ewert59

Hi, Ich lese hier und im Original: "Klasse A Netz" :upps Die Netze sind seit mindestens 15 Jahren auf CIDR umgestellt. Es macht keiner mehr klassenbasierte Netze außer die IHK. :grummel

Dann wäre das Handbuch tabu, da fehlerhaft.

Was ist z.B. mit offensichtlichen Fehlern im Handbuch - dürfen diese korrigiert werden? Bsp.: S. 319, letztes Bild a.d. Seite: IPSec mit ESP ist Tunnel und nicht Transport S. 321: ganz unten, spezielle Adressen, 1. Zeile: Schwachfug RFC 1918- und RFC-3440-Adressen sind unvollständig - einklich ist die 1/2 Seite (Subnetze) sowieso f.d. Katz und nur verwirrend. Nicht einmal der Begriff CIDR taucht auf (schrub ich schon). Meine Schüler haben noch mehr Fehler gefunden. Oder gibt es hier eine IT-Handbuch-Errata-Seite, die kopiert und mit offiziellem IHK-Nicken ausgedruckt und eingeklebt werden kann?

Gestern kam die neueste Auflage des bei der IHK als Hilfsmittel zugelassenen IT-Handbuchs aus dem Westermann Verlag (7. Auflage 2011) bei uns an und wurde an die Schüler ausgegeben. Mein erster Blick ging wohin? Richtig: Netzwerkadressen, S. 321, die Abschnitte IP-Adressenaufbau unter IPv4 und Subnetze. und was les' ich? * Klasse A * Klasse B * Klasse C zugehörige Netzwerk- und Subnetzmasken und den Schwall an unsinnigen (nicht falsch aber falsch für die Herleitung) Erklärungen einschließlich ("Der Wert des Maskierbytes bestimmt sich aus der Differenz von 256 und der Anzahl der Knoten im ...." *argl*, gehts nicht komplizierter?) Ein Konzept, das inzwischen (ja seit mindestens 15 Jahren, länger besteht die Ausbildung an FI auch nicht) durch CIDR abgelöst ist. * VLSM als "Übergangsform" (oder als Technik) ist erwähnt, aber der wichtige Begriff "CIDR" - Fehlanzeige, weder hier noch im Index. Lediglich die Kurzform der Netzwerkmaske "Subnetz-Präfix" ist kurz erläutert. Wozu gibt es Neuauflagen? Wobei - das war sicher schon in der ersten Auflage (2004?) veraltet. Is' klar, manche (Hardware-)Entwicklung geht so schnell, dass sie gar nicht schnell genug in eine Neuauflage einfließen kann, aber hier? 14 oder 18 Jahre? *brrrr*, kann ich nur mit der Wikipedia schreiben: "Dessen ungeachtet wird das veraltete und nicht mehr praxisrelevante Konzept der Netzklassen häufig nach wie vor von Dozenten vermittelt und findet sich häufig auch weiter in Lehrbüchern." Ich habe hier latürnich vorher kurz mal über die Diskussionen hier geschaut, Netzwerkklassen sind nach wie vor "aktuell".

Doch, falls sie versehentlich aktiviert werden könnten. Deshalb: IMO immer konsequent abschalten, wenn die aktuellen Verschlüsselungs- (z.B. AES 256) bzw. Authentifizierungsoptionen (z.B. zertifikatsbasiert) funktionieren.

Wenn der Übergabepunkt nur nen Proxy hat und nicht routen kann, ist das zwangsläufig so. Beim Mitprotokollieren muss zwischen dem Protokollieren und dem Persönlichkeitsschutz ein entsprechender Kompromiss gefunden werden. Bei SQUID als Proxy (u. evtl. auch Dante für SOCKS) lässt sich die Genauigkeit des Mitprotokollierens einstellen, z.B. keine Host-IP (bei nur 2 Nutzern etwas sinnfrei) , komplette URL oder parameterfrei (alles hinter dem "?" in der URL "verschwindet", keine Namensauflösung serverseitig, nur IP etc.pp., wie lange soll das LOG-File aufgehoben werden (1...max. 2 Wochen?) - sollte halt abgesprochen werden.

Keine Zuzahlung (5€/Tag)? Keine Fahrgelderstattung? Apropos Brötchen: s/Brötchen/Schnitten/ und das ganze zu Hause geschmiert. Ja das machen auch Verdiener.

Ich stelle fest, dass die Teile zu IPv4 (Stichwort Netzwerkklassen) und IPv6 - noch keine Aufteilung anhand der Adress-Präfixe - IMO hoffnungslos veraltet sind. An OP: Stelle dir selbst eine Zusammenfassung zusammen, das hilft ungemein.

??? Kansst Du die Frage etwas präzisieren? Bei sämtlichen Masken /22 und kleiner bringen nämlich Router nichts, da die genannten "Teilnetze" ein zusammenhängendes Netz darstellen. Ab /24 und größer sind die genannten Netze separiert.

ad 1) ist nicht der Trojaner das Problem, sondern die Griechen sinds; und solange ich nicht mehr weiß als das, was hier gepostet wurde, auf Malwarebefall hinweist, aber nicht, auf welche, kann ich nur auf ad 2 verweisen. ad 2) Ich wüsste nichts, was Help: I Got Hacked. Now What Do I Do? (MS-technet) The only way to clean a compromised system is to flatten and rebuild. That’s right. (Das von einem Sicherheitsspezialisten des OS-Herstellers - ist das auch so ein "Hilfloser"?) an Aktualität verloren hat, eher ad 3) Kann einem das, was junge Frauen wie Joanna Rutkowska so treiben, einem das Blut in den Adern gefrieren lassen. ad 4) Gibt es heute sehr angenehme Tools wie "... True Image", BackUp und Restore, bei VirtualMachines sowas wie Zurücksetzen zu SnapShots usw., die einem ein "Neuaufsetzen" erleichtern. (Hmm der Thread gehört eigentlich in den Abschnitt "Sicherheit")

Gips Gründe, den IE6 dort noch zu benutzen? VOn 6 zu 7 ist ausnahmsweise auch was Richtung Standardkonformität und Sicherheit gemacht worden. Deshalb: Neue Version empfehlenswert Ist das System aktuell (WindowsUpdate)? Hast Du Admin.Rechte, wenn Du surfst? wer ist das?... Und die beiden? Der ist recht spät in der Reihenfolge: aber es gibt ihn - Namen sind latürnich Schall und Rauch Aha no name no file. Ein Relikt? Hmm wo gehören die hin Plattmachen, letztes sauberes Image draufziehen oder neu installieren.

Du hast Jana (2) installiert? Dann lautet die Antwort: Prinzipiell ja. Jana macht z.B. u.a. auch Portforwarding. Die SOCKS-Funktionen hast Du ja auch schon entdeckt. Problem könnte sein (habe ich nicht probiert): Die Windows-Netzwerkprotokolle darüber zu nat-ten, forwarden, proxyien, was auch immer. Bei Netzwerkfreigaben könnte man zu alternativen Protokollen wie webdav (ist ja http) oder ssh ausweichen. Openssh-Server gibt es ja auch für Windows, WinSCP und Totalcommander mit scp-plugin könnten da andocken. Und der Jana-Server wäre der Mittler. HTH BTW: Für den Jana-Server gibt es auch ein Forum. Evtl. existiert deine Situation dort schon als ein Szenario mit einer beschriebenen Lösung - ansonsten könnte man dort ja auch selber anfragen.

Ja, es gibt eine solche Software, besser ein Protokoll, nennt sich "SOCKS". Wird im Session-Layer eingeordnet, oder auch im "Circuit-Level". Viele Anwendungen (Web-Browser, ssh-Clients,etc.) sind SOCKS-fähig, andere lassen sich SOCKSifizieren, FreeCap ist ein solcher. Programme sind u.a. dante, Jana-Server. HTH

ist das wieder ein typisches Beispiel für schnelles Besorgen von Ergebnissen Fremder und sehr "schoflich". Ich hatte allerdings gleichzeitig ein Seminar zu halten, wo eben dasselbe Thema war, und da war das gleich eine schöne methodische Aufbereitung des ganzen. Ansonsten hätte ich mir bei der Beantwortung seiner Fragen mehr Zurückhaltung auferlegt. Schade, dass jeronimonino inzwischen die fertigen Antworten ihm aufs Brot serviert hatte. Wozu Eine Hilfe war's nicht.

... und ohne Fallback zur unsicheren Verschlüsselungsvariante Wenn der VPN-Zugang mit speziellen Regelungen in ein bestehendes Rollen- und Sicherheitskonzept eingefügt werden soll, kann dieser Part allein schon recht aufwändig werden, IMHO.

Möglichst eine Komplettsicherung der involvierten "Instrumente" anstreben - Komplettmirror der Datenträger zB. Und selber nicht und niemanden anders dran manipulieren lassen - auch Forensik in den Händen Betroffener kann einem als Manipulation ausgelegt werden - oder wenigstens 4-Augen-Prinzip ansteuern. Selber Manipulationsversuche dokumentieren.

1) Weil ursprünglich RDP auf RC4 basiert, das aber inzwischen mehrere bekannte designbedingte Schwachstellen hat (en. wikipedia: RC4#Security). 2) Quatsch. Inzwischen kann es selber TLS. Man sollte jedoch sicherstellen, dass sowohl Server als auch Client das beherrschen und nicht auf RC4 o.ä. zurückwechseln. 3) Ist es eine Frage der Anforderungen und des Designs, ob ich eine End-zu-End-RDP-TLS-Verbindung zulasse oder RDP über einen zentralen VPN-Router laufen lasse. Ich sehe VPNs als sehr anspruchsvoll, besonders, wenn auf der Gegenseite wirklich vertrauliche Informationen erreichbar werden und wenn unterschiedliche Rollen (Vor-Ort-Nutzer vs. VPN-Nutzer) oder ein Zugang der VPN-Nutzer über eigene DMZ mit abgestuftem Zugriff verwirklicht werden sollen... bis hin zur VPN-Client-Absicherung.

Ändern sich bei den Win7-/XP-Geräten die TCP/IP-Konfig. (ipconfig /all + route print)? Kannst Du von diesen Geräten auf die fritz.box-Weboberfläche zugreifen (u.z.B. den Netzwerkdurchsatz beobachten)? Ändern sich Proxy-Einstellungen?

Ich mach mal die Ingrid Mich irritieren die rel. kleinen MTU-Werte, die der Router vorgibt. Mglw. liegt dort das Problem. AFAIK können der raspppoe (Robert Schlabbach) oder der cfos-pppoe-Treiber sich so anpassen, dass sie mit dieser MTU besser klar kommen (also nicht mit dem eingebauten pppoe-Treiber sondern mit einem dieser beiden DSL machen).

Indem Du die Flags vorangegangener Pakete derselben TCP-Verbindung analysierst (MTU, Paketgröße, MSS, TCP-Window-Size (wird letztere ständig geäandert?)). Was hast Du am Belkin-Router eingestellt? PPPoE (S. 32)? Welche MTU (1492 o. 1454 o.andere, S.33)? Ggf. diese merken und mit veränderten Einstellungen experimentieren. Mit Wireshark kontrollieren und oder mit Ping Pakete unterschiedlicher Größe (zw. 1400 u. 1490 etwa) generieren, schauen, wo es zu Ende geht. Ggf. MTU am zugehörigen LAN-Interface des PCs anpassen. Wieder kontrollieren. Immer den alten Wert merken, Ggf. auch eine relativ kleine TCP-Windows-Size fest einstellen (verringert aber auch den Durchsatz). HTH

Mal mit wireshark die Datenströme vergleichen - irgendwo müssen sich doch die Probleme bemerkbar machen.

Wir sind jetzt beim 1. Netz von den allen - oder? Dann fangen wir ganz unten an, bei der ersten verfügbaren Adresse 172.10.192.0 - oder? Mit "Netzmaske" beschreibst Du doch, welche Adressen zum eigenen Netz gehören (Hostanteil - ...0000) und welche das Netzwerk beschreiben (111...). Je größer die Netzmaske, desto kleiner der Hostanteil (das mit den Nullen), desto geringer die Anzahl der Hosts im jeweiligen Netz. Den Hostanteil für ein Netz mit 2048 Hosts(-2) hast Du doch korrekt beschrieben: ..111.11111111 = 2047 = 0x07.FF = 0.0.7.255. So, jetzt drehn wir das ganze um (bitweise Negation) und füllen nach links mit Einsen auf, bis wir 32 Ziffern haben: 11111111.11111111.11111000.00000000 - das ist unsere Netzmaske - das ganze hexadezimal: FF.FF.F8.00 und jetzt schreiben wir die einzelnen Hexaziffern dezimal, kommt heraus die "dottet decimal notation": 255.255.248.0. Jetzt zählen wir die Einsen von links: /21 (= 32-8-3) die Netzmaske in Kurzform. So, die letzte Adresse (Broadcast-) stimmt: 172.10.199.254, die nächste verfügbare Adresse (fürs nächste Netz) ist 172.10.200.0 - so, jetzt Du, viel Erfolg.

Schreib dazu mal die Netzmaske auf (lang (255...) und kurz (/...)) richtig richtig falsch richtig, Warum nimmst Du nicht die Netzwerkadresse vom Gesamtnetz (172.10.192.0) als Anfangsadresse? Dann fehlt nur noch die vorher gefragte Netzmaske

Das wäre ein Netz mit 254 Hosts. Welches deiner Netze braucht denn diese max. Zahl. Und warum fängst Du mit .199.0 an und nicht mit .192.0 oder 204.0?

Jetzt hast Du doch Dein Problem schön eingegrenzt ;-) - viel besser. Antwort: genauso. Also /29 (=/24+5 = 255.255.255.248), 6 Hosts, Netzwerkadresse = ...0 ...8 ...16 ...24 ... /28 (=/24+4 =255.255.255.240), 14 Hosts, NW-Adresse = ...0 ...16 ...32 ... ... /25 (=/24+1 = 255.255.255.128), 126 Hosts, NW-Adresse = ...0 ...128 ... /24 (=/24 = 255.255.255.0), 254 Hosts, NW-Adresse = ...0 /23 (=/16+7 = 255.255.254.0), 510 Hosts, NW-Adresse = ..0.0 ..2.0 ..4.0 ... /22 (=/16+6 = 255.255.252.0), 1022 Hosts, NW-Adresse = ..0.0 ..4.0 ..8.0 ... Achtung - jetzt wiederholt sich's (nur mit dem Faktor 256 bzw. um 8 Stellen nach links verschoben) /21 (=/16+5 = 255.255.248.0), 2046 Hosts, NW-Adresse = ..0.0 ..8.0 ..16.0 ..24.0 ... /20 (=/16+4 = 255.255.240.0), 4094 Hosts, NW-Adresse = ..0.0 ..16.0 ..32.0 ... Und noch ein ganz großes: /13 (=/8+5 = 255.248.0.0), 524286 Hosts*, NW-Adresse = .0.0.0 .8.0.0 .16.0.0 .24.0.0 ... * = 8*256*256-2, das ging nicht mehr nur mit Kopfrechnen :-) HTH & HAND PS: Schau mal in die en.wikipedia am Ende von Subnetwork#Subnet_and_host_counts und setze die dortige Tabelle gedanklich so fort wie hier beschrieben.