Mailinglist Archive: opensuse-de (5277 mails)
| < Previous | Next > |
Re: Maximum an IP-Adressen pro NIC?
- From: "Jörg Zimmermann" <j.zimmermann@xxxxxxxxxxx>
- Date: Fri, 14 Dec 2001 14:09:51 +0100
- Message-id: <3C1A082F.18687.11C6B92@localhost>
Hi Marc,
On 14 Dec 2001 at 8:21, Marc Mc Guinness wrote:
> Am Donnerstag, 13. Dezember 2001 16:07 schrieben Sie:
> > On 13 Dec 2001 at 15:36, Marc Mc Guinness wrote:
> > > Ich möchte um sicherzustellen, daß sich niemand illegal in mein
> > > Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal
> > > über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im
> > > LAN eine von der NIC wegnehmen und dem Rechner zuweisen.
> > >
> > > Unter anderen Umständen würde ich das ja mit Hilfe eines
> > > vernünftigen Switches lösen können, aber das geht eben nicht.
> > >
> > > Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen?
> >
> > Ich denke mal nein, darüber hinaus wäre das auch kein geeigneter
> > Schutz. IIRC, stolpert Yast dann auch ghörig. Aber das ist auch
> > gar nicht notwendig. Wie wäre es denn mit subnetting? Oder besser
> > noch mit iptables?
>
> Inwiefern kann mir das helfen? Da habe ich jetzt
> Verständnisschwierigkeiten...
>
> Subnetting und iptables können verhindern, daß sich Rechner
> unerlaubt im Netzwerk "bewegen" können? iptables ... ok, aber dazu
> müsste ich alle 5 Switches in einem Rechner mit iptables enden
> lassen. Dann könnten sich aber dennoch unerlaubte Rechner innerhalb
> der 24 Ports des Switches frei "bewegen".
>
> Übrigens wird sich kein Nameserver in dem Netz befinden. Wir
> brauchen nämlich eine gewissen Sicherheit, daß sich niemand
> unerlaubt ins Netz einklinkt, daher fällt DHCP schonmal weg. DNS
> macht uns zuviel Arbeit: Innerhalb eines Abends müssten dann über 90
> Rechner in den DNS eingetragen werden und schließlich sind da noch
> andere Dinge, um die wir uns kümmern müssen (Stromversorgung,
> Netzwerkverkabelung, etc.).
Mein Vorschlag beruhte auf der Annahme das der Server das routing
übernimmt und alle Rechner über den Server kommunizieren. Die von
Dir jetzt dargestellte Situation ist aber eine Andere. So wird Dir
weder subnetting noch iptables helfen können. Deinen weiteren Mails
konnte ich entnehmen das das eine LAN Party wird.
Herzlichen Glückwunsch. Ich hoffe Dir ist bewusst was Du da machst.
1.) Die Bekanntgabe einer LAN Party ist eine Einladung an jeden
Cracker. Überleg mal, wo stehen sonst so viele 'offene' Maschinen
rum. Erst hier macht das installieren von Trojanern richtig Spaß.
Naja, und wenn dann noch auf dem Server eine Backdoor installiert
ist, kann man ja noch ein wenig zocken. Ein Fest sozusagen.
2.) Falls Du glauben solltest, ich las das in einer anderen Mail,
es würde für jemanden ein Problem darstellen IP-Adresssen zu
spoofen oder MAC-Adressen, weit gefehlt. Dafür gib's 1A Tools,
gerade für die komfortablen M$ OS'e. Selbst mein Sohn (8) kann
damit umgehen.
Was Du benötigst ist ein vernünftiger switch, oder einen Router.
Also auf jeden Fall eine zentrale Stelle an der eine Überwachung
stattfinden kann. Fehlende IP-Adressen sind aber auch nicht
Ansatzweise ein Schutz. Ich hoffe Du bekommst keine Probleme, und
hoffentlich Deine user auch nicht.
mit freundlichen Grüßen
Jörg Zimmermann
-------------------------------------------
.xsiteing agentur für netzkommunikation
42117 wuppertal - friedrich-ebert-str. 141b
tel: 0202/3097070 - fax: 0202/3097072
On 14 Dec 2001 at 8:21, Marc Mc Guinness wrote:
> Am Donnerstag, 13. Dezember 2001 16:07 schrieben Sie:
> > On 13 Dec 2001 at 15:36, Marc Mc Guinness wrote:
> > > Ich möchte um sicherzustellen, daß sich niemand illegal in mein
> > > Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal
> > > über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im
> > > LAN eine von der NIC wegnehmen und dem Rechner zuweisen.
> > >
> > > Unter anderen Umständen würde ich das ja mit Hilfe eines
> > > vernünftigen Switches lösen können, aber das geht eben nicht.
> > >
> > > Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen?
> >
> > Ich denke mal nein, darüber hinaus wäre das auch kein geeigneter
> > Schutz. IIRC, stolpert Yast dann auch ghörig. Aber das ist auch
> > gar nicht notwendig. Wie wäre es denn mit subnetting? Oder besser
> > noch mit iptables?
>
> Inwiefern kann mir das helfen? Da habe ich jetzt
> Verständnisschwierigkeiten...
>
> Subnetting und iptables können verhindern, daß sich Rechner
> unerlaubt im Netzwerk "bewegen" können? iptables ... ok, aber dazu
> müsste ich alle 5 Switches in einem Rechner mit iptables enden
> lassen. Dann könnten sich aber dennoch unerlaubte Rechner innerhalb
> der 24 Ports des Switches frei "bewegen".
>
> Übrigens wird sich kein Nameserver in dem Netz befinden. Wir
> brauchen nämlich eine gewissen Sicherheit, daß sich niemand
> unerlaubt ins Netz einklinkt, daher fällt DHCP schonmal weg. DNS
> macht uns zuviel Arbeit: Innerhalb eines Abends müssten dann über 90
> Rechner in den DNS eingetragen werden und schließlich sind da noch
> andere Dinge, um die wir uns kümmern müssen (Stromversorgung,
> Netzwerkverkabelung, etc.).
Mein Vorschlag beruhte auf der Annahme das der Server das routing
übernimmt und alle Rechner über den Server kommunizieren. Die von
Dir jetzt dargestellte Situation ist aber eine Andere. So wird Dir
weder subnetting noch iptables helfen können. Deinen weiteren Mails
konnte ich entnehmen das das eine LAN Party wird.
Herzlichen Glückwunsch. Ich hoffe Dir ist bewusst was Du da machst.
1.) Die Bekanntgabe einer LAN Party ist eine Einladung an jeden
Cracker. Überleg mal, wo stehen sonst so viele 'offene' Maschinen
rum. Erst hier macht das installieren von Trojanern richtig Spaß.
Naja, und wenn dann noch auf dem Server eine Backdoor installiert
ist, kann man ja noch ein wenig zocken. Ein Fest sozusagen.
2.) Falls Du glauben solltest, ich las das in einer anderen Mail,
es würde für jemanden ein Problem darstellen IP-Adresssen zu
spoofen oder MAC-Adressen, weit gefehlt. Dafür gib's 1A Tools,
gerade für die komfortablen M$ OS'e. Selbst mein Sohn (8) kann
damit umgehen.
Was Du benötigst ist ein vernünftiger switch, oder einen Router.
Also auf jeden Fall eine zentrale Stelle an der eine Überwachung
stattfinden kann. Fehlende IP-Adressen sind aber auch nicht
Ansatzweise ein Schutz. Ich hoffe Du bekommst keine Probleme, und
hoffentlich Deine user auch nicht.
mit freundlichen Grüßen
Jörg Zimmermann
-------------------------------------------
.xsiteing agentur für netzkommunikation
42117 wuppertal - friedrich-ebert-str. 141b
tel: 0202/3097070 - fax: 0202/3097072
| < Previous | Next > |