[OT] Win11 auf unseren lt. Microsoft nicht geeigneten Rechnern zum Laufen bringen...

[Helmut Schellong]

On 11/23/2021 19:03, Gerrit Heitsch wrote:

On 11/23/21 6:57 PM, Eric Bruecklmeier wrote:
Am 23.11.2021 um 18:28 schrieb Gerrit Heitsch:
On 11/23/21 6:22 PM, Eric Bruecklmeier wrote:
Am 23.11.2021 um 14:32 schrieb Hanno Foest:
Am 23.11.21 um 13:20 schrieb Eric Bruecklmeier:

Du denkst falsch rum. Die Sicherheit kommt von der IT. Die sagen erstmal
NICHTS kommt in unser Netz was wir nicht erlauben.

Das ist das grundlegende aber weit verbreitete Mißverständnis - die IT ist DIENSTLEISTER und nicht Selbstzweck! Die haben sich nicht nach dem zu richten, was sie gerne hätten, sondern was die anderen brauchen! Ganz einfach.

\"Das paßt nicht in unser Betriebskonzept, wegen x und y. Wenn sie das trotzdem unbedingt wollen, dann übernehmen sie die Verantwortung, und das Risiko, das das Gerät fürs ganze Netz darstellt.

Ich hab jetzt keine Zeit jede der etwa gleichlautenden Repliken zu beantworten, daher hier nur stellvertretend. Es ging mir nicht um eine Firma, die gehäkelte Klorollenhüte herstellt, sondern um handfeste F&E (vielleicht eher mit Betonung auf F) und da ist das Betriebskonzept und der Betriebszweck recht klar. Auch hier gibt es natürlich diese IT-Schlümpfe mit ausgeprägtem Hausmeistergen - die sind aber recht schnell eingenordet. BTDT.

Bis zum ersten Schadensfall mit längerem Ausfall wichtiger Systeme und vielleicht noch Abfluss wichtiger Forschungsdaten.

Danach setzt meist ein Lerneffekt ein und das mit dem Einnorden erledigt ab da die IT.

Nö, denn dann hat die IT offensichtlich versagt...

Nö, die zieht dann die passenden Emails aus dem Archiv und dann ist klar wo das Problem lag und wie es abzustellen ist.

Ich bin froh, daß ich mit all solchem Kack nichts zu tun habe.
Ich bin alles in Personalunion, mache, was ich will, und habe offenbar
dennoch weniger Probleme als fast jeder andere LAN/WAN-Betreiber - nämlich gar keine.


--
Mit freundlichen Grüßen
Helmut Schellong var@schellong.biz
http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm
http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar.bish.html http://www.schellong.de/htm/sieger.bish.html
http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/audio_unsinn.htm http://www.schellong.de/htm/tuner.htm
http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/string.c.html http://www.schellong.de/htm/deutsche_bahn.htm
http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/rand.htm http://www.schellong.de/htm/bsd.htm

 

[Gerrit Heitsch]

On 11/23/21 7:21 PM, Eric Bruecklmeier wrote:

Am 23.11.2021 um 19:03 schrieb Gerrit Heitsch:
On 11/23/21 6:57 PM, Eric Bruecklmeier wrote:
Am 23.11.2021 um 18:28 schrieb Gerrit Heitsch:
On 11/23/21 6:22 PM, Eric Bruecklmeier wrote:
Am 23.11.2021 um 14:32 schrieb Hanno Foest:
Am 23.11.21 um 13:20 schrieb Eric Bruecklmeier:

Du denkst falsch rum. Die Sicherheit kommt von der IT. Die sagen
erstmal
NICHTS kommt in unser Netz was wir nicht erlauben.

Das ist das grundlegende aber weit verbreitete Mißverständnis -
die IT ist DIENSTLEISTER und nicht Selbstzweck! Die haben sich
nicht nach dem zu richten, was sie gerne hätten, sondern was die
anderen brauchen! Ganz einfach.

\"Das paßt nicht in unser Betriebskonzept, wegen x und y. Wenn sie
das trotzdem unbedingt wollen, dann übernehmen sie die
Verantwortung, und das Risiko, das das Gerät fürs ganze Netz
darstellt.

Ich hab jetzt keine Zeit jede der etwa gleichlautenden Repliken zu
beantworten, daher hier nur stellvertretend. Es ging mir nicht um
eine Firma, die gehäkelte Klorollenhüte herstellt, sondern um
handfeste F&E (vielleicht eher mit Betonung auf F) und da ist das
Betriebskonzept und der Betriebszweck recht klar. Auch hier gibt es
natürlich diese IT-Schlümpfe mit ausgeprägtem Hausmeistergen - die
sind aber recht schnell eingenordet. BTDT.

Bis zum ersten Schadensfall mit längerem Ausfall wichtiger Systeme
und vielleicht noch Abfluss wichtiger Forschungsdaten.

Danach setzt meist ein Lerneffekt ein und das mit dem Einnorden
erledigt ab da die IT.

Nö, denn dann hat die IT offensichtlich versagt...

Nö, die zieht dann die passenden Emails aus dem Archiv und dann ist
klar wo das Problem lag und wie es abzustellen ist.


Sicher, man kann alles mißverstehen, kein Problem. Ich sprach nie davon,
daß jeder in einem Netzwerk machen kann und können soll was er will.
Mein Punkt ist, daß die Standardreaktion üblicher IT-Hausmeister (und
damit meine ich NICHT grundsätzlich IT Mitarbeiter, sondern schon die
Hausmeister) entweder lautet \"das geht nicht\" oder \"wofür wollen Sie das
denn?\".

Die letztere Frage ist zulässig. Denn die IT muss schliesslich wissen
was im Netz passiert und warum. Nur so kann man erkennen, wenn dort
passiert was _nicht_ passieren soll. Die \'Wozu\'-Frage wird meist
gestellt, wenn das Gewünschte aktuell nicht vorgesehen ist und es dafür
Gründe gibt. Es kann sogar sein, daß das Gewünschte so nicht machbar ist
oder es machbar wäre, aber die aktuellen Sicherheitskonzepte es nicht
zulassen.

Gerrit

 

[Eric Bruecklmeier]

Am 23.11.2021 um 19:43 schrieb Gerrit Heitsch:


[...]

Die letztere Frage ist zulässig. Denn die IT muss schliesslich wissen
was im Netz passiert und warum. Nur so kann man erkennen, wenn dort
passiert was _nicht_ passieren soll. Die \'Wozu\'-Frage wird meist
gestellt, wenn das Gewünschte aktuell nicht vorgesehen ist und es dafür
Gründe gibt.

Nach meiner Erfahrung wird diese Frage meist aus ganz anderen Gründen
gestellt... YMMV

 

[Hanno Foest]

Am 23.11.21 um 19:21 schrieb Eric Bruecklmeier:

Sicher, man kann alles mißverstehen, kein Problem. Ich sprach nie davon,
daß jeder in einem Netzwerk machen kann und können soll was er will.
Mein Punkt ist, daß die Standardreaktion üblicher IT-Hausmeister (und
damit meine ich NICHT grundsätzlich IT Mitarbeiter, sondern schon die
Hausmeister) entweder lautet \"das geht nicht\" oder \"wofür wollen Sie das
denn?\". Deren Job ist, daß das möglich wird - dafür werden sie als
Dienstleister von denen bezahlt, die das brauchen. Und auch wenn es
aufwendig wird - sie bezahlen es ja nicht, sondern der Auftraggeber. Der
einzige der da rummaulen darf, ist der Kostenstellenverantwortliche, der
die Maßnahme unterschreiben muß.

Für meine Arbeitszeit muß normalerweise niemand unterschreiben, aber
wenn der große Zampano unbedingt ne Extrawurst gebraten bekommen möchte,
kann es schon mal sein, daß ich Rücksprache mit dem Chef halte. Und der
meint nicht selten, daß ich besseres zu tun habe.

Ich könnte ein Buch über solch blödes Gesülze schreiben... \"Warum wollen
Sie denn ausgerechnet den Monitor, der steht ja gar nicht im
Rahmenvertrag!!!einself11\" - einfach bestellen und gut isses!

Den legt man sich hierzuorts selber in den SAP Warenkorb, und wenn das
Gewünschte nicht in der Auswahl ist, hat man entweder gelitten, oder
darf sich mit dem Einkauf (Abteilung) auseinandersetzen. IT bestellt
vielleicht Server, Switche, Router und Firewalls, aber nicht Bürogebrösel.

Und wenn der große Zampano im Netzwerk die Extrawurst haben will (\"aber
MEINE Applikation arbeitet mit der CLOUD, die braucht ALLE Ports im
Internet, komplett ungefiltert!\"), dann haben wir hier die Abteilung IT
Sicherheit, die steht komplett abseits aller Hierarchien und hat auf
sowas schon die richtigen Antworten.

Manchmal nervt die Bürokratie, aber um Leute, die auf dicke Hose machen,
zu deflektieren, ist sie zuweilen schon nützlich.

Mit Leuten, die nicht nach Gutsherrenart zu kommunizieren zu versuchen,
kann man dann schon eher versuchen, Lösungen zu finden. Neue DMZ
aufmachen oder so was.

Hanno

--
The modern conservative is engaged in one of man\'s oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith

 

[Rolf Bombach]

Eric Bruecklmeier schrieb:

Am 23.11.2021 um 12:40 schrieb olaf:
Axel Berger <Spam@berger-odenthal.de> wrote:

  >andere im Heimnetz längst. Spätestens die IT-Abteilung bei der
  >Schadensbeseitigung sollte an Nicht-PC denken. Im übrigen wäre, s.o.,
  >jeder Angriff ohnehin der Beweis, daß ein aktuelles OS auch nicht
  >schützt.

Du denkst falsch rum. Die Sicherheit kommt von der IT. Die sagen erstmal
NICHTS kommt in unser Netz was wir nicht erlauben.

Das ist das grundlegende aber weit verbreitete Mißverständnis - die IT ist DIENSTLEISTER und nicht Selbstzweck! Die haben sich nicht nach dem zu richten, was sie gerne hätten, sondern was die anderen
brauchen! Ganz einfach.

Stell dir mal ein Forschungsinstitut mit hunderten von freilaufenden
Physikern vor. Und ca. 8k PCs plus ähnlich vielen Geräte mit LAN-
Anschluss. Viele Verbindungen natürlich direkt und nicht über/am LAN des
Instituts, aber eben gleicher Stecker. Und nachts sind alle Kabel grau.
(Häufung von bunten LAN-Kabeln deuten auf Gegenden hin, in denen ich mal gewütet habe.)
Das Synchrotron ist voll digital gesteuert, so zum Beispiel. Hoffe,
das Kabel zum Magnetnetzgerät des Boosters ist gut versteckt. Das
Gerät erfüllt HiFi-Norm, aber bei 1000 A 1000 V könnte die falsche
Musik ungut für die, äh, Struktur von verschiedenem sein.

Da ist die IT nicht Dienstleister, sondern ein Haufen Desperados, die
verzweifelt versuchen, einen Steppenbrand mit drei nassen Lappen zu
bekämpfen.

--
mfg Rolf Bombach

 

[Gerrit Heitsch]

On 11/23/21 8:45 PM, Rolf Bombach wrote:

Eric Bruecklmeier schrieb:
Am 23.11.2021 um 12:40 schrieb olaf:
Axel Berger <Spam@berger-odenthal.de> wrote:

  >andere im Heimnetz längst. Spätestens die IT-Abteilung bei der
  >Schadensbeseitigung sollte an Nicht-PC denken. Im übrigen wäre, s.o.,
  >jeder Angriff ohnehin der Beweis, daß ein aktuelles OS auch nicht
  >schützt.

Du denkst falsch rum. Die Sicherheit kommt von der IT. Die sagen erstmal
NICHTS kommt in unser Netz was wir nicht erlauben.

Das ist das grundlegende aber weit verbreitete Mißverständnis - die IT
ist DIENSTLEISTER und nicht Selbstzweck! Die haben sich nicht nach dem
zu richten, was sie gerne hätten, sondern was die anderen brauchen!
Ganz einfach.

Stell dir mal ein Forschungsinstitut mit hunderten von freilaufenden
Physikern vor. Und ca. 8k PCs plus ähnlich vielen Geräte mit LAN-
Anschluss. Viele Verbindungen natürlich direkt und nicht über/am LAN des
Instituts, aber eben gleicher Stecker. Und nachts sind alle Kabel grau.
(Häufung von bunten LAN-Kabeln deuten auf Gegenden hin, in denen ich mal
gewütet habe.)

Wenn man mehr als die Standardfarben (rot, blau, grün, gelb, weiss,
schwarz, grau) will wird es schwer... Ich hab lange nach Netzwerkkabeln
in rosa, braun, hellblau, hellgrün, pink, magenta, lila und orange
suchen müssen.

Gerrit

 

[Rolf Bombach]

Gerrit Heitsch schrieb:

Bis zum ersten Schadensfall mit längerem Ausfall wichtiger Systeme und vielleicht noch Abfluss wichtiger Forschungsdaten.

Nun ja, wichtige Forschungsdaten sind ähnlich häufig
wie ehrliche Politiker.
Security by total obscuration.
Die Daten lässt man doch eh rausleaken, um die Konkurrenz zurückzuwerfen.

--
mfg Rolf Bombach

 

[Rolf Bombach]

Bernd Laengerich schrieb:

Am 21.11.2021 um 20:28 schrieb Gerrit Heitsch:

1GHz mit nur 4 GSa/sec? 4 Kanäle? Passt irgendwie nicht so recht zusammen.

Falls jeder Kanal die 4 GSPS kriegt, ist das ja OK.

Warum nicht? Unterabtastung war schon in der Röhrenzeit das Mittel um schnelle periodische Vorgänge sichtbar zu machen. Ein Tek 567 mit 3S3-Einschub und P6038-Tastköpfen hatte 1963 bereits eine
Bandbreite von 1GHz und konnte Anstiegszeiten messen.

\"Sampling Oscilloscope\"

\"Random Interleaved Sampling RIS\" war auch so ein Verfahren, eine Stufe nach
(single) Sampling. Bei LeCroy eine Zeit lang in Mode.

> Ein Tektronix TDS520 hat auch 2 Kanäle mit 500MHz Bandbreite bei 500MSa/s.

Ja, doof ist, wenn zu wenig Wandler da sind und die Max Rate mit der
Anzahl Kanäle runter geht.

--
mfg Rolf Bombach

 

[Rolf Bombach]

Josef Moellers schrieb:

Unser ältester Sohn war Junior-Professor an der FAU in Erlangen und dort
setzen die (Mathematiker?) Ubuntu auf ihren Arbeitsplatz-Rechnern ein.

Mathematiker spitzen Bleistifte und denken nach. Die rechnen doch nicht.
Die haben vorne weisse Haare. Sie schreiben mit Kreide an die Tafel
und fahren sich immer durch die Haare.

--
mfg Rolf Bombach

 

[Gerrit Heitsch]

On 11/23/21 9:43 PM, Thomas Einzel wrote:

Am 23.11.2021 um 18:16 schrieb Guido Grohmann:
Hanno Foest schrieb:
Am 22.11.21 um 23:25 schrieb Axel Berger:

Ja, und? Ergibt dann einen schönen Ankerpunkt im Netz weil keiner auf
die Idee kommt, daß so ein Gerät angegriffen werden könnte.

Eben nicht. Das Gerät kann (im Router richtig konfiguriert) selbst
nicht
von außen angegriffen werden. Wenn es verseucht wird, dann sind es
andere im Heimnetz längst.

Würde ich bestreiten wollen. Vielleicht hat ja nur mal ein
Mitarbeiter illegalerweise einen Mobilfunk-AP im Netz gehabt um was
auszuprobieren,

Oder ein Externer hat seinen infizierten Rechner mal kurz ins
Firmen-LAN gesteckt.

Wie klein soll eine Firma 2021 sein, dass das funktioniert? Und die
haben dann eine eigene IT-Abteilung? Oder nur einen armen Tropf, dessen
Gehalt als Versicherung betrachtet wird?

Fremd-Netzwerkgeräte, die im Firmen LAN ein/das \"ungefährliche\" VLAN
verlassen dürfen, habe ich seit weit über 10 Jahren nicht mehr gesehen,
oder früher, seit irgendwann Mitte der 90er, traditionell die Switch
Port Security, die solchen Geräten das Netz ausknipst.

In Büros in denen man sich einen freien Tisch sucht und seinen
Firmenlaptop and das dort liegende Kabel anstöpselt wird das mit der
Port-Security etwas schwer.

Gerrit

 

[Thomas Einzel]

Am 23.11.2021 um 18:16 schrieb Guido Grohmann:

Hanno Foest schrieb:
Am 22.11.21 um 23:25 schrieb Axel Berger:

Ja, und? Ergibt dann einen schönen Ankerpunkt im Netz weil keiner auf
die Idee kommt, daß so ein Gerät angegriffen werden könnte.

Eben nicht. Das Gerät kann (im Router richtig konfiguriert) selbst nicht
von außen angegriffen werden. Wenn es verseucht wird, dann sind es
andere im Heimnetz längst.

Würde ich bestreiten wollen. Vielleicht hat ja nur mal ein Mitarbeiter
illegalerweise einen Mobilfunk-AP im Netz gehabt um was auszuprobieren,

Oder ein Externer hat seinen infizierten Rechner mal kurz ins Firmen-LAN
gesteckt.

Wie klein soll eine Firma 2021 sein, dass das funktioniert? Und die
haben dann eine eigene IT-Abteilung? Oder nur einen armen Tropf, dessen
Gehalt als Versicherung betrachtet wird?

Fremd-Netzwerkgeräte, die im Firmen LAN ein/das \"ungefährliche\" VLAN
verlassen dürfen, habe ich seit weit über 10 Jahren nicht mehr gesehen,
oder früher, seit irgendwann Mitte der 90er, traditionell die Switch
Port Security, die solchen Geräten das Netz ausknipst.

> wenn der Chef das bestimmt kuscht die IT.

Ein Chef der gegen die Firmen Policies so etwas anweist, muss IMO schon
der Eigentümer sein, wenn er so etwas auf seinem Posten überleben
möchte. Aber danach kann es sein, dass er keine IT Menschen mehr hat.

Falls es einen DSB gibt, findet sie/er das bestimmt auch spannend...
--
Thomas

 

[Thomas Einzel]

Am 23.11.2021 um 21:46 schrieb Gerrit Heitsch:

On 11/23/21 9:43 PM, Thomas Einzel wrote:
....
Fremd-Netzwerkgeräte, die im Firmen LAN ein/das \"ungefährliche\" VLAN
verlassen dürfen, habe ich seit weit über 10 Jahren nicht mehr
gesehen, oder früher, seit irgendwann Mitte der 90er, traditionell die
Switch Port Security, die solchen Geräten das Netz ausknipst.

In Büros in denen man sich einen freien Tisch sucht und seinen
Firmenlaptop and das dort liegende Kabel anstöpselt wird das mit der
Port-Security etwas schwer.

Ja, aber das sit die Technik aus dem letzten Jahrtausend, das geht heute
besser.

Man kann z.B. die Switch Ports, an denen diese Kabel hängen scheinbar
ungeschützt lassen und wer sich dort anstöpselt landet in einem VLAN wo
es bestenfalls Internet gibt - ok, da kann man sich \"außer herum\"
mittels VPN/RDP/Citrix mit den passenden Accounts wieder geordnet verbinden.

Oder diese Kabel enden in switch ports die so konfiguriert sind, wie die
anderen Ports für die anderen Büros: herein kommen nur bekannte Geräte,
z.B. abgesichert via Radius Server mit Zertifikaten und/oder mit der
Authentifizierung mit dem AD Account.

Letzteres habe ich als Angestellter schon erlebt, egal wo man sich mit
seinem Dienstnotebook anstöpselt bzw in eine zufällig passende Docking
Station andockt, auch Städte übergreifend - es ging, direkt ohne VPN.
Fremder Rechner ging selbstverständlich nicht (muss man ja alles
probieren...)
--
Thomas

 

[Hanno Foest]

On 23.11.21 21:46, Gerrit Heitsch wrote:

In Büros in denen man sich einen freien Tisch sucht und seinen
Firmenlaptop and das dort liegende Kabel anstöpselt wird das mit der
Port-Security etwas schwer.

Nö, genau dafür gibts 802.1X. Je nachdem, ob die Authentifizierung
gelingt oder nicht, wirst du in verschiedene VLANs geworfen.

Hanno

--
The modern conservative is engaged in one of man\'s oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith

 

[Laurenz Trossel]

On 2021-11-23, Eric Bruecklmeier <u@5i7.de> wrote:

Mein Punkt ist, daß die Standardreaktion üblicher IT-Hausmeister (und
damit meine ich NICHT grundsätzlich IT Mitarbeiter, sondern schon die
Hausmeister) entweder lautet \"das geht nicht\" oder \"wofür wollen Sie das
denn?\". Deren Job ist, daß das möglich wird

Deren Job ist auch, daß es sicher ist.

https://swagitda.com/blog/posts/on-yolosec-and-fomosec/

 

[Gerrit Heitsch]

On 11/23/21 10:07 PM, Thomas Einzel wrote:

Am 23.11.2021 um 21:46 schrieb Gerrit Heitsch:
On 11/23/21 9:43 PM, Thomas Einzel wrote:
...
Fremd-Netzwerkgeräte, die im Firmen LAN ein/das \"ungefährliche\" VLAN
verlassen dürfen, habe ich seit weit über 10 Jahren nicht mehr
gesehen, oder früher, seit irgendwann Mitte der 90er, traditionell
die Switch Port Security, die solchen Geräten das Netz ausknipst.

In Büros in denen man sich einen freien Tisch sucht und seinen
Firmenlaptop and das dort liegende Kabel anstöpselt wird das mit der
Port-Security etwas schwer.

Ja, aber das sit die Technik aus dem letzten Jahrtausend, das geht heute
besser.

Man kann z.B. die Switch Ports, an denen diese Kabel hängen scheinbar
ungeschützt lassen und wer sich dort anstöpselt landet in einem VLAN wo
es bestenfalls Internet gibt - ok, da kann man sich \"außer herum\"
mittels VPN/RDP/Citrix mit den passenden Accounts wieder geordnet
verbinden.

Oder diese Kabel enden in switch ports die so konfiguriert sind, wie die
anderen Ports für die anderen Büros: herein kommen nur bekannte Geräte,
z.B. abgesichert via Radius Server mit Zertifikaten und/oder mit der
Authentifizierung mit dem AD Account.

Authentifizierung via AD... Also kann man direkt nach dem Anstecken mit
dem AD reden. Sehr schön, dann braucht es dort nur einen root exploit
und das Netz ist übernommen.

Gerrit

 

[Gerrit Heitsch]

On 11/23/21 10:56 PM, Hanno Foest wrote:

On 23.11.21 21:46, Gerrit Heitsch wrote:

In Büros in denen man sich einen freien Tisch sucht und seinen
Firmenlaptop and das dort liegende Kabel anstöpselt wird das mit der
Port-Security etwas schwer.

Nö, genau dafür gibts 802.1X. Je nachdem, ob die Authentifizierung
gelingt oder nicht, wirst du in verschiedene VLANs geworfen.

Rein aus Neugier... Was passiert wenn man einen kleinen Plasterouter
mitbringt der auf dem WAN-Port die MAC des Laptops verwendet den man im
Netz benutzen darf. Der fragliche Laptop hängt an einem LAN-Port davon
und meldet sich korrekt im Netz an. Jetzt ein weiteres Gerät an einem
anderen LAN-Port dieser Box. Hat dieses Gerät Zugang zum ganzen Netz?

Gerrit

 

[Hanno Foest]

Am 24.11.21 um 06:44 schrieb Gerrit Heitsch:

Oder diese Kabel enden in switch ports die so konfiguriert sind, wie
die anderen Ports für die anderen Büros: herein kommen nur bekannte
Geräte, z.B. abgesichert via Radius Server mit Zertifikaten und/oder
mit der Authentifizierung mit dem AD Account.

Authentifizierung via AD... Also kann man direkt nach dem Anstecken mit
dem AD reden.

Nö. Du landest in einem preauth VLAN, das nur mit dem
Authentifizierungsserver reden kann, weist dich gegenüber dem
Authentifizierungsserver per Zertifikat aus, der redet mit dem AD, und
weist dann den Switch an, dich dann in das zu deinem User passende VLAN
zu werfen. Das ist schon ganz gut gemacht.

Hanno

--
The modern conservative is engaged in one of man\'s oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith

 

[Hanno Foest]

Am 24.11.21 um 06:49 schrieb Gerrit Heitsch:

Rein aus Neugier... Was passiert wenn man einen kleinen Plasterouter
mitbringt der auf dem WAN-Port die MAC des Laptops verwendet den man im
Netz benutzen darf. Der fragliche Laptop hängt an einem LAN-Port davon
und meldet sich korrekt im Netz an. Jetzt ein weiteres Gerät an einem
anderen LAN-Port dieser Box. Hat dieses Gerät Zugang zum ganzen Netz?

Geht. Aber dafür ist ja Kooperation mit dem Besitzer des Laptops
notwendig. Der hat ja eh Zugriff, und kann damit jeden Blödsinn machen
den er möchte, inklusive Tunnel aufbauen, den Zugriff jemandem anderen
geben, etc. - insofern kein großes Sicherheitsproblem.

Wenn aber die räumlichen Gegebenheiten einen MITM Angriff zulassen wird
es interessant. Das Problem ist bekannt:

https://en.wikipedia.org/wiki/IEEE_802.1X#Shared_media

Aber nun ja. Ist auch so schon recht gut. Wenn man Zugriff auf die
Räumlichkeiten hat, um ne MITM Box im Netz zu installieren, dann geht
auch mehr. Keylogger, Kameras...

Hanno

--
The modern conservative is engaged in one of man\'s oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith

 

[Gerrit Heitsch]

On 11/24/21 9:20 AM, Hanno Foest wrote:

Am 24.11.21 um 06:49 schrieb Gerrit Heitsch:

Rein aus Neugier... Was passiert wenn man einen kleinen Plasterouter
mitbringt der auf dem WAN-Port die MAC des Laptops verwendet den man
im Netz benutzen darf. Der fragliche Laptop hängt an einem LAN-Port
davon und meldet sich korrekt im Netz an. Jetzt ein weiteres Gerät an
einem anderen LAN-Port dieser Box. Hat dieses Gerät Zugang zum ganzen
Netz?

Geht. Aber dafür ist ja Kooperation mit dem Besitzer des Laptops
notwendig. Der hat ja eh Zugriff, und kann damit jeden Blödsinn machen
den er möchte, inklusive Tunnel aufbauen, den Zugriff jemandem anderen
geben, etc. - insofern kein großes Sicherheitsproblem.

Naja, die Idee war das Kästchen von der Putzfrau installieren zu lassen
und am zweiten LAN-Port (oder mit der Kiste selbst) einen \'bösen\'
Rechner ins Netz zu bekommen.

Feinheiten wie Link auf WAN-Port geht erst hoch wenn der Laptop am
LAN-Port angeschlossen wird und dessen MAC on the fly übernimmt wären zu
testen.

Gerrit

 

[Rolf Bombach]

Gerrit Heitsch schrieb:

On 11/23/21 8:45 PM, Rolf Bombach wrote:
Eric Bruecklmeier schrieb:

Stell dir mal ein Forschungsinstitut mit hunderten von freilaufenden
Physikern vor. Und ca. 8k PCs plus ähnlich vielen Geräte mit LAN-
Anschluss. Viele Verbindungen natürlich direkt und nicht über/am LAN des
Instituts, aber eben gleicher Stecker. Und nachts sind alle Kabel grau.
(Häufung von bunten LAN-Kabeln deuten auf Gegenden hin, in denen ich mal gewütet habe.)

Wenn man mehr als die Standardfarben (rot, blau, grün, gelb, weiss, schwarz, grau) will wird es schwer... Ich hab lange nach Netzwerkkabeln in rosa, braun, hellblau, hellgrün, pink, magenta, lila und
orange suchen müssen.

Violett und orange war kein Problem.

Weitere Unsitte: U.A. ein deutscher Kamerahersteller fand, so LAN Kabel
liegen eh rum und sind kostengünstig fürs Gebotene. So far so good.
Und verwendet diese Kabel für die Kameras. So ein Aderpaar für die
einen Daten, eins für die andern, eins für die Betriebsspannung und
den Lüfter, usw.

--
mfg Rolf Bombach