Hier
finden Sie einige Erkäuterungen von Fachbegriffen bzw. Abkürzungen
ADSL - Asymmetric Digital Subscriber Line
Übertragungsverfahren, mit dem 8 Mbit/s Downstream und 768 kbit/s Upstream über
die herkömmlichen analogen Telefonkabel bis max. ca. 5 km (bis zur
Vermittlungsstelle) übertragen werden können.
Auto-MDI/MDI-X (Port)
MDI steht für Medium Dependent Interface und bezieht sich auf einen
Ethernet Netzwerkanschluß. Auto-MDI/MDI-X ermöglicht die automatische Erkennung
und Anpassung eines Ports. D.h. das Gerät (z.B. Switch oder Router) erkennt
automatisch ob es sich um ein gekreuztes (Crossover-) oder nicht gekreuztes
Patch-Kabel handelt, sowie den Anschluß der Gegenstelle und konfiguriert den
Port entsprechend. Alle Auto-MDI/MDI-X Ports können somit als Uplink-Port
genutzt werden.
Backbone - englische Bezeichnung für
“Rückgrat/Wirbelsäule”
Im Internet sind die übergeordneten Netze quer durch Deutschland oder ins
Ausland gemeint.
BBAE - “Breitbandanschlusseinheit”
T-DSL-Splitter (Frequenzweiche) zur Trennung der ISDN-Signale von den
ADSL-Signalen, die im NTBBA verarbeitet werden.
Bridge
Eine Bridge kann LANs mit verschiedenen physikalischen Schichten verbinden,
also z.B. Netzwerke auf Koax- und Twisted Pair-Basis. Der Inhalt der
transportierten Datenpakete wird nicht interpretiert.
CAPI -
Common Application Programming Interface
Genormte Schnittstelle für die Programmierung (ansprechen) von ISDN-Karten
(-Geräten).
Crossover-Kabel
Twisted-Pair-Netzwerkkabel (gekreuzte Belegung am RJ45-Stecker) zum
verbinden von z. B. 2 Netzwerkkarten oder Hubs
DeNic -
Deutsches Network Information Center
Organisation für die Vergabe von Domains und IP-Nummern. In der
Top-Level-Domain .de zuständig.
DMZ - demilitarized zone
Unter DMZ versteht man ein entkoppeltes, isoliertes Teilnetzwerk, das zwischen
ein zu schützende Netz (z. B. ein LAN) und ein unsicheres Netz (z. B. das
Internet) geschaltet wird.
DNS - Domain Name Service,
"-Server" oder "-System"
DNS ist ein dezentraler Dienst, der Rechner-Namen bzw. Internet-Adressen im Klartext
(z. B. www.netzwerkrouter.de) und IP-Adressen (z. B. 212.185.46.135) einander
zuordnet. Für jeden Server beziehungsweise für jedes LAN mit Internet-Anschluß,
muß ein DNS-Server diese Informationen verwalten. Sobald eine Seite im Internet
angewählt wird, fragt der Browser zuerst einen Domain Name Server. Dieser
meldet die entsprechende numerische Adresse zurück, worauf der Browser eine
direkte Verbindung zu IP-Adresse aufbauen kann.
Domain, Domain-Name
Jede im INTERNET angeschlossene Ressource (Web-Site, Server, Drucker, usw.)
ist zunächst nur über eine eindeutige IP-Adresse identifizierbar - also über
eine Nummer wie z. B. 212.185.46.135. Domain-Namen erleichtern das
Identifizieren von Internet-Adressen, indem Internet-Ressourcen
umgangssprachlichen Bezeichnungen zugeordnet werden.
Downstream
Datenempfang aus einem Netzwerk auf Ihrem persönlichem Computer. Der
umgekehrte Datenfluss wird Upstream genannt.
DSL - Digital Subscriber
Line-Technologie
DHCP- Dynamic Host Configuration
Protocol
Das DHCP weist den angeschlossenen PCs (Clients) aus einem festgelegten Bereich
von IP-Adressen automatisch IP-Adressen, Gateways und DNS-Server zu.
DSLAM - Digital Subscriber Line Access
Multiplexer
Ein Gerät das es ermöglicht Daten von xDSL-Modems auf Netzwerke zu spielen.
DUN
Abkürzung für DialUp Networking (DFÜ-Netzwerk)
Firewall -
englische Bezeichnung für "Feuermauer/Brandmauer"
Eine Sicherheitslösung in Form von Hard- und/oder Software, die Ihre
Netzwerkverbindung kontrolliert und vor fremdem Zugriff von außen schützt.
FTP - File Transfer Protocol
Übliches Protokoll für Dateitransfer beim TCP/IP
Gateway
Ein Gateway kann völlig verschiedene Netzwerksysteme miteinander verbinden.
Es kann alle sieben OSI-Schichten konvertieren (z.B. unterschiedliche
Zugriffsverfahren, Übertragungsprotokolle usw.)
Header
Der Header ist der Kopfteil eines zu übertragenden Datenpakets. Dieser
Header enthält keine Nutzdaten, sondern verschiedene Verwaltungs- und
Steuerinformationen - wie z.B. Paketnummer und Paketstatus.
HTML - Hypertext Markup Language
Format (keine Programmiersprache) zur Darstellung von Internetseiten im WWW
(World Wide Web)
Hub - englische Bezeichnung für
"Mittelpunkt/Angelpunkt"
Netzwerkverteilungspunkt für Ethernet/Fast-Ethernet/Gigabit-Ethernet. Hubs sind
zentraler Bestandteil heterogener Netzwerkstrukturen.
ICS - Internet Connection Sharing -
Englische Bezeichnung für Internetverbindungsfreigabe.
Man findet ICS in Windows 98SE, Windows ME (Millennium Edition) und Windows
2000. Für die Benutzung von ICS ist allerdings das Teilnetz 192.168.0.*
zwingend erforderlich.
IP - Internet Protocol
IP gehört zur TCP/IP Protokollfamilie. Das Übertragungsprotokoll definiert die
Regeln und Vereinbarungen die den Informationsfluß in einem Netzwerk steuern.
Hauptaufgabe des IP ist die netzübergreifende Adressierung.
IP-Adresse
Die Adressen des derzeitig verwendeten IP bestehen aus vier Bytes (Zahlen
zwischen 0 und 255), die durch Punkte getrennt geschrieben werden. Die Zahlen
(z. B. 212.185.46.135) identifizieren das Netz und die Subnetze sowie den
Computer selbst. Über die Zahlen werden in einem Netzwerk die Ressourcen
(Server, PC, Drucker, Web-CAM usw.) identifiziert.
IPX - Internetwork Packet Exchange
Protokoll der Firma Novell, das in Netware eingesetzt wird. IPX stammt von XNS
ab und hat einen ähnlichen Leistungsumfang wie IP.
ISP - Internet Service Provider
Der ISP stellt den Anschluss zu den Internet-Backbones zur Verfügung. Das
Internet besteht in Summe aus den Teilnetzen der ISP, die untereinander
verbunden sind. Die lokalen Zugangspunkte zum Internet, also die lokalen Knoten
für die Einwahl zum Ortstarif betreiben in der Regel die POPs. Große deutsche
ISP sind u.a. das DFN, UUnet, T-Online, NTG/Xlink.
LAN-
Local Area Network
Ein räumlich begrenztes Netzwerk. Räumlich bezieht sich in diesem Sinne auf
einen gemeinsamen Standort, wie beispielsweise ein Firmengelände, eine Etage
oder einen Raum.
MAC/MAC-Adresse - Media Access Control
MAC wird im Netzwerk-Umfeld allgemein als "MAC-Adresse" einer
Netzwerkkarte verstanden. Sie ist fest auf der Karte gespeichert und weltweit
eindeutig. Es handelt sich sozusagen um die Seriennummer einer Netzwerkarte.
MTU -
Maximum Transmission Unit oder auch Maximum Transfer Unit
Die größte Frame-Länge, die über ein bestimmtes physikalisches Medium
verschickt werden kann.
NAT- Network Address Translation
Methode zur Umsetzung der (meist privaten) IP-Adressen eines Netzes auf andere
(meist öffentliche) IP-Adressen eines anderen Netzes. NAT ermöglicht damit
mehreren PCs in einem LAN einerseits die IP-Adresse des Routers für den
Internet-Zugang zu nutzen und andererseits versteckt es das LAN hinter der im
Internet (öffentlich) registrierten IP-Adresse des Routers.
NETBEUI- NetBIOS Extended User Interface
NetBEUI bezeichnet ein von IBM 1985 entwickeltes Netzwerkprotokoll.
NetBIOS- Network Basic lnput/Output
System
Schnittstelle in Windows-Netzen für Netzwerk-Anwendungen. Rechner in einem
Windows-Netzwerk identifizieren sich immer durch eindeutige NetBIOS-Namen.
NetBIOS kann nahezu beliebige Netzwerk-Protokolle zum Transport benutzen, am
häufigsten kommt inzwischen TCP/IP zum Einsatz.
NIC - Network Interface Card” -
Englische Bezeichnung für Netzwerkkarte
NTBBA - Netzwerkterminationspunkt
Breitbandangebot
T-DSL-Modem zur Umwandlung der vom BBAE kommenden ADSL-Signale.
Peer-to-Peer Netzwerk
Netzwerkvariante, bei der im Gegensatz zu einem Server-Netzwerk keine
starre Einteilung in Server und Arbeitsstationen erfolgt. Jeder PC im Netzwerk
kann Dienste und Daten bereitstellen oder verwenden. Alle beteiligten Rechner
können sowohl als Client als auch als Server agieren. Zugriffsrechte werden
nicht zentral, sondern lokal auf jedem Rechner definiert.
Ping - Packet Internet Groper (to grope
= tasten, herumtappen)
Programm zum Testen der Erreichbarkeit eines Gerätes in einen Netzwerk (Server,
PC, Drucker usw.) per IP-Nummer
POP- Point Of Presence
Örtliche Zugangspunkte zum Internet. Ein POP kann eine Tochterfirma vom ISP
oder ein unabhängiger Wiederverkäufer sein.
oder
- Post Office Protocol
Ermöglicht das Empfangen von Emails auch auf solchen Systemen, die keine
dauerhafte Verbindung zu einem Email-Server garantieren können.
Port bzw. Port-Nummer
Ports - oder genauer die Port-Nummer ist ein Feld im TCP-Headers.
Für die Port-Nummer von Sender und Empfänger stehen jeweils 2 Bytes zur
Verfügung. Die Vergabe der Port-Nummern dient der Identifikation der
verschiedenen Datenströme. Bzgl. Routern sind diese Portangaben bei Freigaben
für bestimmte Online-Anwendungen von Interesse.
PPP-
Point to Point Protocol
Verbindungsprotokoll für die Übertragung von Punkt zu Punkt
PPPoE - Point to Point Protocol over
Ethernet
Wird z. B. von der Telekom für T-DSL verwendet.
PPTP - Point to Point Tunneling Protocol
Eine Erweiterung des PPP, um ein Tunneling von TCP/IP, IPX oder NetBEUI über
eine Internet-Verbindung zu ermöglichen. Das PPTP erzeugt eine geschützte
Verbindung innerhalb einer Internet-Verbindung, in der die Daten verschlüsselt
werden.
Proxy-Server
“Proxy” bedeutet soviel wie “Stellvertreterdienst”. Proxies nehmen Anforderungen
von einem Client (z. B. einem WWW-Browser) entgegen und geben sie,
gegebenenfalls modifiziert, an das ursprüngliche Ziel (z. B. eine WWW-Site)
weiter. Proxies können die durchgeschleusten Daten lokal ablegen und beim
nächsten Zugriff direkt liefern
Repeater
Signalverstärker im LAN, um längere Kabel zu ermöglichen
Router
Ein Router hat die Funktion, zwei räumlich getrennte Netzwerke über eine
Telekommunikations-Leitung miteinander zu verbinden. Wann immer also ein
Rechner via LAN eine Netzwerk-Ressource (z. B. Server, PC, Drucker) ansprechen
soll, die physikalisch in einem anderen Netzwerk angesiedelt ist, dann stellt
der Router den Kontakt zwischen beiden Netzwerken her. Der prinzipielle
Unterschied zwischen einem Router und einer Modem- oder ISDN-Einwahlverbindung
in einen Remote-Server ist die völlige Transparenz des Routers: Die Router
verhalten sich wie Netzwerk-Komponenten (wie Hubs, Switches oder Bridges),
benötigen keine PC-Rechenleistung und lassen sich zum Beispiel mit dem
SNMP-Protokoll übers Netzwerk administrieren. Authentifizierung und
Verschlüsselung führt die Hardware automatisch durch.
Routing
Mit Routing bezeichnet man die Wegwahl von Datenpaketen vom Sender
zum Empfänger über einzelne Netzwerke. Das Internet kennt keine Direktverbindungen
zwischen Rechnern; statt dessen erfolgt der Versand von Daten grundsätzlich in
kleinen Paketen und nach Bedarf über verschiedene Zwischensysteme - nach
Möglichkeit natürlich auf dem zum Zeitpunkt günstigsten Weg (dynamisches
Routing).
SDSL - Symmetric Digital Subscriber Line
Symmetrisches Übertragungsverfahren mit ca. 2320 kbit/s in beide Richtungen und
einer Reichweite von ca. 2,4 km.
SMTP - Simple Mail Transfer Protocol
Standard für den Austausch von E-Mails zwischen Servern im Netzwerk.
SNMP - Simple Network Management
Protocol
Protokoll für das Management von Netzwerksystemen.
SPX - Sequenced Packet Exchange
Netware-spezifisches verbindungsorientiertes
Ende-zu-Ende-Übertragungsprotokoll.
STP - Shielded Twisted Pair
Paarweise geschirmtes Twisted Pair Kabel.
Switch - Englische Bezeichnung für
Schalter.
In der Netzwerktechnik versteht man unter einem Switch einen aktiven Hub, der
den Netzwerkverkehr zwischen Clients und Server(n) regelt, in dem er
selbsttätig die Zieladressen der IP-Pakete auswertet und diese dann den
entsprechenden Adressaten zustellt.
TCP - Transmission Control Protocol
Protokoll welches auf IP aufsetzt. Es ist verbindungs- und streamorientiert,
stimmt die Datagrammgröße ab und ist zuständig für die Wiederholung bei
Datagrammverlust. TCP implementiert damit eine sichere voll-duplex
Prozeß-Prozeß-Kommunikation einschließlich Multiplexing und Flußkontrolle.
TCP/IP - Transmission Control Protocol
over Internet Protocol
Protokollfamilie, die ursprünglich für UNIX entwickelt wurde, heute jedoch
verschiedenste Rechnerwelten miteinander verbindet und die Grundlage für das
Internet ist.
Top-Level-Domain
Die oberste
Hierarchie-Stufe bei den Domains.
Tracerout
UNIX-Programm, das mit ICMP (Internet Control Message Protocol) ermittelt,
welchen Weg (Route) ein IP-Paket zum Empfänger zurücklegt.
Twisted Pair
Kabeltyp, bei dem die einzelen Adernpaare miteinander verdrillt sind, um
die elektromagnetische Abstrahlung so
gering wie möglich zu halten. Twisted Pair existiert als STP und UTP. Im STP-Kabel
sind die verdrillten
Adernpaare innen zusätzlich voneinander isoliert.
Uplink-Port
Falls ein Hub oder Switch (gerade in größeren Netzwerken) entweder von der
zulässigen Kabellänge oder der Anzahl der Ports nicht ausreicht, ist auch eine
Kaskadierung (Hintereinanderschaltung) zulässig (auf
die max. Anzahl gehe ich jetzt hier nicht weiter ein). Hierzu sind die meisten
Hubs (Switch) mit einem so genannten Uplink-Port versehen. Der Unterschied
liegt nur in der Pinbelegung. Statt eines Uplink-Ports kann man daher auch
Crossover-Kabel verwenden.
Allerdings wäre es ja zu einfach wenn bei allen Geräten das gleiche Prinzip
gelten würde. Daher haben sich die Hersteller mal wieder unterschiedliche Wege
ausgedacht. D.h. es gibt verschiedene Varianten von Uplink-Ports bei
Hubs/Switch:
- einen “vollwertigen” extra Uplink-Port
- einen Normal-Port der sich in den Uplink-Modus umschalten läßt
- einen Normal-Port und einen Uplink-Port die intern verkabelt sind und nur
entweder oder benutzt werden können
Im Normalfall kann man davon ausgehen das es sich bei einem Port um einen
Normal-Port handelt, es sei denn er ist besonders (als Uplink-Port)
gekennzeichnet.
UTP - Unshielded Twisted Pair
Ungeschirmtes Twisted Pair. Im Gegensatz zu STP sind die verdrillten Leitungspaare beim UTP nicht
gegeneinander abgeschirmt.
URL - Uniform Ressource Locator
Die URL ist die eindeutige Internetadresse. Internet-Adressen können in
Textform vorliegen (z. B. http://www.netzwerkrouter.de) oder als Nummer
(IP-Nummer, z. B. 212.185.255.135)
VDSL - Very high bit rate Digital
Subscriber Line
VDSL ist wie ADSL, dessen Nachfolge es einmal antreten soll, eine digitale
Übertragungstechnik zum Anschluß von Endkunden über Kupferleitungen. Es bietet
noch wesentlich höhere Datenraten von bis zu 52 MBit/s
VoIP - Voice over IP
Sammelbegriff für Sprachvermittlung über IP-Netzwerke
VPN -
Virtual Private Network (virtuelles privates Netzwerk)
Damit werden Verbindung von LANs zu einem Gesamtnetzwerk, unter Nutzung des
Internets (PPTP),
Dial-up-Lösungen (RAS per Modem oder ISDN) und auch herkömmlicher
WAN-Verbindungen bezeichnet.
WAN - Wide Area Network
Weitverkehrsnetzwerk - WANs bestehen aus mehreren LANs, die über Fernleitungen
miteinander gekoppelt sind.
WINS - Windows Internet Name Service
WINS ist Microsofts System zur Namenauflösung.
WLAN - Wireless LAN
Lokales Funk-Netz.
xDSL
Sammelbegriff für ADSL und SDSL, auch DSL (Digital Subscriber Line)
XNS - Xerox Network Systems
Protokoll-Suite, die von Xerox PARC entwickelt wurde.
Auf den
folgenden Seiten werden noch ein paar Begriff genauer erklärt. Dabei wird auch
VPN (Virtuelle private Netzwerke) ausführlicher beschrieben.
Brute-Force
Brute-Force gilt als die einfachste und primitivste Methode ein
Passwort herauszufinden und ist nur das stupide Durchprobieren aller möglichen
Zeichenkombinationen. Von enormen Vorteil ist ganz sicher der Besitz einer
Liste aller gültigen IDs des Systems, da sonst die Anzahl der Möglichen
Benutzerkennung-Passwort-Kombinationen exponentiell die nötigen Versuche für
einen positiven Zugriff erweitert würden. So oder so gilt diese Attacke als
sehr zeitaufwändig, und wird meist nur von ungeübten oder verzweifelten
Angreifern eingesetzt.
Es gibt auch die Möglichkeit, die Versuche dieser Attacke ein bisschen
einzuschränken, und nur in Wörterbüchern existierende Wörter auszuprobieren.
Dies kann jedoch den Erfolg ohne weiteres verhindern, wenn zum Beispiel das
Passwort mit sinnlos erscheinenden Zahlen oder Sonderzeichen bestückt ist. Es
empfiehlt sich daher immer ein in Wörterbüchern non-existentes Wort als eigenes
Passwort zuverwenden, um diese sogenannten Dictionary-Attacks zu vereiteln. Es
ist übrigens meist sinnlos, eine Bruteforce-Attacke auf die Root-ID zu starten.
Zwar existieren standartgemäss in allen Unix-Systemen ein solcher Super-User,
jedoch ist dieser Account aus sicherheitsgründen standartgemäss für
Remote-Logins (Telnet und FTP) gesperrt.
DoS (Denial of Service)
"Denial of Service" ist ein Synonym für die Kunst bzw.
den Unsinn des Verhinderns eines Zugriffs oder Nutzens eines Computers.
"Denial of Service" bedeutet soviel wie etwas unzugäglich machen,
oder ausser Betrieb setzen. Diese Attacken nutzen immer Bugs und Schwachstellen
von Programmen, Betriebssystemen oder Fehlimplementationen von Protokollen aus.
Es existieren daher auch verschiedene Formen einer DoS-Attacke, die oft nur
gegen bestimmte Betriebssysteme oder Protokoll-Stapel nutzbar sein können.
Entgegen der allgemein gültigen Meinung können auch Netzwerkscanner, Sniffer
und IDS (Intrusion Detect Systeme) von solchen Angriffen betroffen sein. Der
Grund dafür ist, dass Sniffer stets auf dem Kernel des Betriebssystems
aufbauen, und somit von ihm abhängig sind. Sniffer müssen einen eigenen
TCP/IP-Stack besitzen, da ihnen sonst das Ausführen eines Trace einer
Netzwerkverbindung verwehrt bleiben würde. Die meisten freien und kommerziellen
Scanner haben dabei ein kleines Problem: Sind sie auf Spurenverfolgung einer
Verbindung, so sind sie nicht mehr in der Lage, andere Verbindungen
gleichzeitig zu observieren. Um diese Aufgabe bewältigen zu können, müssten sie
gleichzeitig die Arbeit aller TCP/IP-Stacks im Netzwerk auf sich nehmen, wobei
dies von der Rechenleistung einer einzelnen CPU nicht verlangt werden kann.
Daher entgeht ihnen stets ein grosser Prozentsatz des gesamten Traffics.
Ein Angreifer muss sich bei einer dynamischen Attacke stets auf zwei Rechner
beschränken, wie dies bei aktiven IDS (Intrusion Detection Systeme) der Fall
ist. Sniffer und Netzwerkscanner, die auf einem Server zur Überwachung eines
einzelnen Ports abgerichtet sind, können mit einem einfachen Trick sillgelegt
werden: Bevor er sich zum Beispiel via Telnet auf Port 23 einloggt, sendet er
ein gespooftes SYN-Paket. Falls ein Sniffer nun aktiv ist, wird er
logischerweise nach Erhalt und Analyse des gespooften Pakets die Verbindung auf
Port 23 im Auge behalten. So kann sich der Angreifer danach einloggen, ohne
dass der Sniffer das Passwort mitscannen kann. Nach einer gewissen Zeit, wenn
der TCP/IP-Stack die Verbindung aufgrund des Timeouts kappt, ist der Sniffer
wieder regulär aktiv.
Ein weiteres Problem besteht darin, dass ein Sniffer nicht wirklich in eine
Verbindung hineinschauen kann. Er nimmt also am Datenaustausch nicht bei, wie
das bei den beiden beobachteten Rechnern der Fall ist. Er trifft aus diesen
Gründen bezüglich IP- und TCP-Paketlänge bestimmte Annahmen und interpretiert
die Pakete nach diesem Standartschema. Wird nun eine Änderung bezüglich der
Länge des TCP-Headers und der sporadischen Einschleusung von falschen
Prüfsummen vorgenommen, die nicht mehr der zuvor errechneten Länge entsprechen,
kann er die Inhalte der Pakete nicht mehr korrekt interpretieren. Der Sniffer
überprüft die TCP-Prüfsummen nicht mehr, wobei die Kernel der betroffenen
Systeme diese "falschen" Pakete einfach verwerfen werden und somit
die Übertragung korrekt ausführen. Sniffer brechen zum Teil auch nach einem
FIN- oder RST-Paket ihre Überwachung ab. Befindet sich einer dieser jedoch in
einem TCP-Paket mit weit entfernter Sequenznummer, so werden die zu
überwachenden Rechner dieses verwerfen und mit ihrer Übertragung normal
fortfahren. Der Sniffer hingegen hält die Verbindung für beendet, und er stellt
seine Arbeit ein. Manche Betriebssysteme, wie zum Beispiel Windows NT und
Digital Unix, überprüfen bei einem RST die TCP-Sequenznummern nicht: Sind also
auf einem solchen System Sniffer aktiv, ist es einem Angreifer leicht möglich,
diese mit einem gespooften Paket mit gesetztem RST-Flag in einen passiven
Zustand für die kommenden Pakete zurückzusetzen.
FTP - File Transfer Protocol
Das File Transfer Protocol (FTP) benutzt standartmässig die
TCP-Ports 20 und 21, wobei jedoch durchaus auch Vebindungen auf anderen Ports
möglich sind. Dies gilt vor allem für illegale FTP-Server, welche meist im
Zusammenhang mit MP3z, Warez und dergleichen ausgelegt wurden. Es werden zwei
Verbindungen zum Datentransfer benutzt: Steuerverbindung auf Serverport 21
(Client an Server) - Datenverbindung von Serverport 20 (Server an Client). Für
jede zu übertragende Datei wird eine neue Datenverbindung benötigt, die wegen
TCP (Transmission control Protocol) Bestimmungen eine andere Portnummer haben
muss. Die Ports beim Datentransfer sind nicht vorhersehbar, was die
Implementation von FTP (File Transfer Protocol) über Firewalls kompliziert.
Auch FTP (File Transfer Protocol) nutzt NVT (Network Virtual Terminal) mit
Klartext Login- und Passwortübermittlung.
Grössere Sicherheitsprobleme sind jedoch, dass der FTP-Dämon als Root-Prozess
laufen muss, da er standartmässig einen priveligierten zu nutzen pflegt. Oft finden
sich arge Software- bzw. Programmierfehler in verschiedenen FTP-Dämonen, wie
zum Beispiel bei wuftpd, wobei durch eine Telnet-Verbindung auf Port 21 und das
Ausführen des FTP-Befehls site exec Superuserrechte erlangt werden können. Auch
können fehlerhafte Konfigurationen als anonymer Fileserver zum Verhängnis
werden, wenn Schreibrechte und das Erlauben des Kopierens einer .rhosts-Datei
auf den Server möglich sind, was ein rglogin-Zugriff möglich macht. Echte
passwd Dateien im FTP-Bereich geben richtige Benutzernamen und eventuell
(verschlüsselte) Passwörter, wenn kein Shadowing aktiviert wurde. Auf einigen
FTP-Systemen kommt man rein, wenn man ein zu langes Passwort eingibt. Das ist
jedoch kein Fehler des FTP-Protokolls, sondern ein Programmierfehler auf
eingesetzten FTP-Server-Software.
ICQ
ICQ (Ausgesprochen "I seek you") konnte sich aufgrund
seines hohen Komforts und stetig wachsenden Funktionsumfang als das
meistgenutzte Chat-System, neben iRC, des Internets durchsetzen; und es
wurde deshalb auf die verschiedensten Betriebsystem-Plattformen
portiert: Es finden sich neben dem oft gesehenen Windows-Client auch
Clients für Windows NT, Windows CE, Linux, MacOS, BeOS, FreeBSD und sogar
Solaris. Für Windows empfiehlt sich eindeutig das Nutzen des neuesten offiziellen
Clients von Mirabilis - zur Zeit ICQ 2000a Beta -, da jener den besten
Komfort bietet und mit allen anderen Clients kompatibel ist. Für Unix-Derivate
wurde von Mirabilis offiziell ein Java-Client herausgegeben, der jedoch niemals
an die Bedienerfreundlichkeit anderer erhältlicher Clients herankommt. Für
Linux gibt es neben den grafischen Clients für die Oberfläche X auch diverse
Programme für die Kommandozeile. Mein absoluter Favourit ist zICQ, der zwar
einige Einbussen in Punkto Funktionsumfang machen muss, dafür stabil und
schnell läuft. Es ist mir dadurch sogar möglich ICQ portabel auf meinem Handy
(NOKIA 9110) zu nutzen: Ich wähle mich bequem unterwegs per
Telnet auf meinem Linux-Server ein, um danach den Konsolen-Client in Anspruch
zu nehmen.
Jeder Nutzer des ICQ-Dienstes erhält bei seinem Eintritt in die Community eine
eindeutige Nummer, die UIN (Universal Identifier Number) genannt wird.
Diese Nummer ist mit der eigenen IP-Adresse oder Telefon-Nummer vergleichbar,
da sich dadurch andere User finden und identifizieren lassen. Die Nummern
werden additionell 1 vergeben. Das heisst, dass wenn ich bei meiner
Registrierung die Nummer 10742206 erhalten habe, der kommende automatisch die
nächst höhere bekommen wird; also die UIN 10742207. Mitlerweile existieren
bald 70000000 Nummern, und wer sich noch mit einer 7- oder gar 6-stelligen
UIN brüsten darf, kann sich ohne weiteres zu den alten Hasen zählen. Die
5-stelligen UINs werden nur ICQ-Mitarbeitern vergeben, und werden daher auch
von Mirabilis selber verwaltet.
Möchte man jemanden finden, lassen sich mit der Eingabe des vollständigen
Namens, E-Mail-Adresse oder UIN in das "elektronische Telefonbuch"
von ICQ den Nutzer einfach aufspüren. Es gibt auch die offiziellen weissen
Seiten, bei denen sich Benutzer des Dienstes in Listen eintragen lassen, die
sich einem speziellen Thema widmen.
Auf der sogenannten Kontakt-Liste sind alle User eingetragen, mit denen man
regelmässig in Kontakt steht. Auf jener Liste wird stets aktuell ersichtlich,
wer gerade online ist oder den PC für einen kurzen Augenblick verlassen hat.
Nun ist es möglich mit wenigen Maus-Klicks oder Tasten-Kombinationen einem
ICQ-Nutzer in der eigenen Contact-List eine Message zukommen zu lassen. Auch
sind längere Chat-Sessions möglich, bei denen ganz im Stile von iRC auch
mehrere Anwender beiwohnen können. Im Laufe der Zeit hat sich ICQ zu einer
wahren Kommunikations-Schaltzentrale entwickelt, da nun bei den neueren
(Windows-)Clients auch das Verschicken multimedialer Nachrichten möglich wird, oder
mittels Plug-Ins Voice-over-IP genutzt werden kann.
Es ist möglich den eigenen Status zu verändern, wobei auf der Kontaktliste des
Gegenübers automatisch der neue Status angezeigt wird. Die gängigen Zustände
reichen von "online" über "away" bis hin zu "do not
disturb". Möchte man nicht öffentlich zugeben, dass man mittels
Internet-Zugang zur Zeit im ICQ erreichbar ist, ändert man den eigenen Status
in "invisible", wobei nur noch Auserwählte einem als
"online" in der Kontakt-Liste registrieren können.
Kurz vor dem Erscheinen der Test-Version von ICQ 2000 machte ein neues
Add-On zu ICQ die Runde: Die sogenannte ActiveList. Dadurch wird die
Usenet-ähnliche Zusammenhaltung einer Diskussion möglich. Der Moderator muss
als erstes die Server-Software auf dem heimischen PC installieren und die neu
erstellte Liste im Internet anmelden. Ab da an können Interessierte dieser
Community beitreten, um einem zuvor spezifizierten Thema in Form einer
Diskussion beizuwohnen. Diese Form der Unterhaltung konnte sich (leider) nicht
wirklich durchsetzen, da zu wenige ActiveList-Moderatoren Standleitungen
besitzen, und das Nutzen dieses Zusatzdienstes somit nur temporär möglich ist.
ICQ heimste sich in den letzten Monaten einiges an Unstimmigkeit der Nutzer
ein, da oft mögliche Hack-Versuche auf Sicherheitslücken von ICQ abgeschoben
werden. ICQ alleine ist jedoch selten für Angriffe als Ausgangslage nutzbar,
obwohl Remote-Bufferoverflows und DoS-Attacken bekannt sind. Die grösste Gefahr
besteht bei einigen Clients, dass einem potentiellen Angreifer zu viele
Informationen über das vermeindliche Zielsystem mitgeteilt wird: Neben der
aktuellen IP-Adresse werden oft auch private Informationen wie die Anschrift
oder Telefonnummer in den Details bekanntgegeben. Auch finden sich zahlreiche
War-Tools im Internet, mit denen sich Benutzer mit hunderten von Nachrichten
überfluten lassen. Die Ports, die ICQ-Clients standartmässig öffnen ermöglichen
nur in den seltensten Konfigurationen direkte Angriffe - Viel mehr finden
UIN-Übernahmen bei durch die NETBIOS-Freigabe falsch konfigurierte Systeme
statt.
OOB (Out of Band)
OOB (Out of Band) ist ein Feature von TCP (Trasmission Control
Protocol) das es erlaubt, Daten auserhalb der Reihenfolge (out-of-band) zu
senden. Dies ist zum Beispiel nützlich für die Behandlung von [Ctrl]+[C] in
Telnet-Verbindungen. Weniger nützlich wenn am anderen Ende was ausreichend
altes von Microsoft hängt - dieses mag OOB-Daten an vielen Stellen garnicht.
Schuld an der Möglichkeit einer solchen Attacke war die fehlerhafte Implementierung
von NetBEUI durch Microsoft: Sobald über die Ports 135 und 139 ein paar Daten
oder wirre Zeichen eintrafen, die nicht der Norm entsprachen, stürzte das
betroffene System ab.
Das erste OOB-Tool war WinNuke, und erblickte laut verschiedenen Quellen am 7.
Mai 1997 die Welt. Durch IRC (Internet Relay Chat) und verschiedene Newsgroups
erreichte WinNuke bald eine gewisse Popularität und Verbreitung.
OOB-Attacken verlieren jedoch zunehmends an Bedeutung, da Windows 98 und 2000
gegen solche Angriffe bereits gefeilt ist. Bei Windows 95 und NT mussten noch
Updates installiert werden, um diese Attacke wirkungslos erscheinen zu lassen.
Erschreckend ist ganz sicher die unglaubliche Einfachheit und Primitivität
dieses Fehlers, der dazu führte, dass es in kürzester Zeit eine Unmenge von
OOB-Nuke-Tools gab. Die OOB-Nuker wurden stetig perfektioniert: So konnte man
neben Massen-Nuke auch "Abschiessgründe" senden und anschliessend
sogar verifizieren lassen, ob der Rechner des Opfers tatsächlich crashte, indem
versucht wurde der Zielrechner mit einem ICMP-Ping zu erreichen.
Auf den folgenden
Seiten finden Sie Informationen zu Netzwerk, Sicherheit, Datenschutz, Firewall
usw.
Natürliche Abwehrkräfte - Windows und
Internet-Software sicher konfigurieren
http://www.heise.de/ct/00/04/214/
Zum Angriff
- Folgerungen aus den Denial-of-Service-Attacken
http://www.heise.de/ct/00/05/068/default.shtml
Ein waches
Auge - Kalkuliertes Risiko beim Internet-Zugang
http://www.heise.de/ct/99/03/142/default.shtml
Test von
Desktop-Firewalls
http://www.zdnet.de/produkte/artikel/sw/200003/firewalls01_00-wc.html
Tech Talk
-Sichere NT-Netze
http://www.zdnet.de/netzwerk/artikel/technik/199911/ntsicher_00-wc.html
NT-Security-
NT - aber sicher!
http://www.zdnet.de/technik/artikel/os/199902/ntsicher01_00-wc.html
Sicher ins
Internet - Alles sicher im Netz
http://www.zdnet.de/netzwerk/artikel/sicherheit/199912/strategien_00-wc.html
Netz-Sicherheit
- Räuber und Gendarm im Web
http://www.zdnet.de/produkte/artikel/sw/199901/security01_00-wc.html
Sichere
Verbindung mit Apache - Datenschützer
http://www.zdnet.de/technik/artikel/nw/200003/datenschutz_00-wc.html
Thema
Datenschutz:
Der
Landesbeauftragte für den Datenschutz Niedersachsen http://www.lfd.niedersachsen.de hat einige gute Webseiten
zum Thema Datenschutz.
Dort findet man unter anderem Info’s bzw. Links zu folgenden Themen:
- Bundesdatenschutzgesetz
- Das Niedersächsische Datenschutzgesetz
- div. Merkblätter zu: Chipkarten, Datenschutzfreundliche Technologien,
Kommunikation usw.
und noch jede Menge weitere Informationen
Eine Checklisten zur Selbstkontrolle: http://www.lfd.niedersachsen.de/service/service3.html
Diese
untergliedern sich nach folgenden Themen und lassen sich alle als *.pdf-File
downloaden:
- Auftragsdatenverarbeitung
- Firewall
- MVS/VM
- Netze
- NOVELL NetWare 3.11 / 3.12
- Paßwort-Gestaltung und
-Verwendung
- Protokollierung
- Systemverwaltung
- Tele- und Mediendienste
- Telearbeit
- UNIX
- Verschlüsselung
- Wartung und Systembetreuung
- WINDOWS NT 3.51
- WINDOWS NT 4.0
- Zutrittskontrolle
Außerdem werden dort die einzelnen Schutzstufen dargestellt:
Schutzstufenkonzept http://www.lfd.niedersachsen.de/dokumente/schutz.html
Art und Umfang von
Datensicherungsmaßnahmen richten sich u.a.
nach der Schutzwürdigkeit der
gespeicherten personenbezogenen
Daten. Um die Notwendigkeit von
Maßnahmen besser abschätzen
zu können, hat es sich bewährt,
personenbezogene Daten nach
dem Grad möglicher
Beeinträchtigung schutzwürdiger Belange bei
Mißbrauch dieser Daten in 5
Schutzstufen zu untergliedern. Bei
der Klassifizierung sind
Datenfelder niemals einzeln zu bewerten.
Die Betrachtung ist vielmehr
auf die gesamte Datei, ggf. auch auf
die unmittelbar verknüpfbaren
Datenbestände auszudehnen.
Werden personenbezogene Daten
unter einem Auswahlkriterium in
eine Datei aufgenommen, das in
der Datei nicht enthalten ist, so
ist dieses Auswahlkriterium bei
der Klassifizierung mit zu bewerten.
Enthalten Dateien umfassende
Angaben zu einer Person
(Dossiers), so sind sie in eine
höhere Schutzstufe einzuordnen, als
dies nach den Einzeldaten
erforderlich wäre.
Es werden folgende Schutzstufen
unterschieden:
Stufe A:
frei zugängliche Daten, in die Einsicht gewährt
wird, ohne daß der Einsichtnehmende ein
berechtigtes Interesse geltend machen muß, z.B.
Adreßbücher, Mitgliederverzeichnisse,
Benutzerkataloge in Bibliotheken,
Stufe B:
personenbezogene Daten, deren Mißbrauch zwar
keine besondere Beeinträchtigung erwarten läßt,
deren Kenntnisnahme jedoch an ein berechtigtes
Interesse des Einsichtnehmenden gebunden ist,
z.B. beschränkt-zugängliche öffentliche Dateien,
Verteiler für Unterlagen,
Stufe C:
personenbezogene Daten, deren Mißbrauch den
Betroffenen in seiner gesellschaftlichen Stellung
oder in seinen wirtschaftlichen Verhältnissen
beeinträchtigen kann ("Ansehen"), z.B. Einkommen,
Sozialleistungen, Grundsteuer,
Ordnungswidrigkeiten.
Stufe D:
personenbezogene Daten, deren Mißbrauch die
gesellschaftliche Stellung oder die wirtschaftlichen
Verhältnisse des Betroffenen erheblich
beeinträchtigen kann ("Existenz"), z.B.
Unterbringung in Anstalten, Straffälligkeit,
Ordnungswidrigkeiten schwerwiegender Art,
dienstliche Beurteilungen,
psychologisch-medizinische
Untersuchungsergebnisse, Schulden, Pfändungen,
Konkurse,
Stufe E:
Daten, deren Mißbrauch Gesundheit, Leben oder
Freiheit des Betroffenen beeinträchtigen kann, z.B.
Daten über Personen, die mögliche Opfer einer
strafbaren Handlung sein können.
Falls die Sensibilität nicht
bekannt ist, ist von der höchsten
Sensibilitätsstufe auszugehen.
Denkbar ist auch, daß der Schutz
empfindlicher Firmendaten ohne
Personenbezug die Einstufung bestimmt.
Auch gibt es auf den Seiten noch einen “Selbsttest von Internetanschlüssen”.
Hier die Beschreibung:
Selbsttest von Internetanschlüssen
Unser Browser-Test zeigt
Ihnen, welche Daten jeder Web-Server im
Internet über Ihren
Rechner in Erfahrung bringen kann. Weiter
ermöglicht er Ihnen die
unabhängige und vertrauenswürdige
Überprüfung der
Sicherheitseinstellungen Ihres Rechner's beim Surfen.
Der Selbsttest wird in
insgesamt drei Phasen durchgeführt:
1. Phase: Ermittlung von
Informationen über Ihren Browser und
dessen
Sicherheitseinstellungen
2. Phase: Erkennung von
Windows-Freigaben (Verzeichnisse und
Drucker) auf Ihrem
Rechner
3. Phase: Ermittlung
aktiver Dienste (z.B. Web-Server, FTP-Server,
usw...) auf Ihrem
Rechner
Port-Freigabe
bei Windows 98SE mit ICS per *.inf-Datei
Die
folgende Anleitung beschreibt wie man bei Windows 98SE mit ICS eine *.inf-Datei
zur Port-Freigabe erstellt/einrichtet:
How to Map a Port in ICS Using an .inf File
(The information in this article applies to: Microsoft Windows 98 Second
Edition)
SUMMARY
This article describes how to create a new port mapping for Internet
Connection Sharing (ICS) by using an .inf file. The
.inf file adds additional port mappings to direct incoming IP packets through a
specific UDP or TCP port or to a specific client address. Certain Internet
programs may require a specific port to be reserved for their use. This
information should be provided by the manufacturer of the program.
If port addressing information is stored within the data section of a TCP or
UDP packet used by a particular program, an editor is required and this .inf
file will not facilitate the program's functionality with an ICS host. In these
cases, the ICS host should be disabled and the program should run on a computer
directly connected to the Internet.
Although Microsoft provides this informational article for the convenience of
its customers, Microsoft Product Support Services does not provide support for
the use or editing of the .inf file in this article.
MORE INFORMATION
You can create the base contents of the .inf file by copying or typing the
information below into a new file. Once the .inf file is created, you can
right-click the file and then click Install.
NOTE: Each entry that starts with a semicolon (;) is a comment. These
lines can be removed. They are provided to describe each line. The computer
must be rebooted for the registry values added by this .inf file to take
effect. This .inf file should be used only on the computer running ICS.
Sample .inf File
[version]
signature="$CHICAGO$"
[DefaultInstall]
AddReg=PortSample
[DefaultUnInstall]
; This section included for ease of removing any maps added in.
; To uninstall, type the following line:
; rundll.exe setupx.dll,InstallHinfSection DefaultUnInstall 0
; <I BRACKET="YES">YOUR_INF_FILE_NAME</I>
DelReg=PORT_SAMPLE_DEL_REG
[PortSample]
; MYMAPNAME should be replaced with a friendly descriptive name that is unique.
; This data points to the computer that is running the service.
; 0.0.0.0 represents the computer running the ICS services. This
; can alternatively contain the IP address of one of the ICS client
; computers.
HKLM,%ICSACTIVE%,MYMAPNAME,,"0.0.0.0"
HKLM,%ICSINSTALLED%\MYMAPNAME
; "My Friendly Name" should be replaced with something short and
; descriptive such as the name of the program that needs these ports
; open.
HKLM,%ICSINSTALLED%\MYMAPNAME,Name,,"My Friendly Name"
; Options is a DWORD value and is currently always set to 00,00,00,00
HKLM,%ICSINSTALLED%\MYMAPNAME,Options,1,00,00,00,00
; The next four lines describe the specific ports that need to be open
; or mapped. The first port is always 0000, each additional port is
; incremented (the second port to open would be listed as 0001,
; the third would be 0002, and so on). This information is strictly
; dependent on what is needed by the program. If you do not know what
; ports your program requires or are unsure, you need to contact the
; manufacturer of the program to get this information.
;
; The four lines need to be re-created for each port.
;
; On the second line, valid entries for type are "TCP" or
"UDP."
;
; The third line contains the actual port or port range needed by the
; program.
;
; The entry below demonstrates a port range. If the program only needs
; a single port, the last part of the line below would read
,Port,,"5678"
;
; Note that you can only use a port range when the translation type is
; NORMAL or BLOCK.
;
; If Translation is set to anything else, you must list each port
; individually.
;
; Valid types of translation are NORMAL, BLOCK, CUSEEME, DPLAY, FTP,
; H323, PPTP, and QUAKE HKLM,%ICSINSTALLED%\MYMAPNAME\0000
HKLM,%ICSINSTALLED%\MYMAPNAME\0000,Type,,"TCP"
HKLM,%ICSINSTALLED%\MYMAPNAME\0000,Port,,"5678-5679"
HKLM,%ICSINSTALLED%\MYMAPNAME\0000,Translation,,"NORMAL"
[PORT_SAMPLE_DEL_REG]
HKLM,%ICSINSTALLED%\MYMAPNAME
HKLM,%ICSACTIVE%,MYMAPNAME
[Strings]
ICSINSTALLED="System\CurrentControlSet\Services\ICSharing\Mappings\Installed"
ICSACTIVE="System\CurrentControlSet\Services\ICSharing\Mappings\Active"
Allgemeine
Beschreibung zum Thema Firewall:
Firewalls
- eine Beschreibung der Eigenschaften
Die hier nur kurz vorgestellten Firewall-Architekturen besitzen jeweils ihre
eigenen Schwächen. Diese werden in späteren Abschnitten genauer erläutert.
Hier seien also nur in kurzen Stichpunken deren Stärken und Schwächen erwähnt.
Der Begriff Firewall ist nicht genau definiert oder geschützt, daher werden
fälschlicherweise oft Paketfilter als Firewall bezeichnet, was die korrekte
Einschätzung des Wertes, also des Kosten-Nutzen Verhältnisses erschwert.
Firewall Router
Stärken
Hohe Geschwindigkeit durch Routing auf IP-Ebene
Billig in der Anschaffung
Anti spoofing Mechanismen
Spoofing von Broadcasts für IPX, IP...
PROXY ARP
Schwächen
Bieten keinen Schutz vor TCP Angriffen
Zuviele offene Ports > 1024
Keine Kenntnis von Protokollen
Keine Zustandsinformationen über Verbindungen
Keine Authentifizierung
Keine Cluster möglich
Hoher Wartungsaufwand in großen Netzwerken
Log-Server stets notwendig
Unflexibel, nur einseitig einsetzbar
Schwierig zu programmieren
Als Firewall Router werden häufig Router mit Filtereigenschaften bezeichnet.
Besser wäre die Bezeichnung Paketfilter. Wenn man den Werbeaussagen der
Hersteller glauben darf, dann sind deren Eigenschaften inzwischen recht
umfangreich, sie beherrschen das Filtern nach IP - Nummern, Ports, Protokollen,
bieten Schutz gegen spoofing und DoS-Angriffe, die auf den TCP/IP-Stack zielen,
bieten NAT oder Masquerading an. Anscheinend gibt es kaum noch Unterschiede zu
echten Firewalls. Weit gefehlt! In der Praxis reichen solche Filter nicht mehr
aus, insbesondere beim Einsatz von komplexeren Protokollen, wie FTP, RPC, NFS,
NIS, SMB, SQL u.s.w.. Den Firewall-Routern fehlen fast immer Kenntnisse über
die Protokollmechanismen und somit sind sie auch nicht in der Lage, die Inhalte
von wichtigen Protokollen zu interpretieren
So ist der Administrator gezwungen, fast alle Ports oberhalb der privilegierten
Ports (> 1024) und evtl. auch einige unterhalb (111, RPC-Portmapper für PDC
oder RPC) freizuschalten. Dieses ermöglicht dann direkte, vielfältige Angriffe
auf Server hinter dem Firewall-Router, angefangen von DoS-Angriffen, bis hin zu
Tricks, die ein wenig in die Protokollmechanismen eingreifen, z.B. FTP
PORT-Umleitung auf einen Telnet-Zugang (Siehe PASV-Mechanismus).
Firewall-Router besitzen keinerlei Statusinformationen über die benutzten
Ports, z.B. von welchem Rechner diese initiiert wurden, welche Protokolle zu
den Ports gehören und warum (NFS, RPC).
Für viele Protokolle müssen Ports oberhalb von 1024 für Zugriffe von außerhalb
freigegeben werden, was zu unzähligen Sicherheitslöchern führt. Es gibt
zahlreiche Tricks, die Fehler in Betriebssystemen hinter dem Firewall-Router
ausnutzen, um diesen durchtunneln zu können. Weiterhin besitzen diese
Firewall-Router keine User-Authentifizierungsmechanismen.
Firewall-Router besitzen keinen vollständigen TCP/IP-Stack. Sie sind nur in der
Lage, auf IP-Ebene Pakete weiterzuleiten. Daher überprüfen sie einige Dinge bei
der Weiterleitung auf andere Netzwerkinterfaces nicht.
Das sind z.B. IP-Fragmentierung, TCP-Prüfsummen, Offsets bei Sequenznummern,
Flags in IP- und TCP-Headern (Näheres siehe: Angriffsvarianten auf
TCP/IP-Stacks). Die meisten der o.a. Angriffsvarianten auf einen Server hinter
dem Firewall-Router werden nicht abgefangen. So haben sich einige Hersteller
aus Gründen des Marketings kurz damit beholfen, indem sie die Bytefolge
(Signatur) von bekannten Angriffen aufgezeichnet haben, und diese dann aus dem
Datenstrom herausfiltern. Mit Werkzeugen, wie Ballista oder IPSEND, ist es
einem Angreifer leicht möglich, Signaturen zu erzeugen, die noch nicht erkannt
werden. Desweiteren sind Firewall-Router anfällig gegen spoofing-Angriffe von
einem benachbarten Arbeitsplatzrechner, der einen session hijacking Angriff
ausführt.
Offiziell besitzen Firewall-Router Mechanismen gegen spoofing, sie können aber,
da sie keine Statusinformationen über Details einer Verbindung besitzen,
spoofing - Angriffe nur zwischen der inneren und äußeren Netzwerkadresse
erkennen. Ein typischer Vertreter dieser Firewall-Router, der sich gut zu
Studienzwecken eignet, ist z.B. LINUX. Für die Kontrolle von größeren
Netzwerken eignet sich dieser Typ von Firewall-Router nicht mehr.
Stateful Paket Filter (SPF)
Stärken
Hohe Geschwindigkeit (teilweise)
Keine offenen Ports
Ausführliche LOG-Informationen
Ausführliche Zustandsinformationen über alle Verbindungen
Fähigkeit für Clustering
Schutz gegen Scanner (counter intelligence)
Einfache Wartung und Installation
Einsetzbar in großen Netzwerken
Skalierbar
Eigene Programmiersprache
Vielseitig einsetzbar
Schwächen
Bieten wenig Schutz vor TCP-Angriffen
Teilweise keinen eigenen TCP/IP-Stack
Zuwenig Kenntnis von Protokollen, häufig kein echter Schutz
Proxy nur für einige wenige Protokolle verfügbar
Keine Authentifizierung, jedoch nachrüstbar
Teuer in Anschaffung und Unterhaltung
Einbruch der Performance bei Aktivierung aller Filter
Stateful Paket Filter sind als besonders schnelle Filter bekannt. In
Geschwindigkeitstests schneiden sie stets hervorragend ab, und eignen sich
scheinbar besonders für den Einsatz bei ISP´s zum Schutz von Servern oder
Netzwerken mit Hochgeschwindigkeitsanbindung (>100 MBit). Diese
Eigenschaften lassen vermuten, daß hierbei einige wichtige Überprüfungen nicht
stattfinden, um die Durchsatzgeschwindigkeit zu erhöhen. Die Hersteller gehen
davon aus, daß der TCP/IP-Stack der Server hinter der Firewall diese
Untersuchungen sowieso durchführt. Das hat in der jüngsten Vergangenheit zu
zahlreichen Angriffen auf TCP/IP-Stacks hinter SPF-Firewalls geführt,
insbesondere bei Internet-Dienstleistern. Stateful Paket Filter verfügen
gegenüber Firewall-Routern zusätzlich über einen Mechanismus, der, sobald eine
Verbindung geöffnet wird, in die Pakete hineinschaut (Inspektion), den Status
(Herkunft, Ziel, belegte Ports, MAC-Adresse, Sequenznummern, Offsets,
Protokolle, Befehle) speichert und überwacht. Sie erkennen Zusammenhänge
zwischen TCP- und UDP-Paketen (RPC, NFS) u.s.w.. Durch die Überwachung des
Status und die Inspektion werden viele Angriffe unmöglich, die bei
Firewall-Routern noch funktionieren. Angriffe auf TCP/IP-Stacks können sie nur
zum Teil abwehren, im allgemeinen funktionieren viele DoS-Angriffe auf
TCP/IP-Stacks hinter SPF-Firewalls recht gut, sehr zum Leidwesen einiger ISP´s.
Aus diesen Gründen haben führende Hersteller zusätzlich zu den SPF-Filtern noch
PROXY-Eigenschaften für spezielle Dienste, also auch noch eigene TCP/IP-Stacks
den Firewalls hinzufügen müssen. Aktiviert man aber alle Schutzmechanismen und
nutzt viele PROXY-Eigenschaften, sowie Filter für protokollspezifische Befehle
(HTTP: PUT, GET, POST) und die Erkennung für Angriffssignaturen, so bricht die
Performance dieser Filter dramatisch ein. SPF´s eignen sich aufgrund ihres
Designs hervorragend, eine Programmiersprache hinzuzufügen, die somit nicht
implementierte PROXY-Mechanismen für neue Protokolle simulieren kann. Da auch
kombinierte Protokolle aus TCP und UDP (NFS, NIS+, RPC...) hiermit kontrolliert
werden können, entsteht so schnell der Eindruck von Sicherheit, wo effektiv
keine ist. Beispiel aus dem Handbuch von Checkpoint:
Instructions for adding Sybase
SQL server support to FireWall-1: Sybase SQL uses TCP ports above 1024. The
port used is defined in the configuration of the Sybase server. To configure
FireWall-1 for use with Sybase SQL:
1. From the GUI, add a TCP service called Sybase SQL Server.
Define this port as using the port defined in the SQL serverconfiguration.
2. Accept this service in the Rulebase. Instructions for adding Microsoft
NetMeeting support to FireWall-1: .... Add TCP port 1503 in GUI.
Es gibt keine
Anzeichen bei der Installation eines SQL Dienstes bei der Firewall-1, daß diese
Firewall irgendwelche Kenntnisse darüber hat, was sie schützen soll, und wie
sie es schützen kann. Wer also beispielsweise einen SQL Server sicher betreiben
will, der sollte sich den Original SQL-Proxy von ORACLE einmal genauer ansehen.
Andernfalls dürften die Überraschungen groß sein.
Die Zahl der offenen Ports reduziert sich gegenüber derjenigen bei
Firewall-Routern dramatisch, da nur noch diejenigen Ports geöffnet werden, die
auch wirklich gebraucht werden. Es müssen also nicht mehr pauschal alle Ports
>1024 freigeschaltet werden. Es verbleiben aber noch einige Risiken, da es
externen Hosts immer noch gestattet wird, auf interne Server oder Clients
zuzugreifen. Es werden zwar laut Handbuch PROXY-Dienste hierfür angeboten,
jedoch beschränkt sich tatsächlich die Funktion nur auf die Freischaltung der
benötigten Ports. Es findet keinerlei inhaltliche Überprüfung statt.
SPF´s mangelt es oft an der wichtigen User-Authentifizierung. Diese verhindert,
daß z.B. User ohne Paßwort - Anmeldung auf der Firewall eine Verbindung in das
Internet öffnen können. Dies ist ein wirksamer Schutz gegen trojanische Pferde,
die als Hintergrundprozesse vollautomatisch Verbindungen zu Servern im Internet
aufbauen.
Proxy-Firewalls
Stärken
Ausführliche Kenntnis über Protokolle und Dienste
Umfangreiche Filtermöglichkeiten
Schutz vor buffer overflows möglich
Spezielle Proxies lieferbar (SQL)
Für unbekannte Protokolle generische Proxy Dienste
verfügbar
Keine offenen Ports
Ausführliche LOG-Informationen
Ausführliche Zustandsinformationen über alle Verbindungen
Vollständiger Schutz vor TCP/IP Angriffen
Einfache Wartung und Installation
Schutz vor Viren
Schutz gegen feindliche Applets (Active-X, JAVA(Skript)
Generische Proxies nachrüstbar (SOCKS)
Aufbau als dual homed proxy möglich (split DNS...)
Eigener TCP/IP-Stack
Schwächen
Relativ langsam
Proxy nur für die wichtigsten Protokolle verfügbar
Generische Proxies vorhanden jedoch sind diese unsicher
Ausführliche Authentifizierung
Clustering schwer möglich
Keine eigene Programmiersprache möglich
Nicht für Hispeed LAN´s geeignet
Teuer in Anschaffung und Unterhaltung
PROXY-Firewalls sind grundsätzlich in zwei Varianten zu unterteilen: circuit
level proxy, was einem generischen Proxy nahekommt, und einem application level
proxy, der aufgrund seiner Kenntnisse der Protokollmechanismen auch als
dedicated proxy bezeichnet wird.
Ihnen gemeinsam ist, daß Anwendungsprogramme immer nur zum PROXY Kontakt
aufnehmen. Für einen User innerhalb eines geschützen Netzwerkes scheinen alle
Pakete ausschließlich vom PROXY zu stammen, daher auch die Bezeichnung PROXY
(Stellvertreter). Als einfachen PROXY könnte man auch einen völlig
ungesicherten UNIX-Server definieren, in den sich ein Anwender aus dem
geschützten Netzwerk via TELNET einloggt, um sich dann von diesem zu einem
beliebigen Server im Internet weiter verbinden zu lassen. Damit dieser Vorgang
automatisch ablaufen kann, werden verschiedene Mechanismen eingesetzt. Einer
davon ist SOCKS. Beim Einsatz von SOCKS werden alle Daten von einem Client, der
SOCKS unterstützen muß (Netscape), über den PROXY, auf dem ein SOCKS-Dämon
installiert sein muß, von und zu einem Internet-Server übertragen. SOCKS
verfügt über keinerlei Fähigkeit, in Pakete hinein zu schauen, er leitet sie
nur weiter. Falls also der Client gegenüber buffer overflows verletzbar ist, so
ist er es stets auch hinter dem PROXY. Einzige Ausnahme sind Angriffe, die auf
den TCP/IP-Stack zielen. Diese werden vom PROXY abgefangen.
Es dürfte klar sein, daß bei dieser Konstruktion nicht von Sicherheit
gesprochen werden kann. Im Grunde kann man auch einen E-Mail-Dämon oder auch
einen DNS-Server als PROXY bezeichnen, sie werden auch als store-and-forward
PROXY bezeichnet.
Vorsicht bei dem Begriff PROXY ist immer angebracht.
Der Kernel des Betriebssystems muß also für die Weiterleitung der Pakete
zwischen den Netzwerk - Interfaces sorgen, während der PROXY die
Authentifizierung (telnet: login, SOCKS) übernimmt.
Gelingt es dem Angreifer, die PROXY-Software durch einen DoS-Angriff
stillzulegen, so ist der Weg in das innere Netzwerk offen, da der Kernel stets
Datenpakete forwarded. Mit Hilfe von gespooften, source routing pakets gelingt
es einem Angreifer dann, von außerhalb hosts im inneren Netzwerk zu erreichen.
Unter dieser Sicherheitslücke leiden sehr viele Systeme - DoS dient hier nicht
der Deaktivierung eines hosts, sondern eher der Reaktivierung unterdrückter
Qualitäten. Wenn also von PROXY´s, wie z.B. SQUID, CERN-HTTPD oder WWWOFFLE die
Rede ist, kann von Sicherheit also keine Rede sein. Wer eine S.u.S.E. LINUX
Firewall mit SQUID als PROXY installiert hat, einen SUN SOLARIS host mit
Netscape-PROXY betreibt, oder Windows 98/NT z.B. mit einem Microsoft Proxy
betreibt, dessen Sicherheit liegt mit hoher Wahrscheinlichkeit völlig blank.
Bei der gewöhnlichen Standardinstallation bindet sich der PROXY an einen Port
auf der internen Netzwerkkarte, und übergibt die weiterzuleitenden
Informationen an den Kernel, der diese dann an die äußere Netzwerkkarte
weiterleitet. Hierzu ist forwarding notwendig. Korrekt wäre der PROXY
installiert, wenn er auch ohne forwarding die Daten transportieren würde. Dies
erfordert genaue Kenntnisse und Konfigurationsänderungen bei Host und PROXY. Es
besteht zudem stets die Gefahr eines buffer overflows.
SQUID, CERN-HTTPD gehören schon zu der Gattung der application level proxy, die
genaue Kenntnisse über das Protokoll besitzen. Genaugenommen sind es sogar
intelligente Proxies, da sie über spezielle Mechanismen des Caching von Files
auf der lokalen Festplatte beherrschen. Im Falle des SQUID und Netscape-PROXY
ist dieser sogar in der Lage, mit benachbarten Systemen Daten auszutauschen.
Das macht sie äußerst anfällig gegen DoS-Angriffe und buffer overflows. Bisher
hat sich nur kein Angreifer dafür interessiert, da auf diesen Servern ohnehin
frei zugängliche Informationen lagern. Deswegen sind auch keine
Sicherheitsprobleme bekannt. Wer sich aber etwas genauer mit den Quellcodes
beschäftigt, der wird sehen, daß hier viele Sicherheitsabfragen fehlen und
Squid auch in großer Zahl Gebrauch von den Bibliotheken des Betriebssystems
macht. Die Sicherheit von Squid und Netscape Proxy hängt auch entscheidend von
der Qualität des Servers ab, doch hierzu mehr später.
Wenn also von PROXY-Firewalls die Rede ist, dann sind sicherlich nicht solche
Konstruktionen gemeint.
PROXY-Firewalls gehören zu den langsamsten Firewalls, aber auch zu den
solidesten. Sie besitzen einen eigenen, vom Kernel unabhängigen, im allgemeinen
solide programmierten TCP/IP-Stack und umfangreiche Filtermöglichkeiten auf
Anwendungsebene, sowie genaue Kenntnisse der Protokollmechanismen und Dienste.
Sie besitzen keine derjenigen Schwächen, die Firewall-Router oder SPF für
Angreifer attraktiv machen. Trotzdem sind auch diese gewöhnlich relativ einfach
zu überwinden. Schwachpunkt sind die Arbeitsstationen bzw. Server in der DMZ
hinter der Firewall. Aus praktischen Erwägungen können Anhänge an E-Mails und
JAVA(Skript)/Active-X stets ungehindert die Firewall überwinden, nur in den
wenigsten Fällen wird dies unterbunden. Angreifer konzentrieren sich daher
immer auf diese Schwachstelle, da sie am einfachsten auszunutzen ist.
Zu den typischen Vertretern der PROXY-Firewalls gehört z.B. TIS Gauntlet. Das
TIS FWTK unter LINUX oder BSD-UNIX dient der Anschauung, da es im Quellcode
veröffentlicht wurde. Das Toolkit bietet guten Schutz, aber es fehlt eine
Unterstützung für moderne Protokolle. Es existiert ein allgemein einsetzbarer
PROXY, ein Schutz vor komplexeren Angriffen bietet dieser aber auch nicht.
Welches Firewall-Betriebssystem ?
Grundsätzlich kann man Firewalls so unterteilen
Firewalls auf DOS-Basis mit Winsock (WinPkt-Treiber) Diese kann man als völlig
veraltet und überholt ansehen. Sie leiden gewöhnlich an fast allen DoS (Denial
of Service) Krankheiten.
Firewalls auf DOS-Basis mit eigenem TCP/IP-Stack Meist sind diese veraltet, es
gibt aber auch Hersteller, die diese weiterentwickelt haben und supporten. Sie
besitzen keinerlei Schutz vor Angriffen auf application level, es mangelt an
Kenntnissen über Protokoll- Mechanismen und Diensten. In vielen Fällen sind DoS
Angriffe auf den TCP/IP-Stack erfolgreich.
Firewalls auf Windows 95/98-Basis Diese leiden an allen DoS-Krankheiten, unter
den auch Windows leidet, daher sind sie erfahrungsgemäß instabil. Es sind
gravierende Fehlkonfigurationen möglich und schwer zu beheben. Sie bieten
zumeist keinerlei Schutz gegen Angriffe auf application level. Das Angebot an
PROXY´s ist gut, es sind aber zumeist generische Proxies, die keinerlei
Spezialkenntnisse über die Dienste besitzen (SQL). Es fehlen oft Filter auf
Anwendungsebene.
Firewalls auf Windows 95/98-Basis mit eigenem TCP/IP-Stack Diese können sehr
gut geeignet sein, Arbeitsstationen im Netzwerk stabiler zu machen, und gegen
Angriffe über ISDN abzusichern. Oft besitzen diese guten Schutz gegen
DoS-Angriffe und solche auf application level. Die Kenntnisse von Protokollen
und Diensten sind umfangreich.
Firewalls auf NT-Basis ohne eigenen Stack Sie laufen erfahrungsgemäß stabil,
leiden aber unter DoS-Angriffen auf den TCP/IP-Stack von NT, die noch recht
häufig auftreten. Es sind gravierende Fehlkonfigurationen möglich, die sich
aber unter Anleitung gut beheben lassen. Sie bieten zumeist keinerlei Schutz
gegen Angriffe auf application level, Kenntnisse über Protokollmechanismen sind
eher selten (FTP). Das Angebot an PROXY´s ist gut.
PROXY-Firewalls auf NT-Basis mit eigenem TCP/IP-Stack Diese laufen i.a. stabil
und sind sehr zuverlässig, sind aber relativ teuer in Anschaffung und Support.
Viele Firewalls, die auf Windows NT mit eigenem TCP/IP-Stack laufen, sind
Portierungen von UNIX auf NT. Leider sind diese nicht so leistungsfähig, wie
unter UNIX, obwohl die Software praktisch identisch ist. Der Grund liegt in dem
effizienteren Memory-Konzept von UNIX und teilweise auch daran, daß der
IP-Stack (nicht der TCP-Stack) von UNIX mit genutzt wird.
Firewalls auf UNIX-Basis ohne eigenen Stack Sie laufen erfahrungsgemäß stabil
und sind sicher. Fehlkonfigurationen treten häufig und fast nur bei
LINUX-Firewalls auf, die nach Anleitungen von Distributoren aus dem Internet,
oder aus Zeitschriften (C´t) aufgebaut wurden. Firewalls, die auf BSD-Systemen
oder Solaris aufsetzen, besitzen oft eine hohe Qualität und sind sehr sicher,
auch gegen Bedienungsfehler.
Firewalls auf UNIX-Basis mit eigenem TCP/IP-Stack Diese Firewalls sind oft
identisch mit denen auf NT-Basis ohne eigenen TCP/IP-Stack. Sie arbeiten unter
UNIX schneller.
Firewalls mit eigenem Betriebssystem Viele dieser Firewalls benutzen FreeBSD
(Borderware), BSDI (Borderware, Genua Wall), Linux (Watchguard, TIS FWTK,
GNATwall). Hinter einigen kommerziellen Firewalls steckt UNIX, weil es, wenn
man es auf die wesentlich Funktionen reduziert, auf eine Diskette paßt. Zu
erwähnen ist noch CISCO PIX, welche auf IOS läuft, einer Eigenentwicklung von
CISCO.
Da es viele Mischformen von Firewalls gibt, sollte man sich doch genauer
informieren, welche der Eigenschaften den Anforderungen am meisten
entgegenkommt.
Entnommen aus:
Firewall Handbuch für LINUX 2.0 und 2.2
Beispiel eines Online “Firewall-” bzw. Port-Test’s:
Hier
zwei Screenshots von Portfilter-Test’s über die Seite www.grc.com mit den Voreinstellungen des
jeweiligen Routers. Die Ergebnisse koennen sich aber durch verschiedene
Firmware-Versionen unterscheiden.
Netgear RT311 Router
SMC Barricade 7004BR
Eine genaue Erläuterung der Ergebnisse findet man auf den Seiten von www.grc.com
Sollte man bei
dem Test irgendwo ein “OPEN” stehen haben, sollte man unbedingt die Filtereinstellungen des
Routers überprüfen und/oder geeignete “Gegenmaßnahmen” vornehmen!
|
Hitliste
der schlechtesten Passwörter
|
Trojaner
Portliste:
Hier
eine Auflistung von Ports die bekannte Trojaner-Programme benutzen:
port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan,
Invisible FTP, Larva, WebEx, WinCrash
port 23 - Tiny Telnet Server (= TTS)
port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi), Happy
99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC,
WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Executor, RingZero
port 99 - Hidden Port
port 110 - ProMail trojan
port 113 - Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy
port 666 - Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor,
ServeU, Shadow Phyre
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1001 - Silencer, WebEx
port 1010 - Doly Trojan
port 1011 - Doly Trojan
port 1012 - Doly Trojan
port 1015 - Doly Trojan
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1090 - Xtreme
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245 - VooDoo Doll
port 1269 - Mavericks Matrix
port 1349 (UDP) - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1600 - Shivka-Burka
port 1807 - SpySender
port 1981 - Shockrave
port 1999 - BackDoor
port 1999 - TransScout
port 2000 – TransScout
port 2001 – TransScout
port 2001 - Trojan Cow
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2155 - Illusion Mailer
port 2283 - HVL Rat5
port 2565 - Striker
port 2583 - WinCrash
port 2600 - Digital RootBeer
port 2801 - Phineas Phucker
port 2989 (UDP) - RAT
port 3024 - WinCrash
port 3128 - RingZero
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3459 - Eclipse 2000
port 3700 - Portal of Doom
port 3791 - Eclypse
port 3801 (UDP) - Eclypse
port 4092 - WinCrash
port 4321 - BoBo
port 4567 - File Nail
port 4590 - ICQTrojan
port 5000 - Bubbel, Back Door Setup, Sockets de Troie
port 5001 - Back Door Setup, Sockets de Troie
port 5011 - One of the Last Trojans (OOTLT)
port 5031 - NetMetro
port 5321 - Firehotcker
port 5400 - Blade Runner, Back Construction
port 5401 - Blade Runner, Back Construction
port 5402 - Blade Runner, Back Construction
port 5550 - Xtcp
port 5512 - Illusion Mailer
port 5555 - ServeMe
port 5556 - BO Facil
port 5557 - BO Facil
port 5569 - Robo-Hack
port 5742 - WinCrash
port 6400 - The Thing
port 6669 - Vampyre
port 6670 - DeepThroat
port 6771 - DeepThroat
port 6776 - BackDoor-G, SubSeven
port 6912 - Shit Heep (not port 69123!)
port 6939 - Indoctrination
port 6969 - GateCrasher, Priority, IRC 3
port 6970 - GateCrasher
port 7000 - Remote Grab, Kazimas
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7789 - Back Door Setup, ICKiller
port 8080 - RingZero
port 9400 - InCommand
port 9872 - Portal of Doom
port 9873 - Portal of Doom
port 9874 - Portal of Doom
port 9875 - Portal of Doom
port 9876 - Cyber Attacker
port 9878 - TransScout
port 9989 - iNi-Killer
port 10067 (UDP) - Portal of Doom
port 10101 - BrainSpy
port 10167 (UDP) - Portal of Doom
port 10520 - Acid Shivers
port 10607 - Coma
port 11000 - Senna Spy
port 11223 - Progenic trojan
port 12076 - Gjamer
port 12223 - Hack«99 KeyLogger
port 12345 - GabanBus, NetBus, Pie Bill Gates, X-bill
port 12346 - GabanBus, NetBus, X-bill
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 12631 - WhackJob
port 13000 - Senna Spy
port 16969 - Priority
port 17300 - Kuang2 The Virus
port 20000 - Millennium
port 20001 - Millennium
port 20034 - NetBus 2 Pro
port 20203 - Logged
port 21544 - GirlFriend
port 22222 - Prosiak
port 23456 - Evil FTP, Ugly FTP, Whack Job
port 23476 - Donald Dick
port 23477 - Donald Dick
port 26274 (UDP) - Delta Source
port 29891 (UDP) - The Unexplained
port 30029 - AOL Trojan
port 30100 - NetSphere
port 30101 - NetSphere
port 30102 - NetSphere
port 30303 - Sockets de Troi
port 30999 - Kuang2
port 31336 - Bo Whack
port 31337 - Baron Night, BO client, BO2, Bo Facil
port 31337 (UDP) - BackFire, Back Orifice, DeepBO
port 31338 - NetSpy DK
port 31338 (UDP) - Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 31785 - Hack«a«Tack
port 31787 - Hack«a«Tack
port 31788 - Hack«a«Tack
port 31789 (UDP) - Hack«a«Tack
port 31791 (UDP) - Hack«a«Tack
port 31792 - Hack«a«Tack
port 33333 - Prosiak
port 33911 - Spirit 2001a
port 34324 - BigGluck, TN
port 40412 - The Spy
port 40421 - Agent 40421, Masters Paradise
port 40422 - Masters Paradise
port 40423 - Masters Paradise
port 40426 - Masters Paradise
port 47262 (UDP) - Delta Source
port 50505 - Sockets de Troie
port 50766 - Fore, Schwindler
port 53001 - Remote Windows Shutdown
port 54320 - Back Orifice 2000
port 54321 - School Bus
port 54321 (UDP) - Back Orifice 2000
port 60000 - Deep Throat
port 61466 - Telecommando
port 65000 – Devil
Die Sicherheit
von Windows 2000:
Einführung
Jeder
technisch versierte Anwender, der Windows 2000 zum ersten Mal zu Gesicht
bekommt, dem werden neben den witzigen und unnötigengrafischen Gimmicks sofort
die veränderte Sicherheitsarchitektur des Betriebssystems von Microsoft
auffallen. Die neuen Sicherheitsmerkmale kann man sich hervorragend auf der
Zunge zergehen lassen: Es wird Public Key Infrastructure (PKI), IP Security
(IPSec), CryptoAPI, SSL 3.1, Encrypting File System (EFS) und
Kerberos-beglaubigung neben den schon altbekannten Sichreheitsvorkehrungen von
Windows NT angekündigt. Windows 2000 verlässt sich auf sehr starke
Sicherheitsstandarts, die in jenem Punkt nur noch sehr wenig mit Windows NT zu
tun haben. Da Windows 2000 auf den Kernel von Windows NT aufbaut, so ist für
dessen Verständnis das Wissen der alten NT-Versionen von unschätzbarem Vorteil,
denn vieles errinnert noch an alte Zeiten.
Profile erstellen
Die meisten Angreifer beginnen als erstes mit dem Erstellen eines Profils
ihres Ziels, und sie sammeln möglichst viele Informationen ohne das Ziel direkt
anzusprechen, um eventuelle Schwachstellen unauffällig schon im Voraus in
Erfahrung zu bringen. Die erste Quelle für sogenannte
Footprinting-Informationen ist DNS (Domain Name Service), welches bekanntlich
im Internet für das Umwandeln der IP-Adressen in Host-Namen zuständig ist. Da
der Namespace des neuen Features AD (Active Directory) auf DNS aufbaut, hat
Microsoft die Implementierung des DNS bei Windows 2000 komplett überarbeitet,
um das Level der Sicherheit ein bisschen in die Höhe zu schrauben.
Laut RFC 2052 baut ein Client-Zugriff auf die Domain-Services von Windows 2000
wie AD und Kerberos auf den in der Spezifikation festgelegten DNS SRV-Datensatz
auf, der das Aufspüren eines Servers über den Service-Typ bzw. über das
Protokoll ermöglichen soll:
Service.Proto.Name TTL Class SRV Priority Weight Port Target
Aus diesem Grunde können sich viele interessante und relevante Informationen
durch einen einfachen Zonetransfer durch das Nutzen von "nslookup"
oder der Eingabe "ls -d <Domain-Name>" auslesen lassen, wenn
man die Daten aus der übertragenen Zone genau analysiert.
Eine simple Beobachtung, die der Angreifer machen würde, wäre zum Beispiel der
Standort des globalen Katalogdienstes der Domäne ("gc._tcp"), die
Domänencontroller, die eine Kerberos-Beglaubigung durchführen
("_kerberos._tcp"), die LDAP-Server ("_ldap._tcp") und die
damit verbundenen Portadressen.
Erfreulicherweise lässt die Implementierung des DNS von Microsoft in der
jüngsten Windows-Generation ein einfaches und sicherheitsrelevantes Handling
zu, um Zone-Transfers beliebig einzuschränken. Die Einstellungenwerden in den
Optionen für die Lookup-Zone definiert, welche sich unnerhalb der
"Microsoft Management-Konsole" des Snap-In-Modusbei
Computerverwaltung unter "\Serveranwendungen und Dienste\DNS\[Servername]"
findet.
Scanning
Die Windows 2000-Domaincontroller (DC) sind bei TCP-Port-Scans ziemlich
auffällig und verraten ihre Identität sofort. Neben den ursprünglichen Windows
NT-Standartports 135 (Endpoint-Mapper) und 139 (NetBIOS-Session) tauchen nun
ein paar erwähnenswerte Neuerscheinungen auf:
Port-Nummer - Dienst
TCP-Port 88 - Kerberos
TCP-Port 389 - LDAP
TCP-Port 445 - Microsoft-DS
TCP-Port 464 - Secure LDAP
TCP-Port 593 - Secure LDAP
TCP-Port 636 - Secure LDAP
TCP-Port 3268 - Globaler Katalog
TCP-Port 3269 - Globaler Katalog
TCP-Port 3372 - Globaler Katalog
TCP-Port 6586 - Globaler Katalog
Wie immer kann also auch bei Win2k ein Port-Scan die Betriebssystem-Version und
die aktiven Dienste herausfinden, um eine mögliche Tür ins System aufzuzeigen.
Ich werde versuchen die möglichen Angriffe auf diese neu hinzugekommenen
Dienste in diesem Dokument zu erläutern. Die unbrauchbaren oder hinlänglich
bekannten Attacken aus den NT-Tagen werde ich hier zwar nicht ausser Acht
lassen, jedoch zur Ergänzung jeweils nur kurz anschneiden.
Obwohl es unter Windows NT nicht sonderlich einfach war NetBIOS anstandslos zu
deaktivieren, bietet Windows 2000 endlich diese Funktion ohne Hürden. Unter
"Netzwerk bzw. DFÜ-Netzwerk" können die gewünschten Parameter ganz
einfach und ohne Probleme gesetzt werden: Einfach auf die Schaltfläche
Eigenschaften für Internet Protokoll (TCP/IP)" klicken, und in den
erweiterten Einstellungen im "WINS-Register das "NetBIOS über TCP/IP
deaktivieren". Somit wird die Fähigkeit geschaffen, ein natives TCP/IP zu
benutzen, wobei die Ports 135 und 139 bei einem TCP-Portscan nicht mehr
auftauchen würden.
Die Deaktivierung von NetBIOS, besonders bei Rechnern mit direkter Anbindung
zum Internet, lohnt sich immer, wenn die Möglichkeit dazu besteht: Neben einer
Steigerung der Performance wird weniger Angriffs-Fläche für Datenklau und
DoS-Attacken geboten, da die meisten Angriffe auf NT-basierende Systeme
erfahrungsgemäss auf NetBIOS-Verbindungen aufbauen.
Auswertung
Es ist hinlänglich bekannt, wie freundliche Windows NT 4 sein kann, wenn es
um das Einsammeln von Informationen über das vermeindliche Ziel geht: Die
Benutzernamen und Dateifreigaben waren für einen Angreifer meist Gold wert, und
erlaubten erst einen effizienten Remote-Angriff. Windows 2000 hat bei der
Lösung dieser markanten Sicherheitsprobleme einige beachtliche Fortschritte
gemacht, aber ganz neue Informationen sind nun aus dem Active Directory-Dienst
heraus erspähbar: Wie so oft bei Microsoft ist ein Fortschritt auch wieder ein
Rückschritt.
LDAP (Leightweight Directory Access Protocol)
Eine für den Endverbraucher grundlegendste Änderung im neuen Windows-System
ist die Einführung eines auf LDAP (Leightweight Directory Access Protocol)
basierenden Dienst, der von Microsoft liebevoll Active Directory genannt wird.
Da dieser Zusatz einfach zu handhaben und dementsprechend praktisch ist, wird
die Installation und der Nutzen dieses Features bald grossflächig in
Unternehmens-Netzwerken Einzug halten. Doch nicht nur Freunden wird damit die
Arbeit erleichtert, sondern auch den eigenen Feinden, da sie informellen Nutzen
aus diesem Dienst ziehen werden können.
AD wurde für die Weitergabe einer einheitlichen logischen Darstellung aller für
die technische Infrastruktur eines Netzwerkes nötigen Objektdaten entwickelt.
Wie so oft enthält das Windows NT Resource Kit eine beachtliche Menge an Tools,
um aus diesem Dienst wertvolle Informationen zu gewinnen. Das Standart-Werkzeug
für den Umgang mit AD ist ein einfacher LDAP-Client mit dem Namen
"ldp", der eine Verbindung zum AD-Server aufbaut und den Inhalt des
Directories anzeigen kann.
Die ausgelesenen Informationen unterscheiden sich nach der Konfiguration des
angesprochenen Systems. Doch ein Problem tritt bei dieser Schnüffelei zu Tage:
Windows NT 4 RAS-Server (Remote Access Service) müssen in der Lage sein, ein
Benutzerobjekt im AD abzufragen, um herauszufinden, ob es für einen
vermeindlichen Zugriff die Berechtigung besitzt. Die Windows 2000-Installation
führt den Benutzer an einer Abfrage vorbei, die es erlaubt die Sicherheit
dieser Directories für die angerissene Abwärtskompatibilität
herunterzuschrauben, so dass die Suchoperation für traditionelle RAS-Server
zugelassen wird. Wird die schwächere Option beim Installations-Vorgang gewählt,
sind die Benutzerobjekte auch bei den "ldp"-Abfragen ersichtlich: Die
Namen aller eingerichteten Benutzerkonten sind ohne grössere Umschweife für
einen Angreifer sichtbar.
Die Gegenmassnahme geht von netsh aus: Dieses Windows 2000-Utility bereinigt
die geschwächte Sicherheit von den zuvor vorgenommenen Einstellungen während
der Installation, sobald es in der Kommandozeile ausgeführt.wird. Natürlich
verlieren alle NT 4-RAS-Server nach diesem Vorgang ihren Nutzen im
Zusammenspiel mit den 2000-Rechnern. Der Synthax für das kleine Shell-Tool
liest sich wie folgt:
netsh ras set domainaccess [legacy | standart] domain = [Domänen-Name]
Wird die Option legacy gesetzt, können Windows NT 4- und Windows
2000-RAS-Server in vertrauten NT 4-Domänen Benutzer aus der angegebenen Domain
beglaibigen. Wird der Standart-Modus gewählt, sind die Benutzerobjekte auch
dann vor einer gelegentlichen Auswertung geschützt, wenn der Schalter legacy
später aktiviert wird. Die Benutzerobjekte sind erst ab dann wieder gefährdet,
wenn die Lese-Berechtigung manuell wieder umgestellt wird. Für weitere
Informationen zu dieser Berechtigung geben Sie "netsh ras set domainaccess
/?" ein.
Null-Sitzungen
Eine der beliebtesten Methoden ein System aus dem Hause Microsoft
anzugreifen, bleibt seit NT erhalten: Die bekannte Null-Sitzung. Das einzige
Manko beim neuen System ist der Verlust der Fähigkeit die
Registry-Informationen über differente "Reg..."-API-Aufrufe
auszulesen. Die Auswertung von Benutzern und Freigaben ist weiterhin mit DumpACL
über eine Null-Sitzung möglich. Auch "user2sid" kann noch immer die
SID der Benutzer und Gruppen identifizieren und die Inversion
"sid2user" kann auch weiterhin das Gegenteil: Somit bleibt das in
Erfahrung bringen von Standartbenutzern und -gruppen auch unter Windows 2000
mit einer einfachen Null-Sitzung ein Kinderspiel, auch wenn sie umbenannt
wurden.
Die Gegenmassnahme beinhaltet eine Manipulation des Registry-Werts
"RestrictAnonymous", welcher standartmässig auf 0 (deaktiviert)
eingestellt wird. Zwar sind auch dann noch Null-Sitzungen zum System möglich,
doch verlieren die meisten Angriffe, wie zum Beispiel "user2sid" und
"sid2user" ihre Gefährlichkeit. Die beste Lösung gegen Null-Sitzungen
ist und bleibt die NetBIOS-Ports 135 bis 139 (UDP und TCP) an der Netzwerkgrenze
zu filtern.
Eindringen
Die bösen Buben werden sich freuen zu hören, dass die NT LANMan-Sequenz
(NTLM) auch noch weiterhin bei Microsofts neuestem Streich vertreten ist, und
quicklebendig eine breite Angriffs-Fläche bietet.
NetBIOS-Freigaben
Die beliebten Brute-Force-Tools wie das NetBIOS Auditing Tool (NAT) sind
noch immer nützlich, wenn es um das Erraten von Passwörtern auf Windows
2000-Systemen geht.
Doch viel Gefährlicher sind aus meiner Sicht die inkompetenten Benutzer, die
ihre gesamte Festplatte der Aussenwelt freigeben, manchmal sogar mit kompletten
Schreibrechten ohne Passwort-Restriktionen.
Wann immer es möglich ist sollte auf die NetBIOS-Freigabe verzichtet werden.
Dies gilt besonders bei jenen Systemen, die direkt vom Internet aus ansprechbar
sind, denn im Netz der Netze tummeln sich über 260 Millionen potentielle
Angreifer in über 250 Ländern.
Abfangen der Passwort-Sequenzen
Das L0phtcrack SMB Paket-Abfang-Utility kann nach wie vor die
NTLM-Beglaubigngen abfangen und knacken, die zwischen einem NT 4-Client und
einem 2000-Server übertragen werden. Auch die Kerberos-Authentifizierung wurde
vom Unternehmen aus Redmond so konzipiert, dass die Beglaubigung auf NTLM
herabgesetzt werden kann, wenn einer der Kommunikations-Parteien Kerberos nicht
unterstützt: Alle Windows NT 4-Rechner machen also indirekt auch die Windows
2000-Systeme unsicher.
Ein Angreifer könnte nun die starke Authentifizierung in einer Windows
2000-Domäne mittels SYN-Flooding auf TCP-Port 88 (Kerberos) am Domänen-Controller
unterlaufen, da alle Clients auf die wackelige NT-Beglaubigungsroutine
herabgesetzt werden. Das Schnüffeln ist dann nur noch ein Kinderspiel.
Das Sicherheitsmodell von Windows 2000 sieht eine Hierarchie zur Trennung von
Prozessen vor. Es ist vorgesehen, dass Prozesse innerhalb nur einer Windows
Station laufen und Threads stets nur in einem oder mehreren Desktops. Ein
Prozess sollte nicht auf einen Desktop einer anderen Windows-Station zugreifen
können. Genau dieses funktioniert aber für nicht-priviligierte Benutzer doch
und damit können In- oder Outputs, zu denen auch Passworte gehören können,
gelesen werden. Microsoft hat einen Patch unter http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20836 veröffentlicht.
Buffer-Overflows
Kaum ist wird Windows 2000 professionell in-the-wild im Einsatz, tritt
schon der erste Remote-Bufferoverflow hervor: Der Index-Dienst von Windows 2000
indexiert HTML-, Word-, Excel- und PowerPoint-Dokumente, und er stellt
über den Internet Information Server (IIS) eine Suchmaschine zur Verfügung. Die
sogenannte Hit-Highlighting-Funktion enthält jedoch einen Fehler, über den
Internet-Benutzer auch Zugriff auf Dokumente erhalten können, die nicht im
Internet-Verzeichnis liegen und dementsprechend nicht ins Web sollen. Um
Zugriff zu erhalten, muss der Angreifer lediglich den Pfad- und Dateinamen
definieren. Der Indexserver liefert dann automatisch die Textstelle mit dem
gefundenen Schlüsselwort.
Abhilfe zu diesem Problem schafft ein Patch, der unter folgender URL
heruntergeladen werden kann: http://www.microsoft.com/windows2000/downloads/critical/q253934/default.asp
DoS (Denial of Service)
Erfreulich ist, dass viele der alten Tricks gegen das neue System nicht
mehr funktionieren und ohne Zucken abprallen. Dazu zählen teardrop.c und
land.c, die schon vor langer Zeit ihre Wirkung verloren. Auch die Überflutung
von aktiven Ports beeinträchtigte das System nicht. Die RPC-Spoofing-Attacke
(snork.c) und Named Pipes Over RPC-Schwachstelle (nprpc) kann auch nicht mehr
genutzt werden. Befinden sich jedoch in fragmentierten Sendungen korrupte Pakete
oder ist die Fragmentierung maximal ausgelegt, wird die Auslastung des Systems
extrem in die Höhe getrieben. In Extremfällen kann das gesamte System sogar
abstürzen.
Die jüngste DoS-Attacke kann durch das Versenden von binären Nullen an einen
offenen Port - betroffen sind die TCP Ports 7, 9, 21, 23, 7778 und die UDP
Ports 53, 67, 68, 135, 137, 500, 1812, 1813, 2535, 3456 - des Systems
heraufbeschworen werden. Diese Attacke hat dann sogleich eine 100%ige
Auslastung der CPU zur Folge. Ein Angriff kann sehr einfach von einem Linux
System aus durchgeführt werden, indem man netcat mit einem /dev/zero Input
verwendet:
Für die TCP-Variante z.B. "nc ziel.host 7 < /dev/zero" und die
UDP-Variante z.B. "nc -u ziel.host 53 < /dev/zero".
EFS (Encrypting File System)
Wurde die Datei autoexec.bat auf einem System unter Windows 2000 auf der
NTFS-Festplatte verschlüsselt, können sich lokal keine Benutzer mehr anmelden.
Zusätzlich ist natürlich auch der Zugang über das Netzwerk nicht mehr möglich.
Das Problem ist, wenn die Datei autoexec.bat mit dem Encrypting File System
(EFS) verschlüsselt ist, sie nur noch mit Hilfe eines Zertifikates des
Benutzers, der sie verschlüsselt hat, entschlüsselt werden kann. Für das Login
anderer Benutzer ist die Datei notwendig, aber unlesbar. Workarounds sind im
Advisory und bei Microsoft (Q229716, Q185590) zu finden. Microsoft arbeitet an
einem Patch.
Telnet
Für den mit allen Versionen von Windows 2000 ausgelieferten Telnet Server
ist eine Möglichkeit zum Denial-of-Service gefunden worden. Hierzu schickt ein
Client einen speziellen String über das Netzwerk an den Server. Dieser arbeitet
erst nach einem Restart des Telnet Servers wieder normal. Der Patch steht im
Internet zur Verfügung.
SMTPD
Das witzige ist auch, dass der hauseigene SMTP-Server das ganze System
ausbremsen kann, sobald eine grössere Menge unzustellbarer Mails im Ausgang
liegen. Diese unzustellbaren Mails blockieren Filehandles, wodurch für andere
Mails unnötig viele Dateioperationen ausgeführt werden müssen. Diese Operationen
kosten Rechenzeit und verlangsamen das System. Microsoft gab umgehend einen
Patch zu diesem Problem heraus, der den ganzen Ablauf beim Eintreten eines
solchen Problemfalls besser managen könnnen soll. Der Patch ist bisher nur auf
Anfrage bei Microsoft erhältlich.
HTTPD
Auch der IIS 5.0 von Windows 2000 ist gegen Remote-DoS-Attacken nicht
gefeilt: Sobald bestimmte Zeichen im HTTP-Header auftauchen, stürzt das besagte
System ab. Der Fix für dieses Problem ist leider auch nur wieder auf direkte
Anfrage beim Hersteller erhältlich.
Der Webserver von Microsoft weist desöfteren Fehlfunktionen auf, die für
(destruktive) Angriffe genutzt werden können. Es wird mir mit der Zeit
wahrscheinlich nicht möglich sein, hier eine stets aktuelle Liste dieser Bugs
hier zu publizieren. Informieren Sie sich zum Beispiel bei http://www.aerasec.de/security/ oder direkt bei Microsoft.
FTPD
Der interne FTP-Server weist auch ein kleines Manko auf: Er ignoriert einfach
die festgelegten Time-Out-Werte für Sitzungen, wodurch künstlich ein hohes
Ausmass an Systemauslastung erzwungen werden könnte. Ein Patch ist auf Anfrage
bei Microsoft erhältlich.
SMB
Werden SMB Anfragen an Port 445 oder 139 gesendet und werden die Antworten
nicht bestätigt, lässt Windows 2000 alle auf SMB vertrauenden Services für 20
Sekunden deaktivieren. Abgehende Verbindungen von Windows 2000 sind nicht
betroffen.
NetBIOS Name Server Protocol
Das NetBIOS Name Server (NBNS) Protokoll ist Teil des NetBIOS über TCP
(NBT) und ist implementiert im Windows Internet Name Service (WINS). Es ist
vorgesehen, dass es auch Namenskonflikte managen kann und arbeitet ohne weitere
Authentisierung. Ein Angreifer kann die Mechanismen, wie ein Namenskonflikt
bzw. ein Name vergeben wird, für sich so ausnutzen, dass ein anderes System
glaubt, sein Name sei bereits im Netzwerk vorhanden. Daher kan sich dieses
passiv angegriffene System nicht im Netzwerk anmelden. Der Angriff kann nur von
innen erfolgen, wenn der UDP-Port 137 an der Firewall geblockt ist. Microsoft
hat einen Patch für Windows 2000 herausgegeben.
Ausbau der Privilegien
Eine erfreuliche Erkenntnis: Windows 2000 scheint auf den ersten Blick
rustikaler als die NT-Vorgänger zu sein, wenn es darum geht Angriffe auf das
Administrator-Konto abzuwehren.
getadmin und sechole
Den Erweiterungen der eigenen Privilegien mit den Tools
"getadmin" und "sechole" wurde schon mit der
Veröffentlichung von Service Pack 3 Einhalt während der NT-Epoche geboten und
erzielt auch gegen das neue System keine Erfolge. Einzig kann eine
DLL-Einschleusung den Gewinn für den Angreifer bedeuten, da "pwdump2"
nach wie vor anstandslos funktioniert.
Passwörter knacken
Die rundum überarbeitete Sicherheitsarchitektur schränkt den Einsatz von
Tools aus alten NT-Tagen drastisch ein. Einen besonderen Betrag dazu leistet
die Standart-Nutzung von SYSKEY bei Windows 2000 Advanced Server. Das
"pwdump2"-Utility ist das einzige, das in der Lage war, einige
Passwortsequenzen aus der Registry auszulesen; nämlich die, die über einen
"msv1_0.dll"-API-Aufruf ansprechbar sind, der von vom besagten
Programm gekapert wird. Bei Domänencontrollern mit aktiviertem AD können die
Passwörter von "pwdump2" nicht angesprochen werden, da die Benutzerkonten
direkt im AD gespeichert werden. Bei allen Servern, die auf AD verzichten,
können die einzelnen Passwörter ausgelesen werden.
Die SAM-Datei selbst wird weiterhin im lokalen Unterverzeichnis
"\system32\config" gespeichert und ist noch immer vom Betriebssystem
direkt gesperrt. Trotz dem neuen NTSF v.5-Dateisystem kann noch immer von einer
alten DOS-Bootdiskette mit dem NTFSDOS-Utility gebootet werden um die
geschützten Daten ungehindert auf Diskette ausgelagern zu lassen. Da die neue
SAM-Version jedoch mit SYSKEY verschlüsselt wurde, verlieren logischerweise die
alten Tools wie L0phtcrack ihre Wirkung. Eine exakte und aktuelle
Sicherungskopie der SAM-Datei taucht weiterhin im Unterverzeichnis
"\repair" auf, obwohl sie nicht mehr "SAM._" genannt wird.
Das "rdisk"-Programm wird durch die Microsoft Backup-Anwendung
ersetzt, die eine Funktion zur Erstellung einer Rettungsdiskette enthält. Mit
diesem Utility kann nur noch die SAM-Datei auf Diskette gespeichert werden, um
eine lokale Kopie im Repair-Subdirectory zu verhindern.
Protected Store ist ein Teil der CryptoAPI (Windows 2000 Professional, Server
und Advanced Server), der für die sichere Verwahrung sensibler.Informationen
wie z.B. privater Schlüssel und Zertifikate zuständig ist. Vom Design her
sollte die Verschlüsselung immer mit der stärkstmöglichen Schlüssel-Länge
vorgenommen werden. Die Implementation unter
Windows 2000 führt die Verschlüsselung allerdings immer nur mit 40 Bit durch,
auch wenn das System eine stärkere Verschlüsselung durchführen könnte. Zu
Erhöhung der Sicherheit hat Microsoft ein Patch und ein Tool unter http://www.microsoft.com/Downloads/Release.asp?ReleaseID=21703 publiziert.
Ausplündern
Hat ein Eindringling erst einmal den Status des Administrators erreicht,
ist er primär auf das Herunterladen möglichst vieler Informationen und Daten
aus, die für die Eroberung weiterer (angebundener) Systeme von Vorteil sein
können. Eine der beliebtesten Strategien ist das anfängliche Aufspüren von
Domänenbenutzerkonten. Mit den dadurch erreichbaren Privilegien kann der
Angreifer problemlos von einem System zum anderen hüpfen: Auf alle Rechner in
der Domäne, auf andere Domänencontroller und sogar über die Domänengrenze hinaus.
Der LSA-Secrets-Bug von Windows NT 4 war eine zentrale Schwachstelle, die zum
Glück nach dem Einspielen von Service Pack 3 behoben werden konnte, die als
Schlüsselmechanismus zum aufspüren solcher Konten, da die letzten Benutzer die
sich am System angemeldet hatten, dadurch enttarnt wurden. Diese alte
Verwundbarkeit funktioniert natürlich auch beim neuen Windows nicht mehr, doch
schützt dies kaum vor einem Systemverwalter, der sich aus Versehen an einem
Einzelsystem mit dem Passwort des Domänencontrollers anmeldet.
Bidirektionale Vertrauensbeziehungen
Aus der Sicht eines Sicherheits-Experten ist die Abschaffung von
unidirektionalen Vertrauensbeziehungen innerhalb eines Windows 2000-Netzes ein
Geschenk Gottes. In einer reinen Windows 2000-Umgebung besteh nun
glücklicherweise nur bidirektionale transitive Vertrauensbeziehungen, die durch
Kerberos-Implementierungen bedingt sind. Die Vertrauensbeziehung zu Windows
NT-Rechnern läuft aus Kompatibilitätsgründen noch immer unidirektional ab.
Seit Windows 2000 Build 2031 sind alle Mitglieder der Gruppe "Domain
Admins" (eine globale Gruppe der Domain in der Win2k-Terminologie) bis zu
einem bestimmten Grad in allen Domänen des eigenen Netzes berechtigt. Dies gilt
besonders für die vollständige Kontrolle der AD-Konfiguration, die aus einem
gemeinsamen Satz von Replikations-Beziehungen administriert wird. Ein
kompromittiertes Konto dieser Superuser-Gruppe könnte daher verheerende Folgen
für ein gesamtes Unternehmensnetzwerk haben, wenn ein Angreifer sich darin mit
bösen Absichten zu tummeln pflegt. Aus diesem Grund empfehle ich
Partner-Netzwerke oder Netze mit grosser Angriffsfläche einer eigenen Domain
zuzuteilen, um übergreifende Schäden durch Attacken zu verhindern.
Spuren verwischen
Die alt eingesessenen Tools funktionieren meist auch in der neuen Umgebung
wie gewohnt, wobei jedoch einige Umstrukturierungen dieses Vorhaben erschweren
können.
Dateien verstecken
Der beliebte Trick aus den alten DOS-Tagen, als noch FAT16 im Einsatz war,
hiess "Dateien mittels 'attrib' verstecken". Die versteckten Daten
sind aber mit einigen kleinen Kniffen trotzdem einsehbar: Zum Beispiel wenn die
Option "Alle Dateien anzeigen" auf der grafischen Oberfläche
aktiviert wurde, oder in der DOS-Eingabeaufforderung der Befehl "dir /A
H" ausgeführt wird.
Eine andere Möglichkeit besteht im Nutzen des NTRK cp-Posix-Utility, das auch
unter Windows 2000 seinen Dienst verrichten kann, obwohl NTFS V.5 benutzt wird,
um Dateien in den Datenströmen hinter anderen Dateien zu verstecken. Möchte man
die Daten wieder herstellen, sind administrative Rechte nötig.
Die Revision deaktivieren
Die Revision kann über das MMC-Snap-In für Gruppenrichtlinien unter
"\Computerverwaltung\Windows-Einstellungen\Sicherheitseinstellungen\Lokale
Rochtlinie\Richtlinie überwachen" eingestellt werden.
Da wohl im Moment eine zentrale Protokollierung nicht in den absehbar kommenden
Versionen von Windows vorgesehen ist, werden alle Protokolle weiterhin auf
lokalen Systemen gespeichert, womit das System in dieser Hinsicht weiterhin
einen Minuspunkt im Gegensatz zum Syslog-Daemon unter Unix bekommt.
Neben der Schnittstelle für das Einstellen der Überwachung von
Gruppenrichtlinien funktioniert das "auditpol"-Programm aus dem NTRK
noch genau so gut wie vor der neuen Epoche.
Das Ereignisprotokoll bereinigen
Zwar werden die Protokolle unter Windows 2000 über eine neue Schnittstelle
verarbeitet, doch ist es noch immer möglich die Protokolle zu bereinigen. Die
unterschiedlichen Protokolle werden im MMC-Snap-In
"Computerverwaltung" unter
"\Systemwerzeuge\Ereignisanzeige" bearbeitet. Hinzugekommen sind drei
komplett neue Protokolle: Verzeichnisdienst, DNS-Server und
Dateireplizierdienst. Mittels einem Mausklick auf der rechten Maustaste kann im
Kontextmenü der Eintrag "Alle Ereignisse löschen"gefunden werden.
Das "elsave"-Utility kann alle, auch die neuen, Protokolle über einen
Remote-Zugriff löschen, sofern die entsprechenden Privilegien auf dem
Ziel-System eingeholt werden konnte:
elsave -s \\marc -l "File Replication Service" -C
Hintertüren & trojanische Pferde
Konnte ein Angreifer sein Ziel erst einmal kompromittieren, steht
schlussendlich auf der letzten Position seiner Wunsch-Liste eine Hintertür, die
ihm jederzeit unbemerkt Zugang zum System ermöglichen soll. Unter anderem
eignet sich für das Einleiten dieses Vorhabens der Registry-Eintrag für die
Windows-Shell "Explorer.exe", welche nicht den absoluten, sondern
einen elativen Pfad enthält. Während des Starts der Maschine wird nach
"Explorer.exe" im Verzeichnis "%Systemdrive%\" gesucht.
Durch eine vorhergehende Falschbelegung dieser Variablen durch einen Angreifer
kann dieser im Prinzip jedes Programm entsprechend umbenennen und beim
Systemstart zur Ausführung bringen lassen. Microsoft hat Fixes für Windows NT
4.0 und Windows 2000 veröffentlicht. Der Patch für Microsoft Windows NT 4.0
Terminal Server wird demnächst veröffentlicht.
Manipulation der Startdateien
Da dem Angreifer am liebsten während der ganzen Uptime des Systems eine
Hintertür bereitstehen soll, binden sie deren Aufstarten oft unbemerkt in den
Startdateien ein. Diese Verstecke sind in der Regel bestimmte Schlüssel in der
Registry ("HKLM\SOFWTARE\Microsoft\Windows\CurrentVesion\Run*") und
der Autostart-Ordner, der sich nun neu als Subdirectory mit dem Namen
"\Dokumente\Username\Startmenü\Programme\Autostart" versteckt. 11.2
Remote-Control & trojanische Pferde
Alle Remote-Controll-Software auf den Windows NT-Zeiten reagiert anstandslos
korrekt bei einem Einsatz auf einem Windows 2000-Rechner: NetBus, Back Orifice
2000 und WinVNC haben brav ihren Dienst verrichtet. Da der Quelltext der
neuesten Version von Back Orifice von den Machern "Cult of the dead
Cow" freigegeben wurde, könnten zur Anfangsphase einige Mutationen durch
die allgemeinen Scan-Vorgänge der üblichen Anti-Viren-Software schlittern
können.
Mit NetBus lassen sich auch in der aktuellen 2000er Umgebung die
Tastaturschläge problemlos aufzeichnen, genau wie mit dem Invisible Keylogger
Stealth (IKS). Eine Verschlüsselung des Datenstroms zwischen Tastatur und Betriebssystem
wird irgendwie verständlicherweise von den Microsoft-Programmierern auch nicht
in Betracht gezogen.
Die neuen Windows-Sicherheitstools
Windows 2000 hat einige Tools von Haus aus im Repertoire, die die Verwaltung
der Sicherheit dezentral und komfortabel durchgeführt werden kann. Wird auf
einem besagten System der korrekte und kompetente Umgang mit den neuen
Microsoft Utilities geübt, kommen stets aktuelle Antiviren-Software und nicht
zu lax konfigurierte Firewalls zum Einsatz, so kann jene Umgebung als ziemlich
sicher eingestuft werden.
Gruppenrichtlinien
Gruppenrichtlinien-Objekte (GPO) können im AD oder an einem lokalen
Computer gespeichert werden, um bestimmte Konfigurationsparameter für eine
ganze Domäne oder das eigene System festzulegen. GPO können auf Standorte,
Domains oder Organisationseinheiten (OU) beschränkt werden, um den darin
befindlichen Benutzern oder Computer vererbt werden, wie man das aus der
Unix-Welt kennt.
GP lassen sich in jedem MMC-Fenster anzeigen und mit administrativen Rechten
auch bearbeiten. Die GPO, die mit Windows 2000 standartmässig eingerichtet
werden, sind Richtlinien für den lokalen Computer, die Standart-Domäne und den
Standart-Domänencontroller. Eine weitere Möglichkeit ein GPO anzuzeigen besteht
darin, die Eigenschaften eines bestimmten Verzeichnis-Objekts (Domain, OU,
Standort) anzuzeigen und dann auf das Gruppenrichtlinien-Register zu klicken.
Danach öffnet sich ein übersichtliches Fenster, das die gegenwärtige GPO nach
Prioritäten geordnet veranschaulicht. Auch kann dadurch ermittelt werden, ob
die Vererbung explizit unterdrückt wurde.
Ein GPO kann bei der Anpassung eine Vielzahl an Sicherheitsoptionen zur
Verfügung stellen, um ganz individuell die Rechte des Objekts zu editieren.
Besonders interessant ist der Zweig
"Computerverwaltung\Windows-Einstellungen\Lokale
Richtlinien\Sicherheitsrichtlinie\Sicherheitsoptionen" des GPO. Es finden
sich über 30 Parameter, die richtig eingesetzt markant zur Verbesserung der
Sicherheit von allen Computer-Objekten, die Mitglied der GPO sind, konfiguriert
werden können. Unter anderem kann dort auch die Auswertung von Benutzerkonten
und Freigaben durch anonyme Benutzer unterdrückt, oder das Administrator-Konto
umbenannt werden. Diese wichtigen Einstellungen wurden bei NT 4 noch
"primitiv" in der Registry verewigt. Im Zweig
"Sicherheitseinstellungen" können desweiteren die Einstellungen der
Richtlinien für die Benutzerkonten, die Überwachung, das Ereignisprotokoll, den
Public Key und IPSec konfiguriert werden. Diese Festlegungen können Zentral
durchgeführt werden, wenn die Ebene der Vererbung dementsprechend gesetzt
wurde.
Die Idee hinter GPO ist genial, doch traten zum Teil unzuverlässige Ereignisse
bei der Aktivierung von speziellen Kombinationen aus lokalen und zentralen Richtlinien
auf. Auch die Verzögerung, bis die neuen Einstellungen aktiviert sind, ist
nervend: Erst nach einer Ab- und neuer Anmeldung an der lokalen Konsole macht
die Änderungen wirksam: Ein Reboot ist zum Glück in der Form nicht mehr nötig.
Die Änderungen werden jedoch beim Anwenden des mitgelieferten Security-Tools
"secedit" sofort wirksam. Folgender Syntax aktualisiert die
Richtlinie im selben Augenblick:
secedit /refreshpolicy MACHINE_POLICY
Um die Richtlinien für die Benutzerkonfiguration im selben Atemzug wirksam zu
machen, muss man sich folgender Eingabe bedienen:
secedit /refreshpolicy USER_POLICY
Mitgelieferte Sicherheitstools
Neben der schon zuvor erklärten Gruppenrichtlinien sind einige weitere
Sicherheitskonfigurationstools eng im System verflochten worden, welche die
Administration und Auswertung um einige Ecken erleichtern und vereinfachen
können. Das Sicherheitskonfiguration- und -analysetool gibt dem Administrator
die Kompetenz lokale Systemkonfigurationen nach fehlenden Übereinstimmungen
mittels zuvor definierter Schablone abzusuchen. Das Utility ist als MMC-Snap-In
aufrufbar, kann jedoch auch auch als Befehlszeilen-Programm mit dem Namen
"secedit" exekutiert werden. Leider lässt sich diese Methode nur auf
lokale Systeme ausführen und kann nicht auf die komplette Domäne übertragen
werden. Doch kann die Shell-Version des Tools auch in das Start-Skript
eingebunden werden, damit bei jedem Neustart die Sicherheit des Systems
automatisch überprüft wird. Hier können die Entwickler jedoch noch ein bisschen
Hand ansetzen, und den vielen Administratoren einen ehrenwerten Dienst mittels
mehr Komfort erweisen.
Standardeinstellungen
für die Zugriffssteuerung in Windows 2000
Ein
bedeutender Anteil der Sicherheit des Betriebssystems Microsoft® Windows® 2000
wird durch die Standardzugriffsberechtigungen definiert, die den folgenden drei
Gruppen erteilt werden: Administratoren, Hauptbenutzer und Benutzer.
Diese Gruppen lassen sich auf einer hohen Ebene folgendermaßen beschreiben:
Administratoren verfügen über alle Rechte. Bei den
Standardsicherheitseinstellungen von Windows 2000 gibt es keinerlei
Einschränkungen der Administorrechte auf Registrierungs- oder
Dateisystemobjekte. Administratoren können alle vom Betriebssystem
unterstützten Funktionen durchführen. Alle Rechte, über die Administratoren
nicht standardmäßig verfügen, können sie sich selbst erteilen.
In der Regel sollten Administratorrechte für das System nur für folgende
Funktionen benötigt werden:
- Installieren des Betriebssystems und der zugehörigen Komponenten
(Hardwaretreiber, Systemdienste, usw.)
- Installieren von Service Packs und Hotfixes
- Installieren von Windows-Updates
- Aktualisieren des Betriebssystems
- Reparieren des Betriebssystems
- Konfigurieren wichtiger Betriebssystemparameter für den Computer.
In der Praxis müssen Administratorkonten oft zum Installieren und Ausführen
älterer Windows-basierter Anwendungen verwendet werden.
Benutzer sind das Gegenteil von Administratoren. Wenn Windows 2000 auf
einer NTFS-Partition ohne Betriebssystem neu installiert wird, verhindern die
Standardsicherheitseinstellungen das Verletzen der Integrität des
Betriebssystems und der installieren Anwendungen durch Benutzer. Benutzer
können für den gesamten Computer geltende Registrierungseinstellungen,
Betriebssystemdateien oder Programmdateien nicht ändern. Benutzer können keine
Anwendungen installieren, die von anderen Benutzern ausgeführt werden können
(wodurch trojanische Pferde verhindert werden). Auf die privaten Daten anderer
Benutzer haben Benutzer keinen Zugriff. Demzufolge lauten zwei wichtige Aspekte
zum Schutz eines Windows 2000-basierten Systems folgendermaßen:
1. Stellen Sie sicher, dass die Anwender nur Mitglieder der Gruppe
Benutzer sind.
2. Stellen Sie Anwendungen bereit, die reguläre Benutzer
erfolgreich ausführen können.
In der Regel sollten Benutzer in der Lage sein, jede Anwendung auszuführen, die
zuvor von einem Administrator, Hauptbenutzer oder den Benutzern selbst
installiert wurde. Benutzer sollten keine Möglichkeit haben, von anderen
Benutzern installierte Anwendungen auszuführen.
In der Praxis können reguläre Benutzer die meisten älteren Anwendungen nicht
ausführen, weil bei der Entwicklung dieser Anwendungen die
Betriebssystemsicherheit nicht berücksichtigt wurde. Mitglieder der Gruppe
Hauptbenutzer sollten in der Lage sein, solche Anwendungen auszuführen.
Hauptbenutzer sind bezüglich des Systemzugriffs zwischen Administratoren
und Benutzern angesiedelt. Die Standardsicherheitseinstellungen von Windows 2000
für Hauptbenutzer sind abwärtskompatibel mit den
Standardsicherheitseinstellungen für Benutzer des Betriebssystems Windows NT®
4.0. Zusammengefasst heißt dies: Hauptbenutzer verfügen über sehr viele Rechte.
In der Regel sollten Hauptbenutzer in der Lage sein, alle Aufgaben außer den
oben beschriebenen administrativen Aufgaben auszuführen. Hauptbenutzer sollten
demnach Folgendes durchführen können:
- Installieren und Deinstallieren computerbezogener Anwendungen, die keine
Systemdienste installieren.
- Anpassen von systemweiten Ressourcen (z. B. Systemzeit, Anzeigeeinstellungen,
Freigaben, Energiekonfiguration, Drucker, usw.).
Hauptbenutzer haben keinen Zugriff auf die Daten anderer Benutzer, die auf
einer NTFS-Partition gespeichert sind.
In der Praxis können Hauptbenutzer viele ältere Anwendungen nicht installieren,
weil diese Anwendungen während des Installationsvorgangs versuchen,
Betriebssystemdateien zu ersetzen.
Ein wichtiger Unterschied bei den Standardsicherheitseinstellungen zwischen
Windows NT 4.0 und Windows 2000 ist die Art und Weise, wie die
Zugriffssteuerung zugewiesen wird. In Windows NT 4.0 wurde die Gruppe Jeder
global für Dateisystem-Zugriffssteuerungslisten,
Registrierungs-Zugriffssteuerungslisten und Benutzerrechte verwendet. In
gewisser Weise ist die Gruppe Jeder keine übliche Gruppe, weil der
Administrator nicht bestimmen kann, wer der Gruppe angehören soll. Stattdessen
kontrolliert Windows NT automatisch die Gruppenmitgliedschaft, so dass jeder
Benutzer ein Mitglied der Gruppe Jeder ist. Wenn ein Administrator eine
genauere Zugriffssteuerung möchte, müssten die standardmäßigen
Zugriffssteuerungslisten geändert werden, um die Gruppe Jeder zu entfernen und
die Gruppen hinzuzufügen, die der Administrator kontrolliert.
Windows 2000 verwendet einen anderen Ansatz. Gruppen wie Jeder und
Authentifizierte Benutzer, deren Mitgliedschaft automatisch vom Betriebssystem
konfiguriert wird, werden nicht zum Zuweisen von Berechtigungen verwendet.
Stattdessen werden nur die Gruppen verwendet, deren Mitgliedschaft von einem
Administrator kontrolliert werden kann. Im Prinzip die drei behandelten
Gruppen: Benutzer, Hauptbenutzer und Administratoren.
Standardmäßig wird auf Computern, auf denen das Betriebssystem neu installiert
wurde, die Gruppe Authentifizierte Benutzer zur Gruppe Benutzer unter Windows
2000 Professional und Windows 2000 Server hinzugefügt. Die Gruppe Interaktive
Benutzer wird nur auf Computern unter Windows 2000 Professional zur Gruppe
Hauptbenutzer hinzugefügt. Die Mitgliedschaft in den Gruppen Authentifizierte
Benutzer und Interaktive Benutzer wird automatisch vom Betriebssystem
kontrolliert. Die Gruppe Authentifizierte Benutzer ist mit der Gruppe Jeder
identisch, enthält aber keine anonymen Benutzer. Standardmäßig gilt deshalb
Folgendes:
- Jeder Nicht-Administrator, der auf einen Windows 2000 Server zugreift, ist
automatisch ein regulärer Benutzer.
- Jeder Nicht-Administrator, der auf ein Windows 2000 Professional-basiertes
System über das Netzwerk zugreift, ist ein regulärer Benutzer.
- Jeder Nicht-Administrator, der auf ein Windows 2000 Professional-basiertes
System lokal zugreift, ist automatisch ein Hauptbenutzer.
Dadurch wird standardmäßig die Abwärtskompatibilität für Computer unter Windows
2000 Professional bezüglich der Zugriffssteuerungseinstellungen sichergestellt.
Da Windows 2000-Hauptbenutzer über dieselben Dateisystem- und
Registrierungsberechtigungen wie Windows NT 4.0-Benutzer verfügen, sollten
interaktive Benutzer auf Computern unter Windows 2000 Professional in der Lage
sein, alle Anwendung en auszuführen, die Windows NT 4.0-Benutzer ausführen
konnten. Das Einrichten der Sicherheit für eine Windows 2000-basierte
Arbeitsstation ist nun allerdings wesentlich einfacher als in früheren
Versionen von Windows NT. Anstatt zahlreiche Dateisystem- und
Registrierungs-Zugriffssteuerungslisten zu ändern, entfernen Sie einfach
Interaktive Benutzer aus der Gruppe der Hauptbenutzer. Nachfolgende
(Nicht-Administratoren) Anmeldungen werden der Gruppe Benutzer zugeordnet, wodurch
automatisch eine ideale Zugriffssteuerungsrichtlinie gewährleistet wird. Um ein
System unter Windows 2000 zu sichern, werden deshalb unbedingt Anwendungen
benötigt, die die Windows 2000-Anwendungsspezifikation erfüllen. Diese
Anwendungen werden erfolgreich in einem (Nicht-Administratoren-,
Nicht-Hauptbenutzer-) Benutzerkontext ausgeführt.
Standardmäßig gehört auf neu installierten Windows 2000-Servern kein Benutzer
der Gruppe Hauptbenutzer an. Deshalb arbeiten Anwender (oder Dienstkonten), die
sich bei Windows 2000-Servern anmelden, automatisch in der sicheren Umgebung,
die regulären (Nicht-Administratoren, Nicht-Hauptbenutzer) Benutzern angeboten
wird. Ein Administrator muss spezielle Maßnahmen ergreifen, um solche Konten in
der weniger sicheren Gruppe Hauptbenutzer zu platzieren, falls
Abwärtskompatibilität mit Windows NT 4.0 erforderlich ist.
Wenn schließlich eine Arbeitsstation oder ein Server einer Domäne beitritt,
werden dieselben Domänengruppen zu lokalen Windows 2000-Gruppen hinzugefügt,
die zu lokalen Windows NT 4.0-Gruppen hinzugefügt wurden.
Domänen-Administratoren und Domänen-Benutzer werden beim Beitritt zur Domäne
zur lokalen Gruppe Administratoren - bzw. zur lokalen Gruppe Benutzer
hinzugefügt.
Zusammenfassung:
Ein Großteil der Sicherheit des Betriebssystems Windows 2000 wird durch die
Zugriffsberechtigungen definiert, die den folgenden drei Gruppen erteilt
werden: Administratoren, Hauptbenutzer und Benutzer. Standardmäßig verfügen
Administratoren auf neu installierten NTFS-Systemen über Vollzugriff auf
wichtige Betriebssystemkomponenten, während Benutzer (höchstens)
schreibgeschützten Zugriff haben. Diese standardmäßigen
Zugriffssteuerungseinstellungen, die für reguläre (Nicht-Administratoren,
Nicht-Hauptbenutzer) definiert sind, bieten eine standardmäßige sichere
Windows-basierte Umgebung, die Anwendungsentwickler als Zielvorgabe verwenden
können und die einfach zu testen ist.
Anwendungen, die die Windows 2000-Anwendungsspezifikation erfüllen, können von
regulären Benutzern erfolgreich ausgeführt werden. Wenn solche Anwendungen
bereitgestellt werden, können Administratoren die Computersicherheit erheblich
verbessern, indem sie auf Computern unter Windows 2000 Professional Interaktive
Benutzer aus der Gruppe Hauptbenutzer entfernen. Bis zur Bereitstellung solcher
Anwendungen bietet die Gruppe Hauptbenutzer einen bequemen
Abwärtskompatibilitätsmechanismus für ältere Anwendungen, die von Benutzern
nicht erfolgreich ausgeführt werden können.
© 1999 Microsoft Corporation. Alle Rechte vorbehalten.
Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen
aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar.
Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies
keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit
der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung
nicht garantieren.
Dieses Whitepaper dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR
DIESES DOKUMENT JEDE GEWÄHRLEISTUNG AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT.
VPN
- Virtuelle private Netzwerke (VPN):
Einführung
Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines
Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem
Benutzer, einen Tunnel durch das Internet oder ein anderes öffentliches
Netzwerk herzustellen. Hierbei gelten dieselben Sicherheits- und
Leistungsmerkmale, die früher nur in privaten Netzwerken verfügbar waren (siehe
Abbildung 1).
Abbildung 1: Virtuelles privates Netzwerk (VPN)
VPNs ermöglichen es Benutzern, die zu Hause oder unterwegs arbeiten, eine
sichere Verbindung mit einem Unternehmensserver unter Verwendung der
Routing-Infrastruktur eines öffentlichen Netzwerkes (wie z. B. des Internets)
herzustellen. Aus der Sicht des Benutzers ist das VPN eine
Punkt-zu-Punkt-Verbindung zwischen dem Computer des Benutzers und einem
Unternehmensserver. Die Natur des zwischengeschalteten Netzwerkes ist für den
Benutzer irrelevant; aus seiner Sicht werden die Daten wie über eine
Standleitung übertragen.
Mithilfe der VPN-Technik kann ein Unternehmen darüber hinaus Verbindungen mit
Zweigstellen oder anderen Unternehmen über ein öffentliches Netzwerk (wie z. B.
das Internet) herstellen, unter Wahrung der sicheren Kommunikation. Die
VPN-Verbindung über das Internet arbeitet logisch wie eine WAN-Verbindung (Wide
Area Network) zwischen den Standorten.
In beiden Fällen stellt sich die sichere Verbindung über das Netzwerk dem Benutzer
wie eine Kommunikation über ein privates Netzwerk dar - obwohl die
Kommunikation real über ein öffentliches Netzwerk stattfindet. Daher die
Bezeichnung Virtuelles privates Netzwerk.
VPN-Technologie kommt dem aktuellen Trend in der Geschäftswelt zu vermehrter
Telekommunikation und global verteilten Geschäftsstellen entgegen, in denen die
Mitarbeiter die Gelegenheit haben müssen, zentrale Ressourcen zu nutzen, um
miteinander kommunizieren zu können.
Damit Mitarbeiter unabhängig von ihrem Standort eine Verbindung mit den
Computerressourcen des Unternehmens herstellen können, muss ein Unternehmen
eine skalierbare RAS-Lösung bereitstellen. In der Regel entscheiden sich
Unternehmen entweder für eine MIS-Abteilungslösung (Management Information
System) oder für ein VAN-Netzwerk (Value-added Network). Bei der MIS-Lösung
wird eine interne Abteilung "Informationssysteme“ mit der Beschaffung,
Installation und Wartung des Modempools und der Infrastruktur für ein privates
Netzwerk beauftragt. Im Fall der VAN-Lösung wird ein Fremdunternehmen für die
Beschaffung, Installation und Wartung des Modempools und der
Telekommunikationsinfrastruktur bezahlt.
Keine der Lösungen bietet jedoch die erforderliche Skalierbarkeit, was die
Kosten, die Flexibilität der Verwaltung und die Verbindungsnachfrage betrifft.
Daher ist es sinnvoll, die Modempools und die Infrastruktur für das private
Netzwerk durch eine kostengünstigere, auf Internettechnologie basierende Lösung
zu ersetzen - damit sich das Unternehmen auf sein Kerngeschäft konzentrieren
kann. Bei einer Internetlösung erfüllen, wie nachstehend beschrieben, schon
wenige Internetverbindungen über Internetdienstanbieter (Internet Service
Provider, ISPs) und VPN-Servercomputer die Anforderungen von Hunderten, ja
Tausenden von Remoteclients und Zweigstellen an ein Remotenetzwerk.
Typische Einsatzfelder von VPNs
Die folgenden Abschnitte beschreiben einige häufig vorkommende VPN-Anwendungen.
Zugriff von Remotebenutzern über das Internet
VPNs ermöglichen den Remotezugriff auf Unternehmensressourcen über das
öffentliche Internet unter Wahrung der Informationssicherheit. Abbildung 2
zeigt ein VPN, das einen Remotebenutzer mit dem Intranet eines Unternehmens
verbindet.
Abbildung 2: Verbinden eines Remoteclients mit einem privaten LAN unter
Verwendung eines VPNs
Hierbei wählt sich der Benutzer nicht per Ferngespräch in einen Unternehmens-
oder ausgelagerten Server für den Netzwerkzugriff (Network Access Server, NAS)
ein, sondern per Ortsgespräch in einen lokalen ISP. Die VPN-Software erzeugt
unter Verwendung der Verbindung mit dem lokalen ISP ein virtuelles privates
Netzwerk zwischen diesem Benutzer und dem VPN-Server des Unternehmens über das
Internet.
Verbinden von Netzwerken über das Internet
Man unterscheidet zwei Verfahren, um lokale Netzwerke an Remotestandorten unter
Verwendung von VPNs zu verbinden:
- Verbinden einer Zweigstelle mit dem Unternehmens-LAN über eine Standleitung.
Anstatt eine teure Standleitung zwischen Zweigstelle und Firmenhub zu
verwenden, können die Router der Zweigstelle und des Firmenhubs die Verbindung
mit dem Internet über eine lokale Standleitung und einen lokalen ISP
herstellen. Die VPN-Software verwendet die lokalen ISP-Verbindungen und das
Internet, um ein virtuelles privates Netzwerk zwischen den Routern der
Zweigstelle und des Firmenhubs zu erstellen.
- Verbinden einer Zweigstelle mit dem Unternehmens-LAN über eine
DFÜ-Verbindung. Anstatt den Router der Zweigstelle über ein Ferngespräch in
einen Unternehmens- oder ausgelagerten Server für den Netzwerkzugriff (Network
Access Server, NAS) einwählen zu lassen, kann sich der Router der Zweigstelle
in den lokalen ISP einwählen. Die VPN-Software verwendet die Verbindung mit dem
lokalen ISP, um ein virtuelles privates Netzwerk zwischen den Routern der Zweigstelle
und des Firmenhubs über das Internet zu erstellen.
Abbildung 3: Verbinden von zwei Remotestandorten unter Verwendung eines VPNs
In beiden Fällen sind es lokale Einrichtungen, die die Zweigstelle und das
Unternehmen mit dem Internet verbinden. Der Router des Firmenhubs, der als
VPN-Server fungiert, muss mit einem lokalen ISP über eine Standleitung
verbunden sein. Dieser VPN-Server muss rund um die Uhr für eingehenden
VPN-Verkehr empfangsbereit sein.
Verbinden von Computern über ein Intranet
In einigen firmeneigenen Netzwerken verfügen bestimmte Abteilungen über derart
vertrauliche Daten, dass das Abteilungs-LAN physisch vom übrigen firmeneigenen
Netzwerk getrennt ist. Einerseits werden so die vertraulichen Abteilungsdaten
geschützt, andererseits entstehen für Benutzer, die nicht physisch mit dem
separaten LAN verbunden sind, Probleme beim Zugriff auf diese Daten.
Abbildung 4: Verbinden von zwei Computern im Intranet unter Verwendung eines
VPNs
Über ein VPN kann das Abteilungs-LAN einerseits physisch mit dem firmeneigenen
Netzwerk verbunden werden, wobei es aber andererseits durch einen VPN-Server
getrennt ist. Der VPN-Server fungiert nicht als Router zwischen dem
firmeneigenen Netzwerk und Abteilungs-LAN. Ein Router würde die beiden Netzwerke
verbinden, so dass jeder auf das sensitive LAN zugreifen könnte. Mithilfe des
VPNs kann der Netzwerkadministrator sicherstellen, dass nur Benutzer mit
geeigneten Anmeldeinformationen (basierend auf unternehmensinternen
Richtlinien) ein VPN mit dem Server einrichten und auf die geschützten
Abteilungsressourcen zugreifen können. Darüber hinaus kann die gesamte
Kommunikation über das VPN verschlüsselt werden, um die Vertraulichkeit der
Daten sicherzustellen. Benutzern ohne geeignete Anmeldeinformationen bleibt das
Abteilungs-LAN verborgen.
Div. Tools zur Geschwindigkeitsanzeige,
Netzwerk-/Port-/Router-Überwachung und IP-Anzeige
Router System Status
http://www.powerforming.de/rss-d.html
Router System
Status (RSS) ist ein kleines Programm, dass Ihnen erlaubt Ihren Router in einem
Fenster (Ansicht) zu überwachen. Nach einer ersten Version für den Prestige 310
wurden eine Reihe weiterer Router zugefügt.
DuMeter
http://www.hageltech.com/dumeter/
DU Meter 2.2 is a powerful successor to our
award-winning Internet connection monitoring tool, NetMeter.
So what does DU Meter actually do? Quite simply, it lets you see how much of your
full bandwidth potential is actually utilized at any given point of time,
either by displaying a real-time graph, numerical display, or both. It lets you
actually SEE the data flowing!
MyVitalAgent
http://vital.lucent.com/qip/spectra/invoke.cfm?id=FBAD6307%2D6CCA%2D4CC3%2D851F5D42DB652AB2&Method=
DisplayDetails
Introducing MyVitalAgent, a free Internet companion that
puts you in control of your online experience.
MyVitalAgent is the next generation of the award-winning Net.Medic software,
which pioneered end-user perspective performance mangement. Whether connecting
to the Internet via DSL, cable, or dial-up, MyVitalAgent offers complete,
end-to-end visibility into the components of your network path.
NetStat
Live
http://www.analogx.com/contents/download/network/nsl.htm
NSL is a small, easy to use TCP/IP protocol monitor
which can be used to see your exact throughput on both incoming and outgoing
data - whether you're using a modem, cable modem, DSL, or even local network!
NSL doesn't just stop there, it lets you see how quickly your data goes from
your computer to another computer on the internet; it even will tell you how
many other computers your data must go through to get there! But wait - there's
more! NSL also graphs your CPU usage of your system! This can be especially useful
in identifying if your computer is what's slowing things down, or if it's your
internet connection.
PC
Magazine's NetPerSec v1.0
http://www.zdnet.com/downloads/stories/info/0,,001DUV,.html
NetPerSec monitors all TCP/IP activity to and from the
Internet or other networks, and graphs the communication speed. The utility's
dynamic tray icon can show send and receive activity with a bar graph or a
histogram. For a detailed report, you can open the program's main window to
view current and average send and receive speeds in a configurable, graphical
display. You can adjust the sampling rate and the amount of data used to
compute the average.
XploiterStat
http://www.xploiter.com/tambu/totostat.shtml
XploiterStat Lite is a freeware network management
tool in a similar vein to the dos program 'Netstat.exe' - i.e. shows all the
connections to your machine, listening ports (identifying trojans) etc.
allowing you the user to see TCP/UDP & ICMP connections are present on your
machine. This is the latest release of the program formerly known as Totostat
Enhanced.
|
|
AW Security Port Scanner
http://www.atelierweb.com/pscan/index.htm
AW Security Port Scanner is a huge set of tools for
network security. This program is jampacked; there is just too much to mention.
The program sports two TCP port scanners, one UDP port scanner, one NetBIOS
scanner, a comprehensive Local Host and LAN information. AW Security Port
Scanner comes with its very own port finder and time synchronizer.
NukeNabber
http://www.dynamsol.com/puppet/nukenabber.html
NukeNabber sets itself up to listen on TCP and UDP
ports commonly attacked over the internet. A total of 50 ports can be monitored
simultaneously. ICMP dest_unreach attacks are now logged. It is designed to
give you the information you need in order to trace an attacker including a
method of finding an attacker's nickname on IRC (mIRC, VIRC and PIRCH clients
are supported).
MyWan IP
Diese Freeware-Tools zeigen einen die eigene
zugewiesene WAN IP-Adresse an.
OK - 95% Werbung und 5% eigentlicher Nutzwert. Aber es funktioniert halt. ;-)
http://www.mywanip.com/
|
|
IPMailer
Unter dem Link http://www.practicallynetworked.com/tools/index.htm#Other_router_util gibt es das Tool
"IPMailer" von Travis Watford, welches die WAN-IP-Adresse eines SMC-
oder Linksys-Routers ausliest und diese an vorher festgelegte Email-Adressen
versendet. Man kann dabei den Zeitinterval einstellen und auch das ganze
automatische auslesen lassen.
|
|
Barricade-Monitor (Freeware für private Nutzer)
http://www.frifra.de/mfritzs586/download_online.html#bm
Barricade-Monitor
dient der Überwachung des Onlinestatus von SMC-Barricade-Routern. Dieses Tool
ist auch mit Routern anderer Hersteller kompatibel, wenn diese über ein
entsprechendes HTML-Interface verfügen.
Barricade-Monitor kann die aktuelle vom ISP zugewiesene IP in eine belibige
ASCII-Datei (z.B. HTML-Seite oder *.js) auf einem FTP-Server schreiben, damit
können "interne" Server auch von außen zugänglich gemacht werden.
Unterstützte Router: Allied Telesyn AR220E, AMIT IP Sharer HiP400 (FW 1.93p),
Draytek Vigor 2000/2200 FW 1.07/1.08 nur DSL, Draytek Vigor 2000/2200 FW
1.07/1.08 nur ISDN, Elsa Lancom DSL/I-10 (DSL), Elsa Lancom DSL/I-10 (CH01),
Elsa Lancom DSL/I-10 (CH02), Linksys, Longshine LCS-883R-DSL-4F, Netgear,
Netgear RT311 (FW 3.25), Netgear RT314 (FW: V3.25(CA.0)), Netgear RO318,
Nexland xDSL, Nexland ISDN, Teledat DSL-Router FW 3.25, Teledat DSL Router
Komfort FW: V3.20(CA.0), US-Robotics USR8000 (FW 1.23), Zyxel Prestige 310
Telekom T-DSL Speedmanager
http://service.t-online.de/t-on/down/star/CP/cc-download-start.html
Der aktuelle
Speedmanager (Version 1.51) der Telekom zeigt jetzt auch bei einer Verbindung
über einen Soft- oder Hardware-Router die Verbindungsgeschwindigkeit an.
|
|
LK RouterControl (Freeware-Version)
http://www.chimp.de/index.php?id=201
Was kann LKRouterControl im Freeware-Mode?
- Statusanzeige im SysTray
- Telnet-Ansicht
- Kopieren der aktuellen IP
- Protokoll der Verbindungen (optional mit IP)
- Trennen der WAN-Verbindung
- Autostart von RC per Option
- automatisches Verbinden mit dem Router
- Erinnerung an bestehende Verbindung bei Programmende
- Direkthilfe im Einstellungsdialog
Folgende Zyxel bzw. OEM Router sollten je nach ROM-Version steuerbar sein:
- Netgear RT311/314 ROM ab 3.20
- Netgear RP114 ROM ab 3.25
- Zyxel Prestige 310
- Zyxel Prestige 314
- Teledat DSL
Software
für Verbindungsfreigaben in einem Netzwerk:
Neben
den hier vorgestellten/beschriebenen Hardware-Routern gibt es natürlich auch
noch eine ganze Menge Software-Varianten/-Lösungen um ein Internetverbindung
auch für andere User/PC in einem Netzwerk freizugeben.
Hier finden Sie einen Aufstellung von mehr oder weniger bekannteren
Windows-Programme, zusammen mit den entsprechenden Herstellerangaben. Dabei
handelt es sich natürlich nur um einen Ausschnitt der auf dem Markt verfügbaren
Programme. Auch im Funktionsumfang gibt es erhebliche Unterschiede. Von einer
“einfachen” Verbindungsfreigabe über NAT, bis hin zu einer kompletten
Proxy-Server Lösung mit Mail-Server, Firewall und Anti-Viren-Software. Manche
der hier genannten Programme sind kostenlos (z. B. Jana Server) und von einigen
Herstellern werden auch “Lightversionen” ihrer Produkte kostenlos angeboten.
Auf das in Windows 98SE, Windows ME und Windows 2000 bereits integrierte Internet Connection
Sharing (ICS)
- oder auf gut neudeutsch “Internetverbindungsfreigabe” - gehe ich dabei hier
nicht weiter ein. Eine sehr gute Anleitung für die Installation und auch noch
weitere gute Installationsanleitungen für einen Teil der hier vorgestellten
Programme, findet man u. a. bei http://adsl-support.de. Auch wird z. B. in der c’t
19/2000 ab Seite 118 Internet Connection Sharing von Windows
vorgestellt/beschrieben.
Im Moment sind hier auch (noch) keine Varianten für Linux aufgelistet/beschrieben.
Wenn Sie eine Lösung für Linux suchen kann ich u.a. die folgende Seite
empfehlen: www.adsl4linux.de Die z.Z. wohl bekanntesten Lösungen findet
man unter www.linuxrouter.org und http://www.fli4l.de.
Hinweis: Nicht unbedingt alle der hier aufgelisteten Programme funktionen auch
mit xDSL. (PPPoE). Daher sollte man dies vorher auf den Webseiten des
jeweiligen Herstellers überprüfen, bzw. mit dem jeweiligen Hersteller abklären!
Softwarevarianten
Teil 1:
Auf den
folgenden Seiten finden Sie die Softwarelösungen folgender Hersteller:
|
Softwarevarianten Teil 2:
Auf den
folgenden Seiten finden Sie die Softwarelösungen folgender Hersteller:
|
AnalogX Proxy
http://www.analogx.com/contents/download/network/proxy.htm
Overview:
Do you have several machines on a network, but only
one connection to the internet? Wish you could browse the net from the other
machines, just like you can from the machine that's connected? Then what you're
looking for is called a Proxy Server, and AnalogX has just what you want.
AnalogX Proxy is a small and simple server that allows any other machine on
your local network to route it's requests through a central machine. So what
does that mean in English? Simple, run Proxy on the machine with the internet
connection; configure the other machines to use a proxy (it's very easy,
there's a detailed description in the readme), and voila! You're surfing the
web from any other machine on your network! Supports HTTP (web), HTTPS (secure
web), POP3 (recieve mail), SMTP (send mail), NNTP (newsgroups), FTP (file
transfer), and Socks4/4a and partial Socks5 (no UDP) protocols! It works great
with Internet Explorer, Netscape, AOL, AOL Instant Messenger, Microsoft
Messenger, and many more!
Avirt Soho
http://www.avirt.com/soho/index.html
Overview:
Developed for the home or small office, Soho installs in minutes! Its
intuitive wizards and simple interface automate the setup process and make
maintenance a snap. Don't worry if you're new to networking or Internet sharing
- Avirt Soho does all the work!
Features:
Share one Internet connection - distribute Internet access across your
LAN with only modem, ISDN, DSL, T1/T3, wireless, or DirecPC line.
Automatic client configuration - with Avirt's client-side installation,
there's no need to configure each application manually to use the proxy server.
Using SOCKS, traffic is routed from each client computer as if it had a direct
Internet connection - and the process is transparent!
Automatic proxy detection - using Avirt's unique Automatic Proxy
Detection (APD2) protocol, clients autodetect the server, eliminating the need
for messy configurations.
Dial on demand - initiate a dial-up connection from any client machine.
Firewall - Avirt hides your internal network addresses behind an
application-level firewall to protect your LAN from outsiders. You can feel
safe even with an always-on connection.
Standard email - view web-based email from your browser or send and
receive email using a mail client like Microsoft Outlook.
Shared cache - Avirt caches frequently visited sites for quick
retrieval.
DHCP server - the Dynamic Host Configuration Protocol (DHCP) server
automatically assigns IP addresses to LAN clients, simplifying configuration.
DNS forwarding - Domain Name Service (DNS)
Logging - view all online activity real time in the log window
Avirt Gateway
http://www.avirt.com/gateway/index.html
Overview:
Developed for the small to medium-sized office, Gateway combines the
simplicity of Avirt's Internet sharing with advanced features that most offices
need. With a more advanced firewall, native protocol support, reverse bridging
capability, and easy scalability, Gateway is the best buy for office Internet
sharing.
Features:
Share one Internet connection - distribute Internet access across your
LAN with only one modem, ISDN, DSL, T1/T3, wireless, or DirecPC line.
Automatic client configuration - with Avirt's client-side installation,
there's no need to configure each application manually to use the proxy server.
Traffic is routed from each client computer as if it had its own Internet
connection - and the process is transparent! If you prefer, Gateway Suite also
allows you to set up client computers manually.
Automatic proxy detection - using Avirt's unique Automatic Proxy
Detection (APD2) protocol, clients autodetect the proxy server, eliminating the
need for messy configurations.
Dial on demand - initiate a dial-up connection from any client machine.
Auto disconnect - set Avirt to disconnect after a specified period of
inactivity.
Firewall - Avirt hides your internal network addresses behind an
application-level firewall to protect your LAN from outsiders. You can feel
safe even with an always-on connection.
Shared cache - Avirt caches frequently visited pages for quick
retrieval.
DHCP server - the Dynamic Host Configuration Protocol (DHCP) server
automatically assigns IP addresses to LAN clients, simplifying configuration.
If you prefer, Gateway Suite also allows you to disable DHCP in favor of an
existing DHCP server or manual configuration.
DNS forwarding - Domain Name Service (DNS) forwarder translates domain
names to real IP addresses.
Logging - view all online activity real-time in the log window or save
the activity as a log file for viewing with any third-party log file analyzer.
Native protocol support - supports HTTP, HTTPS, FTP, NNTP, POP3, SMTP,
Telnet, SOCKS 4/5, Real Audio, DNS, PPTP, IRC, VDO Live, CSI 3/4, WinCIM.
Proxy to proxy support
Online game/Internet gaming support - play most online games or participate
in Internet gaming
Allowed connections - with Avirt's advanced IP-based security,
administrators can specify the exact IP addresses of machines that are allowed
to connect to the proxy. If an unauthorized machine (from the LAN or the
Internet) tries to initiate communication, the proxy will reject the
connection.
AOL, MSN, Compuserve - Avirt works with any ISP, including AOL, MSN, or
Compuserve.
TCP/UDP bridging - bridge all traffic on designated ports directly to
specific locations.
Reverse bridging - with reverse bridging (reverse proxy) you can easily
configure the proxy server to allow access to internally hosted web or email
servers.
Mac/Unix/Linux client support - non-Windows clients be manually
configured to use the Avirt proxy as long as TCP/IP is installed on those
clients and the server is a PC running Windows.
Standard email - view web-based email from your browser or send and
receive email using a mail client like Microsoft Outlook.
Avirt Gateway Suite
http://www.avirt.com/suite/index.html
Overview:
The complete office solution, Gateway Suite combines the features of
Avirt Gateway with the functionality of Avirt Mail in one integrated package.
Imagine setting up an office to share Internet access AND collect and sort
email with just one installation! This feature-rich package takes the hassle
out of getting everybody connected.
Features:
Share one Internet connection - distribute Internet access across your
LAN with only one modem, ISDN, DSL, T1/T3, wireless, or DirecPC line.
Automatic client configuration - with Avirt's client-side installation,
there's no need to configure each application manually to use the proxy server.
Traffic is routed from each client computer as if it had its own Internet
connection - and the process is transparent! If you prefer, Gateway Suite also
allows you to set up client computers manually.
Automatic proxy detection - using Avirt's unique Automatic Proxy
Detection (APD2) protocol, clients autodetect the proxy server, eliminating the
need for messy configurations.
Dial on demand - initiate a dial-up connection from any client machine.
Auto disconnect - set Avirt to disconnect after a specified period of
inactivity.
Firewall - Avirt hides your internal network addresses behind an application-level
firewall to protect your LAN from outsiders. You can feel safe even with an
always-on connection.
Shared cache - Avirt caches frequently visited pages for quick
retrieval.
DHCP server - the Dynamic Host Configuration Protocol (DHCP) server
automatically assigns IP addresses to LAN clients, simplifying configuration.
If you prefer, Gateway Suite also allows you to disable DHCP in favor of an
existing DHCP server or manual configuration.
DNS forwarding - Domain Name Service (DNS) forwarder translates domain
names to real IP addresses.
Logging - view all online activity real-time in the log window or save
the activity as a log file for viewing with any third-party log file analyzer.
Native protocol support - supports HTTP, HTTPS, FTP, NNTP, POP3, SMTP,
Telnet, SOCKS 4/5, Real Audio, DNS, PPTP, IRC, VDO Live, CSI 3/4, WinCIM.
Proxy to proxy support
Online game/Internet gaming support - play most online games or participate
in Internet gaming
Allowed connections - with Avirt's advanced IP-based security,
administrators can specify the exact IP addresses of machines that are allowed
to connect to the proxy. If an unauthorized machine (from the LAN or the
Internet) tries to initiate communication, the proxy will reject the
connection.
AOL, MSN, Compuserve - Avirt works with any ISP, including AOL, MSN, or
Compuserve.
TCP/UDP bridging - bridge all traffic on designated ports directly to
specific locations.
Reverse bridging - with reverse bridging (reverse proxy) you can easily
configure the proxy server to allow access to internally hosted web or email
servers.
Mac/Unix/Linux client support - non-Windows clients be manually
configured to use the Avirt proxy as long as TCP/IP is installed on those
clients and the server is a PC running Windows.
Standard email - view web-based email from your browser or send and
receive email using a mail client like Microsoft Outlook.
Intraoffice email - send email inside the office without making an
Internet connection.
POP3 server - Avirt collects email from multiple accounts at specified
intervals and sorts it to local boxes. Clients can then retrieve email from
those local boxes using their favorite email client without making an Internet
connection. Since Avirt receives mail for the entire office, it improves
efficiency and speed and eliminates bottlenecks.
SMTP server - all messages sent from inside the office are stored
locally until Avirt collects email. Messages marked as "high
priority" are sent immediately.
Mail sorting - automatically or manually configure Avirt to sort
incoming email to specific local boxes for easy and confidential
retrieval.
Mail filtering - filter incoming email based on the TO:, FROM:, CC:, or
SUBJECT: fields. Mail can be directed to specific local boxes or even deleted.
AVM
KEN! DSL
http://www.avm.de/de/Produkte/Software/PC_Software/KEN_DSL/index.html
Überblick:
ISDN und
ADSL für kleine Netze
KEN! DSL verbindet umfassende ISDN-Funktionalität mit dem
Hochgeschwindigkeits-Internetzugang über ADSL. Auf eine einzige, zentral
installierte FRITZ!Card oder einen ISDN-Controller B1 kann von jedem Rechner im
Netzwerk zugegriffen werden, für Faxversand, Datenübertragung zu einem anderen
Rechner oder Online-Banking. Parallel zur ISDN-Kommunikation können alle
Benutzer mit ADSL-Geschwindigkeit im Internet arbeiten. KEN! DSL vereint unter
einer einfachen und intuitiven Oberfläche die Vorteile des kombinierten
ISDN/ADSL-Anschlusses: Eine preisgünstigeLösung für die
PC-Kommunikationsaufgaben in kleinen und mittelgroßen Netzen.
Funktionsumfang:
KEN! DSL bietet, was kleine Firmen heute fordern
Bereitstellung der Dienste ISDN, Internet- oder E-Mail für vernetzte PCs
ISDN-Kommunikation gebündelt über einen einzigen Anschluß
gemeinsame, gleichzeitige und kostengünstige Nutzung eines ADSL- oder
ISDN-Zugangs zum Internet
hohe Wirtschaftlichkeit und niedrige Betriebskosten
einfache Installation und unkomplizierte Bedienung
Optimaler Schutz vor unberechtigten Zugriffen von außen
Netzwerk-CAPI
Applikationsschnittstelle CAPI 2.0 für Windows 95/98, NT 4.0, 2000.
AVM FRITZ!32 mit Lizenz für alle Anwender von KEN! DSL für Telefax,
Dateitransfer, Mailbox, und mehr.
MSN-Unterstützung für ein- und ausgehende Verbindungen
World Wide Web
Stellvertretend übernimmt KEN! DSL die gesamte Internet-Kommunikation mit
einer einzigen Internet-Verbindung (FTP- & HTTP-Proxy für ADSL und ISDN)
KEN! DSL speichert bereits geladene Web-Seiten (Cache)
Kompatibel mit Web-Browsern von Microsoft oder Netscape.
Sekundenschneller Verbindungsauf- und -abbau zum Internet-Anbieter nach Bedarf,
transparent für Benutzer, optimale Kostenersparnis und Kostenkontrolle
Einfacher Zugriff auf die Diskussionsforen des Internets (News-Proxy)
E-Mail-Dienst
E-Mail-Server für ISDN und ADSL (POP3- und SMTP) mit Zwischenspeicherung
Kompatibel mit E-Mail-Clients von Microsoft, Netscape und anderen
Periodisches Empfangen und Senden, sowie sofortiger Austausch bei Bedarf
Auch für interne E-Mails nutzbar
E-Mail-Empfang aus dem Internet von einem oder mehreren POP3-Servern
Technische Details
32-Bit NDIS 3.0/CAPI 2.0 Schnittstelle für Fax- und Datenanwendungen
PPP over Ethernet für die ADSL-Internetverbindung
PPP over ISDN, PAP/CHAP, mit dynamischer IP-Adresse, Datenkompression,
Kanalbündelung nach Wunsch
DHCP-Server für die automatische Vergabe von IP-Adressen im Netz
Umsetzung der IP-Adressen des lokalen Netzes (IP-Masquerading)
Wochenbudget für die maximale Verbindungsdauer zusätzlich zum Gebührenbudget
Ablehnung von unangeforderten externen Internetverbindungen
Systemvoraussetzungen
Industriestandard PC, Pentium-Prozessor 166 MHz oder höher, 32 MB
Hauptspeicher, 170 MB (Klient: 20 MB ) freier Festplattenspeicher
Windows 98, NT 4.0 oder Windows 2000, Klient auch Windows 95
Netzwerkkarte mit betriebsbereiter Netzwerkverbindung
Netzwerkkarte mit betriebsbereiter Netzwerkverbindung, freie Netzwerkkarte für
den Anschluss an T-ISDN dsl
ISDN-Controller mit CAPI 2.0 und aktueller Treibersoftware für Windows 98, NT
4.0 oder Windows 2000, spezifiziert für AVM ISDN-Controller (z.B. AVM
FRITZ!Card oder AVM ISDN-Controller B1)
ISDN-Basisanschluss oder T-ISDN dsl
Lieferumfang
Software KEN! DSL 1.04.30, FRITZ! und Web-Browser (Netscape, Microsoft) auf
CD-ROM sowie Handbücher KEN! DSL und FRITZ!
Jana Server
http://www.jana-server.ocm.de/Deutsch/FrameSet.htm
Beschreibung:
Jana ist
unter anderem ein Proxy Server, der jedem Benutzer oder einer Gruppe von
Benutzern den Zugang ins Internet über einen Modem oder ISDN Anschluß
ermöglicht. Dazu wird das Programm auf dem Computer, der einen Internetzugang,
also ein Modem oder einen ISDN Adapter hat, installiert. Bei den anderen
Computern im Netz ist kein Zusatzprogramm notwendig. Desweiteren ist der
"Jana Server" ein Email Server, der den Benutzern im lokalen Netz
erlaubt, sich gegenseitig Emails zu senden, oder auch jedem einzelnen Benutzer
ermöglicht, Emails über das Internet zu senden. Dabei kann jeder Benutzer sein
eigenes Emailkonto bei einem anderen Provider haben. Zusätzlich ist ein Http
Server integriert, der es erlaubt, lokal Webseiten zu testen, oder ein Intranet
zu erstellen. Dabei ist es möglich, Perl-Skripte für bestimmte Funktionen und
CGI einzusetzen. Weitere Funktionen, die in das Programm eingebaut sind, sind
die Gateway Funktion für FTP Programme, Telnet Monitore, Newsreader und selbst
definierbare Gateways.
JSentry Proxy
Server
http://www.jsentry.com
Overview:
JSentry proxy server allows all computers in your
network access to the Internet though one central connection. JSentry runs on
all Java platforms, including Windows 95/98/NT, Linux and Solaris. No custom
software is required to use JSentry - just use your existing web browser, FTP
software, news reader and email package. Computers in your network can be a
combination of Windows, Unix and Mac machines - the only requirement is TCP/IP.
Features:
Use the SOCKS proxy server for applications such as ICQ.
Surf the web using any web browser, such as Netscape or Internet Explorer.
Upload or download files with a standard FTP application, such as WS-FTP or
CuteFTP.
Send and receive e-mail with any mail application, such as Eudora.
Access news groups using a standard news reader.
Logon to remote computers using Telnet.
Easy remote administration through a web browser - monitor JSentry from any
computer in your network.
On-line logging options to monitor usage and errors.
Security options to restrict access to certain web sites and to restrict proxy
access to prevent unauthorized usage.
The Internet connection feature allows you to connect to and disconnect from
the Internet using a command or script.
Installs in minutes - no manual configuration of Windows batch files or Linux
shell scripts.
Product documentation in easy to use HTML format.
Protocols Supported
HTTP
HTTPS
FTP
NNTP
POP3
SMTP
Telnet
SOCKS 4/5
NAT32
http://www.nat32.com/
Overview/Features:
Many home and small business users have private local
area networks with only a single computer connected to the Internet. NAT32® is
a Windows Application which gives all computers on your private LAN direct
Internet access. NAT32 runs on the computer with the Internet connection and
acts as an enhanced IP Router for the other computers on your private LAN. Most
of your networking applications require no reconfiguration, they simply pass
all Internet packets to the NAT32 router, which forwards them to the Internet.
In the above configuration, NAT32 on Computer 1 gives all the other machines
direct Internet access. Computer 1 retains totally unmodified Internet access.
NAT32 supports Connection Sharing of Modems, ISDN Adapters and Cable Modems.
Each of your other computers is configured to use NAT32 (172.16.2.100) as its
Name Server and Gateway to the Internet. NAT32's built-in DHCP Server can
configure those other computers automatically if you set them to "Obtain
an IP address automatically" in Control Panel Network, TCP/IP Properties.
NAT32 is the only package of its kind to fully support the Windows DUN Server
in TCP/IP mode. Run NAT32 on your Office machine and then dial in from home to
access the Internet. No more busy tones, poor throughput or monthly ISP
charges!
NAT32 also supports the Windows NT RAS Server in TCP/IP and NAT mode.
NAT32 gives all the other machines (PCs, MACs, UNIX boxes etc.) on your private
LAN direct UDP, TCP and ICMP access to the Internet.
The PC running NAT32 retains totally unmodified Internet access and will
therefore run all networking applications independently of NAT32.
Networking applications running on your other machines generally require no
reconfiguration, because they use NAT32 as a gateway, not as a proxy server.
NAT32 configures fully automatically
NAT32 supports demand dialing and auto disconnect
NAT32 fully supports the Windows DUN Server in TCP/IP Mode. You can now set up
an Internet-connected office
computer to act as a Dial-In Server at certain times of the day, giving all
your home LAN machines full Internet access. Your office computer continues to
have unmodified TCP/IP access. You no longer require an ISP: your office
machine IS the ISP! No more monthly charges, busy tones, time-restrictions or
poor service!
NAT32 fully supports the Windows NT RAS Server in TCP/IP and NAT Mode.
NAT32 is a high-performance IP Gateway with added features such as IP Address
Translation and Transparent Port Mapping. Tests have shown that it out-performs
Windows 95 routing.
NAT32 works with ALL Cable Modem Services, including those which use Windows
Dial-Up Networking for the uplink.
Poetri
http://home.t-online.de/home/hanewin/poetri-d.htm
Beschreibung:
Internet
Sharing über ADSL für Windows 9x, Windows NT 4.0 und
Windows 2000
Internet Einzelplatz- oder LAN-Anbindung bei nur einer offiziellen IP-Adresse
über ADSL unter Windows 2000, Windows NT 4.0 oder Windows 9x ohne DFÜ/RAS ermöglicht
POETRI (PPPoverEthernet IP Routing Interface).
Zusammen mit der IP-Routing Funktionalität von Windows 9x oder Windows NT ist
transparenter Internetzugang aus einem LAN über IP-Masquerading möglich
Folgende Features sind implementiert:
PPP mit PAP oder CHAP
TCP-header Kompression
Datenkompression
Firewall mit Lernmodus
IP-Masquerading zur LAN-Anbindung bei nur einer IP-Adresse
DNS Umlenkung
Verbindungsabbau mit Shorthold zur Kostenoptimierung
schneller Verbindungsaufbau (ohne DFÜ/RAS unter Windows)
Sambar
http://www.sambar.com/
Overview:
The Sambar Server is a multi- threaded HTTP, FTP and
Proxy server for Windows NT and Windows 95. Sambar Sever has the following
functions:
- Multi-threaded WWW Server with highly programmable
API.
- DLL-based server APIs
- Dynamic HTML via scripting language and extensible methods.
- HTTP 1.1 KeepAlive Support.
- FTP Server per-user or group read/write restrictions.
- HTTP, SSL, SMTP, POP3, FTP & IMAP4 Proxy.
- AD/content filtering via HTTP Proxy.
- Integrated Search Engine.
- Perl 5 included with server.
- CGI 1.1 suppport.
- WinCGI 1.3 suppport.
- Username/password and IP address Security.
- HTML based documentation and system configuration
Features:
Multi-threaded WWW Server with highly programmable API
JavaEngine Servlet runner
ISAPI Extension support
DLL-based server APIs
Easily Installed, Uninstalled and Configured
Dynamic HTML via scripting language, ODBC scripting, and extensible methods
Watcher Daemon for automatic server restart (and e-mail notification of
failure)
HTTP 1.1 KeepAlive and byte-range Support
HTTPS (SSL) support (using OpenSSL or RSA/SSL-C)
FTP Server (per-user or group read/write restrictions)
Mail Server: SMTP daemon, WebMail, POP3
DNS Server & Forwarding Proxy
Proxy for: HTTP, SSL, NNTP, SMTP, POP3, IMAP4, FTP and Real Audio/Video
SOCKS4/SOCKS5 Proxy support
.htaccess support
Dial-On-Demand
AD/content filtering via HTTP Proxy
Documents and images can be cached in memory for performance
Integrated Full-text Search Engine (boolean and wildcard searches)
Integrated Log File Analysis
Integrated Web Camera software
Perl 5 included with server
CGI 1.1 & WinCGI 1.3 support
Server-side Includes
Virtual domain support
Document and CGI aliasing
Username/password and IP address based security
HTML based documentation and system configuration
Sygate Home
Network
http://www.sygate.com/products/gate_ov.htm
Overview:
Sygate® Home Network enables multiple computers to
simultaneously share a single Internet connection. Designed with ease of use as
its top priority, Sygate Home Network can be installed, set up, and run easily
and quickly from the user-friendly graphical interface. Sygate Home Network
makes sure users won’t waste time learning complicated applications and
enduring a complex installation.
Sygate Home Network is ideal for homes and small offices that need
cost-effective and secure Internet access. Multiple users can
transparently access the Internet as if they had direct access. Sygate Home
Network supports all common Internet access methods so that as you upgrade your
connection method and bandwidth, Sygate Home Network continues working for you.
Sygate Home Network gateway software provides an integrated firewall to prevent
intruders from viewing and accessing your home/home office network from the
Internet.
As the number of security breaches has increased at a rapid pace, security has
become important issue for those who access the Internet. In addition, the
window of opportunity for hackers is growing with the advent of
"always-on" connectivity options such as DSL and cable
modems. This firewall protects your information and data from hackers and
secures your personal computer.
Features:
Simple, Automated Installation: Sygate Home Network installs in just
minutes on your SOHO network’s gateway machine (the PC that directly accesses
the Internet). Unlike proxy-based products, Sygate Home Network is based
on Network Address Translation (NAT) technology, which requires no additional
setup on the other PCs in your network. The gateway machine will
automatically assign all required parameters to each computer (via its built-in
DHCP server), enabling you to connect all your PCs to the Internet
quickly. Sygate Home Network can be pre-configured prior to installation
using its new initialization file - a great feature for IT administrators that
wish to distribute the software to telecommuters.
Single NIC Support: Sygate Home Network can be configured to utilize a
single Network Interface Card (NIC) for sharing an Internet connection
(external broadband modems only). Users no longer need to install a second
NIC in the gateway PC, which saves money and makes set-up a breeze.
Network Setup Troubleshooting: Sygate Home Network reviews your network
settings to ensure that your network is working properly. If not, Sygate will
either correct the problem or advise you on repair steps.
Intuitive User Interface: Sygate Home Network has a new and improved
graphical interface that provides easy control of the gateway machine.
This utility provides a history of recent Internet activity across the network,
Internet access control, network and firewall setting review.
Integrated Network Firewall: Sygate Home Network’s built-in firewall
delivers enterprise-quality security to your Home Office Network using its
packet filtering and dynamic tunneling technology. Sygate® Personal
Firewall (formerly Sybergen Secure Desktop™), Sygate’s FREE personal firewall
solution, can also be downloaded to provide a configurable firewall that meets
the security needs of your unique environment.
Selective Access: New Internet applications, such as games, require
communication between the Internet and the Sygate network that is not normally
permitted through the firewall. Sygate Home Network offers an “Access
Rule” feature that now permits specified software to pass certain traffic to
designated computers behind the Sygate Home Network firewall.
Permissions: You can control and schedule each computer’s Internet
access capabilities. Sygate Home Network allows you to block specific sites
from view, or define the sites each PC on your network can access.
Multiple Connection Types: Sygate Home Network supports analog and
broadband Internet connections, including DSL, cable, and DirecPC. Sygate Home
Network supports a wide variety of local network configurations including
Ethernet, HomePNA, HomeRF (and other wireless standards), USB, and
Ethernet-over-power lines. Also, Sygate Home Network supports the
Point-to-Point Protocol over Ethernet (PPPoE) for broadband connections that
require authentication.
Dial-on-Demand: Sygate Home Network will initiate a dial-up connection
if a user tries to access the Internet. You can configure Sygate® Home Network
to automatically disconnect from the Internet if no one accesses the Internet
within a certain time period.
New Power User Features: New in Sygate Home Network are features geared
toward the “power telecommuter”.
They include:
- DMZ Mode support with ARP capability
- DNS forwarding support for Linux/Win2K clients
- Multiple DNS support with auto-switching capabilities
Scalable Licensing: Sygate Home Network software is licensed in 3, 6,
and 10, 25, and unlimited user versions. Should your network grow, you
can simply add more user licenses to your network.
System Requirements:
Gateway PC:
Intel® 486 (or equivalent) processor or faster
Windows 95/98/NT 4.0/ (SP3 or higher)/ME/2000
32 MB of RAM or higher
10 MB free disk space
xDSL, ISDN, DirecPC, cable, or analog modem
TCP/IP protocol installed
VPN dial-up support for Win95/98
Client Machines:
Any TCP/IP client including MS Windows, Linux, Unix, and Macintosh workstations
Sygate Office Network
http://www.sygate.com/products/access_ov.htm
Overview:
Sygate® Office Network delivers a complete Internet
access management solution that provides shared Internet access, a secure
firewall, and optimization to maximize the use of the available
bandwidth. Sygate® Office Network turns any PC into a powerful Internet
gateway with enterprise-level management features, while protecting the
computers on your network. Now, small to medium sized businesses can enjoy
enterprise-quality Internet access without adding expensive networking hardware.
Do you need more bandwidth, but worry about costs and logistics? Sygate® Office
Network allows you to add bandwidth by pooling several analog modems together.
If you're ready for broadband access, such as DSL or ISDN, Sygate® Office
Network is ready when you are. Does someone periodically "steal"
your company's bandwidth with large file transfers? Sygate® Office Network
optimizes the use of the available bandwidth to ensure that your
mission-critical applications run smoothly.
Do you worry about security threats to your network? Sygate® Office Network
includes an integrated firewall to protect all computers accessing the Internet
from intruders. Built on the proven SyGate® technology, Sygate® Office Network
is a secure, integrated solution that is designed to help small and highly
distributed enterprises to maximize the efficiency of their Internet
connection.
Features
Internet Connection Management: Sygate® Office Network provides
scalable Internet access sharing (as a software router) across various
connection types, such as DSL, T1, ISDN, analog modems, cable modems, and
satellite.
Built-in Firewall:
Sygate® Office Network's built-in firewall delivers enterprise-quality
security to both the network and the gateway computer using its packet filtering
and dynamic tunneling technology.
Modem Pooling: Sygate® Office Network lets you combine the bandwidth of
several analog modems, giving you a highly scalable access solution.
Dynamic Bandwidth Optimization: Sygate® Office Network ensures bandwidth
hungry applications, such as large file transfers, do not impact/degrade your
network performance.
Bandwidth Management and Control: Improves the performance of your
Internet connection by giving business-critical applications and/or users top
priority.
Simple Automated Installation: Sygate® Office Network installs in just
minutes on one PC in your network that directly accesses the Internet. Sygate®
Office Network automatically assigns all needed parameters to each computer,
including TCP/IP address, subnet mask, gateway and DNS server. After one
install process, all of your network computers will have Internet access.
Application Support: Unlike proxy-based products, Sygate® Office Network
is based on Network Address Translation (NAT) technology. Internet applications
such as email clients, Web browsers, news, chat, and Instant Messaging work
automatically.
Network Diagnostics: Sygate® Office Network reviews your network
settings to ensure that your network is working properly. If not, Sygate® Office
Network will either correct the problem or advise you on repair options.
VPN Support: Sygate® Office Network supports most PPTP and IPSec VPN
solutions such as Microsoft PPTP, Shiva VPN Client, and Bay Networks VPN.
System Requirements:
Gateway PC:
Intel® 486 (or equivalent) processor or faster
Windows 95/98/NT 4.0 (SP3 or higher)
32 MB of RAM or higher
10 MB free disk space
DSL, DirecPC, or Cable Modem and Two Network Interface cards or one Network
Interface Card and a dial-up analog or ISDN modem.
A working Internet account with Microsoft Dial-Up Networking 1.2 or higher,
America Online 4.0 or higher, DirecPC, or a Cable or DSL service.
TCP/IP protocol installed
Client Machines:
Any TCP/IP client including MS Windows, Linux, Unix, and Macintosh workstations
deerfield Wingate
http://www.deerfield.com/products/wingate/
Overview:
WinGate is easy to set up, easy to use and the
benefits and applications are almost endless! WinGate provides Internet sharing
technology that allows each computer in your home simultaneous access to the
Internet, via a shared connection. Now family members can:
Share a printer
Surf the Internet simultaneously
Download, transfer or share files
Ensure safe Internet usage for children
Protect against hackers and other intruders
Challenge family and friends to on-line games, and more ...more seamlessly than
ever, all from your single, existing Internet account!
HOME:
Provides a simplified user interface with all of the basic product features for
Internet sharing. Minimal configuration is required, making this version ideal
for those with basic Internet needs, such as browsing and e-mailing.
Features:
Easy Configuration
Feature
During the installation process, WinGate's Installation Wizard can
automatically detect necessary settings and configuration information.
Benefit
Because of WinGate's automated Installation Wizard, prior knowledge of
networking or proxy setup is unnecessary.
Runs as a Service
Feature
WinGate runs as a service in Windows 95/98/2000 and NT. This means that WinGate
will start automatically when you start the server computer.
Benefit
Without any user intervention, WinGate is ready to handle network requests as
soon as the server computer is turned on.
Dial on Demand
Feature
WinGate can automatically dial your Internet connection whenever a connection
is necessary.
Benefit
Dial on Demand allows your Internet connection to conserve valuable online
minutes by connecting only when needed.
DHCP Server/ DNS Server
Feature
WinGate's DHCP and DNS Servers automatically assign identities to your home
network computers allowing them to communicate with each other and the
Internet.
Benefit
By reducing confusing and difficult manual configuration, WinGate helps set up
your network smoothly and quickly.
STANDART:
Offers intermediate features, such as network-wide user control that permits
parents to have practical control over what content is viewed by family members
and when. Program administration is intuitive and is performed from the WinGate
Server (the computer with the Internet connection)
Features:
Easy Configuration
Feature
During the installation process, WinGate's Installation Wizard can
automatically detect necessary settings and configuration information.
Benefit
Because of WinGate's automated Installation Wizard, prior knowledge of
networking or proxy setup is unnecessary.
Runs as a Service
Feature
WinGate runs as a service in Windows 95/98/2000 and NT. This means that WinGate
will start automatically when you start the server computer.
Benefit
Without any user intervention, WinGate is ready to handle network requests as
soon as the server computer is turned on.
Dial on Demand
Feature
WinGate can automatically dial your Internet connection whenever a connection
is necessary.
Benefit
Dial on Demand allows your Internet connection to conserve valuable online
minutes by connecting only when needed.
DHCP Server/ DNS Server
Feature
WinGate's DHCP and DNS Servers automatically assign identities to your network
computers allowing them to communicate with each other and the Internet.
Benefit
By reducing confusing and difficult manual configuration, WinGate helps set up
your network smoothly and quickly.
Ban Lists
Feature
WinGate features a "Banned Sites" list that allows administrators to
restrict access to inappropriate Web content.
Benefit
The WinGate "Banned Sites" list allows parents or organizations to
effectively control Web content viewed by family or staff members.
Rules
Feature
Rules are another feature included in WinGate Standard and Pro that offers a
system administrator the ability to customize their network. Rules can be
applied to specific client computers to allow or restrict access to the
Internet or specific sites.
Benefit
An administrator can improve productivity and safe Internet usage by setting up
Rules for each user.
Proxy Support
Feature
WinGate Standard supports a number of different proxies including WWW, SOCKS,
FTP, POP3, and more.
Benefit
With its ability to integrate proxy support with automatic configuration,
WinGate Standard and Pro offers greater flexibility in supporting Internet
applications.
PRO:
Enables every feature of WinGate including advanced
customization and the ability to restrict Internet access rights to individual
users and groups. Robust enough for even the largest enterprise, program
administration is accomodating and may be performed from any computer on the
network, or the Internet.
Features:
Easy Configuration
Feature
During the installation process, WinGate's Installation Wizard can
automatically detect necessary settings and configuration information.
Benefit
Because of WinGate's automated Installation Wizard, prior knowledge of
networking or proxy setup is unnecessary.
Runs as a Service
Feature
WinGate runs as a service in Windows 95/98/2000 and NT. This means that WinGate
will start automatically when you start the server computer.
Benefit
Without any user intervention, WinGate is ready to handle network requests as
soon as the server computer is turned on.
Dial on Demand
Feature
WinGate can automatically dial your Internet connection whenever a connection
is necessary.
Benefit
Dial on Demand allows your Internet connection to conserve valuable online
minutes by connecting only when needed.
DHCP Server/ DNS Server
Feature
WinGate's DHCP and DNS Servers automatically assign identities to your network
computers allowing them to communicate with each other and the Internet.
Benefit
By reducing confusing and difficult manual configuration, WinGate helps set up
your network smoothly and quickly.
Ban Lists
Feature
WinGate features a "Banned Sites" list that allows administrators to
restrict access to inappropriate Web content.
Benefit
The WinGate "Banned Sites" list allows parents or organizations to
effectively control Web content viewed by family or staff members.
Rules
Feature
Rules are another feature included in WinGate Standard and Pro that offers a
system administrator the ability to customize their network. Rules can be
applied to specific client computers to allow or restrict access to the
Internet or specific sites.
Benefit
An administrator can improve productivity and safe Internet usage by setting up
Rules for each user.
Proxy Support
Feature
WinGate Standard supports a number of different proxies including WWW, SOCKS,
FTP, POP3, and more.
Benefit
With its ability to integrate proxy support with automatic configuration,
WinGate Standard and Pro offers greater flexibility in supporting Internet
applications.
Remote Administration
Feature
WinGate Pro offers a remote administration utility to GateKeeper. Using an
encrypted TCP/IP connection, anyone with access rights can control the WinGate
server from anywhere on the network.
Benefit
Especially useful on large or widespread networks, remote access provides
simple and seamless access for administrative changes from any client machine
on the network.
Extended User Database
Feature
WinGate Pro offers a comprehensive look at each user on the WinGate network.
Rules can be set for a single user or a group of users allowing extensive
logging and auditing capabilities. The Database also supports password
authentication for users.
Benefit
Extended User Database logging and auditing allows the administrator to better
monitor and control Internet usage of each user, promoting responsible and
productive Internet usage.
Client Authentication
Feature
WinGate Internet Client allows user authentication based on a user name or a
specified computer name.
Benefit
By utilizing Client Authentication, an administrator can control which computer
a user can use, or control Internet access no matter what computer is used
making the network safer and more efficient.
Scheduler
Feature
WinGate's scheduler can be set to automatically perform operations such as
backing up log files, purging cache files, starting the dialer, or stopping and
starting the WinGate engine.
Benefit
The scheduler is an extremely flexible tool for automating your WinGate system
at predefined times, or over any time interval.
Winproxy
http://www.winproxy.com/
Overview:
WinProxy provides everything you need to
simultaneously connect all your computers to the Internet through just one
simple connection with your existing service provider. Plus, it includes
innovative features like a built-in firewall, centralized anti-virus
protection, website filtering and user privileges to put you in complete
control of Internet access.
Features:
New Transparent Proxy Technology - WinProxy combines the simplicity of
Network Address Translation with the flexibility and control of a proxy server.
This eliminates the need to re-configure applications or install special
software on each client computer while preserving the ability to control and
actually enhance Internet access for your entire network. And, built-in DNS and
DHCP servers eliminate network configuration making installation a breeze for
even a novice.
Simple to set-up - WinProxy’s new transparent proxy technology gets you
up and running in minutes by eliminating the complexity of traditional Internet
sharing schemes. Simply install WinProxy on just one of your network’s PCs. Its
intelligent Install Wizard does away with network jargon and automatically
verifies your Internet connection settings.
Simultaneous and Transparent Access - With WinProxy there’s no special
software to install on each computer, and no need to configure individual
applications. Simply open your browser or other Internet application and you’re
automatically connected to the Internet. And, it works with all your favorite
applications including e-mail, chat, NetMeeting — even online games.
Secure Firewall and Anti-Virus Protection - WinProxy protects your
entire network against Internet intruders and Net borne viruses. Choose from
pre-defined Firewall security settings or customize your own. Its built-in
anti-virus protection(2) guards against malicious code in e-mail attachments
and Internet downloads, allowing you to stop infected files from entering your
network.
Block access to undesirable websites - WinProxy’s comprehensive site
filtering allows you to block access to sites containing objectionable
material. Predefined lists are updated regularly and cover sex, hate speech,
criminal intent, extreme or drugs.(3) Twenty-two additional categories may be
added for maximum security. An additional Whitelist option only allows access
to the sites you specify.
Set user privileges - With WinProxy, you’re in control over who gets on
the Net. Limit access by time of the day or individual computers by specific
activities such as browsing, chat or e-mail.
Faster page loading - Advanced network-wide HTTP and DNS caching gives
every user accelerated access to frequently visited sites.
Free technical support and update protection - Even an expert needs help
from time to time. WinProxy includes free technical support via e-mail or its
comprehensive online SupportBase. Customers may also download and install new
product updates released within 30 days of installation free of charge.
Additional WinProxy Features
- Saves money by eliminating multiple phone lines, modems, and user
accounts
- Works with any ISP including AOL(1)
- Windows 95/98/NT/2000/ME compatible
- Works with cable modems, DSL, modems, ISDN, Frame Relay, T1-T3, wireless
- Supports virtually any PC network including Windows 95/98/NT/2000/ME built-in
networking and phoneline networks
- Does not require a dedicated server
- Automatically runs in background
- Supports Mac and Unix/Linux clients
- Internet gaming - supports most online games
- Supports all popular e-Mail clients including Eudora and Outlook and multiple
mail servers
- Banner Blocker stops unwanted ads from loading
- Automatically connects and disconnects from Internet as required
- View all active Internet connections in real time
- Maintains a historical log of all connections
- Supports e-mail and Web servers located behind the Firewall
- Proxy cascading and mapped port support
Tiny Software Winroute Pro
http://www.tinysoftware.com/home/tiny
Overview:
WinRoute Pro is the ultimate Internet Route &
Firewall software solution that makes it virtually effortless to set all
computers in your network to a single Internet connection.
Connect through a dial-up line, DSL, ISDN, Cable, Leased line or DirectPC.
Features:
Remote Administration - WinRoute Administration provides the
configuration and settings needed on the WinRoute Engine. WinRoute
Administrator is a separate application (wradmin.exe) that may be activated
from any computer with a TCP/IP connection to the computer running the WinRoute
Engine. The access to the Engine is secured by strong encryption and password
protection.
Logging - WinRoute provides an administrator with ultimate control over the
trafic flowing through the computer it is running on. The Administrator may
benefit from analyzing the flow of TCP, UDP, ICMP, ARP packets, DNS requests,
driver information and more. All operations include the Time Stamp feature.
NAT Router - WinRoute includes the best implementation of NAT technology
available today. It is designed to provide users with the ultimate in routing
capability and network protection. The NAT driver, written exclusively for
WinRoute, offers a security solution comparable to more expensive products at
substantially less cost.
Advanced NAT - The advanced routing features of WinRoute's NAT allows
for the easy integration of a LAN into the corporate WAN while keeping the
option available for separate Internet access.
Hosting Servers Behind WinRoute - Port Mapping technology allows users
to decide how they want to divert IP packets passing through any interface
operated by WinRoute. With WinRoute, users can set packets coming to a specific
port to be forwarded to a specific internal computer. This allows them to run a
web server or mail server, VPN server or other applications securely behind the
firewall.
Firewall Security - WinRoute gives users a comparable level of firewall
capability found in far more expensive solutions through a combination of its
NAT architecture and ability to operate on a low level. This allows WinRoute to
capture both incoming and outgoing packets, which makes it unbreakable.
Anti-spoofing is an add-on to WinRoute's packet filtering for futher protection
of the LAN against attacks where the intruder falsifies source IP addresses.
Simple Network Configuration - DHCP server and DNS forwarder included in
WinRoute Pro simplify the administration of network configuration. Both
components are mature technologies, WinRoute's DHCP server may easily replace
the DHCP server included in Windows NT.
Mail Server - WinRoute's Mail server, complete with SMTP/POP3
compatibility, virtually unlimited aliasing opportunities and automatic mail
sorting, is extremely versatile. Users can have one or more email addresses and
can effectively work in groups (i.e. sales, support, etc.) and each group can
be assigned to more users. All these features are available regardless of the
type of Internet connection being used.
HTTP Cache - WinRoute's architecture includes an innovative Cache
engine. Unlike proxy servers with caching functionality, WinRoute's cache
stores passing data in one file of pre-defined length; instead of using a
simple file for each object. This significantly saves the disc space occupied
by the cache, especially in FAT16 environments (mostly Windows 95).
Anschlußvarianten
eines Routers (Teil 1)
Bevor
ich zu den möglichen Anschlußarten eines Routers kommen, sollten vielleicht ein
paar Begriffe nochmal erklärt werden. Dabei habe ich versucht die Erklärungen
auf das Notwendigste zu reduzieren und mit einfachen Worten zu beschreiben. Ich
hoffe das darunter nicht die “Qualität” gelitten hat. ;-)
Netzwerkkarte
Die Beschreibung hierzu “schenke” ich mir mal, denn jeder User der sich mit
Routern beschäftigt sollte wohl auch wissen was eine Netzwerkkarte ist. ;-)
Trotzdem hier nochmal die unterschiedlichen Anschlußarten (Auswahl):
- AUI = Adapter Unit Interface (15pol Sub-D Buchse)
- BNC = Britisch Naval Connector oder Bayonet Nut Connection (50 Ohm
Steckverbinder für Koax-Kabel)
- RJ45 = Western-Stecker (zum Anschluß von TP [Twisted Pair] Kabel)
Hub
Netzwerkverteiler und Verstärker (manchmal auch Konzentrator,
Verbindungsrechner oder Sternverteiler genannt) für Ethernet/Fast-Ethernet/Gigabit-Ethernet.
Router
Router werden z.B. zur Verbindung zweier LANs mit unterschiedlichen
Topologien oder zur Anbindung von LANs an WANs (Internet) eingesetzt. Wann
immer ein Rechner via LAN eine Netzwerk-Ressource (z. B. Server, PC, Drucker)
ansprechen soll, die physikalisch in einem anderen Netzwerk (LAN oder WAN)
angesiedelt ist, dann stellt der Router den Kontakt zwischen beiden Netzwerken
her.
Switch
In der Netzwerktechnik versteht man unter einem Switch einen “aktiven Hub”,
der den Netzwerkverkehr zwischen Clients und Server(n) regelt. Datenpakete im
Netzwerk werden durch einen Switch auf den richtigen Übertragungspfad/-kanal
gelenkt. Dadurch wird das Datenvolumen in anderen Netzwerkbereichen reduziert
und die allgemeine Performance im Netzwerk erhöht.
Ethernet
Netztechnologie nach IEEE 802.3 - 10 Mbit/s mit 10Base2- oder
10BaseT-Kabeln
Fast-Ethernet
Netztechnologie nach IEEE 802.3U - 100 Mbit/s mit 100BaseTX-Kabel
10Base2
10-Mbit/s-Netzwerkstandard Ethernet (IEEE 802.3) mit Koax-Kabel (Thin-Coax)
RG 58 (50 Ohm), BNC-Stecker, T-Stück und Terminator.
10BaseT
10-Mbit/s-Netzwerkstandard Ethernet (IEEE 802.3i) mit Twisted-Pair-Kabel
und RJ-45-Wester-Stecker. Sternförmige Verkabelung (max. 100 mtr.) an
Hub/Switch.
100BaseTX
100-Mbit/s-Netzwerkstandard Fast-Ethernet (IEEE 802.3U) mit
Twisted-Pair-Kabel und RJ-45-Western-Stecker. Sternförmige Verkabelung (max.
100 m) an Hub/Switch.
Koax Kabel
Kabeltyp mit Innenleiter und Abschirmung für die im LAN beim früher
verbreiteten 10Base2 (Thin Ethernet) verwendete Busverkabelung (bis 10 Mbit/s)
Twisted Pair Kabel
Standard für Netzwerkkabel mit zwei oder mehr Paaren verdrillter Adern.
Unterschieden wird dabei:
- UTP Kabel
Unshielded Twisted Pair = Kabel ohne Paarschirm, ohne Gesamtschirm.
Es wird in Kategorien eingestuft (CAT 1 bis 5), wobei CAT 3 und CAT 5 die
wichtigsten sind. Beide haben eine Impedanz von 100 Ohm. UTP CAT 3 ist bis 16
MHz spezifiziert und z.B. für 10BaseT geeignet. UTP CAT 5 ist bis 100 MHz
spezifiziert und auch für 100BaseTX geeignet.
- S-UTP Kabel
Screened Unshielded Twisted Pair = Kabel ohne Paarschirm und mit
Gesamtschirm
- STP Kabel
Shielded Twisted Pair = Kabel mit Paarschirm und ohne Gesamtschirm
- S-STP Kabel
Screened Shielded Twisted Pair = Kabel mit Paarschirm und mit Gesamtschirm
Patch-Kabel
Da auch der Ausdruck Patch-Kabel häufig benutz wird hier noch die einfach
Erklärung dieses Begriffes: Eigentlich handelt es sich dabei um ein “Stück”
Twisted Pair Kabel. Ein Patch-Kabel ist im Prinzip ein
"Flicken"-Kabel ("Patch" engl.: "Flicken"),
welches benutzt wird, um fest verlegte Kabelstränge variabel zu verbinden -
also z.B. um einen Computer an das festverlegte Netzwerk (bzw. die
entsprechende Wandsteckdose) anzuschließen.
Crosslink-Kabel oder auch Crossover-Kabel, gekreuztes Kabel, über Kreuz
geschaltete Kabel usw.
Um zwei gleichrangige Systeme miteinander zu verbinden (also PC mit PC oder HUB
mit HUB)
Hier eine Abbildung zu dem 1:1- bzw. Crosslink-Kabel
|
|
Für User die so etwas bisher noch nicht gesehen hat, hier mal ein Stück Twisted
Pair Kabel. :-)
Dazu ist noch anzumerken das es die Kabel in unterschiedlichen Qualitäten und
Preislagen gibt. Die Bezeichnung CAT 5 bedeutet nur die Einhaltung des
Standards. Trotzdem gibt es bei den Kabeln Qualitätsunterschiede (Stichworte:
Knickschutz, halogenfrei).
Anschlußvarianten eines Routers (Teil 2)
Kommen
wir nun zu dem eigentlich Interessanten - dem Anschluß der (des) PC(‘s) an
einen Router, bzw. die Einbindung (den Aufbau) in das (des) Netzwerk(es).
Also man nehme ein Stück Butter, drei Eier, einen Router und ein Stück Kabel
... :-))
OK - also ernsthaft: Sehen wir uns mal einen Teil der möglichen verschiedenen
Ausgangssituationen an. Im Normalfall möchte man den Router benutzen um einen,
oder eher mehreren PC’s den Internetzugang zu ermöglichen. Wie man bei den auf
diesen Webseiten aufgelisteten Routermodelle sehen kann, gibt es Router ohne
und mit integrierten Hub bzw. Switch. Daraus könnten sich dann u.a. die
folgenden Anschlußvarianten ergeben:
1. ein PC + Router ohne integrierten Hub oder Switch
2. ein bzw. mehrere PC + Router mit integrierten Hub oder Switch
3. ein bzw. mehrere PC + Hub oder Switch + Router ohne integrierten Hub
oder Switch
4. ein bzw. mehrere PC + Hub oder Switch + Router mit integrierten Hub
oder Switch
Es gibt natürlich auch noch mehr Kombinationsmöglichkeiten wenn man noch andere
bzw. mehr Komponenten ins Spiel bringt. Allerdings würde das hier den Rahmen
sprengen und den “Otto-Normal-Anwender” wahrscheinlich wenig interessieren.
Ähnlich dürfte es mit der “Netzwerkgeschwindigkeit” aussehen. Wir wissen ja
inzwischen das es sowohl 10-Mbit/s- als auch
100-Mbit/s-Netzwerkgeschwindigkeiten gibt. Wenn man nur Netzwerkkomponenten
verwendet die eine Übertragsrate von 10-Mbit/s haben, braucht man sich darum
(erstmal) keine Gedanken zu machen. Wenn man aber Netzwerkkomponenten benutzt
die sowohl mit 10-Mbit/s, als auch mit 100-Mbit/s betrieben werden können,
müssen diese “autosensing” (automatische Geschwindigkeitsanpassung)
bieten. In der Praxis wird dann z.B. von 10/100-Netzwerkkarten oder -Hubs
gesprochen. Überings hat auch der NTBBA (das T-DSL Modem) einen
Standard-10-Mbit/s-Ethernetanschluß.
Noch ein Tipp: Solange man die Konfiguration des Routers bzw. der PC’s
vornimmt, sollte man evtl. den WAN-Anschluß (das T-DSL Modem) noch nicht
anschliessen. Dadurch besteht bei evtl. Fehleingaben während der
Konfiguration nicht das Risiko, daß der T-Online-Zugang nach den 9
Fehleinwahlversuchen gesperrt wird und man kann erstmal “in Ruhe” die
Einrichtung des Routers und der PC’s vornehmen und anschliessend alle Daten
nochmals überprüfen.
Nun aber zu den verschiedenen Anschlußvarianten:
zu 1: ein PC + Router ohne integrierten Hub oder Switch
|
|
Anschluß:
Das mitgelieferte Kabel des NTBBA (T-DSL Modem) in den WAN-Port des Routers und
die Netzwerkkarte des PC per Crosslink-Kabel an den LAN-Anschluß des Routers.
Es sei denn der LAN-Anschluß des Routers läßt sich in einen Uplink-Port-Modus
umschalten. Dann muß man ein 1:1-Kabel benutzen.
Dazu noch ein kleiner Exkurs:
Uplink-Port: Falls ein Hub oder Switch gerade in größeren Netzwerken
entweder von der zulässigen Kabellänge oder der Anzahl der Ports nicht
ausreicht, ist auch eine Kaskadierung (Hintereinanderschaltung) zulässig (auf
die max. Anzahl gehe ich jetzt hier nicht weiter ein). Hierzu sind die meisten
Hubs (Switch) mit einem so genannten Uplink-Port versehen. Der Unterschied
liegt nur in der Pinbelegung. Statt eines Uplink-Ports kann man daher auch
Crossover-Kabel verwenden.
Allerdings wäre es ja zu einfach wenn bei allen Geräten das gleiche Prinzip
gelten würde. Daher haben sich die Hersteller mal wieder unterschiedliche Wege
ausgedacht. D.h. es gibt verschiedene Varianten von Uplink-Ports bei
Hubs/Switch:
- einen “vollwertigen” extra Uplink-Port
- einen Normal-Port der sich in den Uplink-Modus umschalten läßt
- einen Normal-Port und einen Uplink-Port die intern verkabelt sind und nur
entweder-oder benutzt werden können
Im Normalfall kann man davon ausgehen das es sich bei einem Port um einen
Normal-Port handelt, es sei denn er ist besonders (als Uplink-Port)
gekennzeichnet.
Die Kabelverbindungen zwischen Hubs/Switch:
a) vom Normal-Port einen Hub/Switch zum Normal-Port eines Hub/Switch =
Crosslink-Kabel
b) vom Uplink-Port eines Hub/Switch zum Normal-Port eine Hub/Switch =
1:1-Twisted Pair Kabel
zu 2: ein bzw. mehrere PC + Router mit integrierten Hub oder
Switch
|
|
Anschluß: Das mitgelieferte Kabel des NTBBA (T-DSL Modem) in den WAN-Port des
Routers und den (die) PC(‘s) per 1:1-Twisted Pair Kabel in den (die)
Normal-Port-LAN-Anschluß (-Anschlüsse) des Routers.
zu 3: ein bzw. mehrere PC + Hub oder Switch + Router ohne
integrierten Hub oder Switch
Anschluß: Das mitgelieferte Kabel des NTBBA (T-DSL Modem) in den WAN-Port
des Routers. Den (die) PC(‘s) per 1:1-Twisted Pair Kabel in den (die)
Normal-Port-LAN-Anschluß (-Anschlüsse) des Hub oder Switch. Den LAN-Anschluß
des Router gem. dem Uplink-Port-Exkurs in den Normal- oder Uplink-Port des Hub
oder Switch.
zu 4. ein bzw. mehrere PC + Hub oder Switch + Router mit integrierten
Hub oder Switch
Anschluß: Das mitgelieferte Kabel des NTBBA (T-DSL Modem) in den WAN-Port
des Routers. Den (die) PC(‘s) gem. dem Uplink-Port-Exkurs in den (die) Normal-
oder Uplink-Port-Anschluß (-Anschlüsse) des Routers oder Hub oder Switch. Die
Verbindung zwischen den Hub bzw. Switch und dem Router gem. dem
Uplink-Port-Exkurs vornehmen.
Um es kompl. zu machen: Für den Anschluss zwischen dem BBAE (Splitter) und dem
NTBBA (T-DSL Modem) wird ein Twisted Pair Kabel (UTP, CAT-5, 1-1 und nicht
Crosslink) benutzt. Das “ADSL-Signal” geht dabei über die Leitung (Pins) 4 und
5. Wie man an dem mitgelieferten Kabel der Telekom aber bereits sehen kann,
kann es auch durchaus ein Kabel mit einer geringeren CAT-Spezifikation sein.
Weitere Info’s bzw. mehr Bilder dazu kann man unter: http://www.dslreports.com/pictures bzw. www.adsl-support.de finden.
Anschlußvarianten eines Routers (Teil 3) - Netzwerk- und
Web-Browser-Konfiguration:
Nachdem
immer mal wieder die Fragen nach den Netzwerk- und Web-Browser-Einstellungen
aufkommen, habe ich hier dazu jetzt eine Kurzanleitung (am Beispiel eines SMC-Routers)
für Windows 98SE und Windows 2000 erstellt. Ich gehe hier nur auf die
notwendigsten Einstellungen ein und lasse die div. individuellen Möglichkeiten
dabei außen vor. Außerdem gehe ich davon aus das zumindest die Netzwerkkarte
bereits installiert wurde.
Windows 98SE:
In der Systemsteuerung ruft man die Netzwerkeinrichtung auf.
|
|
Als Nächstes ruft man die Eigenschaften von TCP/IP auf. In dem Menü müssen dann
folgende Einstellungen vorgenommen werden:
1. IP-Adresse
Wird die IP-Adresse des PC’s nicht per DHCP sondern manuell vergeben (was
zwar kein Muß, aber in Hinblick auf evtl. später folgende Portfreigaben
durchaus empfehlenswert ist), muß unter IP-Adresse der entsprechende Wert
festgelegt werden. D.h. da der SMC-Router die IP-Adresse 192.168.123.254 hat,
muß der PC eine entsprechende IP aus dem Adressbereich (192.168.123.xxx)
bekommen. In dem folgenden Screenshot ist das z.B. die 192.168.123.250. Als
Subnet Mask trägt man die 255.255.255.0 ein.
|
|
2. Gateway
Unter
Gateway wird durch “Neuer Gateway - Hinzufügen” ebenfalls die IP-Adresse des
Routers (192.168.123.254) eingetragen.
|
|
3. DNS-Konfiguration
Die
DNS-Funktion muß aktiviert werden. Bei Host trägt man z.B. Router ein und in
die Suchreihenfolge wird durch Hinzufügen ebenfalls die IP des Routers
(192.168.123.254) eingetragen.
|
|
Das war’s dann auch schon. Mehr braucht man bei den Netzwerkeinstellungen für
Windows 98SE nicht vornehmen.
Die Einstellungen für den Internet-Explorer und Netscape folgen dann weiter
unter auf dieser Seite.
Windows 2000:
Bei Windows 2000 reduzieren sich die Einstellungen auf nur 2
Screenshots. Auch hier gilt es erst wieder über die Systemsteuerung (Netzwerk-
und DFÜ-Verbindungen) die Eigenschaften der LAN-Verbindung aufzurufen. In dem
dann folgenden Menü wählt man die Eigenschaften des Internetprotokolls (TCP/IP)
aus.
|
|
IP-Adresse, Subnetzmaske, Standardgateway und DNS-Server
Alle diese
Funktionen können bei Windows 2000 bei den Eigenschaften von Internetprotokoll
(TCP/IP) eingestellt werden. Auch hier gilt wieder wie bereits oben gesagt:
- der Router hat die IP 192.168.123.254
- die IP-Adresse wird (in diesem Beispiel) wieder manuell vergeben
Daraus ergeben sich dann die folgenden Einstellungen:
- IP-Adresse: 192.168.123.xxx (hier: 192.168.123.111)
- Subnetzmaske: 255.255.255.0
- Standardgateway: 192.168.123.254 (die Router-IP)
- Bevorzugter DNS-Server: 192.168.123.254 (die Router-IP)
|
|
Das war’s dann auch schon für Windows 2000.
Eine Alternative bei der Vergabe bzw. Konfiguration des DNS sollte man evtl.
noch erwähnen:
Statt die IP des Routers bei den DNS-Einstellungen des Betriebssystems
einzugeben, könnte man auch eine echte IP-Adresse eines DNS-Servers eintragen.
Bei T-Online wären das z.B. 217.5.115.7, oder 194.25.2.129 usw. Router-Modelle
die diese Vorgehensweise zwangsweise verlangen, sind mir aber im Moment nicht
bekannt.
Web-Browser-Konfiguration:
Nun folgen noch die Einstellungen bzw. die Konfiguration der
Web-Browser (hier: IE 5.x und Netscape 4.7).
Internet-Explorer
Um die Einstellungen für den Internet-Explorer vorzunehmen, ruft man über
die Systemsteuerung die Internetoptionen auf. Bei den Internetoptionen sind
dann 2 Einträge wichtig:
1. Bei den Verbindungen muß “Keine Verbindung wählen” ausgewählt sein.
|
|
2. Bei den Einstellungen für lokales Netzwerk (LAN-Einstellungen) darf nichts
ausgewählt sein.
|
|
Netscape
Bei Netscape
muß lediglich unter dem Menü Bearbeiten/Einstellungen unter Erweitert/Proxies
die “Direkte Verbindung zum Internet” ausgewählt werden.
|
|
Konfiguration für verschiedene Router-Modelle:
Auf den
Folgeseiten findet man Konfigurationsbeschreibungen/-beispiele für die
Router-Modelle verschiedener Hersteller.
Vorab noch ein kleiner Exkurs zu dem Thema Benutzerkennungen:
Aufbau bei T-Online
Beispiel 1 (alte Teilnehmernummer - identisch mit
Telefonnummer):
Anschlußkennung: 000568901234
Teilnehmernummer:
02415678941
Mitbenutzernummer:
0001
Ergebnis: 00056890123402415678941#0001@t-online.de
Beispiel 2 (neue Teilnehmernummer - nicht identisch mit
Telefonnummer):
Anschlußkennung: 000568901234
Teilnehmernummer:
012345678901
Mitbenutzernummer:
0001
Ergebnis: 0005689012340123456789010001@t-online.de
Im Beispiel 2 besteht die neue Teilnehmernummer aus 12 Ziffern. In diesem Fall
(Teilnehmernummer = 12 Ziffern) entfällt das Zeichen # (die Raute) zwischen
Teilnehmernummer und Mitbenutzernummer.
Aber keine Regel ohne Ausnahme: Lt. einzelner Userberichte muß auch hier
manchmal trotzdem die # eingefügt werden? Ich selber kann dies aber nicht
bestätigen!
Wichtig: Nach 9
“Fehleinwahlversuchen” (durch z.B. eine fehlerhafte T-Online-Benutzerkennung)
ist bei T-Online der Zugang bis zum automatischen/manuellen Zurücksetzen
gesperrt!
Aufbau bei 1&1
Beispiel 1: 1und1/1234-567
Beispiel 2: 1und1/1234-56@online.de
Anmerkung: Beides soll funktionieren
Aufbau bei Netcologne
Bei Netcologne muß ein "Name" (adsl-private oder adsl-business) bei der Einwahl mit
übergeben werden. Dafür gibt es bei Routern unterschiedliche Eingabefelder -
z.B.: "PPPoE Service Name", "Host Name", "Service
Name", usw. Bei einzelnen Router-Modellen ist eine Eingabe dieses
"Parameters" aber auch (noch) nicht möglich --> diese Router
funktionieren nicht mit Netcologne.
Auch gibt es bei Netcologne wohl DSL-Verträge/-Zugänge bei denen dieser
zusätzliche “Name” nicht benötigt wird.
Aufbau bei Telekom BusinessOnline
BusinessOnline-Zugangsdaten für Router:
Präfix: t-online-com/
Suffix: @t-online-com.de
Benutzerkennung: 123456789
Die kompl. Benutzerkennung lautet dann: t-online-com/123456789@t-online-com.de
Allgemeine Infos zur Problemlösung bei der Erstinstallation eines Routers
Hier nochmal ein paar kurze grundsätzliche Hinweise zu evtl.
auftauchenden Problemen bei der Erstkonfiguration eines Router.
Sollten bei der Einrichtung eines Routers Probleme auftauchen, gibt es ein paar
allgemeine Vorgehensweisen zur Problemlösung/-findung:
1. Läßt sich der Router über seine IP anpingen (ping "Router-IP"),
oder gibt es bereits dabei eine "Zeitüberschreitung der Anforderung"?
Dies deutet z.B. darauf hin das evtl. ein Kabelproblem, oder ein Problem bei
der Netzwerkeinrichtung (TCP/IP-Eigenschaften) des PC vorliegen könnte.
1.1. Falls der Router und/oder einzelne Clients im Netzwerk nicht gefunden
werden, wurde die IP-Vergabe/-Zuordnung aktualisiert?
Der Befehl dazu bei Windows lautet: winipcfg/renew bzw. ipconfig/renew
Eine Befehlsübersicht gibt es durch ausführen von: winipcfg/? bzw. ipconfig/?
1.2. Wenn die IP’s manuell (nicht per DHCP-Funktion) vergeben wurden: Befinden
sich der PC und der Router im gleichen IP-Adressbereich und ist die
Subnetzmaske identisch?
1.3. Sind auf dem Client gerade irgendwelche Software-Firewall-Programme aktiv
(z.B. Zonealarm)? Falls ja diese erstmal kompl. deaktivieren!
1.4. Sind bei dem Webbrowser irgendwelche Sicherheitseinstellungen aktiviert
(worden) (z.B. hohe Sicherheit oder Ähnliches)? Falls ja sollten diese
überprueft werden und ggf. erstmal deaktiviert, bzw. auf eine niedrigere
Sicherheitsstufe eingestellt werden.
2. Leuchtet die WAN-LED am Router? Sollte dies nicht der Fall sein liegt evtl.
ein Kabelproblem, oder ein Problem am DSL-Modem vor - Stichwort: Siemens Modem
(Suche nach Siemens Modem hier im Forum).
3. Bietet der Router die Möglichkeit eines Verbindungstests? Wenn ja, wie
lautet dort die (Fehler-)Meldung?
4. Bietet der Router ein Log-/Protokoll-Funktion? Wenn ja welche Einträge
stehen dort drin?
Zu den Punkten 3 und 4 sollte man dann erstmal hier im Forum nach
entsprechenden Beiträgen suchen. Oftmals sind es immer wieder die gleichen
Probleme die bei der Ersteinrichtung auftauchen und diese sind meistens im
Forum schon beschrieben.
5. Problem: Es koennen keine Webseiten (URL’s) aufgerufen werden.
Falls die IP’s manuell vergeben wurden, wurde die Router-IP bei den
TCP/IP-Einstellungen des PC als Gateway und bei DNS-Server eingetragen?
Läßt sich eine vorhandene WAN-IP (also z.B.: 194.25.2.129, oder 217.5.115.7)
anpingen? Wenn ja, dann liegt wahrscheinlich ein Problem mit der DNS-Auflösung
vor. --> DNS-Einstellungen überprüfen
Sind die Einstellungen am Browser richtig vorgenommen worden (siehe Router
Anschluß Teil 3)?
6. Auch das soll vorkommen - ist der DSL-Anschluß überhaupt schon
freigeschaltet worden, bzw. war man bereits vor dem Einsatz des Routers per DSL
online?
Vorläufige) Vergleichstabelle - Teil 1 (Stand 16.11.2001):
|
Hersteller/Modell |
Anschlüsse |
Handbuch |
Clients |
DHCP-Server |
Software |
|
Allied Telesyn
AR220E |
1 x 10BaseT WAN |
? |
253 |
Ja |
Web-Interface |
|
Bintec X1200 |
1 x 10BaseT WAN |
deutsch |
unbegrenzt |
Ja |
integriert Menü-basierend |
|
Cisco Soho 77 |
Daten folgen noch |
|
|
|
|
|
Cisco 826 |
Daten folgen noch |
|
|
|
|
|
Cisco 827 |
Daten folgen noch |
|
|
|
|
|
D-Link DI-701 |
1 x 10BaseT WAN |
englisch |
128 |
Ja - max. 32 |
Telnet und GUI-Interface |
|
D-Link DI-704 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
D-Link DI-707 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
D-Link DI-804 |
1 x 10BaseT WAN |
deutsch |
253 |
Ja |
Web-Interface |
|
D-Link DSL 4100 |
4 x 10/100 10BaseT |
deutsch |
? |
Ja |
Web-Interface |
|
DrayTek Vigor 2000 |
1 x 10BaseT WAN |
deutsch |
253 |
Ja |
Web-Interface |
|
DrayTek Vigor
2200 |
Modellabhängig |
deutsch |
? |
Ja |
Web-Interface |
|
Edimax BR-6001 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
Edimax BR-6004 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
ELSA DSL-10 |
1 x 10BaseT WAN |
deutsch |
unbegrenzt |
Ja |
ELSA LANconfig |
|
ELSA DSL/I-10 |
1 x 10BaseT WAN |
deutsch |
unbegrenzt |
Ja |
ELSA LANconfig |
|
Kingston KNR7TXD |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
Linksys BEFSR-11 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
Linksys BEFSR-41 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
Linksys BEFSR-81 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
Longshine
LCS-883R-DSL-4F |
Daten folgen noch |
|
|
|
|
|
Macsense
MIH-130 |
Daten folgen noch |
|
|
|
|
|
Netgear RP114 |
1 x 10BaseT WAN |
CD-ROM englisch |
253 |
Ja |
Web-Interface |
|
Netgear RO318 |
1 x 10BaseT WAN |
CD-ROM englisch |
253 |
Ja |
Web-Interface |
|
Netgear RT311 |
1 x 10BaseT WAN |
CD-ROM englisch |
32 |
Ja - max. 32 |
Web-Interface |
|
Netgear RT314 |
1 x 10BaseT WAN |
CD-ROM englisch |
253 |
Ja - max. 32 |
Web-Interface |
|
Netgear FR314 |
1 x 10BaseT WAN |
CD-ROM englisch |
ab 8 User |
? |
Web-Interface |
|
Nexland ISB2LAN |
Daten folgen noch |
|
|
|
|
|
Nexland ISB2LAN-S4 |
1 x 10BaseT WAN |
CD-ROM englisch |
253 |
Ja |
Web-Interface |
|
Nexland ISB Pro
100 |
Daten folgen noch |
|
|
|
|
|
Nexland ISB Pro
400 |
Daten folgen noch |
|
|
|
|
|
Nexland ISB Pro
800 |
Daten folgen noch |
|
|
|
|
|
Nexland ISB Pro
800turbo |
Daten folgen noch |
|
|
|
|
|
SMC 7004BR |
1 x 10BaseT WAN |
CD-ROM englisch |
253 |
Ja |
Web-Interface |
|
SMC 7008BR |
1 x 10BaseT WAN |
CD-ROM englisch |
253 |
Ja |
Web-Interface |
|
SMC 7301TA |
1 x 10BaseT WAN |
CD-ROM englisch |
? |
Ja |
Web-Interface |
|
Telekom Teledat |
1 x 10BaseT WAN |
deutsch |
32 |
Ja |
Web-Interface |
|
Telekom Teledat
Komfort |
1 x 10BaseT WAN |
teilweise deutsch |
32 |
Ja |
Web-Interface |
|
Trendnet TW100-W1CA |
1 x 10BaseT WAN |
englisch |
128 |
Ja - max. 32 |
Telnet und GUI-Interface |
|
Umax UGate 3000 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
Umax UGate 3100 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
Umax UGate 3200 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
Umax UGate 3200P |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
U.S. Robotics 8000 |
1 x 10BaseT WAN |
? |
253 |
Ja |
Web-Interface |
|
Watchguard Soho |
1 x 10BaseT WAN |
? |
ab 10 |
Ja (ab 10) |
Web-Interface |
|
Zyxel P-310 |
1 x 10BaseT WAN |
deutsch |
253 |
Ja |
Web-Interface |
|
Zyxel P-312 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
|
Zyxel P-314 |
1 x 10BaseT WAN |
CD-ROM englisch |
253 |
Ja |
Web-Interface |
|
Zyxel ZyWall 10 |
1 x 10BaseT WAN |
englisch |
253 |
Ja |
Web-Interface |
(Vorläufige) Vergleichstabelle - Teil 2 (Stand 16.11.2001):
|
Hersteller/Modell |
Firewall |
DMZ |
Garantie |
EVK (ca.) |
Besonderheiten |
|
Allied Telesyn
AR220E |
NAT |
? |
1 Jahr |
? |
4-Port-Switch |
|
Bintec X1200 |
NAT |
Ja |
6 Jahre |
1.350,-- DM |
ISDN:1xS0 - Capi, |
|
Cisco Soho 77 |
Daten folgen noch |
|
|
|
|
|
Cisco 826 |
Daten folgen noch |
|
|
|
|
|
Cisco 827 |
Daten folgen noch |
|
|
1.875,-- DM |
|
|
D-Link DI-701 |
NAT |
Nein |
? |
595,-- DM |
|
|
D-Link DI-704 |
NAT |
Ja |
? |
? |
in Deutschland
(noch) nicht lieferbar |
|
D-Link DI-707 |
NAT |
Ja |
? |
? |
in Deutschland
(noch) nicht lieferbar |
|
D-Link DI-804 |
NAT |
Ja |
? |
? |
|
|
D-Link DSL 4100 |
NAT |
Ja |
? |
? |
Dial-Backup über ISDN |
|
DrayTek Vigor
2000 |
NAT |
? |
2 Jahre |
495,-- DM |
ursprünglich ein
ISDN Router, jetzt mit zusätzlicher PPPeO-Fähigkeit |
|
DrayTek Vigor
2200 |
NAT |
Ja |
2 Jahre |
ab 445,-- DM |
je nach Modell auch
mit ISDN-Funktionalität |
|
Edimax BR-6001 |
NAT |
Ja |
? |
? |
1 Port RS232 (DB9) for PSTN /ISDN dial-up |
|
Edimax BR-6004 |
NAT |
Ja |
? |
? |
1 Port RS232 (DB9) for PSTN /ISDN dial-up |
|
ELSA DSL-10 |
NAT |
? |
6 Jahre |
875,-- DM |
ELSA LANmonitor |
|
ELSA DSL/I-10 |
NAT |
? |
6 Jahre |
1.200,-- DM |
Dial-Backup über ISDN |
|
Kingston
KNR7TXD |
NAT |
Ja |
3 Jahre |
? |
POP3 Mail Server
Software |
|
Linksys
BEFSR-11 |
NAT |
Ja |
1 Jahr |
315,-- DM |
|
|
Linksys
BEFSR-41 |
NAT |
Ja |
1 Jahr |
480,-- DM |
4-Port-Switch |
|
Linksys BEFSR-81 |
NAT |
Ja |
1 Jahr |
590,-- DM |
8-Port-Switch |
|
Longshine
LCS-883R-DSL-4F |
Daten folgen noch |
|
|
|
|
|
Macsense
MIH-130 |
Daten folgen noch |
|
|
|
|
|
Netgear RP114 |
NAT |
Ja |
5 Jahre |
495,-- DM |
extra
Zugriffskontrollen |
|
Netgear RO318 |
NAT |
Ja |
5 Jahre |
595,-- DM |
extra
Zugriffskontrollen |
|
Netgear RT311 |
NAT |
Ja |
5 Jahre |
450,-- DM |
OEM-Modell von
Zyxel |
|
Netgear RT314 |
NAT |
Ja |
5 Jahre |
595,-- DM |
4-Port-Switch |
|
Netgear FR314 |
div. Firewallfunktionen |
Port Range |
5 Jahre |
800,-- DM |
extra
Firewallfunktionen von SonicWall (ab 8 User) |
|
Nexland ISB2LAN |
Daten folgen noch |
|
|
|
|
|
Nexland ISB2LAN-S4 |
NAT |
Ja |
? |
399,-- DM |
|
|
Nexland ISB Pro
100 |
Daten folgen noch |
|
|
599,-- DM |
|
|
Nexland ISB Pro
400 |
Daten folgen noch |
|
|
749,-- DM |
|
|
Nexland ISB Pro
800 |
Daten folgen noch |
|
|
849,-- DM |
|
|
Nexland ISB Pro
800turbo |
Daten folgen noch |
|
|
1.199,-- DM |
|
|
SMC 7004BR |
NAT |
Ja |
3 Jahre |
499,-- DM |
Serialport für
Modem oder ISDN TA und Windows |
|
SMC 7008BR |
NAT |
Ja |
3 Jahre |
595,-- DM |
Serialport für
Modem oder ISDN TA und Windows |
|
SMC 7301TA |
NAT |
Ja |
3 Jahre |
695,-- DM |
Dial-Backup über
ISDN |
|
Telekom Teledat |
NAT |
Ja |
1 Jahr |
450,-- DM |
OEM-Modell von
Zyxel (Prestige 310) |
|
Telekom Teledat
Komfort |
NAT |
Ja |
1 Jahr |
450,-- DM |
OEM-Modell von Zyxel
(Prestige 314) |
|
Trendnet TW100-W1CA |
NAT |
Nein |
? |
? |
|
|
Umax UGate 3000 |
NAT |
Ja |
? |
599,-- DM |
4-Port-Hub |
|
Umax UGate 3100 |
NAT |
Ja |
? |
429,-- DM |
Nachfolger des
UGate 3000 |
|
Umax UGate 3200 |
NAT |
Ja |
? |
? |
7-Port Switch |
|
Umax UGate 3200P |
NAT |
Ja |
? |
679,-- DM |
7-Port Switch und
Printserver-Funktion |
|
U.S. Robotics 8000 |
NAT |
Ja |
1 Jahr |
? |
Serialport für
Modem oder ISDN TA und Windows |
|
Watchguard Soho |
div. Firewallfunktionen |
Ja |
1 Jahr |
1.195,-- DM |
4-Port Hub |
|
Zyxel P-310 |
NAT |
Ja |
2 Jahre |
399,-- DM |
|
|
Zyxel P-312 |
Multi-NAT und Regeln sind frei definierbar |
Ja |
2 Jahre |
1.110,-- DM |
extra
Firewallfunktionen |
|
Zyxel P-314 |
NAT |
Ja |
2 Jahre |
459,-- DM |
4-Port-Switch |
|
Zyxel ZyWall 10 |
Multi-NAT und Regeln sind frei definierbar |
Ja |
2 Jahre |
1.110,-- DM |
extra
Firewallfunktionen |
Funk-LAN:
Da
Wireless-LAN, oder auf gut deutsch Funk-LAN, immer stärker an Bedeutung gewinnt
und es inzwischen natürlich auch Router mit dieser Technik gibt, habe ich
diesen Extra-Menüpunkt eingefügt. Hier werden in Zukunft die verschiedenen
Modelle der jeweiligen Hersteller aufgelistet und beschrieben. Zur Zeit sind
das:
|
Hersteller: |
Modell(e): |
|
D-Link |
DI-711 |
|
D-Link |
DI-713P |
|
ELSA |
LANCOM Wireless IL-2 |
|
ELSA |
LANCOM Wireless IL-11 |
|
Linksys |
BEFW11S4 |
|
Netgear |
MR314 |
|
Nexland |
ISB WaveBase |
|
Siemens |
I-Gate 11M I/LAN/DSL |
|
SMC |
Barricade 7004AWBR |
|
Umax |
UGate 3300 |
|
Zyxel |
Prestige 316 |
Allgemeine Tipps
zu Routern
1. Problemen bei der Erstkonfiguration eines Router
Sollten
bei der Einrichtung eines Routers Probleme auftauchen, gibt es ein paar
allgemeine Vorgehensweisen zur Problemlösung/-findung:
1.1. Laesst sich der Router ueber seine IP anpingen (ping
"Router-IP"), oder gibt es bereits dabei eine
"Zeitueberschreitung der Anforderung"? Dies deutet z.B. darauf hin
das evtl. ein Kabelproblem, oder ein Problem bei der Netzwerkeinrichtung
(TCP/IP-Eigenschaften) des PC vorliegen koennte.
1.1.1. Falls der Router und/oder einzelne Clients im Netzwerk nicht gefunden
werden, wurde die IP-Vergabe/-Zuordnung aktualisiert?
Der Befehl dazu bei Windows lautet: winipcfg/renew bzw. ipconfig/renew
Eine Befehlsuebersicht gibt es durch ausfuehren von: winipcfg/? bzw. ipconfig/?
1.1.2. Wenn die IP’s manuell (nicht per DHCP-Server Funktion) vergeben wurden:
Befinden sich der PC und der Router im gleichen IP-Adressbereich und ist die
Subnetzmaske identisch?
1.1.3. Sind auf dem Client gerade irgendwelche Software-Firewall-Programme
aktiv (z.B. Zonealarm)? Falls ja diese erstmal kompl. deaktivieren!
1.1.4. Sind bei dem Webbrowser irgendwelche Sicherheitseinstellungen aktiviert
(worden) (z.B. hohe Sicherheit oder Aehnliches)? Falls ja sollten diese
ueberprueft werden und ggf. erstmal deaktiviert, bzw. auf eine niedrigere
Sicherheitsstufe eingestellt werden.
1.2. Leuchtet die WAN-LED am Router? Sollte dies nicht der Fall sein, liegt
evtl. ein Kabelproblem, oder ein Problem am DSL-Modem vor - Stichwort: Siemens
Modem (Suche nach Siemens Modem hier im Forum)
1.3. Bietet der Router die Moeglichkeit eines Verbindungstests? Wenn ja, wie
lautet dort die (Fehler-)Meldung?
1.4. Bietet der Router ein Log-/Protokoll-Funktion? Wenn ja welche Eintraege
stehen dort drin?
1.5. Ist die Benutzerkennung des Providers und das Passwort richtig eingegeben
worden?
Aufbau der Benutzerkennung von T-Online siehe hier.
Aufbau bei 1&1
Beispiel 1: 1und1/1234-567
Beispiel 2: 1und1/1234-56@online.de
Anmerkung: Beides soll funktionieren
Bei Netcologne muss ein "Name" (adsl-private oder
adsl-business) bei der Einwahl mit uebergeben werden. Dafuer gibt es bei
Routern unterschiedliche Eingabefelder - z.B.: "PPPoE Service Name",
"Host Name", "Service Name", usw. Bei einzelnen
Routermodellen ist eine Eingabe dieses "Parameters" aber auch (noch)
nicht moeglich --> diese Router funktionieren nicht mit Netcologne
Telekom BusinessOnline
BusinessOnline-Zugangsdaten fuer Router:
Präfix: t-online-com/
Suffix: @t-online-com.de
Benutzerkennung: 123456789
Benutzerpasswort: *******
"Sie erhalten die Angaben für die Benutzerkennung und das Benutzerpasswort
schriftlich nach Beauftragung von BusinessOnline."
Die kompl. Benutzerkennung von BusinessOnline muesste demnach lauten:
t-online-com/123456789@t-online-com.de
1.6. Problem: Es koennen keine Webseiten (URL’s) aufgerufen werden.
Falls die IP’s manuell vergeben wurden, wurde die Router-IP bei den
TCP/IP-Einstellungen des PC als Gateway und bei DNS-Server eingetragen?
Laesst sich eine vorhandene WAN-IP (also z.B.: 194.25.2.129, oder 217.5.115.7)
anpingen? Wenn ja, dann liegt wahrscheinlich ein Problem mit der DNS-Aufloesung
vor. --> DNS-Einstellungen ueberpruefen
Sind die Einstellungen am Browser richtig vorgenommen worden (siehe dazu hier)?
1.7. Auch das soll vorkommen - ist der DSL-Anschluss ueberhaupt schon
freigeschaltet worden, bzw. war man bereits vor dem Einsatz des Routers per DSL
online?
Dann sollte man dann erstmal hier im Diskussionsforum nach entsprechenden
Beitraegen suchen. Oftmals sind es immer wieder die gleichen Probleme die bei
der Ersteinrichtung auftauchen und diese sind meistens im Forum schon
beschrieben.
2.
Welche Ports können/müssen/sollten bei einer Firewall geöffnet werden?
Der User
Rainer hat hier im Forum unter SMC mal eine Auflistung der wichtigsten Ports
gepostet, die für die Nutzung des Internets freigegeben werden
können/müssen/sollten. D.h. wenn z.B. ein Router die Möglichkeit bietet erstmal
alle Ports zu sperren und dann nur einzelne gezielt zu öffnen, ist diese Liste
evtl. von Interesse.
Hier das Wichtigste:
20, 21 ftp (müssen beide eingetragen sein)
22 Secure Shell
23 telnet (besser zu)
25 smtp (Mail Versand)
53 DNS (kann entfallen, wenn der SMC-Barricade als DNS Server eingetargen wird)
80 http
110 pop3
123 news
143 imap
389 ldap
443 https
1723 pptp (den Rest macht der SMC-Barricade allein)
3000 HBCI
5190 ICQ (chatten geht dann, aber kein Filetransfer)
11371 PGP Keyserver über http
Der Link zu dem Beitrag lautet: http://www.forum.netzwerkrouter.de/phpBB/viewtopic.php3?topic=791&forum=9
3.
Info zu Problemen mit Netmeeting
Hier
eine Info (Ausschnitt) zu den Portfreigaben und den Problemen die mit
Netmeeting auftauchen können.
Diese Info stammen aus dem Little-Idiot Firewall-Handbuch.
Microsoft Netmeeting ist ein komplexes Protokoll, welches sich vielerlei Ports
und Protokolle bedient:
|
PORT |
TCP/UDP |
STATIC/DYNAMI C |
PROTOCOL |
NETMEETING |
|
389 |
TCP |
statisch |
LDAP |
Internet Locator
Server (ILS) |
|
522 |
TCP |
statisch |
ULP |
User Location Service |
|
1503 |
TCP |
statisch |
imtc-mcs |
T.120 |
|
1720 |
TCP |
statisch |
h323hostcall |
H.323 Anruf |
|
1731 |
TCP |
statisch |
msiccp |
Audio Anruf |
|
1024 + |
TCP |
dynamisch |
H.245 |
H.323
Anrufkontrolle |
|
1024 + |
UDP |
dynamisch |
RTP/RTCP |
H.323 streaming (RTP) |
Leider wandeln
sich Protokolle auch. Wer noch vor einiger Zeit von z.B. den REALAUDIO Server
(EINSLIVE, WDR und SWR3) durch den Firewall PROXY keinen Ton auf seiner
Arbeitsstation empfangen konnte, der muß heute nur noch den REAL-G2 Player neu
installieren, um diese Protokolle über den PORT 80 oder 8080 der Firewall
übertragen zu können. Was ist inzwischen geschehen ? Die Hersteller der
VIDEO/AUDIO Player haben sich Klagen vieler Kunden anhören müssen, die nur
durch den Einsatz von teuren Firewalls mit den entsprechenden PROXY's an den
LIVE Übertragungen teilnehmen konnten. Das hat dazu geführt, daß alle
Protokolle in den HTTP Datenstrom verpackt wurden. Hierzu gehören die
Protokolle LDAP, ULP, IMTC-MCS, H.323 hostcall, MSICCP, H.245 und RTP/RTCP auf
den ursprünglichen Ports 389, 522, 1503, 1720, 1731, und UDP auf Port 1024+ .
Falls eine Firewall im Netz installiert wurde, die einen speziell für
NETMEETING installierten PROXY besitzt, dann wird dieser PROXY neuerdings
einfach übergangen, da alle diese Protokolle über den Port 80 abgewickelt
werden. Damit entfällt völlig die Kontrolle über die Mechanismen von
Netmeeting. Die sicher geglaubte Internetanbindung wird wegen einer
Protokolländerung zum Tummelplatz für Cracker.
REAL-G2 und Netmeeting haben gemeinsam, daß beide Protokolle Punkt-zu-Punkt
Verbindungen, bzw. Serverseitig Punkt-zu Multipunkt Verbindungen sind. Wenn
zwei Personen ohne Firewall im Internet surfen, dann können beide zueinander
finden, wenn diese zuerst eine Verbindung zu den Microsoft ILS-Servern
(Internet Locator Server) aufbauen. Die ILS Server sind quasi LDAP Server, nur hat
Microsoft sich auch hier nicht an den Standard gehalten. Es erfolgt die
Anmeldung über Port 522 (veraltet) und Port 389 (TCP). Es folgt der Aufbau
einer H.323 Verbindung über den Port 1720 und gleichzeitig der Aufbau der Audio
Verbindung über Port 1731, beide TCP. Danach werden dynamisch viele UDP Ports
oberhalb der Ports 1024 für das RTP (Real Time Protocol) Streaming Protokoll
geöffnet.
Für eine Firewall zwischen diesen Hosts bedeutet dies, daß nach den Protokollen
522/389 und 1731 und 1720 alle UDP Ports oberhalb von 1024 für den Zugriff aus
dem Internet freigeschaltet werden müssen. Es werden inbound/outbound
Antwortpakete für aufeinanderfolgende Verbindungen des Realtime Protokolls
(RTP) von dem PROXY in der Firewall ausgesandt. Diese enthalten Hinweise auf
den nächstfolgenden Port (UDP).
Informationen
zu Port/-Freigaben für Online-Anwendungen/-Games
1. Aktuelle TCP/IP-Netzwerkverbindungen anzeigen per
netstat
Um sich
offenen Netzwerkverbindung bzw. Port-Infos anzeigen zu lassen braucht man nicht
unbedingt ein extra Tool. Auch Windows hat einen kleinen DOS-Befehl dazu
nämlich "netstat". Hier die Erläuterung zu dem Befehl:
Netstat = Zeigt Protokollstatistiken und aktuelle TCP/IP-Netzwerkverbindungen
an. Dieser Befehl ist nur verfügbar, wenn das TCP/IP-Protokoll installiert
wurde.
Aufrufmöglichkeiten = netstat [-a] [-e] [-n] [-s] [-p Protokoll] [-r]
[Intervall]
Parameter:
-a = Zeigt alle Verbindungen und abhörenden Anschlüsse an. Serververbindungen
werden normalerweise nicht angezeigt.
-e = Zeigt die Ethernet-Statistik an. Kann mit der Option -s kombiniert werden.
-n = Zeigt Adressen und Anschlussnummern in numerischer Form an (es wird nicht
versucht, die entsprechenden Namen abzufragen).
-s = Zeigt Statistik protokollweise an. Standardmäßig wird die Statistik für
TCP, UDP, ICMP und IP angezeigt. Mit der Option -p können Sie eine Teilmenge
der Standardanzeige angeben.
-p Protokoll = Zeigt die Verbindungen für das mit Protokoll angegebene
Protokoll an. Mögliche Werte für Protokoll sind tcp oder udp. Wird diese Option
zusammen mit der Option -s zur protokollweisen Statistikanzeige verwendet, kann
für Protokoll tcp, udp, icmp oder ip angegeben werden.
-r = Zeigt den Inhalt der Routingtabelle an.
Intervall = Zeigt die gewählte Statistik nach der mit Intervall angegebenen
Anzahl Sekunden erneut an. Drücken Sie STRG+C zum Beenden der Intervallanzeige.
Ohne Angabe dieser Option gibt netstat die aktuellen
Konfigurationsinformationen nur einmal aus.
Wenn man sich nun z.B. die Ports anzeigen lassen will gibt man einfach netstat
-a ein und bekommt so die aktiven Verbindungen angezeigt.
2. Welche Ports können/müssen/sollten bei einer Firewall geöffnet
werden?
Der User
Rainer hat hier im Forum unter SMC mal eine Auflistung der wichtigsten Ports gepostet,
die für die Nutzung des Internets freigegeben werden können/müssen/sollten.
D.h. wenn z.B. ein Router die Möglichkeit bietet erstmal alle Ports zu sperren
und dann nur einzelne gezielt zu öffnen, ist diese Liste evtl. von Interesse.
Hier das Wichtigste:
20, 21 ftp (müssen beide eingetragen sein)
22 Secure Shell
23 telnet (besser zu)
25 smtp (Mail Versand)
53 DNS (kann entfallen, wenn der SMC-Barricade als DNS Server eingetargen wird)
80 http
110 pop3
123 news
143 imap
389 ldap
443 https
1723 pptp (den Rest macht der SMC-Barricade allein)
3000 HBCI
5190 ICQ (chatten geht dann, aber kein Filetransfer)
11371 PGP Keyserver über http
Portfreigaben
für ausgewählte Anwendungen
Routerkonfiguration vor einem Apache Webserver (Beitrag des Users
SlotAruler)
Installation eines Apache Webservers hinter einem Router.
Modellbezogen auf einen SMC 7004BR mit Firmware 1.93s, müsste allerdings mit
jedem Router so funktionieren.
Zum erstellen eines Apache Webservers möchte ich mich hier nicht lange äußern
(es ist ja ein Router-Forum), das Servertool kann man sich unter www.apache.org
herunterladen.
Nachdem man den Apache Webserver erfolgreich installiert hat, geht es an die
Routerkonfiguration:
1. Sie loggen sich in ihren Router ein
2. Sie suchen das "Einstellungsfeld" Virtual Server (bei anderen
Routern ähnlich)
3. Bei Virtual Server stellen sie als Service Port "80" ein, bei
Server IP die Netzwerk-IP ihres Servers und machen ein Häkchen bei Enable.
4. Jetzt wechseln sie in diesem Setup auf "Primary Setup" und stellen
die Maximum Idle Time auf "0", machen sie dahinter außerdem noch bei
"Auto-Reconnect" ein Häkchen.
Jetzt sollte der Server auch im Internet laufen... Sie können dies Testen,
indem sie ihre WAN-IP in ihren Browser eingeben (siehe Beispiel unten).
Ihr Server ist jetzt stehts unter ihrer WAN-IP erreichbar: http://[Ihre-WAN-IP]
haben sie allerdings keine Standleitung, sondern eine Dial-Up Connection
(sprich ISDN, T-DSL, Modem), ändert sich ihre IP bei jeder Neueinwahl ins
Internet (fast jeder Internet Provider kappt nach 24 Stunden automatisch die
Verbindung, dh. es ist eine Neueinwahl nötig).
Hier hilft ihnen die Firma "No-IP", erreichbar unter www.no-ip.com:
1. Richten sie einen Account auf der Website ein
2. Tragen sie einen neuen Host ein (klicken sie auf "add Host")
suchen sie sich einen beliebigen Namen aus und tragen sie dort ihre aktuelle
WAN-IP ein.
3. Laden sie sich das Tool NO-IP DUC herunter.
4. Tragen sie dort ihre bei No-IP angegeben E-Mailadresse ein und ihr
zugehöriges Kennwort.
5. Drücken sie in dem Programm auf "Advanced" und stellen sie den
Regler unten links auf die gewünschte Aktualisierungszeit ein, in diesen
Abständen kontrolliert das Tool ihre WAN-IP.
6. Lassen sie dieses Tool laufen, ändert sich ihre IP, so erkennt dies das
Programm und ändert das entsprechend auf ihrer Homepage.
Jetzt ist ihre Homepage unter der von ihnen oben angegebenen Adresse erreichbar
(wenn ihr Server eingeschaltet ist und mit dem Internet verbunden)
Viel Spaß mit ihrem Server!
Ich übernehme keine Haftung bei unsachgemäßer Auslegung dieser Anleitung.!
eDonkey (Beitrag des Users shadowfisch)
Da diese Thema sehr sehr oft behandelt wird, gibts hier die Anweisung wies
funktioniert. Die einzigen Ports die von eDonkey benutzt werden lauten:
- TCP Port 4661 für die Verbindung zum Server.
- TCP Port 4662 für die Verbindung zum Client.
- UDP Port 4665 für Nachrichten zu anderen Servern, zu denen ihr nicht
verbunden seit.
Dies sind die Standart Ports, und werden auf jeden Fall benötigt. Man muss
diese ports freigeben, da diese in vernünftigen Routern gesperrt sind, d.h. das
es nicht immer der Fall sein muss diese Freizugeben.
Der Trigger und der public port müssen übereinstimmen, genauso wie die Type.
ICQ2000b
Bei dem Router müssen im Normalfall für ICQ200b keine extra Ports
freigegeben werden. Lediglich bei den ICQ-Einstellungen müssen folgende
Änderungen vorgenommen werden:
Preferences > settings > connections >
General Tab
connection type = permanent (LAN,Cable etc)
firewall type = ICQ will determine IP address automatically
Server Tab
select: using firewall
select: not using proxy
tick: keep connection alive
click reset (to change the port no.): next to icq server host name & port
number
Firewall & User Tab
No changes required
Lotus Notes Server
Freigabe für Port 1352 definieren
Napster
Freigabe für Port 6699 definiere
pcAnywhere
Um eingehende Verbindungen zu einem “pcAnywhere Server” zu ermöglichen
muß der Port 5631 und 5632 freigegeben werden.
VNC
Freigabe für Port 5900 definieren
Windows 2000 Terminal Server
Freigabe für Port 3389 definieren
Portangaben
zu Online-Games
Onlinegaming mit einem Router (Beitrag des Users Overspice)
Früher war alles ganz einfach, Modem an, eingewählt, Spiel gestartet, Server
gesucht, eingeklinkt, losgezockt. Mit ‘nem Router ist das alles nicht so
einfach. Die Server werden zwar meist noch gefunden aber ein joinen klappt
nicht bzw. selbst einen Server in Betrieb zu nehmen geht auch nicht. Dies hier
ist keine Anleitung für jedes Spiel, soll aber mal die Probleme auf einen Punkt
bringen und eine Verfahrensweise zur Selbsthilfe sein.
Warum kann ich keinen Server starten, bzw einem Spiel beitreten?
Das liegt ganz klar an dem Portfilter des Routers. Das ist die einfachste
Variante einer "Firewall" (eine sehr kleine aber sehr schnelle
Firewall) Dieser Portfilter läßt nur Pakete durch die ihm erlaubt sind. Jedes
Paket hat eine Quell Ip, eine Ziel IP, einen Quellport und einen Zielport. Der
Router vergleicht diese 4 Eigenschaften eines Paketes und läßt es ggf durch
oder auch nicht. Mails abrufen, surfen und auch FTP funktionieren bei den
meisten Routern problemlos, das liegt daran das diese Ports dem Router BEKANNT
sind und er diese Pakete durchläßt.
Wie finde ich die benötigten Ports heraus?
Es gibt sogenannte Portlisten, in denen sind viele Spiele und
Multimediaanwendungen und Ihre Ports aufgelistet. Diese Ports müßt Ihr dann in
Eurem Router eintragen. Beim Netgear oder Zyxel Model wäre das Menü 15 dafür
verantwortlich. Hier mappt Ihr einen Port oder Portbereich einer bestimmten IP
zu, dadurch weiß der Router was er mit dem Paket machen soll. (Für die
Portweiterleitung bei anderen Routern bemüht bitte zuerst das HANDBUCH, frei
nach dem Motto: RTFM).
Es gibt noch eine andere Möglichkeit die Ports herauszufinden: Guckt Euch bei
den Herstellern der Spiele um und sucht nach dem Hinweis FIREWALL oder NAT,
dort gibt es meist auch Hilfestellungen.
Ein dritter Weg ist etwas komplizierter. Mit dem Windows Befehl NETSTAT
-a werden alle aktiven Verbindungen aufgezeigt. Wenn Ihr das Spiel startet und
dann wieder zu Windows wechselt, macht Ihr eine DOS Box auf und tippt den
Befehl ein. Schaut mal nun auf welchen Ports der Status LISTENING steht.
Vergleicht diese Anzeige mit einer Anzeige wo das Spiel nicht geöffnet wurde. Dadurch
lassen sich auch Ports herausfinden, weil das Game beim starten bestimmte Ports
auf ankommende Pakete abhört.
Es gibt auch komfortable Progs für die Anzeige der Ports und deren Anwednungen,
zB Active Ports (nur für Win NT / Win 2000).
Das mit den Ports gilt natürlich nicht nur für Spiele sondern auch für
Anwendungen wie ICQ, Gamevoice und weiß der Geier was.
FAZIT:
Erstmal auf der Website der Spiele / Anwendungshersteller gucken und nach dem
Stichwort FIREWALL / NAT ausschau halten!
Sucht in der Online Gaming Abteilung hier im Forum, ob dort schon das Spiel
dabei ist. Guckt nicht nur in das Unterforum mit Eurem Router, sondern auch in
die anderen Foren.
Die Ports gelten für ALLE Router, sie sind nur von dem Game / der Anwendung
abhängig !
Wenn Ihr dort nix findet, guckt bitte in eine der Portlisten (http://www.practicallynetworked.com/sharing/app_port_list.htm)
Wenn das auch nicht hilft, dann versucht mal die Variante mit dem NETSTAT
Befehl!
Und ganz wichtig: WENN Ihr tatsächlich einen kniffligen Port durch suchen oder
ausprobieren herausbekommen habt, dann postet ihn bitte in das Online Gaming
Forum hier rein, dann müssen die anderen geplagten nicht das gleiche nochmal
machen!
Battlecom (Beiträge der User Feodor und Thor)
Für Battlecom sind folgende Ports frei zu schalten:
- IN UDP 2300 - 2400
- IN TCP 2300 - 2400
- IN UDP 47624
- IN TCP 47624
IN bedeutet vom WAN (Internet) ins LAN. Man muss auch noch die IP des
Zielrechner im LAN abgeben.
Es soll Router (wie den Netgear ab Firmware 3.25) geben, bei denen man
2300-2400 nicht frei zu geben braucht, da sie diese Direct-Play-Pakete
standardmäßig weiterleiten (wohl per dynamischem Port Mapping).
Manche Router unterstützen konfigurierbares dynamisches Portmapping (triggered
maps oder dynamic inverse IP masquerading). In diesem Falle stellt man als
Triggerport den 47624 ein und verbindet damit die Ports 47624, 2300-2400.
Bei dynamischem Port Mapping stellt man keine Ziel-IP im LAN ein. Diese wird
vom Router dynamisch anhand des Triggerpakets ermittelt. Der Rechner der das
Triggerpaket sendet, bekommt die reinkommenden Pakete mit den spazifizierten
Portbereichen zugesendet. Diese Zuordnung wird im allg. durch ein Time-out
wieder gelöscht.
Gruß Feodor
Ich hab meine ersten Tips auch bei Practically Networked geholt, hat aber nicht
funktioniert. Ich hab das dann herausbekommen:
Die folgenden Ports müssen für BC geöffnet werden:
- 47624
- 2300-2400
- 28800-28900
Mit der Firmware 3.25(CA 0) für den Netgear-Router RT311 und diesen
Port-Einstellungen klappts bei mir.