Netzwerk mit Windows Firewall absprerren ?

Internet Internet Sicherheit
#1

Hallo liebe www´ler,

meine Frage, bezüglich der Absperrung einer Arbeitsgruppe im Win XP Home Netzwerk wäre folgende:

Wenn ich den Rechnern feste IP´s ausserhalb der DHCP Range vergebe und in der Windows Firewall (oder einer anderen) die Datei und Druckerfreigabe nur für die IP´s aus dem Netz, die ich vergeben habe freigebe wäre das eine Möglichkeit die Daten der Arbeitsgruppe so weit zu schützen, dass ein zusätzlicher Rechner, dessen IP über DHCP vergeben wird nicht auf die Daten zugreifen kann?

Folgendes Szenario:

4 Rechner mit Win XP HE (feste IP´s)
1 Router mit DHCP enabled IP 100 - 199

nun kommen hierzu ab und an Fremdrechner, die per WLAN angeschlossen werden, aber nicht auf die Dateien der 4 Rechner zugreifen können sollen. Internet soll aber für diese Fremdrechner möglich sein.

Hilft es also, wenn ich die FW so einstelle, dass nur die betimmten IP´s die Datei und Druckerfreigabe nutzen dürfen ?

Vielen Dank für eure Hilfen

der Jörg

#2

Hallo liebe www´ler,

Hi,

4 Rechner mit Win XP HE (feste IP´s)
1 Router mit DHCP enabled IP 100 - 199

nun kommen hierzu ab und an Fremdrechner, die per WLAN
angeschlossen werden, aber nicht auf die Dateien der 4 Rechner
zugreifen können sollen. Internet soll aber für diese
Fremdrechner möglich sein.

Hilft es also, wenn ich die FW so einstelle, dass nur die
betimmten IP´s die Datei und Druckerfreigabe nutzen dürfen ?

Was hindert den Administrator des Fremdrechners daran, auf Deinen bloeden DHCP-Server zu pfeifen und sich selbst eine der IP# der festen Rechner zu geben? Ich wuerde sagen: nichts.

Gruss vom Frank.

#3

Hallo liebe www´ler,

Hi,

hi,

4 Rechner mit Win XP HE (feste IP´s)
1 Router mit DHCP enabled IP 100 - 199

nun kommen hierzu ab und an Fremdrechner, die per WLAN
angeschlossen werden, aber nicht auf die Dateien der 4 Rechner
zugreifen können sollen. Internet soll aber für diese
Fremdrechner möglich sein.

Was hindert den Administrator des Fremdrechners daran, auf
Deinen bloeden DHCP-Server zu pfeifen und sich selbst eine der
IP# der festen Rechner zu geben? Ich wuerde sagen: nichts.

theorethisch ja, wenn der/diejenige sich damit auskennt, was aber in dem fall nicht unbedingt der fall ist.

  1. wie hoch ist die wahrscheinlichkeit, das er eine von den 4 ip´s erwischt, die ich freigegeben habe, wenn ich die dhcp range auf sagen wir mal 10 IP´s verkleinere.

der/diejenige würde dann doch denke ich den rechner zwar sehen können, aber einem unbedarften user, der nur ins internet möchte dürfte es doch nicht sooo einfach fallen, gerade eine der ip`s zu erwischen, die in der FW freigegeben sind ?

gibt´s vielleicht ne FW mit mac filter ? oder hast sonst einen konstruktiven vorschlag ?

danke der jörg

Gruss vom Frank.

#4

[Sicherheit durch IP#s]

Was hindert den Administrator des Fremdrechners daran, auf
Deinen bloeden DHCP-Server zu pfeifen und sich selbst eine der
IP# der festen Rechner zu geben? Ich wuerde sagen: nichts.

theorethisch ja, wenn der/diejenige sich damit auskennt, was
aber in dem fall nicht unbedingt der fall ist.

Ach, sag doch gleich, dass Du nur Computeridioten abhalten willst.

  1. wie hoch ist die wahrscheinlichkeit, das er eine von den 4
    ip´s erwischt, die ich freigegeben habe, wenn ich die dhcp
    range auf sagen wir mal 10 IP´s verkleinere.

Hm, 100%? Vielleicht bin ich ja nicht massgeblich, aber ein tcpdump, ein broadcast ping und ein ifconfig dauern nicht wirklich lange.

der/diejenige würde dann doch denke ich den rechner zwar sehen
können, aber einem unbedarften user, der nur ins internet
möchte dürfte es doch nicht sooo einfach fallen, gerade eine
der ip`s zu erwischen, die in der FW freigegeben sind ?

Ich weiss nicht, wovon Du da redest, aber vielleicht solltest Du den Begriff ‚unbedarfter user‘ etwas genauer spezifizieren. Ich fuer meinen Teil schaetze die Schutzwirkung Deines Konzepts als vernachlaessigbar ein. Kann man denn auf so komische Freigaben keine Authentifizierung mit Passwoerter vergeben?

gibt´s vielleicht ne FW mit mac filter ?

Wozu soll die gut sein? Auch wenn Du jetzt wieder mit dem ‚unbedarften user‘ kommst: MAC-Adressen sind kein Sicherheits-Feature (in dem Sinne), lassen sich jederzeit aufzeichnen und aendern.

oder hast sonst einen konstruktiven vorschlag ?

Passwoerter auf Freigaben, eigenes Subnetz mit Paketfilter dazwischen, VPN ueber den normalen Netz fuer die festen Rechner.

Gruss vom Frank.

#5

[Sicherheit durch IP#s]

Was hindert den Administrator des Fremdrechners daran, auf
Deinen bloeden DHCP-Server zu pfeifen und sich selbst eine der
IP# der festen Rechner zu geben? Ich wuerde sagen: nichts.

theorethisch ja, wenn der/diejenige sich damit auskennt, was
aber in dem fall nicht unbedingt der fall ist.

Ach, sag doch gleich, dass Du nur Computeridioten abhalten
willst.

genau

  1. wie hoch ist die wahrscheinlichkeit, das er eine von den 4
    ip´s erwischt, die ich freigegeben habe, wenn ich die dhcp
    range auf sagen wir mal 10 IP´s verkleinere.

Hm, 100%? Vielleicht bin ich ja nicht massgeblich, aber ein
tcpdump, ein broadcast ping und ein ifconfig dauern nicht
wirklich lange.

das sind für die angedachten user absolute fremdworte, da wäre ine vortrag zur kunstgeschichte für die einfacher *gg

der/diejenige würde dann doch denke ich den rechner zwar sehen
können, aber einem unbedarften user, der nur ins internet
möchte dürfte es doch nicht sooo einfach fallen, gerade eine
der ip`s zu erwischen, die in der FW freigegeben sind ?

in der arbeitsgruppe des WIn xp HE netzes tauchen unter „gesamtes netzwerk“ erst di arbeitsgruppe und dann die einzelnen rechner auf

Ich weiss nicht, wovon Du da redest, aber vielleicht solltest
Du den Begriff ‚unbedarfter user‘ etwas genauer spezifizieren.
Ich fuer meinen Teil schaetze die Schutzwirkung Deines
Konzepts als vernachlaessigbar ein. Kann man denn auf so
komische Freigaben keine Authentifizierung mit Passwoerter
vergeben?

hab ich auch schon versucht rauszufinden, aber das scheint bei win XP Home leider nicht möglich zu sein…

gibt´s vielleicht ne FW mit mac filter ?

Wozu soll die gut sein? Auch wenn Du jetzt wieder mit dem
‚unbedarften user‘ kommst: MAC-Adressen sind kein
Sicherheits-Feature (in dem Sinne), lassen sich jederzeit
aufzeichnen und aendern.

oder hast sonst einen konstruktiven vorschlag ?

Passwoerter auf Freigaben, —geht ja leider nicht

eigenes Subnetz mit Paketfilter – dann müsst ich einen unserer rechner, der per wlan angeschlossen ist mit ausklammern, da er einen ap nutzt, über den auch die „fremdrechner“ ins internet gehen sollen oder nicht ?

dazwischen, VPN ueber den normalen Netz fuer die festen
Rechner.

Gruss vom Frank.

danke soweit
der jörg

#6

Hallo,

Kann man denn auf so
komische Freigaben keine Authentifizierung mit Passwoerter
vergeben?

hab ich auch schon versucht rauszufinden, aber das scheint bei
win XP Home leider nicht möglich zu sein…

Keine Arme – keine Kekse.

Du solltest für die Problemlösung taugliche Betriebssysteme einsetzen. Dein Microsoft-Dealer wird Dich gerne anfixen und Dir eine Lösung verkaufen.

man kann das legal auch kostenlos haben, aber auf den alternativen Betriebssystemen laufen dann wieder die ganzen Viren nicht so richtig. Wie gesagt: keine Arme – keine Kekse.

Gruß,

Sebastian

#7

Hallo,

Kann man denn auf so
komische Freigaben keine Authentifizierung mit Passwoerter
vergeben?

hab ich auch schon versucht rauszufinden, aber das scheint bei
win XP Home leider nicht möglich zu sein…

Keine Arme – keine Kekse.

Du solltest für die Problemlösung taugliche Betriebssysteme
einsetzen.

du meinst also sowas wie das was ich auf meinem privarechner zu hause nutze ? *gg

Dein Microsoft-Dealer wird Dich gerne anfixen und

Dir eine Lösung verkaufen.

seit wann können microsoft dealer LÖSUNGEN verkaufen…hab ich da was verpasst ?? ausserdem hat der meinem vorgänger ja schon die rechner hier verkauft ich glaub der hat genug verdient…

man kann das legal auch kostenlos haben, aber auf den
alternativen Betriebssystemen laufen dann wieder die ganzen
Viren nicht so richtig.

das würde mir natürlich fehlen… daran merkt man ja das man im büro sitzt und nicht zuhause am rechner ;o)

Wie gesagt: keine Arme – keine Kekse.

Gruß,

Sebastian

gruß der jörg

gruß der jörg

#8

Hallo,

Kann man denn auf so
komische Freigaben keine Authentifizierung mit Passwoerter
vergeben?

hab ich auch schon versucht rauszufinden, aber das scheint bei
win XP Home leider nicht möglich zu sein…

Keine Arme – keine Kekse.

Du solltest für die Problemlösung taugliche Betriebssysteme
einsetzen.

du meinst also sowas wie das was ich auf meinem privarechner
zu hause nutze ? *gg

Mag sein, ich kenne Deinen Rechner zu Hause nicht ud weiß nicht, was da läuft.

Dein Microsoft-Dealer wird Dich gerne anfixen und
Dir eine Lösung verkaufen.

seit wann können microsoft dealer LÖSUNGEN verkaufen…

habe ich behauptet, daß es eine Lösung für Dein Problem ist? :wink:

hab ich
da was verpasst ?? ausserdem hat der meinem vorgänger ja schon
die rechner hier verkauft ich glaub der hat genug verdient…

Nun ja …

man kann das legal auch kostenlos haben, aber auf den
alternativen Betriebssystemen laufen dann wieder die ganzen
Viren nicht so richtig.

das würde mir natürlich fehlen… daran merkt man ja das man
im büro sitzt und nicht zuhause am rechner ;o)

Wenn Du das Know-How tatsächlich hast, wäre es vermutlich eine wirklich gute Idee, einen alten Rechner für solche Aufgaben abzustellen. Mein für ein paar €ur gekaufter IBM Pentium tut fantastisch, ganz zu schweigen von einer schnuckeligen Sun Ultra 1 :smile:

Gruß,

Sebastian