Sorgenkind NetBIOS
Christoph Schnauß
- sonstiges
hallo Forum,
ich habe jetzt (mal wieder) vor der wenig geliebten Aufgabe gestanden, ein kleines lokales "Netz" aus mehreren Windows-Rechnern zusammenzuschrauben. Als Host (gleichzeitig Router und Gateway) dient ein WinXP-Rechner, Clients sind zwei Rechner mit WinXP, vier mit Win2000 und fünf mit Win98. Der "Host" hat zwei Netzwerkinterfaces, die anderen alle nur eine Karte, und alle miteinander sind in einen HUB gesteckt. Die Sache mit dem "Routing" kann da eben nur über die "Gemeinsame Nutzung ..." auf dem Router-Rechner laufen.
Gleihzeitig soll aber auch auf allen/von allen Rechnern der gegenseitige Zugriff auf Netzwerkfreigaben möglich sein, so daß man die Liste mit den im Netzwerk vorhandenen Rechnern auch in der "Netzwerkumgebung" zu sehen bekommt. Und da gibt es einen Konflikt. Die Sache mit dem gemeinsamen Internetanschluß funktioniert ganz gut. Aber wenn die Anzeige in der "Netzwerkumgebung" auch noch zusätzlich funktionieren soll, kriege ich das nur hin, indem ich "NetBIOS über TCP/IP" auf dem Host-Rechner zulasse - sonst funktioniert es nicht auf _allen_ Rechnern, sondern immer nur auf den Clients untereinander, die dasselbe System fahren und als Clients darauf pfeifen können, ob es da nun bei NetBIOS Bedenken gibt.
Meines Erachtens ist das Zulassen von NetBIOS auf dem Router-Rechner ein Sicherheitsrisiko. Oder sehe ich da etwas falsch?
Grüße aus Berlin
Christoph S.
Kindrkram!!!
Aber wer selber so tolle Tipps gibt der muss sich nicht wundern wenn er "SINN ENTLEERTE" Tipps bekommt.
Viel Spass noch
Kindrkram!!!
Aber wer selber so tolle Tipps gibt der muss sich nicht wundern wenn er "SINN ENTLEERTE" Tipps bekommt.
Komm, Zeit fürs Bett.
hallo Peter,
Kindrkram!!!
Aber wer selber so tolle Tipps gibt der muss sich nicht wundern wenn er "SINN ENTLEERTE" Tipps bekommt.
Komm, Zeit fürs Bett.
Laß nur. Es gibt immer mal jemanden, der sich auf solche Art erleichtern muß. Ich krieg das auf die Reihe, und das Forum freut sich an solchen Spielerchens ;-)
Bio war da doch wesentlich besser ...
Grüße aus Berlin
Christoph S.
Sup!
Öhem... also wie jetzt... der Router hat zwei Netzinterfaces, und die sind beide mit dem Hub verbunden?
Man kann nicht für die Interfaces jeweils einzeln konfigurieren, welche Protokolle darauf laufen sollen?
Es gibt keine Möglichkeit, eine Firewall dazu zu bringen, Netbios-Pakete nicht ins Internet zu übertragen und/oder aus dem Internet zu empfangen?
Oder wie oder was?
Gruesse,
Bio
hallo Bio,
Öhem... also wie jetzt... der Router hat zwei Netzinterfaces, und die sind beide mit dem Hub verbunden?
Nä, nur eins. Das andre hängt an der Telefonleitung.
Man kann nicht für die Interfaces jeweils einzeln konfigurieren, welche Protokolle darauf laufen sollen?
Das kann man. Ich komme trotzdem auch "von außen" durch ins gesamte kleine Netz.
Es gibt keine Möglichkeit, eine Firewall dazu zu bringen, Netbios-Pakete nicht ins Internet zu übertragen und/oder aus dem Internet zu empfangen?
Doch, zumindest tut sie so. Das scheint bloß nicht genug.
Grüße aus Berlin
Christoph S.
(...)
Gleihzeitig soll aber auch auf allen/von allen Rechnern der gegenseitige Zugriff auf Netzwerkfreigaben möglich sein, so daß man die Liste mit den im Netzwerk vorhandenen Rechnern auch in der "Netzwerkumgebung" zu sehen bekommt. Und da gibt es einen Konflikt. Die Sache mit dem gemeinsamen Internetanschluß funktioniert ganz gut. Aber wenn die Anzeige in der "Netzwerkumgebung" auch noch zusätzlich funktionieren soll, kriege ich das nur hin, indem ich "NetBIOS über TCP/IP" auf dem Host-Rechner zulasse - sonst funktioniert es nicht auf _allen_ Rechnern, sondern immer nur auf den Clients untereinander, die dasselbe System fahren und als Clients darauf pfeifen können, ob es da nun bei NetBIOS Bedenken gibt.
Gibt es irgendwas dagegen einzuwenden, gleich an gscheiten Linuxrouter hinzustellen? Bei der Anzahl an PCs reicht sogar ein alter Pentium mit fli4l ggf. ohne Festplatte und ist schnell zusammen"geklickt".
Ausserdem empfehle ich dir den WINS Server zu aktivieren, der löst so manche Probleme in Bezug auf die Netzwerkumgebung!
Meines Erachtens ist das Zulassen von NetBIOS auf dem Router-Rechner ein Sicherheitsrisiko. Oder sehe ich da etwas falsch?
Meines Erachtens nicht. Ein vernünftiger Router wird doch wohl einen vernünftigen Paketfilter haben. Oder?
Ich habe die Erfahrung, dass die wenigsten Probleme samba+WINS machen, obwohl Samba direkt kein NetBIOS-Over-IP hat.
Was auf Windowsrechner vielleicht noch geht: Wie wärs, wenn du das NetBIOS Zeug nur an das lokale Netz bindest? Dann sollte der Zugriff von aussen auch nicht mehr möglich sein.
hallo Peter,
Gibt es irgendwas dagegen einzuwenden, gleich an gscheiten Linuxrouter hinzustellen?
Ja. Ich müßte den Chef absetzen und mich selber zum Chef erklären.
Ausserdem empfehle ich dir den WINS Server zu aktivieren
Äh ... bei WinXP läuft die Registerkarte, mit der man das Zeugs einstellen kann, unter "Wins" (ist allerdings nicht das, was du meinst).
Meines Erachtens ist das Zulassen von NetBIOS auf dem Router-Rechner ein Sicherheitsrisiko. Oder sehe ich da etwas falsch?
Meines Erachtens nicht. Ein vernünftiger Router wird doch wohl einen vernünftigen Paketfilter haben. Oder?
Jaein. Ich weiß nicht, wie "vernünftig" man das mit WinXP machen kann (Mit WinXP Server würde es etwas leichter gehen). Mit Linux oder *BSD wärs absolut kein Problem.
Was auf Windowsrechner vielleicht noch geht: Wie wärs, wenn du das NetBIOS Zeug nur an das lokale Netz bindest?
Ja, das ist genau das, was Bio auch gemeint hat. Auch wenn er das nicht wörtlich geschrieben hat. Das ist schon passiert. Aber ich hab halt von mir zuhause mal zuzugreifen versucht und das ging tatsächlich fast reibungslos, bloß über die IP, die ich natürlich kenne, und ohne Zuhilfenahme irgendwelcher "Mittelchen".
Mir gehts eigentlich um eine "Prinzipienfrage", da wir hier im Forum ja gelegentlich auch andere Anfragen zu Sicherheitsproblemen haben. Bei den Jungs, die sich immer mal ihren eigenen Rechner per dyndns.org als "Server" einrichten möchten, hat es bisher in den Antworten (fast?) nie einen Hinweis darauf gegeben, daß NetBIOS eben ein Sicherheitsloch darstellen könnte. Und ich hatte heute (gestern) zusätzlich eine mail-Anfrage von jemand, der meine Adresse aus einem relevanten Thread aus dem Archiv gefischt hatte.
Grüße aus Berlin
Christoph S.
Hallo Christoph,
Gibt es irgendwas dagegen einzuwenden, gleich an gscheiten Linuxrouter hinzustellen?
Ja. Ich müßte den Chef absetzen und mich selber zum Chef erklären.
verstehe ich Dich richtig, daß Ihr in einer Firma, die u.U. abhängig von den Rechnern ist (zumindest von den Daten) keine Firewall habt?
Und daß der man, den alle Chef nennen, das auch noch richtig findet?
Gruß
Reiner
hallo Reiner,
verstehe ich Dich richtig, daß Ihr in einer Firma, die u.U. abhängig von den Rechnern ist (zumindest von den Daten) keine Firewall habt?
Und daß der man, den alle Chef nennen, das auch noch richtig findet?
Es ist tatsächlich (wenn es mir nicht gelingen sollte, noch nen bißchen zu schummeln) so, daß es nur die Windows-eigene "personal firewall" gibt, ja.
Ich bin da auch nur Auftragnehmer, kriege mein Honorar, wenn alles läuft (das tuts ja bereits, scheinbar), dann darf ich wieder gehen. Chefchen findet das in Ordnung. Und ich fürchte, daß es derlei Verhältnisse etwas häufiger gibt. Mich wirft bloß ein solcher "Realitätsschock" immer wieder einigermaßen um.
Und: ja, ich kann völlig problemlos trotz Firewall die gesamte Buchhaltung auch auf meinen Rechner zuhause ziehen (natürlich ist auf der Karte, die die Internetverbindung herstellt, NetBIOS nicht aktiviert, im LAN, also über das zweite Interface, ist es das allerdings). Bloß hab ich keine Lust, Chefchen zu mir (oder in ein beliebiges Internetcafe) einzuladen, um ihm das zu zeigen.
Immerhin springt vielleicht doch noch was Sinnvolles raus - ich habe derart viele Notizen zur Konfiguration der WinXP-Firewall angefertigt, daß ich nen Feature-Artikel über den Leistungsumfang und die Grenzen schreiben könnte.
Grüße aus Berlin
Christoph S.
Hallo Christoph,
verstehe ich Dich richtig, daß Ihr in einer Firma, die u.U. abhängig von den Rechnern ist (zumindest von den Daten) keine Firewall habt?
Und daß der man, den alle Chef nennen, das auch noch richtig findet?Es ist tatsächlich (wenn es mir nicht gelingen sollte, noch nen bißchen zu schummeln) so, daß es nur die Windows-eigene "personal firewall" gibt, ja.
Ich bin da auch nur Auftragnehmer, kriege mein Honorar, wenn alles läuft (das tuts ja bereits, scheinbar), dann darf ich wieder gehen. Chefchen findet das in Ordnung. Und ich fürchte, daß es derlei Verhältnisse etwas häufiger gibt. Mich wirft bloß ein solcher "Realitätsschock" immer wieder einigermaßen um.
mich auch. Da muß man sich nicht wundern, wenn es so leicht ist, Rechner platt zu machen. Ein Router für ca. 100 Euro würde Wunder bewirken (und würde weniger Strom fressen).
Und: ja, ich kann völlig problemlos trotz Firewall die gesamte Buchhaltung auch auf meinen Rechner zuhause ziehen (natürlich ist auf der Karte, die die Internetverbindung herstellt, NetBIOS nicht aktiviert, im LAN, also über das zweite Interface, ist es das allerdings). Bloß hab ich keine Lust, Chefchen zu mir (oder in ein beliebiges Internetcafe) einzuladen, um ihm das zu zeigen.
Immerhin springt vielleicht doch noch was Sinnvolles raus - ich habe derart viele Notizen zur Konfiguration der WinXP-Firewall angefertigt, daß ich nen Feature-Artikel über den Leistungsumfang und die Grenzen schreiben könnte.
Das wäre für die Community vielleicht interessant. Aber an Deiner Stelle würde ich dem Chef das gerne zeigen und anbieten, das Problem zu beheben!
Gruß
Reiner
habe d'ehre
Und: ja, ich kann völlig problemlos trotz Firewall die gesamte Buchhaltung auch auf meinen Rechner zuhause ziehen (natürlich ist auf der Karte, die die Internetverbindung herstellt, NetBIOS nicht aktiviert, im LAN, also über das zweite Interface, ist es das allerdings). Bloß hab ich keine Lust, Chefchen zu mir (oder in ein beliebiges Internetcafe) einzuladen, um ihm das zu zeigen.
Ich wuerde Dir dann aber ein schriftliches Protokoll empfehlen, welches auf die Sicherheitsluecken hinweist. Selbiges moechtest Du Dir bitte unterschreiben lassen (wenn Du ihm vielleicht eine CD mit dem Datensums in die Hand drueckst). Nur fuer alle Faelle.
man liest sich
Wilhelm
Hi,
... (Mit WinXP Server würde es etwas leichter gehen)
<korinthenkackend>
Das Produkt "Windows XP Server" oder "WinXP Server" gibt es von MS nicht.
Entweder du meinst "MS Windows 2000 Server" oder "MS Windows 2003 Server".
</korinthenkackend>
Lass dir den Spass nicht verderben.
Ciao, Frank
hallo Frank,
Das Produkt "Windows XP Server" oder "WinXP Server" gibt es von MS nicht.
Doch, das gibt es. Allerdings weiß ich nicht, obs das in deutscher Fassung gibt. Ich habe eine OEM-CD, die ich mal auf irgendeinem MS-Workshop (ja, da gehe ich manchmal hin, weil man da immer Probier-CDs kriegt, auf die Weise hab ich auch die letzte im November auf so nem Workshop verteilte Pae-Longhorn-CD bekommen).
Entweder du meinst "MS Windows 2000 Server" oder "MS Windows 2003 Server".
Meinte ich zwar nicht, würde aber auch zu der Aussage passen.
Lass dir den Spass nicht verderben.
Naja, Chefchen hat sich überzeugen lassen, ich habs ihm demonstriert. Der Effekt: ich darf jetzt eine Linux-Kiste nehmen (Chefchen hat schonmal gelesen, daß es das gibt). Bedingung ist, daß ich einen Firmenmitarbeiter anlerne, wie er das mit dem Netzwerk zu handlen hat. Klasse Bedingung :-(
Grüße aus Berlin
Christoph S.
Moin!
Bedingung ist, daß ich einen Firmenmitarbeiter anlerne, wie er das mit dem Netzwerk zu handlen hat. Klasse Bedingung :-(
Wieso? Anstöpselt *steck*. Anschalten *klick*. Läuft. Ausschalten *pieps*. Feierabend.
Hi,
Das Produkt "Windows XP Server" oder "WinXP Server" gibt es von MS nicht.
Doch, das gibt es. Allerdings weiß ich nicht, obs das in deutscher Fassung gibt. Ich habe eine OEM-CD, die ich ....
Ah, ja, eine OEM-CD
Genau deswegen schrieb ich "gibt es von MS nicht". Denn ein solcher OEM darf unter anderem ein "WinXP Server" Paket anbieten, wenn er denn dafür auch den Support anbietet. Insofern wird es ein MS Windows XP Pro mit evt. installierter Zusatzsoftware wie IIS/ISA oder Dritt-Software sein, würde ich tippen.
Und andererseits frage ich mich gerade, wie du deinem "Kunden" diese OEM-CD (die du da wohl mal "mitgenommen" hast) zur Benutzung anbieten kannst?
Aber schön, dass man sich überzeugen liess, kein Windows XP einzusetzen und stattdessen ein Linux-System zu verwenden.
Ciao, Frank
hallo Frank (no reg),
Und andererseits frage ich mich gerade, wie du deinem "Kunden" diese OEM-CD (die du da wohl mal "mitgenommen" hast) zur Benutzung anbieten kannst?
Das kann ich nicht. Insofern hast du recht, da wäre die "Alternative" tatsächlich Win 2003 Server gewesen. Übrigens werden bei solchen "Workshops" die CDs ganz offiziell verteilt, da brauche ich mir nix heimlich in die Hosentasche zu stecken.
Grüße aus Berlin
Christoph S.
Hi Christoph,
Übrigens werden bei solchen "Workshops" die CDs ...
Ja, klar doch ... weiß ich doch, wo bekommt man denn heute keine CDs nachgeworfen ... vielleicht beim Bäcker, ok. Nach jedem Event auf dem ich war, hat die CD-Zertörungsmaschine wieder einiges an Arbeit. Es ist teilweise lästig und wenn man ablehnt wird man schief angeschaut. ;-)
Aber weitere Infos zu dieser OEM-CD "WinXP Server" würden mich interessieren, damit ich sowas nicht weiterempfehle :-)
Na denn mal n guten Start ins Wochenende!
Ciao, Frank
Moin,
Ich habe die Erfahrung, dass die wenigsten Probleme samba+WINS machen, obwohl Samba direkt kein NetBIOS-Over-IP hat.
Genauer gesagt ist das andersrum: Samba kann nur NetBIOS-over-TCP/IP (Port 137-139) und nicht das neuere Direct SMB (Port 445). Da die Win9x-Kisten das aber auch nicht können isses eh egal. Und ja, ein WINS-Server erscheint mir bei der Menge der Rechner die offenbar beteiligt sind eine ziemlich gute Idee.
Was auf Windowsrechner vielleicht noch geht: Wie wärs, wenn du das NetBIOS Zeug nur an das lokale Netz bindest? Dann sollte der Zugriff von aussen auch nicht mehr möglich sein.
Ja. Christoph hat leider vergessen zu erwähnen wie er in's Internet kommt, aber ich tippe einfach mal auf PPPoE, d.h. PPP und das heisst dass die Windows-Clients und -Dienste nicht automatisch an's Internetinterface gebunden werden (jedenfalls unter XP). Er muss also vorher schon irgendwas falsch gemacht haben. Ausserdem sagte er XP, da kann man die Dienste und Protokolle einzeln binden, kann das Problem also auch sorum lösen. Und nicht zuletzt erwähnte er den unsäglichen Windows-'Firewall': Der ist zwar immer noch designmäßig kaputt (es gibt nur DROP aber kein REJECT), kann aber immerhin recht zuverlässig Windows-Dateifreigaben-Netzwerkverkehr unterdrücken. Neuerdings (es ist doch wohl hoffentlich ein SP2?!?) sogar mit einer getrennten Konfiguration pro Interface. Vorausgesetzt natürlich man konfiguriert nichts kaputt.
Im aller-aller-schlimmsten Fall (und wenn keine Linux-Büchsen im Netz sind) kann man immer noch NetBIOS-over-TCP/IP und Direct SMB abschalten und das Dateifreigabe-Zeugs über NetBEUI fahren (muss auf Kisten neuer als W9x extra nachinstalliert werden). Das ist dann garantiert sicher gegen Weiterleitung in's Internet.
hi
Meines Erachtens ist das Zulassen von NetBIOS auf dem Router-Rechner ein Sicherheitsrisiko. Oder sehe ich da etwas falsch?
afaik kann man doch unter XP die einzelnen protokolle für jede verwendete Karte (de)aktivieren.
Beid er KArte die nicht zum Hub geht wird netbios einfach deaktiviert. auf der anderen Karte kann es ja bleiben.
Oder hab ich jetzt was falsch verstanden?
so long
Ole
(8-)>