Win XP - Verbindung in fremdes LAN verhindern

Im Unterforum Hardware, Betriebssysteme, Programmiersprachen - Beschreibung: Alles zu Software, Hardware, Windows, Linux, Programmiersprachen
Anfragen zu Modding, Games, Cracks, etc. unerwünscht.

Elektronik Forum Nicht eingeloggt       Einloggen       Registrieren




[Registrieren]      --     [FAQ]      --     [ Einen Link auf Ihrer Homepage zum Forum]      --     [ Themen kostenlos per RSS in ihre Homepage einbauen]      --     [Einloggen]

Suchen


Serverzeit: 13 6 2024  02:14:02      TV   VCR Aufnahme   TFT   CRT-Monitor   Netzteile   LED-FAQ   Osziloskop-Schirmbilder            


Elektronik- und Elektroforum Forum Index   >>   Hardware, Betriebssysteme, Programmiersprachen        Hardware, Betriebssysteme, Programmiersprachen : Alles zu Software, Hardware, Windows, Linux, Programmiersprachen
Anfragen zu Modding, Games, Cracks, etc. unerwünscht.

Gehe zu Seite ( 1 | 2 Nächste Seite )      


Autor
Win XP - Verbindung in fremdes LAN verhindern
Suche nach: lan (1273)

    







BID = 640841

Koni001

Gelegenheitsposter



Beiträge: 78
 

  


Hallo Forum,

folgende Situation:

Netzwerk in kleinem Betrieb bestehend aus Router, Switch, NAS und div. WinXP Rechner.
Jetzt kommt ein Notebook hinzu welches von Mitarbeitern mit nach Hause genommen werden darf. (Zum arbeiten ) Notebook besitzt kein WLAN, Mitarbeiter haben nur eingeschränkte Accounts.

Ich würde gerne verhindern, dass das Notebook zuhause an "fremde" Netzwerke angeschlossen wird (über Kabel).

Gibt es eine Möglichkeit die LAN Verbindung so zu kofigurieren, dass eine Verbindung nur im Betriebs-LAN möglich ist?
Hat jemand eine Idee?

Danke schonmal & Grüße aus dem kalten & nassen Stuttgart!

Konrad

BID = 640846

Kleinspannung

Urgestein



Beiträge: 13348
Wohnort: Tal der Ahnungslosen

 

  

Wenn die Jungs nur eingeschränkte Benutzerkonten haben,dürfte sich das Problem eigentlich von selbst erledigen.
Da damit eigentlich keine Einrichtung anderer Verbindungen möglich ist.
Aber ich lasse mich auch gern eines besseren belehren...

_________________
Manche Männer bemühen sich lebenslang, das Wesen einer Frau zu verstehen. Andere befassen sich mit weniger schwierigen Dingen z.B. der Relativitätstheorie.
(Albert Einstein)

BID = 640848

DonComi

Inventar



Beiträge: 8605
Wohnort: Amerika

Rein theoretisch ja, aber praktisch und wirklich sicher gibt es meiner Ansicht nach keine Lösung mit XP.


Aber wie gesagt, gewusst wie, und DHCP oder eigene IP-Konfiguration ist kein Problem
(Der Admin unter WinXP ist nur ein guter Scherz...).

Hast du aber mal bedacht, dass Daten auch anderweitig transferiert werden können? USB? Festplattentausch?
Das sollte gründlichst durchdacht sein.
Sicher ist das keinesfalls, jeder, der ein wenig Ahnung hat, kann auf das Teil zugreifen, egal, welche IP eingestellt ist.
Dann die IP ausspähen und das Zielnetz so ändern, dass es dem in der Firma entspricht.
Gibt noch mehr Möglichkeiten...


Offtopic :
Mit Linux täte mir ja einiges einfallen.


Edit:

Zitat :

Da damit eigentlich keine Einrichtung anderer Verbindungen möglich ist.

Und wenn das neue Netz zufällig im selben Bereich liegt? Schon kann man diesen Rechner wieder mit seiner IP ansprechen.
Und wenn sie statisch ist, dann hat man sie innerhalb von drei Sekunden rausgefunden... Dann noch das Netz simulieren (Linuxrechner und gekreuztes Kabel) und der Zauber ist vorbei...


_________________


[ Diese Nachricht wurde geändert von: DonComi am 13 Okt 2009 23:14 ]

[ Diese Nachricht wurde geändert von: DonComi am 13 Okt 2009 23:16 ]

BID = 640851

der mit den kurzen Armen

Urgestein



Beiträge: 17433

Was willst du damit erreichen?
Mit einer stink normalen Knoppix CD kann der Rechner auch von CDrom gestartet werden mit vollem Zugriff auf die Hdd und Netzwerk.
Einziger und sinnvoller Weg Daten und Hdd Verschlüsseln, Benutzer haben nur eingeschränkte Rechte.
Gruß Bernd

BID = 640856

Koni001

Gelegenheitsposter



Beiträge: 78

Hm eigentlich habt ihr Recht...
Auf dem Rechner befinden sich keine kritisches Daten. Daher ist diese Seite unkritisch.
Mir ging es eher darum z.B. "privates Surfen" zu verhindern. Dazu wäre es mir eben am sympatischsten, wenn in "fremden Netzen" gar keine Verbindung möglich ist.

Ist vielleicht etwas overkill...

Gruß Konrad

Edit sagt 1 Rechtschreibfehler korrigiert

[ Diese Nachricht wurde geändert von: Koni001 am 13 Okt 2009 23:42 ]

BID = 640858

Kleinspannung

Urgestein



Beiträge: 13348
Wohnort: Tal der Ahnungslosen


Zitat :
Koni001 hat am 13 Okt 2009 23:39 geschrieben :

Mir ging es eher darum z.B. "privates Surfen" zu verhindern.

Dachte ich mir.
Aber was wäre daran so schlimm?
Das surfen zu HAuse geht ja nicht auf Firmenkosten,und wenn keine kritischen Daten zum ausspionieren da sind...
Das einzige was man beachten müßte wäre,das sich der "User" mal ein "Schadprogramm" einhandeln könnte,was dann im Firmennnetz seltsame Dinge anstellt.Oder irgendwelche Programme installiert.
Aber normalerweise dürfte das auf eingeschränkten Konten für den "Standartuser" nicht so ganz ohne weiteres möglich sein.Mit etwas bösem Willen geht natürlich alles...

_________________
Manche Männer bemühen sich lebenslang, das Wesen einer Frau zu verstehen. Andere befassen sich mit weniger schwierigen Dingen z.B. der Relativitätstheorie.
(Albert Einstein)

BID = 640859

DonComi

Inventar



Beiträge: 8605
Wohnort: Amerika


Zitat :

Mir ging es eher darum z.B. "privates Surfen" zu verhindern.

Dann richte es statisch ein und hoffe, dass der User so denkt, wie viele andere Ottonormal-User auch.

_________________

BID = 640882

HansG

Schreibmaschine



Beiträge: 1848
Wohnort: Dresden
Zur Homepage von HansG


Zitat :
Koni001 hat am 13 Okt 2009 23:39 geschrieben :

Mir ging es eher darum z.B. "privates Surfen" zu verhindern.


Warum gibst du dann den Mitarbeitern überhaupt Notebooks?

BID = 640958

Rial

Inventar



Beiträge: 5401
Wohnort: Grossraum Hannover

Ich denke mal wegen Programm- und Lizenznutzung ?!

_________________
Früh aufstehen ist der erste Schritt in die falsche Richtung !

Alle Tips ohne Gewähr und auf eigene Gefahr !!!
Vorschriften sind zu beachten !!!

BID = 640984

clembra

Inventar



Beiträge: 5404
Wohnort: Weeze / Niederrhein
ICQ Status  

Wenn im Betrieb der Internetzugang nur durch einen einfachen Router geregelt ist, ist eine Abschottung bei den Mitarbeitern zuhause nicht sonderlich sinnvoll bzw. hilfreich. Dass die Geräte dadurch möglicherweise länger laufen stört eigentlich wenig.
Die Installation von Programmen kann man durch die Berechtigung als "Benutzer" einschränken, aber damit ist auch, je nach benötigten Anwendungen, kein gescheites Arbeiten mehr möglich.
Es gäbe dann auch nur die Möglichkeit der festen IP-Vergabe auf den PCs in einem ungewöhnlichen Subnetz (192.168.x.0/24, wobei x zwischen 3 und 177; oder aber den privaten Netzbereichen aus Class A oder Class B, siehe Wiki-Artikel).
Sinnvoll ist ein Verbot des Surfen am privaten Internetanschluss erst, wenn in der Firma ein Proxy-Server vorgeschaltet ist, der den Zugriff beschränkt, z.B. per Blacklist/Whitelist keine Viren-URLs zulässt, selbiges per Virenscanner macht oder besser beides. Dann kann man den Zugriff leicht über eine handelsübliche Firewall (nicht die XP-integrierte) den Zugriff sperren.

Ohne einen sperrenden Proxy würde privates Surfen in der Firma aber auch nicht auffallen, zumindest nicht belegbar.

_________________
Reboot oder be root, das ist hier die Frage.

BID = 641000

high_speed

Schreibmaschine



Beiträge: 2073

Das Beschneiden von Rechten ist bei Win XP nicht sinnvoll.
Mit ein bisschen suchen finden sich Möglichkeiten, nach denen man vollen
Systemzugriff erlangen kann. Nur kommt der Admin dann nicht mehr in das System.

Um so größer die Einschränkungen sind, desto größer ist auch der Anreiz nach
Abhilfe zu suchen.

Holger

_________________
George Orwell 1984 ist nichts gegen heute.
Der Überwachungsstaat ist schon da!

Leider lernen die Menschen nicht aus der Geschichte,
ansonsten würde sie sich nicht andauernd wiederholen.

BID = 641024

Murray

Inventar



Beiträge: 4722

Kann man eigentlich in XP auch MAC-Adressen eingeben?

Ansonsten müßte man auch LW wie CD-ROM/DVD und USB abschalten

BID = 641026

clembra

Inventar



Beiträge: 5404
Wohnort: Weeze / Niederrhein
ICQ Status  

Naja, hier sollte man drei Fälle unterscheiden:
1) XP Home, da geht rechtemäßig gar nichts gescheites
2) XP Pro Standalone bzw. "Arbeitsgruppe", da geht schon recht viel, macht aber keinen Spaß
3) XP Pro in Domäne (MS ADS): Ordentlich managebar und man kann sinnvoll Berechtigungen erteilen.

Grundsätzlich gilt: Wenn der Admin das System nicht voll kennt braucht dieser auch keine Berechtigungen != Vollberechtigung vergeben, da bestimmt eine Lücke übersehen wird.

Beim aktuellen Fall würde ich Punkt 3 einfach mal ausschließen. Eine Beschränkung des Internetzuganges an privaten Anschlüssen ist hier nicht sinnvoll, da diese auch keinen technischen Unterschied zwischen den privaten Zugängen und dem Zugang in der Firma gibt.
Sinnvoll ist dann aber auf jeden Fall der Einsatz einer zusätzlichen Firewall mit extra Passwort (das der jeweilige Nutzer nicht kennt), welche alle eingehenden Anfragen auf Ports TCP/135, TCP/139, TCP/445, UDP/137 und UDP/138 blockiert, um mal die wichtigsten zu nennen. Am Besten auch ausgehend, Ausnahme ist TCP/139 zur IP des NAS, wenn SSO eingesetzt wird evtl. auch TCP/445.

@Murray: MAC-Adresse eingeben? Wie meinen?

_________________
Reboot oder be root, das ist hier die Frage.

BID = 641028

Murray

Inventar



Beiträge: 4722

Na wie beim Router, das eine Netzwerkverbindung nur mit einer bestimmten Hardware möglich ist.

BID = 641029

clembra

Inventar



Beiträge: 5404
Wohnort: Weeze / Niederrhein
ICQ Status  

Achso, also wie ein MAC-Filter beim WLAN, nur anders herum. Ja, wenn man die Idee weiter denkt geht das auch, aber nur in Verbindung mit statischen IP-Adressen. Und zwar richtet man dann die IP des Gateways fest ein, wozu leider auch die eigene IP fest vergeben werden muss, und erstellt einen statischen ARP-Eintrag. Dieser übersetzt die IP-Adresse des Routers in dessen MAC-Adresse.
Diese Konstellation hätte allerdings auch einige Nachteile: Zum einen die normalen Nachteile der statischen IPs, was bei wenigen (je nach Arbeitsfreude des Admins max. 5 bis 10 Notebooks) noch vertretbar ist, zum Anderen müssen alle Notebooks bei einem Routertausch angefasst werden und der ARP-Eintrag umgebogen werden.

Die Sicherheit wäre schon ziemlich gut, da im jeweiligen Privathaushalt dann nicht nur das Gateway die gleiche IP haben muss, sondern auch die gleiche MAC-Adresse.

Je nach Branche würde meiner Meinung aber eine andere IP für das Gateway ausreichen. Also kein Standard-Subnetz und nicht die .1 für das Gateway verwenden, sicherheitshalber auch nicht die .254. Ich kenne da als Herstellerstandards: 192.168.0.1 (Netgear, D-Link), 192.168.1.1 (einige Netgear-Geräte, Linksys), 192.168.2.1 (T-Bla), 192.168.178.1 (AVMs Fritzchen), 192.168.254.1 (weiß nicht mehr)
Wie wäre es z.B. mit der privaten IP 172.17.2.172 (Subnetz 172.17.2.0/255.255.255.0) oder 10.10.10.10 (Subnetz egal)

_________________
Reboot oder be root, das ist hier die Frage.


      Nächste Seite
Gehe zu Seite ( 1 | 2 Nächste Seite )
Zurück zur Seite 0 im Unterforum          Vorheriges Thema Nächstes Thema 


Zum Ersatzteileshop


Bezeichnungen von Produkten, Abbildungen und Logos , die in diesem Forum oder im Shop verwendet werden, sind Eigentum des entsprechenden Herstellers oder Besitzers. Diese dienen lediglich zur Identifikation!
Impressum       Datenschutz       Copyright © Baldur Brock Fernsehtechnik und Versand Ersatzteile in Heilbronn Deutschland       

gerechnet auf die letzten 30 Tage haben wir 15 Beiträge im Durchschnitt pro Tag       heute wurden bisher 0 Beiträge verfasst
© x sparkkelsputz        Besucher : 181457137   Heute : 169    Gestern : 6073    Online : 534        13.6.2024    2:14
1 Besucher in den letzten 60 Sekunden        alle 60.00 Sekunden ein neuer Besucher ---- logout ----viewtopic ---- logout ----
xcvb ycvb
0.0668179988861