Ich kann mich dem zarten Versuch nur anschliessen.

1. Wenn in einem Subnetz 255 Rechner stehen, die zu verschieden Fachbereichen gehören, und auch noch verschiedenen ?Admins? verwaltet werden, sollte man sich mal generelle Gedanken über den Sinn von Subnetzen machen. Wie kommt bei dem ganzen Traffic denn eine Verbindung zustande ?

2. Auch mit einer Standleitung kommt man mit einem Portscan nicht von aussen an den Dongleserver, denn dazwischen steht dann die Firewall, die im Fall der Uni ein separater Rechner sein dürfte.

3. Der Admin muss garnicht auf die Idee kommen das evtl. auf einem Port ein Dongle liegt, denn er hat alle Ports gesperrt, und gibt nur bestimmte frei. E-donkey und Co werden ja auch gesperrt.
Auch wenn er nicht alle Ports gesperrt hat, wird er den Zugriff, den er nicht zuordnen kann sperren.

Es ist nicht Aufgabe einer Donglesoftware ein Netzwerk abzusichern,
dafür gibt es das Betriebssystem.

Wenn es notwendig ist über das Internet auf einen Dongle zuzugreifen
sollte man VPN benutzen, und nicht einfach den ganzen Server ins Netz stellen.

Ich lasse ja auch keinen Webserver auf meinem Fileserver laufen.

Eine Uni kauft logischerweise ganze IP Bereiche. Bei der TU ist das glaube ich ein Klasse B Netz mit 130.149.*.*
Diese Unterteilt das Rechenzentrum in kleinere bis zu 255 Subnetze 130.149.255.*
Nun kann nicht jeder Lehrstuhl sein eigenes Subnetz haben - 255 IPs für 20 Mitarbeiter + vielleicht 30 Pool-Computer ist vielleicht etwas übetrieben und TEUER. Dennoch ist jeder Lehrstuhl für seinen eigenen Computerpool zuständig. Folglich gibt es jemanden der die Adminfunktion übernimmt. Nicht jeder ist dafür wirklich qualifiziert - ich auch nicht, aber vielleicht mehr als viel andere - jetzt haben wir also schon schnell 10 oder gar 20 "Admins", vielleicht also auch genausoviele ArchiCAD Dongleserver...
Genauso wie sonst bei den Millionen von Rechnern im Internet? Wo liegt das Problem? Da kann man natürlich nicht einfach mal mehrere billig Swiches und Hubs hintereinanderschalten :D

Büro: ja im Idealfall - wenn ich Zeit hab kann ichs ja mal testen :D

Uni: Schaltet zum Glück nur Nepsterports u.ä. ab. Ware ja noch schöner, wenn die Man jedesmal einen Antrag ans ZRZ schicken muß, wenn man einen neuen Port belegt. Sicherere Serverdienste legen wir ja sinnvollerweise auf höhere Portbereiche um nicht bei den Standartscans sofort entdeckt zu werden!
Ich könnt Ihnen ja unsere Server IP geben, damit sies mal testen können... aber ich bin ja nicht verrückt! (dann ist der Dongel garantiert immer belegt :rolleyes: )

Ja, aber den Zugriff auf den Dongelport will ich ja nicht sperren, sondern nur auf bestimte IP-Nummernbereiche beschränken - sonst hab ich ja nichts mehr vom Dongel :rolleyes:

Also ich denke Graphisoft setzt Dongel ein, um dafür zu sorgen, dass nur Berechtigte ein Programm benutzen, dann sollte man aber bei der mitgelieferten Software auch darauf achten, dass es niemand kann?!
Ich bin nicht daran Schuld, wenn jemand unseren Dongel benutzt. Da müsste Graphisoft eine entsprechend sichere Lösung anbieten!

Davon reden wir schon die ganze Zeit, vielleicht auch aneinander vorbei ;)
du kennst vielleicht von Apache-.htaccess-"Programmierung" die Zeilen

deny from all
allow from 130.149.1. (<- 130.149.1.0 - 130.149.1.255. Nur die sonst niemand)

So ähnlich meinen wir das alle. Denke ich.

GS ist m.W. nicht Hersteller der Donglesoftware.

Gruß,
jan


[bearbeitet]Tippfehler[/bearbeitet]

Genau das mein ich :D

GS ist tatsächlich nicht der Hersteller, aber Sie setzen Ihn ein...
Wenn ich 'nen Rover kaufe beschwere ich mich ja auch nicht bei BMW, wenn der Motor nicht funzt, oder? ;)

Flo

[qutoe]Die Clients können doch eine frei Adresse haben, da Sie ja über einen DNS auf das Internet zugreifen.
[/quote]
Alle Universitäten weltweit (die ich kenne) geben fast jedem Rechner eine eigene öffentliche IP! (Deswegen muß ja auch IPv6 eingeführt werden ;)

Sicher, ich kann auf fast alle Rechner der TU/FU/HU etc. mit dem entsprechenden Passwort zugreifen!

Ja Sie nicht, aber es gibt da ja noch 50.000 Architekturstudenten in Deutschland und nicht alle sind die Guten ;)

Das können Sie gerne glauben :p
In dem Fall weiß ichs definitiv besser :D

Grüsse
Florian

Wenn dann alle Rechner öffentlich zugänglich sind, muss wie gesagt
eine Firewall dafür sorgen die entsprechenden Ports zu schützen.

Wir bieten eine Dienst an der über TCP/IP eine ArchiCAD Lizenz in Ihr
Netz stellt. Für die Absicherung Ihres Netzes sind Sie zuständig.

Begrenzen Sie einfach den Zugriff auf den Wibuport auf den gewüschten Adressraum.

Frank Studzinski

Und ich dachte immer daß sei damit in Zukunft jeder Toaster und jeder Kühlschrank ins Netz kann.... :D

Ich hoffe die haben dann eine Firewall, sonst kann ja jeder auf meinen
Kühlschrank zugreifen und Milch für mich bestellen. :confused:

Wenn man nich auf den Open-Kühlschrank setzt:
 

Klar haben die dann 'ne Firewall, aber nicht in der günstigen "Home Edition". Da muss man schon die Professional Version nehmen :D, allerdings wird vermutlich ein wöchentliches 6 Flaschen Coka-Cola Update in 80% der Kühlschränke auch mit drin sein :p

Flo