur konformität auch nicht darein gebracht werden - ich denke win2k möchte das auch nicht @Emba ja ich denke auch das es ohne routing nicht möglich ist da dies ja gerade eine situation ist warum routing existiert __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode Dieser Beitrag wurde am 20.11.2003 um 17:30 Uhr von Xeper editiert.
|
|
|
|
|
|
|
20.11.2003, 17:32
Member
Beiträge: 117 |
#11
Mir kommen die Tränen, wenn ich bei so einer Konfiguration an die Netzwerk-Sicherheit denke ...
Sorry, aber Windows 98 ist einfach ungeeignet für solche Spielereien. Anständige Rechner gibt es schon für unter 400 Euro, die alte Peripherie kann ja weitgehend weiterverwendet werden. Und da kann man dann ein vernünftiges OS drauf installieren ... Gruss Aahz |
|
|
|
|
|
|
25.11.2003, 02:33
Member
Themenstarter Beiträge: 12 |
#12
Danke... das muss ich mir jetzt erstmal anschauen....
also mit einem "16bit subnet" kann ich schonmal nicht soviel anfangen... sind alle netze auf 16bit subnet? oder ist das nen windows style? Mit dem einrichten der Rechner muss ich dann wohl bis zum Wochenende warten, da an denen jetzt gearbeitet wird. THX nochmal und ich melde mich bestimmt wieder MfG Malvin edit: ps: ich habe indirekt noch eine Loesung fuer das Problem hier auf dem Board bekommen: ueber poledit kann ich "entirenetwork" ausblenden. damit ist der zugriff erstmal gesprerrt. ist das auch sicher? Dieser Beitrag wurde am 25.11.2003 um 02:45 Uhr von Malvin editiert.
|
|
|
|
|
|
|
25.11.2003, 09:12
Member
Beiträge: 907 |
#13
@malvin
bei aller liebe: du weißt nich, was ein 16er Subnet ist und willst ein ganzes netzwerk mit unterschiedlichen windowsclients sicher einrichten? vllt. wäre es ratsam, wenn du dich vorher ein wenig über die theorie zu netzwerken und IP-Adressierungen informierst, damit du nicht da stehst, wenn auf einmal der GAU eintritt zu deinem letzten punkt (poledit) kann ich nur sagen: Security through Obscurity hat noch nie wirklich etwas gebracht greez Dieser Beitrag wurde am 25.11.2003 um 16:50 Uhr von Emba editiert.
|
|
|
|
|
|
|
25.11.2003, 16:34
Member
Beiträge: 5291 |
#14
@Malvin
Quatsch das TCP/IP ist auf allen Betriebsystemen gleich. Mit windows hat das ganze nichts zu tuen eher mit theorie und praxis in sachen Netzwerktechnik. 255.255.0.0 ist eine 16bit subnet mask IPv4 ist 32-bit lang. Nun wie Emba schon sagte solltest du vielleicht jemanden daran lassen der Ahnung davon hat. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
26.11.2003, 02:02
Member
Themenstarter Beiträge: 12 |
#15
sorry ich schlag mich um den job hier nicht... :/
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe ein hier ein Lan mit mehreren Workgroups, von denen aber nur eine Workgroup Zugriff auf die anderen haben soll. Die Restlichen sollen sich in ihrer Gruppe und ueber den Hardware Router frei bewegen koennen.
Alle Workgroups bestehen aus Win89 Rechnern
geht das irgendwie?
ich habe versucht ueber die sperrung von der netzwerkumgebung, und erstellung von netzlaufwerken zu arbeiten (die idee ist nicht von mir und gefaellt mir nicht). Das schraenkt die Nutzer aber doch stark ein.
Thx und
MfG
Malvin