Willkommen bei Willkommen im Support Forum von Wolfgang Utz
Search
Topics
  Email an den Sysop Home  ·  Login/Account  ·  Forums  ·  Treiber  
support.longshine.de :: Thema anzeigen - LCS-IR3114P
  •  Gruppen  •  FAQ  •  Ränge  •  Regeln  •  Smilies Liste  •  Statistik  •  Unser team  •


  •  Hauptseite  •  Suche  •  Profil Bearbeiten  •  Mitglieder Liste  •  Private Nachrichten  •  Favorites  •  Login  •   

LCS-IR3114P

 
Neues Thema eröffnen   Neue Antwort erstellen    support.longshine.de Foren-Übersicht -> Hilfestellung / Printserver / Access Points / NAS etc. Printable Version
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
admin
admin
admin
Status: Offline

Dabei seit: Aug 18, 2005
Beiträge: 689
Wohnort: Hamburg

Level: 23
HP: 12 / 1225  
 1%
MP: 585 / 585  
 100%
EXP: 56 / 65  
 86%
BeitragVerfasst am: Do Dez 08, 2005 9:53 pm    Titel: LCS-IR3114P Antworten mit Zitat


Diese Anleitung ist als Hilfestellung gedacht und nicht als Bestseller zu verstehen. Zum zweiten schreibe ich wie ich es für richtig halte. Diese Anleitungen schreibe ich in meiner privaten Zeit!!

Anleitung zum Einrichten eines Routers LCS-IR3114P

Der Router LCS-IR3114P ist ein für mich viel zu billig verkaufter Router, der in seiner Klasse keine Wünsche offen lässt. Der Router verfügt über zwei Printerports ( USB und einen Bidirektionalen Parallel Port ) und hat - wie im folgenden Bild zu sehen - vier Ports zum Konfigurieren und Einrichten geöffnet. Der Router arbeitet mit einer SPI Firewall, unterstützt DYNDNS und Portforwarding um Server zu veröffentlichen.

Kurze Erklärung: Port 23 ( Telnet ) ist geöffnet zum Konfigurieren des Routers auf DOS-Ebene ( Für Experten ). Port 80 ist geöffnet zum Konfigurieren des Routers über den Browser. Port 139 ist geöffnet damit die Printserver im Netzwerk unter SMB ( Server Message Block ) erreichbar sind und Port 515 ist geöffnet um den Printserver unter Linux oder UNIX einzurichten. TFTP ist um Updates einzuspielen.

Um es kurz zu machen, für den Router wird es nie ein Update geben. Der Router arbeitet bis auf den Emailalert fehlerfrei!





Der LCS-IR-3114P wird in der Werkseinstellung mit der IP 192.168.1.1 ausgeliefert.

Login = admin
Pass = 0000

In aller Regel wird im Browser ( IE oder Firefox ) die URL http://192.168.1.1 eingegeben. Dann erfolgt das Login. Bei einigen Rechnern die vorher mit z.B. T-online Software gearbeitet haben, sollte im Browser kontrolliert werden, dass unter EXTRAS>>INTERNETOPTION>>VERBINDUNGEN keine Verbindung gewählt ist und unter EXTRAS>>INTERNETOPTION>>VERBINDUNGEN>>EINSTELLUNGEN kein Haken gesetzt ist.

Wenn alles geklappt hat sollte folgender Bildschirm Sie begrüßen....



So sieht es übrigens aus wenn der Router erfolgreich eingerichtet ist...





Wer dieses Bild sieht, sollte sich darüber Gedanken machen, ob man sich nicht lieber einen Freund zu Rate zieht .





Als erstes klicken wir auf "Connection Setup". Hier wird in aller Regel PPPoE ADSL ausgewählt. Static IP ist für Standleitungen. PPTP wird viel in Österreich als Protocol gewählt. CAT ist klar....



Im folgenden Bild habe ich einen T-Online Account eingegeben... Erklärung unter dem Bild



Für alle die keine Flaterate haben!!!!! Router verursachen, genauso wie Frauen, Kosten Zwinkernd . Wer mit der"Idle Time" arbeitet sollte den Router am ersten Tag über den Browser beobachten ( Status ). Gemeint sind Volume oder Zeit-Tarife wo der Router nicht permanent online sein soll. Die Betriebssysteme sind sehr gesprächig. Gleiches gilt für Virenscanner etc. Die machen bei einer Idle Time von 120 min. aus dem Router eine Standleitung.

Jetzt wird wie im Bild als Beispiel der Account eingegeben. Beispiel für T-Online..... etc....

Aufbau bei T-Online
Beispiel 1 (alte Teilnehmernummer - identisch mit Telefonnummer):
Anschlußkennung: 000568901234
Teilnehmernummer: 02415678941
Mitbenutzernummer: 0001
Ergebnis: 00056890123402415678941#0001@t-online.de

Beispiel 2 (neue Teilnehmernummer - nicht identisch mit Telefonnummer):
Anschlußkennung: 000568901234
Teilnehmernummer: 2345678901
Mitbenutzernummer: 0001
Ergebnis: 0005689012340123456789010001@t-online.de

Im Beispiel 2 besteht die neue Teilnehmernummer aus 12 Ziffern. In diesem Fall (Teilnehmernummer = 12 Ziffern) entfällt das Zeichen # (die Raute) zwischen Teilnehmernummer und Mitbenutzernummer.
Aber keine Regel ohne Ausnahme: Lt. einzelner Userberichte muß auch hier manchmal trotzdem die # eingefügt werden (?) Ich selber kann dies aber nicht bestätigen!

Wichtig: Nach 9 “Fehleinwahlversuchen” (durch z.B. eine fehlerhafte T-Online-Benutzerkennung) ist bei T-Online der Zugang bis zum automatischen/manuellen Zurücksetzen gesperrt!

Aufbau bei 1&1
Beispiel 1: 1und1/1234-567
Beispiel 2: 1und1/1234-56@online.de
Anmerkung: Beides soll funktionieren

Aufbau bei Netcologne
Bei Netcologne muß ein "Name" (adsl-private oder adsl-business) bei der Einwahl mit übergeben werden. Dafür gibt es bei Routern unterschiedliche Eingabefelder - z.B. "PPPoE Service Name", "Host Name", "Service Name", usw. Bei einzelnen Router-Modellen ist eine Eingabe dieses "Parameters" aber auch (noch) nicht möglich #> diese Router funktionieren nicht mit Netcologne.
Auch gibt es bei Netcologne wohl DSL-Verträge/-Zugänge bei denen dieser zusätzliche “Name” nicht benötigt wird.

Aufbau bei Telekom BusinessOnline
BusinessOnline-Zugangsdaten für Router:
Präfix: t-online-com/
Suffix: @t-online-com.de
Benutzerkennung: 123456789
Die kompl. Benutzerkennung lautet dann: t-online-com/123456789@t-online-com.de

DNS-Server Telekom/T-Online
Falls man IP’s der verschiedenen Telekom/T-Online DNS-Server braucht, so kann man diese auf folgender Webseite abfragen: http://www.atelier89.de/users/dirk/t-o/010.html

Das Login bei AOL sollte folgendermaßen aussehen:

Login = Name@de.aol.com
Pass = 35R6765BTH



Also Login = Username eingeben und dann Passwort.


"Service Name" bleibt frei, sonst funktioniert der Router nicht. Das ist nur bei Vorgabe des Providers wichtig.

Nochmal zur Wiederholung...

"Connection on Demand" ( Verbindung auf Anforderung ) stellt man ein, damit der Router eine Verbindung zum Internet herstellt - wenn es gewünscht wird. Max. Idle Time for Auto-disconnection: gibt die Zeit an, nach der der Router wieder auflegt. Hier ist ein sinniger Wert von 3 min. einzustellen. 120 min. ist natürlich Blödsinn. Da Virenscanner, XP etc. regelmäßig nach updates fragt, kann 120 min. bei keiner Flatrate locker mal 400 Euro im Monat an Kosten verursachen!!! In aller Regel ist bei keiner Flaterate "connection on Demand = OFF die beste Wahl. Dann muss allerdings der Router unter "HOME" manuell mit "Connect" ins Internet gebracht werden.

Kleiner Tipp: Viele Pappnasen haben bei dieser Variante vergessen den Router über "Disconnect" vom Internet zu trennen. Dann wurde nach einer Rechnung von 300 Euro ein Schuldiger gesucht und empört bei Longshine angerufen. Hängt in der ersten Zeit einen kleinen Zettel an den Monitor mit einer Notiz, dass der Router getrennt werden muss.

"Keep Alice" ist bei einer Flaterate die beste Wahl oder wer z.B. einen Web-Server veröffentlicht.

"Obtain IP Address Automatically" bleibt auf "YES". Seitens des WAN Ausgangs arbeitet ein DHCP Client. Sonst würde man auch nicht immer eine andere IP bekommen. Nur bei einer Standleitung oder bei Vergabe einer feten IP vom Provider ist Obtain IP Address Automatically auf "NO" zu stellen und unter Static IP Address : die IP einzutragen. DNS bleibt wie es ist. Die IP's werden sowieso bei jedem Login überschrieben.

Und zu guter letzt bleibt noch anzumerken dass der Router - wie oben zu sehen - den Port 53 ( Domäne Name Services ) nicht offen hat. Somit kann der Router nicht als DNS Server in der Netzwerkkarte eingegeben werden. In der Netzwerkkarte bitte folgende DNS Server benutzen

213.191.74.18 oder 213.191.74.19 und 212.223.12.1




MSS vergessen? Nein...

MRU,MTU und MSS?
A: MRU: Max Receive Unit, : Maximale Größe einen PPP- Paketes inklusive Overhead
MTU: Max Transmission Unit, : Maximale Größe des IP-Paketes
MSS: Max Segment Size, : Maximale Nutzlast eines TCP-Paketes
Die Begriffe sollte man nicht verwechseln, und sich auch nicht davon irritieren lassen, dass es in einem Falle Receive und im anderen Transmit heisst. Sie gehören zu verschiedenen Protokollschichten.

Normalerweise ist es völlig egal was man einstellt, aber bei PPPOE gibt es ein Problem:

Die maximale Paketgröße auf dem Ethernet ist 1514 Bytes, inklusive des MAC-Headers. In die nach Abzug des MAC-Headers verbleibenden 1500 Bytes muß das IP-Paket inklusive des PPP und PPPOE Overheads passen, man muß die MTU Size so definieren, dass diess auch geht.

1500 - 6 Byte PPP - 2 Byte PPPOE gibt eine MTU von maximal 1492.

Die MTU wird von den höheren Protokollschichten dazu verwendendet, die maximale Nutzlast zu bestimmem (bei TCP ist das die MSS). Wenn man Masquerading/Routing benutzen möchte gibt es jedoch ein Problem: die anderen Rechner im lokalen Lan haben normalerweise alle eine MTU von 1500, d.h. sie verschicken zu große IP-Pakete und teilen bei TCP Connections der anderen Seite mit was sie als größtes Paket empfangen können. Wenn ein Router ein zu großes Paket über eine Schnittstelle mit kleinerer
MTU versenden möchte, sollte er es fragmentieren und der Anwender merkt davon nichts (ausser vielleicht am etwas niedrigeren Durchsatz auf Grund des Overheads). Der T-DSL Router der Telekom
unterlässt das jedoch, und schmeisst zu große Antwortpakete von der anderen Seite einfach weg

Es gibt 2 Möglichkeiten dem Problem beizukommen:

1. Man ändert auf allen Rechnern im lokalen LAN die MTU auf 1492.
2. Beim Aufbau einer TCP-Connection reduziert der Router die ausgehandelte MSS auf 1420. (Dafür dient die MSS Option)
Selbst wenn der Bug bei der Telekom behoben wird, ist das wegen des kleineren Overheads sinnvoll (keine Fragmentierung nötig).

Noch eine Bemerkung: Die MSS Option wirkt nur bei TCP-Connections, und nicht bei UDP oder anderen Protokollen. Bei manchen Anwendungen kann deshalb Methode 1 erforderlich sein.

Die Clients im LAN senden mit einer Standard-MTU von 1500 und der Router routet diese Pakete einfach an das PPP-Device weiter. Es gibt 2 Möglichkeiten, den Fehler zu beheben: 1. Die MTU auf allen Clients im LAN muss auf 1492 gesetzt werden.
2. Die eingehenden Pakete aus dem LAN werden auf dem Router zerschnitten und neu mit der korrekten MTU wieder zusammengesetzt. Dieses Vorgehen nennt man MSSClamping (MSS = MTU - 40 Bytes TCP/IP-Header).


Achtung! Es wird hier die MSS angegeben (1492-40 Bytes TCP/IP-Header = 1452).

Seit neuestem empfiehlt Arcor als richtigen MTU & MRU Wert 1488

Siehe auch hier:

http://www.speedcheck.arcor.de/

T-Online arbeitet mit 1492

Also sollte jeder bei seinem Provider nachfragen. Ein typischer Fehler wäre kein Seitenaufbau bei Ebay.


Hier nochmal eine kleine Liste der Provider mit MTU und VCI bzw. VPI Werten

http://forum.longshine.de/modules.php?name=News&file=article&sid=6



Unter "Basic Settings" kann der Router ins Heimnetzwerk integriert werden. Nicht vergessen!!! Das Gateway muss gleich der IP des Routers sein. Also beides muss die gleiche IP haben. sonst ist das Internet tot.

"Web Management's Port No." ist um den Router unter einem andern Port erreichbar zu machen. Wer z.B. einen Web-Server veröffentlicht, braucht den Port 80. Also trägt man hier Port 81 ein. Dann ist der Router dann unter http://192.168.1.1:81 zu erreichen. Gleiches gilt für das Remote Managment.

Beispiel für DYNDNS

Web-Server = http://woopin.dyndns.org
Remote Managment = http://woopin.dyndns.org:81

UPnP sollte klar sein.

Universal Plug and Play

Universal Plug and Play (UPnP) ist das Gerüst für eine durchgehende "peer-to-peer" Netzwerkverbindung von PCs in den unterschiedlichsten Ausprägungen, von intelligenten und von mobilen Geräten. UPnP besitzt eine verteilte und offene Netzwerk-Architektur, die TCP/IP und das Internet unterstützt. UPnP ermöglicht dadurch zusätzlich zur Steuerung und zum Datentransfer zwischen vernetzten Geräten zu Hause, im Büro und in vielen anderen Bereichen, eine durchgängige Netzwerkumgebung.

Was ist universal an UPnP?

Keine Geräte-Treiber nötig - gemeinsame einheitliche Protokolle.
Vom Transportmedium und von tieferen Netzwerkschichten unabhängig (Transportschicht und darunter).
Die Implementierung der UPnP Geräte kann in jeder beliebigen Progammiersprache und für jedes beliebige Betriebssystem erfolgen.
UPnP unterstützt HTTP und die gesamte Familie der Browser-Technologien.

UPnP ermöglicht dem Hersteller die Steuerung seiner Geräte mit dem Internet-Browser.
UPnP ermöglicht auch eine Steuerung mit herkömmlichen Applikationsprogrammen.
Die Hersteller berücksichtigen Grundfestlegungen eines Gerätetyps (Geräteschema) und können diese einseitig je nach Bedarf erweitern.

UPnP findet in vielen Bereichen Anwendung, wie z.B. Netzwerke im Heimbereich, Netzwerke für den Nahbereich und Netzwerke in kleinen Unternehmen und kommerziellen Gebäuden. Es ermöglicht eine Datenkommunikation zwischen zwei beliebigen Geräten, sofern eines davon Fähigkeiten eines Control Points besitzt. UPnP ist von keinem bestimmten Betriebssystem, keiner Programmiersprache und von keinem physikalischen Medium abhängig.

UPnP unterstützt die konfigurationslose Vernetzung und ein automatisches Auffinden, wobei sich ein Gerät dynamisch mit dem Netzwerk verbinden kann, eine IP-Adresse erhalten kann, seinen Namen ankündigen kann, auf Nachfrage seine Fähigkeiten übermitteln kann, und über die Existenz und Fähigkeiten der anderen Geräte erfahren kann. Die Verwendung eines DHCP und DNS Server ist optional möglich, werden aber nur genutzt, wenn sie im Netzwerk verfügbar sind. Darüber hinaus kann ein Gerät die Netzwerkverbindung problemlos und automatisch trennen ohne einen nicht gewollten Status zurückzulassen.


UPnP profitiert vom Erfolg des Internets und lehnt sich stark an die Standards an, IP, TCP, UDP, HTTP und XML eingeschlossen. UPnP legt Wert auf eine Zusammenarbeit mit den verschiedensten Herstellern aus allen Bereichen, um möglichst viele Gerätebeschreibungen zu standardisieren. Das UPnP Forum liefert entsprechende Vorlagen für die Gerätebeschreibung, die mit XML erstellt wird, und letztendlich vom Gerät auf Anfrage an einen Control Point gesendet wird.

Nur WinME und XP unterstützen UPNP




"Alias IP Address :" ist ein cooles Feature um zwei Netzwerke ins Internet zu bringen. Beispiel:

Die Buchhaltung arbeitet mit der IP 192.168.1.2-254. Also ein Class B Netzwerk. Der Verkauf soll ein eigenes Netzwerk bekommen. Der bekommt die IP 172.30.30.2-254. So sind beide Netzwerke getrennt. Im Router wird dann unter "Alias" 172.30.30.1 eingetragen und als Subnetz 255.255.0.0. Jetzt können beide Netzwerke ins Internet.





Passwort ändern sollte eigentlich der erste Schritt sein beim Router. Kleiner Tipp: Legt euch ein Administratorenhandbüchlein an. Da alle Logins und Passworte rein und gut verschliessen. Wir haben drei mal die Woche Leutchen, die ihr Passwort vergessen haben.



Hier kann die Zeit eingestellt werden. SNTP ist schön. Leider weiss ich nicht welche Server angetriggert werden. Für Deutschalnd sollte GMT +1 eingestellt werden.



Um das Traffic des Routers anzuschauen, sollte Java installiert sein.











Unter "Access Monitor" und "Network Monitor" können IP'S der Rechner ermittelt werden die gerade am surfen sind. Dann auch gleich die IP's der Server, auf dem sich die Rechner gerade aufhalten.






Die Ereignisanzeige beschreibt, was gerade die Firewall erleiden muss



Hier kann man andere Rechner anpingen um zu testen, ob sie am Leben sind oder nicht....



Könnt ihr vergessen. Dieses Feature werde ich nicht zulassen. Es gibt keine Firmware!!!


"Load Factory default" macht den Router zur Jungfrau. Das heisst er wird in die Werkseinstellung gebracht. Nach Factory defaults braucht eigentlich nur das Login und das Passwort eingetragen werden. Dann sollte der Router wieder



Was ist eine Firewall ? Ganz einfach

Firewall:


Port 139 ist der vermutlich in Suchmaschinen meist gesuchte und für Anwender von Firewalls gehasste Port, weil er bei Sicherheits-Scans geöffnet ist und scheinbar rätselhafte Dinge macht. Gefährlich ist er nicht, denn er gehört zur Gruppe der NetBIOS Ports, die durchaus sinnvolle Funktionen zur Verfügung stellen, allerdings auch für Angriffe genutzt werden können.

NetBIOS ist das 1981 für IBM entwickelte Net-Basic-Input-Output-System, mit dem Anwendungen die Möglichkeit des Aufbaus virtueller Transportverbindungen und der Verwaltung symbolischer Namen für Rechner im Netzwerk (so genannte NetBIOS-Namen) gegeben wird. Über das NetBIOS können zum Beispiel Ressourcen wie Drucker und Verzeichnisse für das Internet freigegeben werden. Abgewickelt wird dies über die Ports 135 bis 139. Was auf der einen Seite für interne Netzwerke hilfreich sein kann, öffnet Angreifern ein grosses Tor für Angriffe. Leichtsinnig für das Netz geöffnete Freigaben können also jederzeit auch ungebetene Gäste anlocken.

Die RPC- (Remote Procedure Call) -Endpunktzuordnung eröffnet dabei RPC-Clients über Port 135 die Möglichkeit, die Anschlussnummer zu ermitteln, die aktuell einem bestimmten RPC-Dienst zugeordnet ist. Der RPC ist ein Protokoll, das die Implementierung verteilter Anwendungen, also Netzwerkdiensten, vereinfachen soll. Ursprünglich von der Firma Xerox entwickelt, haben sich heute drei Standards etabliert:
ONC: Open Network Computing
NCA: Network Computing Architecture
DCE: Distributed Computing Environment

Wie der Name schon verdeutlicht, handelt es sich um eine Dienstleistung, die auf einem entfernten Rechner erbracht wird. Im Unterschied zu lokalen Prozeduraufrufen ergeben sich daraus zahlreiche Probleme:

Welcher Host bietet einen entsprechenden Dienst an?
Welches Transportprotokoll (TCP/UDP) soll verwendet werden?
Was ist bei Ausfall des Dienstanbieters (Server)?
Semantik des Aufrufs (genau, höchstens oder mindestens einmal)
Datendarstellung (Wortbreite, big endian, little endian)
Performance
Sicherheit

Neben den nützlichen Eigenschaften kann Port 135 aber auch von Angreifern benutzt werden, um vielleicht einen Rechner abstürzen zu lassen. Dazu kann der Angreifer zum Beispiel eine Verbindung über Telnet zum RPC Dienst herstellen und einige Zeichen übergeben. 10 Zeichen reichen bereits aus, um die CPU auszulasten. Der Rechner ist dann nur noch mit einem Reboot zum Leben zu erwecken. Diese Attacke wird allgemein als RPC Attacke bezeichnet und spielt auch unter Windows2000 noch eine wesentliche Rolle, da die Funktionen weitestgehend von Version zu Version übernommen wurden.

Schliessen lässt sich Port 135 sehr einfach, indem die Eigenschaften der DFÜ- und Netzwerkverbindungen geöffnet werden.

Dort wird das Internet Protokoll TCP/IP ausgewählt und die erweiterten Eigenschaften.

Im Register "WINS" wird das Häkchen an "NetBIOS über TCP/IP deaktivieren" gesetzt.

Die Ports 135 bis 139 sollten anschließend bei einem TCP Scan nicht mehr erscheinen beziehungsweise geschlossen sein.

Sinnvoll ist die Deaktivierung immer dann, wenn NetBIOS nicht benötigt wird. Neben einer Steigerung der Performance wird weniger Angriffsfläche für Datendiebstahl und Denial of Service Attacken gegeben, was den Rechner insgesamt sicherer macht.

Wird NetBIOS benötigt, wenn zum Beispiel mehrere Rechner im LAN laufen und erhalten die LAN Rechner über das Internet Connection Sharing (ICS) Verbindung zum Internet, sollte die Netzstruktur neu überdacht und mit sicheren Komponenten aufgebaut werden. Möglich wird das zum Beispiel aus einer Kombination vom nicht routbaren NETBEUI Protokoll für die interne Rechner-Kommunikation und einem leistungsfähigen und kostenlosen Proxy-Server wie Jana Server. Die Einrichtung und Konfiguration ist auch nicht schwieriger als mit ICS, bietet dem Rechner aber weit mehr Sicherheit.



Die Firewall im LCS-IR3114P gliedert sich im mehrere Bereiche um Regeln zu erstellen. Es können Gruppen erstellt werden, es können IP_Bereiche erstellt werden und wiederkehrende Zeiten erstellt werden. Diese Gruppen werden dann in der Firewall ins Verhältnis gesetzt.

In der Grundeinstellung ist vom Internet ins LAN alles gesperrt und vom internen Netzwerk ins Internet alles erlaubt.

Unter Advanced Setting verbergen sich mehrere Menues um die Firewall zu konfigurieren.

Advanced Settings##-Group Setup#####IP Address Group
###########################Service Group
###########################Scheduling Group

#############-Service Setup####DHCP Server
##########################DMZ
##########################Static Routing
##########################Local Server Mapping
##########################Dynamic DNS

##############Firewall Setup####Basic Settings
##########################Access Rules
##########################Content Filtering
##########################E-mail Alerts



Im folgendem Bild sind die drei Möglichkeiten zu sehen, womit sich Regeln erstellen lassen. Es können Regeln in zwei Richtungen erstellt werden. Regeln um vom LAN ( LOCAL AREA NETWORK = Internes Netzwerk ) zum WAN, oder vom WAN ( World Wide AREA NETWORK = Internet ) ins LAN. Ich versuche jetzt ein Beispiel aus den LAN ins WAN zu erklären anhand von Bildern.



Group Setup = Gruppen. Gruppen kann eine einzelne IP, also Rechner, oder aber einen ganzen Bereich von IP's betreffen ( Abteilung ). Diese Gruppe bekommt zum leichteren Verständnis einen Namen.

Service Group = Service Gruppe beschreibt einen Dienst wie WEB, EMAIL, Emule, ICQ. Dienste sind Ports die Programme brauchen zum kommunizieren.

Scheduling List: ist einfach nur zum Einstellen, wann ein Filter ( eine Regel ) in Kraft tritt.

Jetzt die Kurzform: Das TCP/IP Protokoll wird nach IP und nach Port ausgewertet die im Kopf jeden Pakets stehen. Also Sender, Empfänger und Programm



Jetzt kommt ein Beispiel: Im ersten Feld kommt ein Name rein zum späteren Verknüpfen der Regel. Kleiner Tipp... Zettel nehmen und kurz aufmalen die Regeln. Dann kommt die IP oder die Gruppe. Will man nur einen Rechner sperren, dann kommt unter Start z.B. 192.168.1.50 rein und als Ende 192.168.1.50





Ich möchte zwei Regeln erstellen. Die erste Regel ist um die Kinder von 14.00 - 16.00 Uhr das surfen zu verbieten damit Hausaufgaben gemacht werden. Die zweite Regel verbietet Emule ganz. Die Rechner von den Kindern liegen im Bereich 192.168.1.20 - 192.168.1.30. Mein Rechner hat die 192.168.1. 2

Also erstelle ich den IP-Bereich der Kinder von 192.168.1.20 - 192.168.1.30 und als zweiten Bereich 192.168.1.1 - 192.168.1.254. Also alle Rechner im Netzwerk



Jetzt muss ich die Ports einstellen die gesperrt werden sollen. Im diesem Beispiel Port 80 -80 fürs Verbieten des surfens und 4000 - 5000 für Emule.



Jetzt muss ich noch die Zeit einstellen wann die Regeln greifen sollen. Also von Montag - Freitag zwischen 14.00 - 16.00 Uhr und von Montag - Sonntag 24 Std. Etwas unglücklich ist jetzt der Umstand, dass das Menue zum erstellen der Regeln nicht hier zu finden ist, sondern unter >>>Firewall>>>Access Rules. Also rüber da....



Hier wählen wir LAN to WAN aus.




Hier habe ich eine Regel schon erstellt für Emule und erstelle eine für die Kinder. Unter "Private IP Address" sind die beiden IP-Bereiche auszuwählen die wir vorher unter Group Setup erstellt haben. Bei "Internet IP Address" stellen wir "ANY" ein weil wir die Regel auf das ganze Internet anwenden. Any ist voreigestellt im Router und betrifft das ganze Internet. Unter "(To Internet) Service Group's" wählen wir dann die vorher erstellten Regeln betreffend des Ports aus. Also HTTP für den Port 80 ( vordefiniert im Router ) und Emule für Port 4000 - 5000.



Unter "Scheduling :" wählen wir die vorher definierten Zeiten aus die wir erstellt haben.

TCP wählen wir aus, weil HTTP ( Web-Server ) einen Handschake braucht. Es wird also nachgefragt, ob die TCP/IP Pakete angekommen sind. Das macht TCP/IP im Vergleich zu IPX/SPX so langsam. UDP ist ein Handshakeloses Protocol. Da ist es egal ob die Pakete wirklich angekommen sind. Schneller aber unsicherer. DNS ( Namesauflösung >>woopin.dyndns.org in IP umwandeln und umgekehrt ) wäre ein typischer Dienst der mit UDP läuft. Oder Telnet.

Allow = Erlauben
Discard = verbieten
Protokolieren



Und so sehen die fertig erstellten Regeln aus. Bild unten...
Man kann jetzt noch das ganze protokolieren und sich das ganze per Email zuschicken lassen. Aber eben nur für Leutchen gedacht die keine Freunde haben. Für Spamfreaks aber ein Muss.... Augenrollend




Unter Firewall Basic Settings wird die Firewall ein oder ausgestellt.

So und jetzt mal in eigener Sache. Im Handbuch auf der CD ist hier ein Buttom mehr wo die Firewall an- oder ausgeschaltet werden kann. Mindestens ein mal pro Woche bekomme ich eine Email oder einen Anruf wo darauf hingewiesen wird: da fehlt was im Menue. Das macht mich traurig Leutchen. Kinders, Augen auf. "Default Internet-to-LAN Action" auf Allow setzen. Das ist doch gleichzusetzen mit Firewall aus!!!! Man hat erkannt, dass der Schalter zweimal vorhanden war. Also hat man das korrigiert.

Also Schalter 1 sperrt das ganze interne Netzwerk zum Zugang ins Internet.

Schalter 2 schaltet die Firewall ab.

Schalter 3 ist zum Erkennen von DoS Attaken. Bei Emule sollte hier ein Wert von 200 eingetragen werden.

DoS Self-Protection Time gibt an, wie lange der Router die IP's sperrt.


Allows TCP/UDP Port Number 139 Packets nie auf Yes stellen.


Einführung
Wenn du versuchst, einen host (interface, eine Netzwerkschnittstelle) innerhalb eines Netzwerkes zu erreichen, kannst du drei verschiedene Arten von Adressen benutzen:
• unicast Adresse. Diese Art von Adresse bezieht sich auf einen alleinigen(es) host (interface) innerhalb eines Unternetzes. Ein Beispiel einer unicast Adresse ist 192.168.100.9. Ein Beispiel für eine unicast MAC Adresse ist, zum Beispiel, 80:C0:F6:A0:4A:B1.
• broadcast Adresse. Die Adresse erlaubt es, jeden host (jedes interface) innerhalb eines Unternetzes aufzurufen. Eine broadcast IP Adresse ist 192.168.100.255 und eine MAC broadcast ist FF:FF:FF:FF:FF:FF.
• multicast Adresse. Diese Art von Adresse erlaubt das Aufrufen einer speziellen Gruppe von hosts (interfaces) innerhalb des Unternetzes.

Multicast Adressen sind nützlich, wenn der Informationsempfänger nicht nur ein host ist und wir keinen Netzwerk-broadcast produzieren wollen. Dieses Szenario ist typisch in Situationen, die das Senden von Multimediainformationen (Echtzeitaudio oder -video, z.B.) zu einigen hosts erfordern. In Bandbreitenausdrücken gedacht, sind diese Fälle nicht das beste, um es als unicast zu jedem Client zu senden, der die Multimediaemmission empfangen möchte. Auch broadcast ist nicht die beste Lösung, hauptsächlich wenn sich bestimmte Clienten ausserhalb des lokalen Intranetzes befinden, von wo der Multicast seinen Ursprung hat.

Multicast Adresse
Wie der Leser wahrscheinlich weiss, ist der IP Adressenraum in drei Adressklassen unterteilt. A,B und C Adressklassen. Es gibt eine vierte Klasse (D), die für multicast Adressen reserviert ist. IPv4 Adressen zwischen 224.0.0.0 und 239.255.255.255 gehören zur Klasse D.

Also wer mit mehreren Rechnern auf gleichen servern ist sollte hier Broadcast einschalten. Es braucht nicht soviel Bandbreite.

Angriff: IP-Source-Routing
Bedrohung: Maskerade

Beim IP-Source Routing bestimmt der Quellknoten die Route eines Paketes im Internet. Der Zielknoten benutzt für seine Antwort die angegebene Route für den Rückweg. Der Quellknoten kann somit Antworten auf einen beliebigen Knoten umleiten. Jeder beliebige Zwischenknoten kann weitere für den Zielhost nicht sichtbare Umleitungen vornehmen. Ein Angreifer kann in diesem Fall jede gewünschte IP-Source-Adresse vorspiegeln. Daher sollten alle Pakete, die IP-Source-Routing-Informationen enthalten, abgewiesen werden.

Also ausschalten bzw. auf NO stellen

Remotemanagement um den Router aus dem Internet administrierbar zu machen

Und zu guter letzt "Respond to Ping Requests:" Zum testen gut, dann aber ausschalten. Der Router verwirft die ICMP Pakete. Der Router wird so unsichtbar.





Der Name DHCP steht für das "Dynamic Host Configuration Protocol". Es dient dazu, Clientrechnern beim Hochfahren automatisch die richtigen Netzwerkeinstellungen zuzuweisen. Dazu gehören die IP-Adresse mit der Netzmaske, der Gateway, der Clientname mit der Domain, in der sich der Client anmeldet und natürlich der zuständige DNS-Server sowie der WINS-Server für die Auflösung der Windows-Namen. Dazu sendet der Client eine spezielle Anfrage ins Netzwerk ("Broadcast"), worauf der Server mit den gewünschten Daten antwortet. Sobald der Client die Daten (Netzwerkeinstellungen) übernommen hat, werden sie auf dem Server auf bestimmte Zeit ("lease time") für genau diesen Client anhand seiner Netzwerkkartennummer (MAC-Adresse) reserviert.

Printserver und Administratoren-Rechner sollten mit fester IP arbeiten. Sollte aus irgend einem Grund die Lease-Time zu klein sein und die IP des Printservers ändert sich, müssen auf jedem Rechner die Drucker neu eingerichtet werden.

Ich denke, das Konfigurieren kann ich mir hier ersparen. WINS ist als Nameserver für ältere Systeme wie NT 4.0



DMZ:
DMZ (Demilitarized Zone) bietet eine zusätzliche Ethernet-Schnittstelle zur Bereitstellung öffentlicher Server in einem durch den Firewall geschützten Netzwerk, das jedoch vom Firmen-LAN isoliert ist.



Bei diesem Router bleibt Pulbic WAN frei. Das ist die IP des Providers. Rechts wird dann die IP des Rechners eingetragen, der vor die Firewall gestellt werden soll. Virenscanner, Trojanerscanner etc. nicht vergessen bei diesem Rechner.




Mit statischen Routen kann man Traffic ( IP'S ) umleiten auf andere Rechner etc. . Man könnte hier das Mailen auf einen Mailserver im localen Netzwerk umrouten

Da privat wohl kaum damit gearbeitet wird, hole ich hier nicht weiter aus.




Local Server Mapping: Unter Local Server Mapping können bis zu 20 Regeln eingetragen werden. Hier können z.B. Server veröffentlicht werden wie hier im Beispiel ein Web-Server, ein Mailserver und 3389 für den Romote Desktop Client von Microsoft zum fernadministrieren des Netzwerkes. Der unterschied zwischen den Firewallregeln oben beschrieben und hier ist das diese Regeln immer nur einen Rechner betreffen. D.h. diese Regel betrifft immer nur einen einzigen Rechner. Achtet darauf der der Rechner der hier eingetragen wird eine feste IP hat. Public und Privat Port bleiben gleich.

Emule sollte besser wie oben beschrieben mit Goups und IP's realesiert werden. Warum? Wenn Emule oder ein Spiel auf mehreren Rechnern laufen soll ( Ein Rechner zur Zeit ) kann man oben eine IP-Range eingeben. Wenn der eine Rechner Emule beendet hat kann der zweite Rechner Emule starten und man braucht nicht jedesmal in der Firewall Regeln ändern



DDNS ist mittlerweile wohl auch jedem ein Begriff.

DDNS

DDNS ist ein dynamischer Service der es ermöglicht trotz wechselnder IP den Rechner namentlich erreichbar zu machen und das rund um die Uhr.
Der Router schaut in seiner NAT Tabelle nach der IP des WAN-Ports. Sobald sich die IP
ändert übermittelt der Router sofort ( und nicht in Interwallen ) die IP an den in der
Firmware vorgegebenen Anbieter. In unserem Fall DYNDNS . Dort wird im Server sofort
der registrierte Name mit der aktuellen IP im DNS-Server eingetragen.
Wie schon oben beschrieben kann der bei DYNDNS registrierte Server local nicht abgerufen werden. Es sei den man hat seine Hosts Datei gepflegt oder man testet es über einen zweiten Account.

Sorry, aber leider muss ich auch darauf noch mal hinweisen. Es langt nicht sich bei DYNDNS zu registrieren. Mit der Email bekommt man einen Link auf den man doppelt klickt ( Klick Klick ) Damit wird erst der Dienst bzw. der Account frei geschaltet.




Hier können bestimme Webseiten generell gesperrt werden. Siehe Bild.

Active X etc können hier erlaubt oder verboten werden

Denial of Service-Attacks
Eine der größten Gefahren im Internet stellen so genannte „Denial of Service-Attacks“ dar, bei diesen Attacken werden Rechner im Internet zu Absturz gebracht, die dann vorübergehend nicht zur Verfügung stehen, deshalb auch „Denial of Service“(Verweigerung des Dienstes). Eines haben fast alle Attacken gemein, sie nutzen die Löcher von schlecht programmierten TCP/IP- Protokollen aus. Hier sind die populärsten Attacken, wie sie Täglich im Netz vorkommen.
Email-Bombe
Der ältesten „Denial of Service-Attacks“ ist das inzwischen „klassische“ Email-Bombing. Hierzu wird ein Empfänger mit einer Vielzahl von gleichlautenden Emails regelrecht bombardiert, so daß das nächste Herunterladen der vorhandenen Emails zur Qual werden dürfte. Die Ausführung erzeugt aber noch ein anderes Opfer: Eine Mailbombe besteht im Prinzip aus einer einzigen Email, die an einen SMTP-Mailserver zur Ausführung geschickt wird. Diese Email hat jedoch die Besonderheit, dass sie die Email-Adresse des Opfers gleich mehrmals als Empfänger enthält. Der ausführende Mailserver hat bei entsprechend hoher Angabe von Empfängern ebenfalls entsprechend genug zu tun, diese Emails zu generieren und zu versenden.
Eine sehr unangenehme Variante des Email - Bombings ist die Anmeldung eines Opfers bei Unmengen von Mailinglisten. Das Opfer muss sich nämlich nach so einer Attacke mühsam aus allen angemeldeten Listen manuell wieder austragen.
Broadcast Storms
Broadcast Storms gehören ebenfalls schon zur älteren Generation von Denial of Service-Attacks. Sie richten besonders viel Schaden in lokalen Netzwerken an, in denen jeder Rechner als Gateway fungiert und die Netzwerktopologie nur mangelhaft gewartet wird.
An jeden Rechner wird bei einer Broadcast Storm-Attacke ein Strom an IP-Paketen geschickt, die allesamt an nichtexistierende Ziele adressiert sind. Wird dieser Datenstrom für mehrere Rechner innerhalb dieses Netzwerkes aufrechterhalten, ist das gesamte Netzwerk recht bald ziemlich lahmgelegt, da die Rechner die falsch adressierten Daten über die Gateways immer wieder in andere Subnetze verschieben.
Um die Problematik von Broadcast Storms zu vermeiden, ist eine ausgeklügelte und sorgfältige Planung des Netzwerks notwendig, um das Hängenbleiben von umherirrenden IP-Paketen von vornherein zu verhindern bzw. in kürzester Zeit zu eliminieren.
Out of Band-Packets (“das Nuken”)
Nahezu schon legendäre Denial of Service-Attacks sind das sogenannte „Nuken“. Hierzu werden spezielle IP-Pakete, die ein besonderes Merkmal haben, an einen Rechner geschickt. Entsprechend ungesicherte Betriebssysteme (Versionen von Windows und Linux) quittieren den Empfang solcher Pakete mit dem völligen Systemstillstand. Inzwischen existieren für (fast) alle betroffenen Betriebssysteme geeignete Patches, die diesen Fehler eliminieren.
Out of Band-Packets bestehen aus einem speziellen UDP-Paket, daß gewöhnlich an den Port 139 (NetBIOS-Port) gesendet wird, da dieser standardmäßig bei vielen Computern geöffnet ist. Prinzipiell funktioniert es aber auch mit allen anderen Ports, die für Datenempfang standardmäßig geöffnet sind. Die Wirkungsweise liegt nun darin, dass ein ungesichertes Betriebssystem mit Out of Band-Informationen nichts anfangen kann und in einer "panikartigen" Reaktion im ungünstigsten Fall die aktuelle Sitzung mit einem Systemabsturz beendet.
TCP Syn Flooding (“Land Attacks”)
Diese Attacke nutzt ein Feature von TCP aus: Bevor eine Verbindung zwischen zwei Rechnern aufgebaut wird, sendet der Absender spezielle IP-Pakete an den Empfänger, um eine Verbindung anzukündigen. Der Empfänger sendet dann ein Antwort-Paket zurück an den Absender und erwartet von ihm eine Empfangsbestätigung.
Führt nun ein Absender eine TCP Syn Flooding-Attacke aus, sendet er nicht, wie vom Empfänger erwartet, ein ACK-Paket aus, sondern bombardiert den Empfänger weiterhin mit SYN-Paketen. Der Empfänger quittiert wacker alle diese SYN-Pakete. Hier tritt nun der Fehler bei entsprechend fehlerhaften TCP-Implementierungen auf, die bei einem weiteren SYN-Paket nicht nur für das gerade empfangene SYN-Paket eine ACK-Anforderung verschicken, sondern auch für alle bisher empfangenen. Auf die Weise erzeugt der Empfänger-Rechner recht schnell eine hohe Datenflut und ist für die Zeit komplett ausgelastet.
Large Packet-Attacks (“der Ping of Death”)
Ein weiterer, besonders hinterhältiger Veteran der „Denial of Service-Attacks“ sind die „Large Packet-Attacks“, „der Ping of Death“ genannt (obwohl die Attacke nichts mit dem eigentlichen „Ping“ zu tun hat).
Die Wirkungsweise von „Large Packet-Attacks“ ist zugleich einfach und fatal: Das IP-Protokoll verpackt alle Daten beim Absender in 64 kB große Päckchen. Diese werden jedoch protokollintern vor der Übertragung in kleinere Päckchen zerlegt, um sie einfacher übertragen zu können (fragmentieren). Beim Empfängerrechner werden diese einzelnen Päckchen wieder zusammengefügt (reassemblieren), allerdings erst, wenn alle Einzelteile vorliegen. Ist das ankommende Paket am Ende größer als 64 kB, läuft ein interner Speicherpuffer über und bringt im ungünstigsten Fall den Rechner zum Absturz.
Ping Flooding
Das Ping Flooding gehört zu den Attacken, die keine Sicherheitslöcher ausnutzen. Pings werden benutzt, um die Erreichbarkeit von anderen Hosts im Netz zu prüfen. Ein “angepingter” Host quittiert hierzu einen Ping mit einer echoartigen Antwort.
Beim Ping Flooding wird ein Host jedoch mit unzähligen Ping-Anfragen bombardiert, die der Host dann natürlich alle bearbeitet (falls keine entsprechenden Mechanismen die Abarbeitung von rasch wiederholenden Ping-Anfragen verhindert) und entsprechend das eigene System und die Netzverbindung auslastet.
Ping Flooding ist einer der Attacken, die richtig teuer werden können: Wird eine Netzverbindung eines Hostes nämlich nach dem erzeugten Datenaufkommen abgerechnet, können teilweise horrende Summen entstehen.




Hier wird dann der Server vom Provider eingetragen mit Emailadresse. Wer also eine Mail erhalten will das Attacken gegen der Router gemacht worden ist kann das hier einschalten. Ich glaube der Emailalert funktiniert nicht richtig. Da es aber der einzig mir bekannte Fehler ist habe ich nicht um Korrektur gebeten. Ein gefixter Fehler bringt 3 neue



Hier brauche ich wohl nicht viel schreiben. Im ersten Feld kommt der Name rein wie der Printserver sich im Netzwerk meldet. Ist also gleichzusetzen mit dem Rechnernamen. Im zweiten Feld kommt die Arbeitsgruppe rein. In die beiden anderen Felder die Namen der Drucker. Dann kann man im Netzwerk die Drucker suchen und mit der rechten Maustaste auf verbinden klicken. Schon wird der Treiber installiert.

Einrichten von Printservern hier klicken



Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen MSN Messenger
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    support.longshine.de Foren-Übersicht -> Hilfestellung / Printserver / Access Points / NAS etc. Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1
Favorites



 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum posten
Du kannst Dateien in diesem Forum herunterladen


Powered by PHPBB 2.0.18 © 2001, 2005 phpBB Group
Erstellung der Seite: 0.223243 Sekundens (PHP: 93% - SQL: 7%) Besuche SQL: 37

1. Disclaimer 2. Impressum