IP-Bereich in Firewall auf Inode Graz einschränken?

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

IP-Bereich in Firewall auf Inode Graz einschränken?

Beitragvon wikkinger » So 05 Okt, 2008 16:03

Ich möchte für Remotezugriffe von außen den IP Bereich in der Firewall möglichst eingrenzen.

Der externe Standort hat einen inode xdsl Take I.T. Anschluss in Graz.
Die IP Adressen der letzten Tage waren:
84.119.66.xxx
84.119.43.xxx
84.119.53.x
84.119.72.xxx
84.119.46.xx
84.119.42.xx

Laut RIPE gehört von 84.119.0.0 - 84.119.255.255 alles UPC.

Soll ich nun den Ganzen UPC Bereich in die Firewall eintragen oder soll ich z.B. 84.119.42.x bis 84.119.66.x nehmen?
Oder kennt ihr oder die Hotline den genauen Bereich den Inode Graz benutzt?

Und wird der IP Bereich öfters mal gewechselt oder bleibt der über JAhre gleich?
wikkinger
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 343
Registriert: Di 23 Nov, 2004 02:14

Beitragvon radditz » So 05 Okt, 2008 16:20

IP Bereiche werden gewechselt - oder auch nicht. Das kann von heute auf morgen passieren, oder erst in 10 Jahren.

Sobald dann aber der externe mal eine andere IP hat, haut die Remote-Wartung nicht mehr hin.

Alternative: Ãœber VPN, SSH-Tunnel oder evtl. eine statische IP-Adresse?
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Beitragvon preiti » So 05 Okt, 2008 17:59

radditz hat geschrieben:Alternative: Ãœber VPN, SSH-Tunnel oder evtl. eine statische IP-Adresse?
Zur Not auch ein DynDNS-Dienst.

Grundsätzlich würde ich beim Internetzugang einer Firman immer ein Business-Produkt nehmen. Da sind Leistungen wie statische IP-Adressen, schnellere Reaktionszeit bei Problemen und ähnliches dabei. Das macht viele Dinge, wie z.b. dieses, viel einfacher.
preiti
Advanced Power-User
Advanced Power-User
 
Beiträge: 3691
Registriert: Mi 03 Mär, 2004 23:19

Beitragvon jutta » So 05 Okt, 2008 18:45

> Grundsätzlich würde ich beim Internetzugang einer Firman immer ein Business-Produkt nehmen.

das loest das problem aber nicht. denn die statische ip braucht in diesem fall ja derjenige, der von daheim oder unterwegs auf den firmenrechner zugreifen muss. (sei es mitarbeiter/in, externe/r edv-betreuer/in, student/in der/die nebenbei fuer die firma programmiert usw.)

mir ist btw auch nicht klar, wie ein dyndns-dienst helfen soll, den zugang zum firmenrechner abzusichern.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon preiti » So 05 Okt, 2008 18:54

Ich würde nicht mit Sperren/Zulassen bestimmter IP-Ranges den Zugirff beschränken.
jutta hat geschrieben:> Grundsätzlich würde ich beim Internetzugang einer Firman immer ein Business-Produkt nehmen.

das loest das problem aber nicht. denn die statische ip braucht in diesem fall ja derjenige, der von daheim oder unterwegs auf den firmenrechner zugreifen muss. (sei es mitarbeiter/in, externe/r edv-betreuer/in, student/in der/die nebenbei fuer die firma programmiert usw.)
Ich würde eher so wie von radditz schon vorgeschlagen(VPN, SSH,...) den Zugriff beschränken. Soetwas ist mit einer statischen IP-Adresse sehr leicht eingerichtet.
jutta hat geschrieben:mir ist btw auch nicht klar, wie ein dyndns-dienst helfen soll, den zugang zum firmenrechner abzusichern.
Als Notlösung bei einer fehlenden statischen IP-Adresse.
preiti
Advanced Power-User
Advanced Power-User
 
Beiträge: 3691
Registriert: Mi 03 Mär, 2004 23:19

Beitragvon jutta » So 05 Okt, 2008 19:03

> Als Notlösung bei einer fehlenden statischen IP-Adresse.

stimmt grundsaetzlich, aber ist bei der frage des o-posters nicht relevant. lies sie dir bitte noch einmal durch :)
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon lordpeng » So 05 Okt, 2008 19:10

also ich würd das per vpn machen oder halt a paar euro mehr für eine stat. ip auf einem anschluss zahlen der von extern via vpn erreicht werden und als weiterleitung verwendet werden kann

btw. nur um's erwähnt zu haben ein filter auf source ip's ist kein wirklicher schutz (aber zumindest hilfts die logs kleiner zu halten)
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon Herculess » So 05 Okt, 2008 20:06

lordpeng hat geschrieben:btw. nur um's erwähnt zu haben ein filter auf source ip's ist kein wirklicher schutz (aber zumindest hilfts die logs kleiner zu halten)

kein schutz vor was? so generell kann man das wohl nicht stehen lassen.

greets
Bild
Herculess
Board-User Level 3
Board-User Level 3
 
Beiträge: 1474
Registriert: Sa 31 Jan, 2004 18:59

Beitragvon ANOther » So 05 Okt, 2008 20:29

kein schutz vor was?

genau. definiere "was", und bau deine sicherheit dementsprechend...

(ein brief kann auch ankommen, wenn ich den absender mit "franz meier, ballhausplatz 1, 1010 wien" angebe. und wenn ich jemanden im postverteilzentrum sitzen hab, kommt auch die antwort zu mir zurück...)
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon lordpeng » So 05 Okt, 2008 20:32

>kein schutz vor was?
vor all den bösen leuten die versehentlich die falsche ip adresse eingeben vielleicht?

>so generell kann man das wohl nicht stehen lassen.
warum sollte man nicht? ip spoofing und andere angriffsmethoden wurden schon vor einiger zeit erfunden ...

ich hab ned gesagt, dass es schwachsinn ist, aber man sollte die sicherheit durch limitierte source-ip's wohl nicht überbewerten ...

wer dahinter womöglich irgendein gerät oder einen dienst mit schwachem oder standardkennwort betreibt (wie's einem schon desöfteren untergekommen ist) dem is ned zu helfen ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon wikkinger » So 05 Okt, 2008 21:27

Hallo Leute, ich weiß zwar nicht wieviele Seiten mit ähnlichen Postings über statische IPs vollposten wollt, aber mit meiner Frage zu dyn. IP hat es nix tun.
wikkinger
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 343
Registriert: Di 23 Nov, 2004 02:14

Beitragvon ANOther » So 05 Okt, 2008 21:38

@OP
deine frage wurde mit der ersten zeile des ersten antwortposts beantwortet...
UPnode kann heute, morgen, gestern neue netze nach "graz" aufnehmen, alte nach ibk schicken, ...
nimm einfach y.x.0.0/16
und nichtmal DAS is irgendwie sicher von langer dauer...
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Re: IP-Bereich in Firewall auf Inode Graz einschränken?

Beitragvon jutta » Mo 06 Okt, 2008 11:25

> Und wird der IP Bereich öfters mal gewechselt oder bleibt der über JAhre gleich?

seit wann er so ist, wie er derzeit ist, wissen wir im forum: http://xDSL.at/viewtopic.php?t=40061&po ... ch&start=0

wann er wieder geaendert wird, wissen wir naturgemaess nicht. frueher gab es sehr oft aenderungen, weil inode alle paar monaten neue ip-ranges dazu bekam. jetzt nehmen erstens die kund/inn/en nicht mehr so rasant zu und zweitens muessen aenderungen innerhalb des upc-konzerns international abgestimmt werden. daher nehme ich an, dass sie sich seltener aendern werden, aber das ist bloss *meine vermutung*.

dazu welche ranges zu nehmen sollst: das haengt von der anwendung ab. kleine/praezise ip-ranges entsprechen eher dem sinn einer access-list, erhoehen aber die gefahr, dass du dich selbst / den berechtigten / raussperrst und dann gegebenenfalls vor ort fahren musst, um die acl zu aendern.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon radditz » Mo 06 Okt, 2008 11:29

die IMHO beste Lösung wäre:
Einen VPN-Server (oder SSH - wie du möchtest ;)) am Standort zu machen, der von allen IP-Adressen 84.119.x.y die Verbindung annimmt.
Und den zu erreichenden Server erreicht man eben nicht von außen, sondern nur über den VPN-Tunnel/SSH-Tunnel.

Eine etwas unsichere alternative wäre:
Der User greift zuerst auf eine passwort-geschützte Seite zu, wo seine IP-Adresse ermittelt wird und für den Zugriff auf den Server freigeschalten wird.
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Beitragvon wikkinger » Mo 06 Okt, 2008 13:07

Naja, man muss es ja nicht übertreiben ich bin so mit meinen Sicherheitsfeatures ganz zufrieden. Außerdem hab ich gar keinen Server sondern will ich will mich über meinen VPN Router nur zu einem wichtigen Client im LAN verbinden lassen um den DAUs remote zu helfen.

Zweitens gab es hier vor langer Zeit schon mal Threads zum Thema Grazer IP Adressen.
Ich hatte nun auch eher auf Antworten von den Leuten dort gehofft, da die sich mit den Grazer Eigenheiten gut ausgekannt haben und nicht auf Antworten der überheblichen Wiener Fraktion.
wikkinger
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 343
Registriert: Di 23 Nov, 2004 02:14

Nächste

Zurück zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 11 Gäste