ewert59

Hi, Ich lese hier und im Original: "Klasse A Netz" :upps Die Netze sind seit mindestens 15 Jahren auf CIDR umgestellt. Es macht keiner mehr klassenbasierte Netze außer die IHK. :grummel

aber eigentlich sind Notizen tabu

Dann wäre das Handbuch tabu, da fehlerhaft.

In Passau ist es z.B. erlaubt Ergänzungen aus neueren Auflagen in ältere Einzuschreiben, genauso wie beschriftete Einkleber zur leichteren Themenfindung erlaubt waren.

Was ist z.B. mit offensichtlichen Fehlern im Handbuch - dürfen diese korrigiert werden?

Bsp.: S. 319, letztes Bild a.d. Seite: IPSec mit ESP ist Tunnel und nicht Transport

S. 321: ganz unten, spezielle Adressen, 1. Zeile: Schwachfug

RFC 1918- und RFC-3440-Adressen sind unvollständig - einklich ist die 1/2 Seite (Subnetze) sowieso f.d. Katz und nur verwirrend. Nicht einmal der Begriff CIDR taucht auf (schrub ich schon).

Meine Schüler haben noch mehr Fehler gefunden.

Oder gibt es hier eine IT-Handbuch-Errata-Seite, die kopiert und mit offiziellem IHK-Nicken ausgedruckt und eingeklebt werden kann?

Gestern kam die neueste Auflage des bei der IHK als Hilfsmittel zugelassenen IT-Handbuchs aus dem Westermann Verlag (7. Auflage 2011) bei uns an und wurde an die Schüler ausgegeben. Mein erster Blick ging wohin? Richtig:

Netzwerkadressen, S. 321, die Abschnitte IP-Adressenaufbau unter IPv4 und Subnetze.

und was les' ich?

* Klasse A

* Klasse B

* Klasse C

zugehörige Netzwerk- und Subnetzmasken und den Schwall an unsinnigen (nicht falsch aber falsch für die Herleitung) Erklärungen einschließlich ("Der Wert des Maskierbytes bestimmt sich aus der Differenz von 256 und der Anzahl der Knoten im ...." *argl*, gehts nicht komplizierter?)

Ein Konzept, das inzwischen (ja seit mindestens 15 Jahren, länger besteht die Ausbildung an FI auch nicht) durch CIDR abgelöst ist.

* VLSM als "Übergangsform" (oder als Technik) ist erwähnt, aber der wichtige Begriff "CIDR" - Fehlanzeige, weder hier noch im Index. Lediglich die Kurzform der Netzwerkmaske "Subnetz-Präfix" ist kurz erläutert.

Wozu gibt es Neuauflagen? Wobei - das war sicher schon in der ersten Auflage (2004?) veraltet.

Is' klar, manche (Hardware-)Entwicklung geht so schnell, dass sie gar nicht schnell genug in eine Neuauflage einfließen kann, aber hier? 14 oder 18 Jahre?

*brrrr*, kann ich nur mit der Wikipedia schreiben: "Dessen ungeachtet wird das veraltete und nicht mehr praxisrelevante Konzept der Netzklassen häufig nach wie vor von Dozenten vermittelt und findet sich häufig auch weiter in Lehrbüchern."

Ich habe hier latürnich vorher kurz mal über die Diskussionen hier geschaut, Netzwerkklassen sind nach wie vor "aktuell".

trozdem finde ich die Erwähnung von 10jährigen Altlasten (56bit RC4) bei der Verwendung von RDP unter Windows 7 nicht sonderlich sinnvoll..

Doch, falls sie versehentlich aktiviert werden könnten. Deshalb: IMO immer konsequent abschalten, wenn die aktuellen Verschlüsselungs- (z.B. AES 256) bzw. Authentifizierungsoptionen (z.B. zertifikatsbasiert) funktionieren.

Du wirst aber wohl einen Proxy installieren müssen der die Anfragen einfach weiterleitet und zudem protokolliert. Zusätzlich muss dann noch verhindert werden, dass jemand den Proxy umgeht.

Wenn der Übergabepunkt nur nen Proxy hat und nicht routen kann, ist das zwangsläufig so. Beim Mitprotokollieren muss zwischen dem Protokollieren und dem Persönlichkeitsschutz ein entsprechender Kompromiss gefunden werden. Bei SQUID als Proxy (u. evtl. auch Dante für SOCKS) lässt sich die Genauigkeit des Mitprotokollierens einstellen, z.B. keine Host-IP (bei nur 2 Nutzern etwas sinnfrei) , komplette URL oder parameterfrei (alles hinter dem "?" in der URL "verschwindet", keine Namensauflösung serverseitig, nur IP etc.pp., wie lange soll das LOG-File aufgehoben werden (1...max. 2 Wochen?) - sollte halt abgesprochen werden.

Keine Zuzahlung (5€/Tag)? Keine Fahrgelderstattung?

Apropos Brötchen: s/Brötchen/Schnitten/ und das ganze zu Hause geschmiert. Ja das machen auch Verdiener.

Zu IPV6, schau mal auf Netzmafia. Ist nicht schlecht die Zusammenfassung da.

Ich stelle fest, dass die Teile zu IPv4 (Stichwort Netzwerkklassen) und IPv6 - noch keine Aufteilung anhand der Adress-Präfixe - IMO hoffnungslos veraltet sind. An OP: Stelle dir selbst eine Zusammenfassung zusammen, das hilft ungemein.

Welche Subnetzmaske kommt in den Netzen zum Einsatz? Wenn es eine /16 ist, dann werden Router alleine nichts bringen. Sind das jeweils /24er Netze, dann wäre eine Kombination aus VLANs, Routing und ACLs eine Lösung.

??? Kansst Du die Frage etwas präzisieren?

Bei sämtlichen Masken /22 und kleiner bringen nämlich Router nichts, da die genannten "Teilnetze" ein zusammenhängendes Netz darstellen. Ab /24 und größer sind die genannten Netze separiert.

Ihr immer mit eurem "platt machen"....das ist der Ausweg der Hilflosen!

Wenns ein Trojaner ist, ist er irgenwie raufgekommen, also kann man den normalerweise auch irgendwie wieder runterbekommen* ...

ad 1) ist nicht der Trojaner das Problem, sondern die Griechen sinds;

und solange ich nicht mehr weiß als das, was hier gepostet wurde, auf Malwarebefall hinweist, aber nicht, auf welche, kann ich nur auf ad 2 verweisen.

ad 2) Ich wüsste nichts, was Help: I Got Hacked. Now What Do I Do? (MS-technet)

The only way to clean a compromised system is to flatten and rebuild. That’s right.

(Das von einem Sicherheitsspezialisten des OS-Herstellers - ist das auch so ein "Hilfloser"?)

an Aktualität verloren hat, eher

ad 3) Kann einem das, was junge Frauen wie Joanna Rutkowska so treiben, einem das Blut in den Adern gefrieren lassen.

ad 4) Gibt es heute sehr angenehme Tools wie "... True Image", BackUp und Restore, bei VirtualMachines sowas wie Zurücksetzen zu SnapShots usw., die einem ein "Neuaufsetzen" erleichtern.

(Hmm der Thread gehört eigentlich in den Abschnitt "Sicherheit")

So erstma der hijack log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:33:42, on 01.12.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Gips Gründe, den IE6 dort noch zu benutzen? VOn 6 zu 7 ist ausnahmsweise auch was Richtung Standardkonformität und Sicherheit gemacht worden. Deshalb: Neue Version empfehlenswert

Ist das System aktuell (WindowsUpdate)?

Hast Du Admin.Rechte, wenn Du surfst?

Running processes:

...

C:\WINDOWS\RTHDCPL.EXE

wer ist das?...

C:\Dokumente und Einstellungen\Robin\Desktop\Borderlands_V1.0_Plus_12_Trainer_By_KelSat.exe

C:\wzremove.exe

Und die beiden?

Der ist recht spät in der Reihenfolge:

C:\WINDOWS\system32\wscntfy.exe

aber es gibt ihn - Namen sind latürnich Schall und Rauch

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Aha no name no file. Ein Relikt?

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Hmm wo gehören die hin

Und ich glaub auch das es ein trojaner is denn wenn ich versuch mein browser (firefox) zu öffnen, lässt antivir es nicht machen aber ich kann den trojaner auch nicht löschen also muss ich erst mein antivir ausmachen und dann den browser öffnen.

Plattmachen, letztes sauberes Image draufziehen oder neu installieren.

Sorry. Die Frage lautet jetzt:

Kann man einen PC mit einer Netzwerkkarte als NAT Router verwenden ?

(Betriebssystem: Windows XP)

PC 1 soll aus dem Beispiel mit PC 3 kommunizieren.

PC 2 hat dann nur eine NIC.

Eine Frage wäre zum Beispiel, ob PC1 das Laufwerk "C"

von PC 3 mappen kann.

Du hast Jana (2) installiert? Dann lautet die Antwort: Prinzipiell ja. Jana macht z.B. u.a. auch Portforwarding. Die SOCKS-Funktionen hast Du ja auch schon entdeckt.

Problem könnte sein (habe ich nicht probiert): Die Windows-Netzwerkprotokolle darüber zu nat-ten, forwarden, proxyien, was auch immer. Bei Netzwerkfreigaben könnte man zu alternativen Protokollen wie webdav (ist ja http) oder ssh ausweichen. Openssh-Server gibt es ja auch für Windows, WinSCP und Totalcommander mit scp-plugin könnten da andocken. Und der Jana-Server wäre der Mittler.

HTH

BTW: Für den Jana-Server gibt es auch ein Forum. Evtl. existiert deine Situation dort schon als ein Szenario mit einer beschriebenen Lösung - ansonsten könnte man dort ja auch selber anfragen.

wäre es technisch gesehen ... möglich PC 2 mit nur einer NIC über ein cross over Kabel mit dem Layer 2 Switch zu verbinden.

Eine "Software" auf dem PC 2 routet dann die ankommenden Paket auf das

andere Subnetz um und schickt die Pakete mit der neuen IP Adresse

über die gleiche Leitung in den Layer 2 Switch zurück.

Gibt es so eine "Software" ?

In einem Layer 3 Switch, läuft das doch auch über ein Programm ?

Ja, es gibt eine solche Software, besser ein Protokoll, nennt sich "SOCKS". Wird im Session-Layer eingeordnet, oder auch im "Circuit-Level".

Viele Anwendungen (Web-Browser, ssh-Clients,etc.) sind SOCKS-fähig, andere lassen sich SOCKSifizieren, FreeCap ist ein solcher.

Programme sind u.a. dante, Jana-Server.

HTH

ist das wieder ein typisches Beispiel für schnelles Besorgen von Ergebnissen Fremder und sehr "schoflich". Ich hatte allerdings gleichzeitig ein Seminar zu halten, wo eben dasselbe Thema war, und da war das gleich eine schöne methodische Aufbereitung des ganzen. Ansonsten hätte ich mir bei der Beantwortung seiner Fragen mehr Zurückhaltung auferlegt. Schade, dass jeronimonino inzwischen die fertigen Antworten ihm aufs Brot serviert hatte. Wozu Eine Hilfe war's nicht.

@ewert59: "RDP in aktueller Form" - sagte ich doch..

... und ohne Fallback zur unsicheren Verschlüsselungsvariante

Und von wegen VPN als Abschlussprojekt: Das muss recht umfangreich ausfallen um da die geforderten Stunden hinzubekommen.

Wenn der VPN-Zugang mit speziellen Regelungen in ein bestehendes Rollen- und Sicherheitskonzept eingefügt werden soll, kann dieser Part allein schon recht aufwändig werden, IMHO.

Fordere Nachweise vom Beschuldiger an und versuche mit Fachleuten Beweise für Deine Unschuld vor Ort sicherzustellen. Evtl. kannst Du am Rechner mit entsprechender Forensik-Software noch weitere Informationen finden, die Dir so nicht so leicht zugänglich sind.

Prüfe Deinen Browser-Cache, E-Mail Client usw. ...

Möglichst eine Komplettsicherung der involvierten "Instrumente" anstreben - Komplettmirror der Datenträger zB. Und selber nicht und niemanden anders dran manipulieren lassen - auch Forensik in den Händen Betroffener kann einem als Manipulation ausgelegt werden - oder wenigstens 4-Augen-Prinzip ansteuern. Selber Manipulationsversuche dokumentieren.

Ja, genauso professionell wie OpenVPN über IPSec. Warum meint eigentlich jeder RDP wäre unsicher? Vom Prinzip ist RDP (in aktueller Form) in etwa so sicher wie SSL.

1) Weil ursprünglich RDP auf RC4 basiert, das aber inzwischen mehrere bekannte designbedingte Schwachstellen hat (en. wikipedia: RC4#Security). 2) Quatsch. Inzwischen kann es selber TLS. Man sollte jedoch sicherstellen, dass sowohl Server als auch Client das beherrschen und nicht auf RC4 o.ä. zurückwechseln.

3) Ist es eine Frage der Anforderungen und des Designs, ob ich eine End-zu-End-RDP-TLS-Verbindung zulasse oder RDP über einen zentralen VPN-Router laufen lasse.

Und VPN als Abschlussprojekt an sich fänd ich jetzt arg mager..

Ich sehe VPNs als sehr anspruchsvoll, besonders, wenn auf der Gegenseite wirklich vertrauliche Informationen erreichbar werden und wenn unterschiedliche Rollen (Vor-Ort-Nutzer vs. VPN-Nutzer) oder ein Zugang der VPN-Nutzer über eigene DMZ mit abgestuftem Zugriff verwirklicht werden sollen... bis hin zur VPN-Client-Absicherung.

Immer wenn ich mich mit dem Win7 Notebook mit der FritzBox verbinde, ist ein Zugriff auf Webseiten über Firefox und Internet Explorer weder von dem Win7 Notebook noch von den XP Geräten möglich. Ein Ping aufz.b. heise.de funktioniert hingegen problemlos.

Ändern sich bei den Win7-/XP-Geräten die TCP/IP-Konfig. (ipconfig /all + route print)? Kannst Du von diesen Geräten auf die fritz.box-Weboberfläche zugreifen (u.z.B. den Netzwerkdurchsatz beobachten)? Ändern sich Proxy-Einstellungen?

Ich gehe davon aus, dass das ins Umfeld "strukturierte Verkabelung" fällt. Wikipedia-Artikel, netzmafia.

Ich mach mal die Ingrid

Belkin-Router - Welche MTU (1492 o. 1454 o.andere, S.33)

Mich irritieren die rel. kleinen MTU-Werte, die der Router vorgibt. Mglw. liegt dort das Problem. AFAIK können der raspppoe (Robert Schlabbach) oder der cfos-pppoe-Treiber sich so anpassen, dass sie mit dieser MTU besser klar kommen (also nicht mit dem eingebauten pppoe-Treiber sondern mit einem dieser beiden DSL machen).

Worauf soll ich dabei genau achten? Ich hab ne Menge mit roter Schrift auf schwarzem Grund (TCP Previous Segment Lost, TCP Retransmission, TCP Dup ACK), vermute aber mal das sind nur die Anzeichen des schon erwähnten Packetloss. Wie kann ich Hinweise auf das auslösende Problem herausfiltern?

Indem Du die Flags vorangegangener Pakete derselben TCP-Verbindung analysierst (MTU, Paketgröße, MSS, TCP-Window-Size (wird letztere ständig geäandert?)).

Was hast Du am Belkin-Router eingestellt? PPPoE (S. 32)? Welche MTU (1492 o. 1454 o.andere, S.33)? Ggf. diese merken und mit veränderten Einstellungen experimentieren. Mit Wireshark kontrollieren und oder mit Ping Pakete unterschiedlicher Größe (zw. 1400 u. 1490 etwa) generieren, schauen, wo es zu Ende geht.

Ggf. MTU am zugehörigen LAN-Interface des PCs anpassen. Wieder kontrollieren. Immer den alten Wert merken,

Ggf. auch eine relativ kleine TCP-Windows-Size fest einstellen (verringert aber auch den Durchsatz).

HTH

Mal mit wireshark die Datenströme vergleichen - irgendwo müssen sich doch die Probleme bemerkbar machen.

wie soll ich anfangen ? 173.10.199.0?

Wir sind jetzt beim 1. Netz von den allen - oder? Dann fangen wir ganz unten an, bei der ersten verfügbaren Adresse 172.10.192.0 - oder?

was meinst mit subnetmask !

Mit "Netzmaske" beschreibst Du doch, welche Adressen zum eigenen Netz gehören (Hostanteil - ...0000) und welche das Netzwerk beschreiben (111...).

Je größer die Netzmaske, desto kleiner der Hostanteil (das mit den Nullen), desto geringer die Anzahl der Hosts im jeweiligen Netz.

Den Hostanteil für ein Netz mit 2048 Hosts(-2) hast Du doch korrekt beschrieben: ..111.11111111 = 2047 = 0x07.FF = 0.0.7.255. So, jetzt drehn wir das ganze um (bitweise Negation) und füllen nach links mit Einsen auf, bis wir 32 Ziffern haben: 11111111.11111111.11111000.00000000 - das ist unsere Netzmaske - das ganze hexadezimal: FF.FF.F8.00 und jetzt schreiben wir die einzelnen Hexaziffern dezimal, kommt heraus die "dottet decimal notation": 255.255.248.0. Jetzt zählen wir die Einsen von links: /21 (= 32-8-3) die Netzmaske in Kurzform.

So, die letzte Adresse (Broadcast-) stimmt: 172.10.199.254, die nächste verfügbare Adresse (fürs nächste Netz) ist 172.10.200.0 - so, jetzt Du, viel Erfolg.

2048 1024 512 256 128 64 32 16 8 4 2 1

0 1 1 1 . 1 1 1 1 1 1 1 1

Schreib dazu mal die Netzmaske auf (lang (255...) und kurz (/...))

3 bit gehen rüber

richtig

4+2+1=7

192+7=199

richtig

das heißt mann fängt bei 173.10.199.254 an

falsch

und das ist die letzte Host

richtig,

Warum nimmst Du nicht die Netzwerkadresse vom Gesamtnetz (172.10.192.0) als Anfangsadresse? Dann fehlt nur noch die vorher gefragte Netzmaske

so das erste netz lautet dann wie folgt

1 Netz ID 172.10.199.0

1 Host 172.10.199.1

Letzer Host 172.10.199.254

Brodcast 172.10.199.255

---------------------------------

Ist das korekkt ? das wäre das erste netz !

Das wäre ein Netz mit 254 Hosts. Welches deiner Netze braucht denn diese max. Zahl. Und warum fängst Du mit .199.0 an und nicht mit .192.0 oder 204.0?