Hi Marc, On 14 Dec 2001 at 8:21, Marc Mc Guinness wrote:
Am Donnerstag, 13. Dezember 2001 16:07 schrieben Sie:
On 13 Dec 2001 at 15:36, Marc Mc Guinness wrote:
Ich möchte um sicherzustellen, daß sich niemand illegal in mein Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im LAN eine von der NIC wegnehmen und dem Rechner zuweisen.
Unter anderen Umständen würde ich das ja mit Hilfe eines vernünftigen Switches lösen können, aber das geht eben nicht.
Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen?
Ich denke mal nein, darüber hinaus wäre das auch kein geeigneter Schutz. IIRC, stolpert Yast dann auch ghörig. Aber das ist auch gar nicht notwendig. Wie wäre es denn mit subnetting? Oder besser noch mit iptables?
Inwiefern kann mir das helfen? Da habe ich jetzt Verständnisschwierigkeiten...
Subnetting und iptables können verhindern, daß sich Rechner unerlaubt im Netzwerk "bewegen" können? iptables ... ok, aber dazu müsste ich alle 5 Switches in einem Rechner mit iptables enden lassen. Dann könnten sich aber dennoch unerlaubte Rechner innerhalb der 24 Ports des Switches frei "bewegen".
Übrigens wird sich kein Nameserver in dem Netz befinden. Wir brauchen nämlich eine gewissen Sicherheit, daß sich niemand unerlaubt ins Netz einklinkt, daher fällt DHCP schonmal weg. DNS macht uns zuviel Arbeit: Innerhalb eines Abends müssten dann über 90 Rechner in den DNS eingetragen werden und schließlich sind da noch andere Dinge, um die wir uns kümmern müssen (Stromversorgung, Netzwerkverkabelung, etc.).
Mein Vorschlag beruhte auf der Annahme das der Server das routing übernimmt und alle Rechner über den Server kommunizieren. Die von Dir jetzt dargestellte Situation ist aber eine Andere. So wird Dir weder subnetting noch iptables helfen können. Deinen weiteren Mails konnte ich entnehmen das das eine LAN Party wird. Herzlichen Glückwunsch. Ich hoffe Dir ist bewusst was Du da machst. 1.) Die Bekanntgabe einer LAN Party ist eine Einladung an jeden Cracker. Überleg mal, wo stehen sonst so viele 'offene' Maschinen rum. Erst hier macht das installieren von Trojanern richtig Spaß. Naja, und wenn dann noch auf dem Server eine Backdoor installiert ist, kann man ja noch ein wenig zocken. Ein Fest sozusagen. 2.) Falls Du glauben solltest, ich las das in einer anderen Mail, es würde für jemanden ein Problem darstellen IP-Adresssen zu spoofen oder MAC-Adressen, weit gefehlt. Dafür gib's 1A Tools, gerade für die komfortablen M$ OS'e. Selbst mein Sohn (8) kann damit umgehen. Was Du benötigst ist ein vernünftiger switch, oder einen Router. Also auf jeden Fall eine zentrale Stelle an der eine Überwachung stattfinden kann. Fehlende IP-Adressen sind aber auch nicht Ansatzweise ein Schutz. Ich hoffe Du bekommst keine Probleme, und hoffentlich Deine user auch nicht. mit freundlichen Grüßen Jörg Zimmermann ------------------------------------------- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072