Forum
|
Öffentliche Foren |
| FORUM: Spiele & Computer THEMA: Win7: Nicht identifiziertes Netzwerk | |
| AUTOR | BEITRAG |
|
*al!ve* - irgendwo zwischen Semester 4 und 7
RANG Ober0wn3r |
#1 - 27.12 04:12 Tach.Ich hab hier mehrere Win7-Rechner mit jeweils zwei Netzwerkkarten. Eine Netzwerkkarte geht Richtung NAT-Router. Das wird auch korrekt erkannt. Auf dieser Netzwerkkarte würde ich gerne die Windowsfirewall alle eingehenden Verbindungen blockieren lassen, weil ich nicht für jeden Port am Router überwachen kann was da sonst noch so drin steckt. Eine zweite Netzwerkkarte geht in ein rein privates Netzwerk für das ich garantieren kann, dass sich darüber nur die Win7-Rechner untereinander unterhalten können. Auf diesem Interface würde ich gerne die Windows-Firewall deaktivieren. Mein Problem ist: Sobald ich dem DHCP-Server des privaten Netzwerks *kein* Standardgateway verteilen lasse (DHCP3 mit "option routers"  definiert Win7 dieses Interface als "Nichtidentifiziertes Netzwerk" und weist ihm unveränderbar das Netzwerkprofil "Öffentliches Netzwerk" zu.=> Mein öffentliches Netzwerk lässt sich von mir zwischen Öffentlich, Home und Firma wählen; Mein privates Netzwerk steht immer auf öffentlich. Gibt es irgend nen Trick, wie ich dem Rechner bei bringen kann, dass ein Interface ein identifiziertes privates ist? Ob das per DHCP-Option passiert oder ich das Interface irgend wo lokal am Rechner eintippe ist mir eigentlich egal. Kleiner Nachtrag: Ich hab vorübergehend das identifizierte Netzwerk auf "Firma" gestellt, das nichtidentifizierte ist automatisch öffentlich. Die Firewall greift nun explizit nur auf "Firma" aber nicht mehr auf "öffentlich". Langfristig gefällt mir das aber nicht, weil nur jemand den Router vom Netz nehmen muss, schon wird das Firmennetz zum öffentlichen und die Firewall verschwindet. |
|
VanQuisher
RANG God |
#2 - 27.12 09:41 Hi AliveBin jetzt nicht detailliert im Thema, weil ich persönlich nur mein Laptop auf Win7 umgestellt habe. Bezüglich der Einstellung individueller, aber wichtiger Netzwerkparameter haben unsere Admins die Migration von XP auf Win7 frühestens auf post-SP1 verschoben. Inwieweit die da Info aus Business Techforen haben, weiß ich jetzt nicht. Ich kann ja mal nachfragen, wenn wir Anfang Januar wieder arbeiten. |
|
Benny-Ray
RANG Prophet of Clanintern |
#3 - 27.12 12:54 Also ich hatte ein ähnliches Problem, allerdings selbst verschuldet.Ich hatte die IP meines WLAN-Adapters verstellt und hatte damit auch auf einmal die Meldung, mein Heimnetzwerk sei unidentifiziert. Sobald sich der PC aber die IP vom Router per DHCP besorgt hatte bzw. ich ne statische IP eingegeben hatte, ging es wieder. |
|
*al!ve* - irgendwo zwischen Semester 4 und 7
RANG Ober0wn3r |
#4 - 06.01 01:21 So, Problem verschoben.Grundsätzlich: Man kann da nicht all zu viel machen. Egal was man treibt, es wird immer n Workaround. Man kann die Netzwerkidentifikation ganz abschalten und mit Custom-Firewallregeln arbeiten. Diese Regeln arbeiten allerdings auf Protokollebene. Heißt ich kann Wirksamkeit einer Firewallregel auf ne IP oder ein Subnetz binden. Wahlweise indem ich die Zahlen per Hand in die Regel schreibe oder zwischen "mein lokales Subnetz" und "nicht-lokales Subnetz" unterscheide (die Begriffe sind in der Config anders, ich übersetz hier grade frei Schnauze). Das ist für mich aber alles keine brauchbare Lösung, weil mein Eindringling im Zweifelsfall der Sohn der Sekretärin ist der sein Netzwerkkabel in den Switch steckt. Heißt der den ich aussperren möchte steht tendenziell im selben Netzwerk wie meine Rechner. Ich hab keine Angst dass da irgend wer kommt um mir absichtlich Dinge kaputt zu machen, das würde derjenige auch schaffen indem er zwei Meter weiter läuft und mit dem Fuß gegen den Server tritt. Ich sehe vor allem das Risiko dass in meiner Abwesenheit irgend jemand nen Rechner ins Netz bringt der aufgrund von Virenverseuchung anfängt, lustig um sich zu schlagen. Sofern mal als Einschub, wofür ich das eigentlich gerne machen will. Es handelt sich bei mir um ne virtuelle Umgebung: Ein ESX (4.0i) mit vier virtuellen Win7-Kosten. Die virtuellen Win7-Kisten haben eine NIC ins physikalische Netzwerk (und da könnte der Angreifer per Netzwerkkabel ran) und eine in ein privates, rein virtuelles Netzwerk. Ich hab jetzt den virtuellen Win7-Rechnern die NIC ins physische Netz abgeklemmt, sie sind jetzt also nur noch mit dem virtuellen verbunden. Dann hab ich nen Debian ins virtuelle Netz gestellt (bzw. der steht da ohnehin schon als Samba-PDC), da nen DHCP-Server installiert und dort Routing mit NAT aktiviert. Heißt meine abzusichernden Win7-Rechner natten jetzt über nen Linux ins Hausnetzwerk und natten von dort über meinen Speedport ins Internet. Der potenzielle Angreifer hat im realen Netzwerk exakt vier potenzielle Angriffsziele: * ESX-Host (HP ML330, dort sowohl ILO als auch die Dom0) * Debian-PDC * Speedport * Netzwerkdrucker Dadurch hab ich so wenig Angriffsfläche wie nur möglich. Jetzt kann ich auch wieder mit netzwerkbasierter Firewallregel arbeiten, weil ich eben genau ein Netzwerk hab das ich regeln muss. Aber danke an alle die sich gedanklich mit meinem Problem befasst haben  .
|