Win XP - Verbindung in fremdes LAN verhindern Im Unterforum Hardware, Betriebssysteme, Programmiersprachen - Beschreibung: Alles zu Software, Hardware, Windows, Linux, Programmiersprachen
Anfragen zu Modding, Games, Cracks, etc. unerwünscht.
Elektronik- und Elektroforum Forum Index >>
Hardware, Betriebssysteme, Programmiersprachen
Hardware, Betriebssysteme, Programmiersprachen : Alles zu Software, Hardware, Windows, Linux, Programmiersprachen
Anfragen zu Modding, Games, Cracks, etc. unerwünscht. |
Autor |
Win XP - Verbindung in fremdes LAN verhindern Suche nach: lan (1278) |
|
|
|
|
BID = 640841
Koni001 Gelegenheitsposter
Beiträge: 78
|
|
Hallo Forum,
folgende Situation:
Netzwerk in kleinem Betrieb bestehend aus Router, Switch, NAS und div. WinXP Rechner.
Jetzt kommt ein Notebook hinzu welches von Mitarbeitern mit nach Hause genommen werden darf. (Zum arbeiten ) Notebook besitzt kein WLAN, Mitarbeiter haben nur eingeschränkte Accounts.
Ich würde gerne verhindern, dass das Notebook zuhause an "fremde" Netzwerke angeschlossen wird (über Kabel).
Gibt es eine Möglichkeit die LAN Verbindung so zu kofigurieren, dass eine Verbindung nur im Betriebs-LAN möglich ist?
Hat jemand eine Idee?
Danke schonmal & Grüße aus dem kalten & nassen Stuttgart!
Konrad |
|
BID = 640846
Kleinspannung Urgestein
Beiträge: 13359 Wohnort: Tal der Ahnungslosen
|
|
Wenn die Jungs nur eingeschränkte Benutzerkonten haben,dürfte sich das Problem eigentlich von selbst erledigen.
Da damit eigentlich keine Einrichtung anderer Verbindungen möglich ist.
Aber ich lasse mich auch gern eines besseren belehren...
_________________
Manche Männer bemühen sich lebenslang, das Wesen einer Frau zu verstehen. Andere befassen sich mit weniger schwierigen Dingen z.B. der Relativitätstheorie.
(Albert Einstein) |
|
BID = 640848
DonComi Inventar
Beiträge: 8605 Wohnort: Amerika
|
Rein theoretisch ja, aber praktisch und wirklich sicher gibt es meiner Ansicht nach keine Lösung mit XP.
Aber wie gesagt, gewusst wie, und DHCP oder eigene IP-Konfiguration ist kein Problem
(Der Admin unter WinXP ist nur ein guter Scherz...).
Hast du aber mal bedacht, dass Daten auch anderweitig transferiert werden können? USB? Festplattentausch?
Das sollte gründlichst durchdacht sein.
Sicher ist das keinesfalls, jeder, der ein wenig Ahnung hat, kann auf das Teil zugreifen, egal, welche IP eingestellt ist.
Dann die IP ausspähen und das Zielnetz so ändern, dass es dem in der Firma entspricht.
Gibt noch mehr Möglichkeiten...
Offtopic :
| Mit Linux täte mir ja einiges einfallen. |
Edit:
Zitat :
|
Da damit eigentlich keine Einrichtung anderer Verbindungen möglich ist.
|
Und wenn das neue Netz zufällig im selben Bereich liegt? Schon kann man diesen Rechner wieder mit seiner IP ansprechen.
Und wenn sie statisch ist, dann hat man sie innerhalb von drei Sekunden rausgefunden... Dann noch das Netz simulieren (Linuxrechner und gekreuztes Kabel) und der Zauber ist vorbei...
_________________
[ Diese Nachricht wurde geändert von: DonComi am 13 Okt 2009 23:14 ]
[ Diese Nachricht wurde geändert von: DonComi am 13 Okt 2009 23:16 ]
|
BID = 640851
der mit den kurzen Armen Urgestein
Beiträge: 17434
|
Was willst du damit erreichen?
Mit einer stink normalen Knoppix CD kann der Rechner auch von CDrom gestartet werden mit vollem Zugriff auf die Hdd und Netzwerk.
Einziger und sinnvoller Weg Daten und Hdd Verschlüsseln, Benutzer haben nur eingeschränkte Rechte.
Gruß Bernd
|
BID = 640856
Koni001 Gelegenheitsposter
Beiträge: 78
|
Hm eigentlich habt ihr Recht...
Auf dem Rechner befinden sich keine kritisches Daten. Daher ist diese Seite unkritisch.
Mir ging es eher darum z.B. "privates Surfen" zu verhindern. Dazu wäre es mir eben am sympatischsten, wenn in "fremden Netzen" gar keine Verbindung möglich ist.
Ist vielleicht etwas overkill...
Gruß Konrad
Edit sagt 1 Rechtschreibfehler korrigiert
[ Diese Nachricht wurde geändert von: Koni001 am 13 Okt 2009 23:42 ]
|
BID = 640858
Kleinspannung Urgestein
Beiträge: 13359 Wohnort: Tal der Ahnungslosen
|
Zitat :
Koni001 hat am 13 Okt 2009 23:39 geschrieben :
|
Mir ging es eher darum z.B. "privates Surfen" zu verhindern.
|
Dachte ich mir.
Aber was wäre daran so schlimm?
Das surfen zu HAuse geht ja nicht auf Firmenkosten,und wenn keine kritischen Daten zum ausspionieren da sind...
Das einzige was man beachten müßte wäre,das sich der "User" mal ein "Schadprogramm" einhandeln könnte,was dann im Firmennnetz seltsame Dinge anstellt.Oder irgendwelche Programme installiert.
Aber normalerweise dürfte das auf eingeschränkten Konten für den "Standartuser" nicht so ganz ohne weiteres möglich sein.Mit etwas bösem Willen geht natürlich alles...
_________________
Manche Männer bemühen sich lebenslang, das Wesen einer Frau zu verstehen. Andere befassen sich mit weniger schwierigen Dingen z.B. der Relativitätstheorie.
(Albert Einstein)
|
BID = 640859
DonComi Inventar
Beiträge: 8605 Wohnort: Amerika
|
Zitat :
|
Mir ging es eher darum z.B. "privates Surfen" zu verhindern.
|
Dann richte es statisch ein und hoffe, dass der User so denkt, wie viele andere Ottonormal-User auch.
_________________
|
BID = 640882
HansG Schreibmaschine
Beiträge: 1848 Wohnort: Dresden
|
Zitat :
Koni001 hat am 13 Okt 2009 23:39 geschrieben :
|
Mir ging es eher darum z.B. "privates Surfen" zu verhindern.
|
Warum gibst du dann den Mitarbeitern überhaupt Notebooks?
|
BID = 640958
Rial Inventar
Beiträge: 5401 Wohnort: Grossraum Hannover
|
Ich denke mal wegen Programm- und Lizenznutzung ?!
_________________
Früh aufstehen ist der erste Schritt in die falsche Richtung !
Alle Tips ohne Gewähr und auf eigene Gefahr !!!
Vorschriften sind zu beachten !!!
|
BID = 640984
clembra Inventar
Beiträge: 5404 Wohnort: Weeze / Niederrhein
|
Wenn im Betrieb der Internetzugang nur durch einen einfachen Router geregelt ist, ist eine Abschottung bei den Mitarbeitern zuhause nicht sonderlich sinnvoll bzw. hilfreich. Dass die Geräte dadurch möglicherweise länger laufen stört eigentlich wenig.
Die Installation von Programmen kann man durch die Berechtigung als "Benutzer" einschränken, aber damit ist auch, je nach benötigten Anwendungen, kein gescheites Arbeiten mehr möglich.
Es gäbe dann auch nur die Möglichkeit der festen IP-Vergabe auf den PCs in einem ungewöhnlichen Subnetz (192.168.x.0/24, wobei x zwischen 3 und 177; oder aber den privaten Netzbereichen aus Class A oder Class B, siehe Wiki-Artikel).
Sinnvoll ist ein Verbot des Surfen am privaten Internetanschluss erst, wenn in der Firma ein Proxy-Server vorgeschaltet ist, der den Zugriff beschränkt, z.B. per Blacklist/Whitelist keine Viren-URLs zulässt, selbiges per Virenscanner macht oder besser beides. Dann kann man den Zugriff leicht über eine handelsübliche Firewall (nicht die XP-integrierte) den Zugriff sperren.
Ohne einen sperrenden Proxy würde privates Surfen in der Firma aber auch nicht auffallen, zumindest nicht belegbar.
_________________
Reboot oder be root, das ist hier die Frage.
|
BID = 641000
high_speed Schreibmaschine
Beiträge: 2073
|
Das Beschneiden von Rechten ist bei Win XP nicht sinnvoll.
Mit ein bisschen suchen finden sich Möglichkeiten, nach denen man vollen
Systemzugriff erlangen kann. Nur kommt der Admin dann nicht mehr in das System.
Um so größer die Einschränkungen sind, desto größer ist auch der Anreiz nach
Abhilfe zu suchen.
Holger
_________________
George Orwell 1984 ist nichts gegen heute.
Der Überwachungsstaat ist schon da!
Leider lernen die Menschen nicht aus der Geschichte,
ansonsten würde sie sich nicht andauernd wiederholen.
|
BID = 641024
Murray Inventar
Beiträge: 4859
|
Kann man eigentlich in XP auch MAC-Adressen eingeben?
Ansonsten müßte man auch LW wie CD-ROM/DVD und USB abschalten
|
BID = 641026
clembra Inventar
Beiträge: 5404 Wohnort: Weeze / Niederrhein
|
Naja, hier sollte man drei Fälle unterscheiden:
1) XP Home, da geht rechtemäßig gar nichts gescheites
2) XP Pro Standalone bzw. "Arbeitsgruppe", da geht schon recht viel, macht aber keinen Spaß
3) XP Pro in Domäne (MS ADS): Ordentlich managebar und man kann sinnvoll Berechtigungen erteilen.
Grundsätzlich gilt: Wenn der Admin das System nicht voll kennt braucht dieser auch keine Berechtigungen != Vollberechtigung vergeben, da bestimmt eine Lücke übersehen wird.
Beim aktuellen Fall würde ich Punkt 3 einfach mal ausschließen. Eine Beschränkung des Internetzuganges an privaten Anschlüssen ist hier nicht sinnvoll, da diese auch keinen technischen Unterschied zwischen den privaten Zugängen und dem Zugang in der Firma gibt.
Sinnvoll ist dann aber auf jeden Fall der Einsatz einer zusätzlichen Firewall mit extra Passwort (das der jeweilige Nutzer nicht kennt), welche alle eingehenden Anfragen auf Ports TCP/135, TCP/139, TCP/445, UDP/137 und UDP/138 blockiert, um mal die wichtigsten zu nennen. Am Besten auch ausgehend, Ausnahme ist TCP/139 zur IP des NAS, wenn SSO eingesetzt wird evtl. auch TCP/445.
@Murray: MAC-Adresse eingeben? Wie meinen?
_________________
Reboot oder be root, das ist hier die Frage.
|
BID = 641028
Murray Inventar
Beiträge: 4859
|
Na wie beim Router, das eine Netzwerkverbindung nur mit einer bestimmten Hardware möglich ist.
|
BID = 641029
clembra Inventar
Beiträge: 5404 Wohnort: Weeze / Niederrhein
|
Achso, also wie ein MAC-Filter beim WLAN, nur anders herum. Ja, wenn man die Idee weiter denkt geht das auch, aber nur in Verbindung mit statischen IP-Adressen. Und zwar richtet man dann die IP des Gateways fest ein, wozu leider auch die eigene IP fest vergeben werden muss, und erstellt einen statischen ARP-Eintrag. Dieser übersetzt die IP-Adresse des Routers in dessen MAC-Adresse.
Diese Konstellation hätte allerdings auch einige Nachteile: Zum einen die normalen Nachteile der statischen IPs, was bei wenigen (je nach Arbeitsfreude des Admins max. 5 bis 10 Notebooks) noch vertretbar ist, zum Anderen müssen alle Notebooks bei einem Routertausch angefasst werden und der ARP-Eintrag umgebogen werden.
Die Sicherheit wäre schon ziemlich gut, da im jeweiligen Privathaushalt dann nicht nur das Gateway die gleiche IP haben muss, sondern auch die gleiche MAC-Adresse.
Je nach Branche würde meiner Meinung aber eine andere IP für das Gateway ausreichen. Also kein Standard-Subnetz und nicht die .1 für das Gateway verwenden, sicherheitshalber auch nicht die .254. Ich kenne da als Herstellerstandards: 192.168.0.1 (Netgear, D-Link), 192.168.1.1 (einige Netgear-Geräte, Linksys), 192.168.2.1 (T-Bla), 192.168.178.1 (AVMs Fritzchen), 192.168.254.1 (weiß nicht mehr)
Wie wäre es z.B. mit der privaten IP 172.17.2.172 (Subnetz 172.17.2.0/255.255.255.0) oder 10.10.10.10 (Subnetz egal)
_________________
Reboot oder be root, das ist hier die Frage.
|
|
Zum Ersatzteileshop
Bezeichnungen von Produkten, Abbildungen und Logos , die in diesem Forum oder im Shop verwendet werden, sind Eigentum des entsprechenden Herstellers oder Besitzers. Diese dienen lediglich zur Identifikation!
Impressum
Datenschutz
Copyright © Baldur Brock Fernsehtechnik und Versand Ersatzteile in Heilbronn Deutschland
gerechnet auf die letzten 30 Tage haben wir 19 Beiträge im Durchschnitt pro Tag heute wurden bisher 13 Beiträge verfasst © x sparkkelsputz Besucher : 182415494 Heute : 7480 Gestern : 7797 Online : 235 27.11.2024 23:55 0 Besucher in den letzten 60 Sekunden ---- logout ----viewtopic ---- logout ----
|
xcvb
ycvb
0.0388839244843
|