DennyB

Der Router hat definitiv zusaetzlich zu seiner NAT-Forwarding-Table noch eine normale Paketfilter Firewall (nicht zustandsorientiert), das kann ich aus eigener Erfahrung sagen.

Was sind denn das für Gründe, wenn man fragen darf?

Zum Beispiel:

Klick (sogar inkl. Video)

Klick

Klick

Der D-Link DI-604 hat eine Firewall die volkommen ausreicht. Eine Personal Firewall brauchst du dann wirklich nicht mehr (Ich halte nicht viel von den Dingern, aus verschiedenen Gruenden).

Hallo,

Deine Angaben koennten schon ein bisschen genauer sein

Wenn du Google "Datenschutz" oder "Datensicherheit" eingibst, wirst du erstmal ein paar Millionen Ergebnisse bekommen. Das ist ungefaehr so, als wenn man sagt: Ich moechte ein Referat ueber das Thema "Computer" halten.

Hast du denn noch keine Idee was du gerne ansprechen wuerdest oder in welche Richtung es wenigstens geht?

Hallo,

Die beste Moeglichkeit, die man eigentlich bei jedem Netz von vornherein nutzen sollte, ist eine eigene Management Station die das ganze uberwacht. Sehr verbreitet an Software, wenn nicht sogar am verbreitetsten, ist da cacti. Ist natuerlich nicht dazu gedacht "mal eben zwischendurch zu schauen", sondern das sollte schon permanent laufen um wirklich seinen Zweck zu erfuellen.

Ansonsten gibt es noch tausende Applikationen die du benutzen koenntest:

Klick

Klick

Klick

Klick

Klick

Gruss,

Denny

Es kommt nichtmal darauf an womit man programmiert, sondern auch was. Wenn es nur ein kleines bisschen in den 3D-Bereich geht, hat man ohne grundlegende lineare Algebra (Matrizen, Vektoren, Normalen, Determinaten, Ebenenraeume, etc) schon verloren. Selbst bei "normaler" Grafikprogrammierung kommt man ohne die Kenntnisse kaum aus.

Das Beispiel mit Assembler, naja, das Umrechnen zwischen Zahlensystemen und ein bisschen rumshiften kann man nicht wirklich als schwere Mathematik bezeichnen, zwischen binaer und dezimal kann ich das ja sogar schon fast auswendig (naja, bis zu einer gewissen grenze natuerlich ) obwohl ich gar nicht so viel mit Programmierung zu tun habe. Das ganze dann in Hex ist auch kein unterschied (sogar noch einfacher), ausser dass man ein paar Zahlen durch Buchstaben ersetzen muss.

Wenn man allerdings nur Verwaltungs/Bueroanwendungen zusammenklickt und auf vorgefertige Klassen zurueckgreift kommt man auch gut ohne hoehere Mathematik aus. Wenn man aber (selbst relativ einfache) Algorithmen *verstehen* will, kommt man um Kenntnisse in der hoeheren Mathematik kaum herum. Allerdings bleibt das wohl eher Studenten vorbehalten...

Eine 169.254.* IP bekommst du von Windows, falls der DHCP-Request fehlgeschlagen ist. Du kannst deinen Router also nicht erreichen (hat nichts mit deiner IP-Adresse oder deinem Gateway zu tun, denn es geht schon unter Layer 3 nicht) oder aber der DHCPd auf deinem Router ist deaktiviert. Wenn du die IP deines Routers *weisst*, dann geb deinem Rechner manuell eine IP im gleichen Subnet (Wenn dein Router die IP 192.168.2.1 hat, geb deiner NIC zum Router beispielsweise 192.168.2.100 und die Subnetmask 255.255.255.0).

Das geht unter Systemsteuerung -> Verbindungen -> Eigenschaften der NIC -> Eigenschaften von TCP/IP -> Daten eingeben (Standardgateway ist erstmal egal). Wenn du das getan hast, versuche den Router mal anzupingen ("cmd" -> "ping 192.168.2.1"). Wenn dort nichts zurueckkommt stimmt die IP deines Routers entweder nicht oder es ist gar keine Verbindung da.

Da ich mir nicht denken kann, dass du auf einem SOHO-Router ueberhaupt den DHCPd einfach so ausschalten kannst, wuerde ich dir eher empfehlen den Router einfach zu resetten (meistens ist irgendein Knopf zum reindruecken am Router) und es dann nochmal zu versuchen.

Was hast du denn fuer eine IP-Adresse und was fuer eine Subnetmask? (ipconfig /all)

Was kannst du nicht bestimmen? Kannst du den Router ueberhaupt erreichen? (ping?). Wenn dort kein DHCPd laeuft bekommst du auch keine IP von ihm zugewiesen, das muss also nichts heissen.

NIC = network interface card = Netzwerkkarte

Wo liegt jetzt genau das Problem?

Hallo,

theoretisch wuerde das auch mit Layer 2 ACLs gehen, allerdings benutzt man auf Cisco Devices normalerweise "Port Security" (wie genau haengt natuerlich auch vom Modell des Switches ab) dafuer. Die Kurzversion (normalerweise):

"switchport port-security mac-address MAC-ADDRESS"

Die lange Version gibts hier.

Der Port ist dann nur fuer die angegebene MAC Adresse aktiviert.

Ich verstehe allerdings nicht warum der Port weiter deaktiviert sein soll, wenn er wieder in der "richtigen" NIC steckt.

Hallo,

Normalerweise sollte dein Router der Standardgateway sein. Wenn du keine Verbindung mehr zu ihm herstellen kannst, dann kannst du, wenn du ihn als Default Gateway eingetragen hast nirgendswo mehr eine Verbindung herstellen ) (okay, noch zu direkt angeschlossenen Netzen)

Falls Windows:

Systemsteuerung -> Verbindungen -> Eigenschaften deiner NIC -> Eigenschaften von TCP/IP

Falls Linux:

route add default gw IP_ADDRESS

Du erstellst eine Maske fuer die Ebene auf der die Bereiche liegen, die transparent werden sollen. Danach erstellst du auf der Maske einen Schwarz-weissen Kreisverlauf.

Hallo,

nur mal nebenbei, ohne nun irgenjemanden anzugreifen oder verteidigen zu wollen.

In den CCNA Inhalten kommt in der Theorie sogut wie nichts Cisco-spezifisches vor (Okay, mal von EIGRP abgesehen), das sind alles Grundlagen die mit Cisco nicht wirklich etwas zu tun haben.

Die Frage verstehe ich nicht, das ist doch eine reine Software-Geschichte, wie das nun ausgewaehlt wird und hat nichts mehr mit dem IPSec Protokoll zu tun.

Wenn ich beispielsweise auf einem Router IPSec konfiguriere kann ich erstmal das transform-set (AH, ESP Auth, ESP Enc, etc) und unabhaengig davon den Mods (tunnel oder transport) waehlen, das natuerlich nur wenn es auch Sinn macht den Modus ueberhaupt zu aendern.

Ob du nun mittels des Modus den Header bestimmst oder mittels des Headers den Modus bestimmt ist doch das selbe in Gruen..

Hallo,

Ist beides das selbe, mit dem kleinen Unterschied, dass Port eben nur einen Port am Switch meint und Link den gesamten Link. Sozusagen: zwischen zwei trunked Ports liegt ein Trunk-Link )

So wie ich das verstehe, ist Subnetting hier auf jeden Fall die bessere Loesung, das bringt mehr Vorteile mit sich und ist wahrscheinlich sogar noch einfacher zu implementieren/administrieren.

Hallo,

IPSec kann sowohl in Tunnel- als auch Trannsport-Mode arbeiten. Auch die beiden Protokolle AH und ESP arbeiten in beiden Modi, es wird dann je nach Protokoll und Modus der Header angepasst. Einen kleinen Ueberblick findest du beispielsweise hier.

Da beide Modi sowohl mit ESP als auch mit AH arbeiten, ist die Aussage, dass sie alleine zu ESP gehoeren Schwachsinn.

Hallo,

Autonegation.. das hoert sich ja an wie eine automatische Verneinung

Ich denke eher du suchst "Ethernet Auto-Negotiation" oder "Ethernet Auto-Detect".

Dazu findest du auch jede Menge in Google:

Klick

Klick

Klick

Hallo,

das kann man schlecht in wenigen Worten erklaeren, da es unter Umstaenden recht komplex sein kann. Vielleicht ist es einfacher sich erst mal das TCP/IP (DoD) Modell anzuschauen, das ist dem OSI Modell sehr aehnlich bzw. basiert darauf.

Klick und Klick.

Das wichtigste ist erst einmal, dass du verstehst, dass beides *logische* Gruppierungen sind. Man kann also nicht unbedingt immer sagen, welches Device genau auf welchem Layer arbeitet. Es soll einfach nur Dinge vereinfachen und zb. beim Troubleshooten helfen.

Ich versuche mal etwas zu den TCP/IP (DoD) Layern zu sagen:

Application Layer (Layer 7 -5 im OSI Modell): Ganz "oben" findet die Interaktion mit dem User statt. Hier passiert also das, worauf der User Einfluss nehmen kann bzw. er etwas angezeigt bekommt. Beispielsweise sind HTTP (Browser), SMTP (Email) und FTP Protokolle die hier arbeiten. Auch Verschluesselung oder das Format der Daten gehoert hier dazu.

Host-to-Host Layer (Layer4 im OSI Modell): Hier arbeiten u.a. TCP und UDP. TCP ist verbindungsorientiert, UDP nicht. Mit TCP wird also zwischen 2 Endpunkten eine Verbindung hergestellt (3-way-Handshake) und damit garantiert, dass die Daten uebertragen werden. Das ist bei UDP nicht der Fall, dafuer hat UDP dann natuerlich nicht soviel Overhead. Typisches Beispiels fuer Layer4 sind Ports, es gibt TCP und UDP Ports. An ihnen wird unterschieden zu welcher Anwendung bzw. zu welchem Protokoll die ankommenden Daten gehoeren. 80 fuer HTTP, 25 fuer SMTP, 20/21 fuer FTP, usw. Theoretisch koennte man sagen, dass NAT Router auf Layer4 arbeiten, auch viele Firewalls.

Internet Layer (Layer3 im OSI Modell): Hier arbeiten IP, ICMP, usw. Groesstes Merkmal sind hier natuerlich die IP-Adressen. Layer2 kennt noch keine IP-Adresse die kommen erst hier. Durch die IP-Adressen wird erst Routing und Addressierung moeglich, und viele andere Dinge. Die meisten Router arbeiten (mindestens) auf Layer3. Es gibt ausserdem auch Layer3 Switches.

Network Access Layer (Layer2 und 1 im OSI Modell): Hier geht es nun schon naeher an die Hardware ran. Typisches Merkmal fuer Layer2 sind Hardware-Adresse (MAC-Adressen). Wenn etwas auf Layer2 arbeitet weiss es nichts von IP-Adresse oder Ports. Typisches Beispiel fuer Layer2 Devices sind Switches, diese "switches" die Frames eben anhand der MAC-Adresse. Auf Layer1 liegt dann die Hardware und die Verkabelung. Dort werden die Daten in uebertragbare Signale umgewandelt. Kupfer, Glasfaser, etc. Hubs arbeiten zb. auf Layer1, sie besitzen keinerlei Intelligenz und wissen nichts von MAC- oder IP-Adressen. Protokolle die auf beiden Layern arbeiten sind zb. Frame-Relay und Ethernet.

Wichtig ist auch, dass jede Schicht nur mit derselben am Zielhost kommuniziert und dieser Informationen gibt. Diese Informationen dienen dazu, dass die Schicht dann die Daten dann richtig an die naechst hoehere Schicht weitergeben kann.

Praktisch kann man das ganze so benutzen dass man zb. sagen kann, dass wenn *ueberhaupt* keine Verbindung zwischen 2 Rechnern besteht es zb ein Layer1 Problem ist (zb. Kabel defekt, etc). Layer2 zb bei einer Fehlonfiguration der Protokolle, Layer3 bei falschem Routing, fehlerhafter IP-Adress-Zuweisung, etc. Manchmal spricht man auch scherzhaft von einem Layer8 Problem, das soll dann heissen, dass der User Schuld hat

Einer der wichtigstens Aspekte ist auch die Kapselung der PDUs (Datagrams, Packets, Frames, etc). Schau dazu mal hier. Das hattest du aber ja selbst schon angesprochen mit "Senf" beigeben.

Hallo,

ich persoenlich wuerde gar nicht auf die Noten eingehen, dein Zeugnis liegt doch dabei, oder nicht? Du koenntest eventuell deine Lieblingsfaecher erwaehnen, allerdings ist das auch nicht immer gut.

Sicher gibts viele Distributionen, allerdings sind die nicht so verschieden, dass man sie wirklich einzeln erwaehnen muesste. Wenn ich mein Debian administrieren kann, dann kann ich das mit einer kleinen Eingewoehnungsphase auch mit anderen Distributionen. Wenn du allerdings nur mit der grafischen Oberflaeche vertaut bist, wuerd ich erst mal gar nichts erwaehnen, das geht dann naemlich eher nach hinten los

Ansonsten vielleicht schreiben. "mit den gaengigsten Linux Distributionen" und ein paar in Klammern aufzaehlen.

Ach so, also ich war davon ausgegangen, dass wenn ich einen L3 Switch mit Port-basiertem VLan benutze davor auch einen "normalen" Switch benutzen kann.

Das verstehe ich nicht, erklaer mal, was du damit meinst.

Wenn VLANs ueber mehrere Switches verteilt werden sollen muessen alle VLAN faehig sein und Trunk-Links bestehen. Genauso benoetigst du ein Layer3 Device um zwischen VLANs zu routen.

VLANs lohnen sich meiner Meinung nach nur auf Access-Ebene (u. evtl. zu Management Zwecken), wenn du also Layer3 Moeglichkeiten hast, dann benutz die auch (Vorteile habe ich ja oben schon gesagt). Wie sieht die Topologie denn aus? 200 Nodes sagen ziemlich wenig aus

Wenn ich nun aufgrund deiner Angaben richtige "rate", sollte subnetting auf jeden fall die bessere Loesung sein.

Hallo,

IP Masquerading bezeichnet eine Form von NAT (genauer: PAT, NAPT, NAT overloaded, address overloading, wie auch immer man es nennen will). Unter Linux wird dies meistens als Masquerading bezeichnet. Wofuer NAT gut ist, wirst du wahrscheinlich wissen.

IP Spoofing ist mehr die Grundlage fuer verschiedene Attacken. Man-in-the-middle Attacken benutzen oft IP Spoofing. Genau wie DoS-Attacken oder trust exploitation. Hier zaehlt der "boese" Wille, der dahinter steckt.

Du brauchst keinen Layer3 Switch um VLANs zu benutzen. Mit einem Layer3 Switch hast du bessere Failover-Moeglichkeiten (convergence time von ®STP betraegt je nach version und features auch mal mehr als eine halbe minute, das hast du auf layer 3 nicht) und bessere load-balancing Moeglichkeiten (Die hast du mit VLANs generell zwar auch, allerdings nicht in dem Rahmen von Routing-Protokollen und meistens nur beim Uplink).

Du wirst allerdings aufgrund des Budgets meistens nicht deine komplette Topologie mit Layer3-Devices zuhauen koennen (besonders bei kleinere Unternehmen). Die Access-Switches sind meistens dann doch Layer2 Switches, da koennen VLANs schon sehr sinvoll sein. Zum einen kannst du dort eben nochmals die broadcast domains verkleinern, zum anderen die Benutzer *logisch* gruppieren, als auch durch mehrere STP-Domains die Failover-Zeit verringern.