xDSL.at

[wikkinger]

Ich möchte für Remotezugriffe von außen den IP Bereich in der Firewall möglichst eingrenzen.

Der externe Standort hat einen inode xdsl Take I.T. Anschluss in Graz.
Die IP Adressen der letzten Tage waren:
84.119.66.xxx
84.119.43.xxx
84.119.53.x
84.119.72.xxx
84.119.46.xx
84.119.42.xx

Laut RIPE gehört von 84.119.0.0 - 84.119.255.255 alles UPC.

Soll ich nun den Ganzen UPC Bereich in die Firewall eintragen oder soll ich z.B. 84.119.42.x bis 84.119.66.x nehmen?
Oder kennt ihr oder die Hotline den genauen Bereich den Inode Graz benutzt?

Und wird der IP Bereich öfters mal gewechselt oder bleibt der über JAhre gleich?

[radditz]

IP Bereiche werden gewechselt - oder auch nicht. Das kann von heute auf morgen passieren, oder erst in 10 Jahren.

Sobald dann aber der externe mal eine andere IP hat, haut die Remote-Wartung nicht mehr hin.

Alternative: Ãœber VPN, SSH-Tunnel oder evtl. eine statische IP-Adresse?

[preiti]

Alternative: Ãœber VPN, SSH-Tunnel oder evtl. eine statische IP-Adresse?

Zur Not auch ein DynDNS-Dienst.

Grundsätzlich würde ich beim Internetzugang einer Firman immer ein Business-Produkt nehmen. Da sind Leistungen wie statische IP-Adressen, schnellere Reaktionszeit bei Problemen und ähnliches dabei. Das macht viele Dinge, wie z.b. dieses, viel einfacher.

[jutta]

> Grundsätzlich würde ich beim Internetzugang einer Firman immer ein Business-Produkt nehmen.

das loest das problem aber nicht. denn die statische ip braucht in diesem fall ja derjenige, der von daheim oder unterwegs auf den firmenrechner zugreifen muss. (sei es mitarbeiter/in, externe/r edv-betreuer/in, student/in der/die nebenbei fuer die firma programmiert usw.)

mir ist btw auch nicht klar, wie ein dyndns-dienst helfen soll, den zugang zum firmenrechner abzusichern.

[preiti]

Ich würde nicht mit Sperren/Zulassen bestimmter IP-Ranges den Zugirff beschränken.

> Grundsätzlich würde ich beim Internetzugang einer Firman immer ein Business-Produkt nehmen.

das loest das problem aber nicht. denn die statische ip braucht in diesem fall ja derjenige, der von daheim oder unterwegs auf den firmenrechner zugreifen muss. (sei es mitarbeiter/in, externe/r edv-betreuer/in, student/in der/die nebenbei fuer die firma programmiert usw.)

Ich würde eher so wie von radditz schon vorgeschlagen(VPN, SSH,...) den Zugriff beschränken. Soetwas ist mit einer statischen IP-Adresse sehr leicht eingerichtet.

mir ist btw auch nicht klar, wie ein dyndns-dienst helfen soll, den zugang zum firmenrechner abzusichern.

Als Notlösung bei einer fehlenden statischen IP-Adresse.

[jutta]

> Als Notlösung bei einer fehlenden statischen IP-Adresse.

stimmt grundsaetzlich, aber ist bei der frage des o-posters nicht relevant. lies sie dir bitte noch einmal durch

[lordpeng]

also ich würd das per vpn machen oder halt a paar euro mehr für eine stat. ip auf einem anschluss zahlen der von extern via vpn erreicht werden und als weiterleitung verwendet werden kann

btw. nur um's erwähnt zu haben ein filter auf source ip's ist kein wirklicher schutz (aber zumindest hilfts die logs kleiner zu halten)

[Herculess]

btw. nur um's erwähnt zu haben ein filter auf source ip's ist kein wirklicher schutz (aber zumindest hilfts die logs kleiner zu halten)

kein schutz vor was? so generell kann man das wohl nicht stehen lassen.

greets

[ANOther]

kein schutz vor was?

genau. definiere "was", und bau deine sicherheit dementsprechend...

(ein brief kann auch ankommen, wenn ich den absender mit "franz meier, ballhausplatz 1, 1010 wien" angebe. und wenn ich jemanden im postverteilzentrum sitzen hab, kommt auch die antwort zu mir zurück...)

[lordpeng]

>kein schutz vor was?
vor all den bösen leuten die versehentlich die falsche ip adresse eingeben vielleicht?

>so generell kann man das wohl nicht stehen lassen.
warum sollte man nicht? ip spoofing und andere angriffsmethoden wurden schon vor einiger zeit erfunden ...

ich hab ned gesagt, dass es schwachsinn ist, aber man sollte die sicherheit durch limitierte source-ip's wohl nicht überbewerten ...

wer dahinter womöglich irgendein gerät oder einen dienst mit schwachem oder standardkennwort betreibt (wie's einem schon desöfteren untergekommen ist) dem is ned zu helfen ...

[wikkinger]

Hallo Leute, ich weiß zwar nicht wieviele Seiten mit ähnlichen Postings über statische IPs vollposten wollt, aber mit meiner Frage zu dyn. IP hat es nix tun.

[ANOther]

@OP
deine frage wurde mit der ersten zeile des ersten antwortposts beantwortet...
UPnode kann heute, morgen, gestern neue netze nach "graz" aufnehmen, alte nach ibk schicken, ...
nimm einfach y.x.0.0/16
und nichtmal DAS is irgendwie sicher von langer dauer...

[jutta]

> Und wird der IP Bereich öfters mal gewechselt oder bleibt der über JAhre gleich?

seit wann er so ist, wie er derzeit ist, wissen wir im forum: http://xDSL.at/viewtopic.php?t=40061&po ... ch&start=0

wann er wieder geaendert wird, wissen wir naturgemaess nicht. frueher gab es sehr oft aenderungen, weil inode alle paar monaten neue ip-ranges dazu bekam. jetzt nehmen erstens die kund/inn/en nicht mehr so rasant zu und zweitens muessen aenderungen innerhalb des upc-konzerns international abgestimmt werden. daher nehme ich an, dass sie sich seltener aendern werden, aber das ist bloss *meine vermutung*.

dazu welche ranges zu nehmen sollst: das haengt von der anwendung ab. kleine/praezise ip-ranges entsprechen eher dem sinn einer access-list, erhoehen aber die gefahr, dass du dich selbst / den berechtigten / raussperrst und dann gegebenenfalls vor ort fahren musst, um die acl zu aendern.

[radditz]

die IMHO beste Lösung wäre:
Einen VPN-Server (oder SSH - wie du möchtest ) am Standort zu machen, der von allen IP-Adressen 84.119.x.y die Verbindung annimmt.
Und den zu erreichenden Server erreicht man eben nicht von außen, sondern nur über den VPN-Tunnel/SSH-Tunnel.

Eine etwas unsichere alternative wäre:
Der User greift zuerst auf eine passwort-geschützte Seite zu, wo seine IP-Adresse ermittelt wird und für den Zugriff auf den Server freigeschalten wird.

[wikkinger]

Naja, man muss es ja nicht übertreiben ich bin so mit meinen Sicherheitsfeatures ganz zufrieden. Außerdem hab ich gar keinen Server sondern will ich will mich über meinen VPN Router nur zu einem wichtigen Client im LAN verbinden lassen um den DAUs remote zu helfen.

Zweitens gab es hier vor langer Zeit schon mal Threads zum Thema Grazer IP Adressen.
Ich hatte nun auch eher auf Antworten von den Leuten dort gehofft, da die sich mit den Grazer Eigenheiten gut ausgekannt haben und nicht auf Antworten der überheblichen Wiener Fraktion.