tektorum.de

tektorum.de (https://www.tektorum.de/)
-   Präsentation & Darstellung (https://www.tektorum.de/praesentation-darstellung/)
-   -   ArchiCAD Dongle auf ausgewählte IPs beschränken (https://www.tektorum.de/praesentation-darstellung/405-archicad-dongle-ausgewaehlte-ips-beschraenken.html)

Florian 13.06.2003 20:57

ArchiCAD Dongle auf ausgewählte IPs beschränken
 
Die Software, die von Graphisoft für den ArchiCAD Dongel eingesetzt wird unterstützt es bisher leider nicht, dass man den Zugriff auf bestimmte Rechner beschränkt. (Zumiondest ergab dies mein Anruf bei Graphisoft und dem Dongelhersteller...)
Das heißt, dass damit alle Rechner in einem Netzwerk auf irgendeinen Dongel des Subnetzes zugreifen. In einem normalen Architekturbüro ist das eigentlich kein Problem, denn da wird es höchstwahrscheinlich nur einen Dongleserver geben. Problematisch wird es wenn dieser Server auch eine Verbindung zum Internet hat. In Universitäten stellt dies aber immer ein Problem dar. Bei uns wäre es möglich, dass unsere 5er Lizenz durch andere Lehrstühle ausgeschöpft wird, da wir alle im gleichen Subnetz hängen.
Im Zeitalter von DSL und Standleitungen ist es auch durchaus möglich, dass der Dongel auf einem Rechner mit einer festen IP von irgendeinem Fremden Rechner auf der Welt genutzt wird. Einzige Voraussetzung dafür ist es eigentlcih nur, dass man z.B einen Portscan eines Uninetzwerkes macht und nur nach dem typischen Port sucht.
Um dies zu verhindern suche ich nach einer Möglichkeit, Zugriffe auf einen bestimmten Port nur für ausgewählte Rechner zuzulassen. Kennt jemand eine Software, die dies auf einem Win2000 Server ermöglicht? Oder kann man dies dort vielleicht sogar irgendwo einstellen?!
Am besten wäre es, wenn man Nummernbereiche einstellen kann (z.B. 10.217.18.* oder 10.217.* etc).

Danke & Grüsse
Florian


(Aus Neugier würden mich auch entsprechnde Lösungen für Linux und Mac interessieren)

Flo 13.06.2003 21:37

Re: ArchiCAD Dongle auf ausgewählte IPs beschränken
 
Zitat:

Originally posted by Florian

Im Zeitalter von DSL und Standleitungen ist es auch durchaus möglich, dass der Dongel auf einem Rechner mit einer festen IP von irgendeinem Fremden Rechner auf der Welt genutzt wird. Einzige Voraussetzung dafür ist es eigentlcih nur, dass man z.B einen Portscan eines Uninetzwerkes macht und nur nach dem typischen Port sucht.
Um dies zu verhindern suche ich nach einer Möglichkeit, Zugriffe auf einen bestimmten Port nur für ausgewählte Rechner zuzulassen. Kennt jemand eine Software, die dies auf einem Win2000 Server ermöglicht? Oder kann man dies dort vielleicht sogar irgendwo einstellen?!
Am besten wäre es, wenn man Nummernbereiche einstellen kann (z.B. 10.217.18.* oder 10.217.* etc).

Danke & Grüsse
Florian


(Aus Neugier würden mich auch entsprechnde Lösungen für Linux und Mac interessieren)

Windows kann von Haus aus nur bestimmte Ports oder IP-Protokolle sperren. Dies Einstellungen sind unter den Erweiterten TCP/IP Einstellungen der Netzwerkkarte zu finden. Es gibt aber verschiedene Firewalls, die die gewünschte Funktion ebenfalls beherrschen. WEnn ich mich recht errinere kann http://www.kerio.com/wrp_home.html das. Das Programm kostet allerding Geld


Linux = iptables ; ist der Nachfolger der ipchains Firewall-Implemetierung und kann sehr genau an die eigenen Bedürfnisse angepasst werden. Die Befehlssyntax ist zu erst etwas kryptisch aber im Netz gibt es zahlreiche Tutorials die das ganze gut erklären.

Links: http://www.netfilter.org/ Homepage des Projektes
http://www.netfilter.org/documentati...-tutorial.html Tutorial

Frontends für iptables gibt es unter www.freshmeat.net

MaxOS X = Da MacOS X ja aus einem FreeBSD Kern (oder war es OpenBSD?) besteht, sollte es die dort vorhandene Firewall auch für den Mac geben. Mit der sollte es möglich sein entsprechende Regeln für das Netzwerk zu konfigurieren. Google spuckt folgenden Link aus:
http://www.securemac.com/

Gruss Florian

<cool, das Forum speichert ja sogar Nachrichten, wenn der Browser mal abstürzt>

Florian 14.06.2003 00:48

Unter OS X gibt es einen Dokument, dass sich ipfirewall.4 nennt, allerdings scheint es mir, als sei dies mehr die erklärung, welche Kürzel für was zu verwenden sind.
Obwohl ich mich mittlerweile recht fit fühle, was das Compilieren, Einrichten und Einstellen eines apachen, php oder mysql angeht, versteh ich bei ipfirewall.4 fast nix :rolleyes:

Zitat:

Windows kann von Haus aus nur bestimmte Ports oder IP-Protokolle sperren. Dies Einstellungen sind unter den Erweiterten TCP/IP Einstellungen der Netzwerkkarte zu finden.
Diese Einstellungen sind aber so weit ich mich entsinne nur auf die typischen Ports (smb, http...) bezogen, oder?

Gibt's da nicht vielleicht sowas wie eine config Datei, wo man das manuell reinschreiben kann?

Grüsse
Flo

Flo 14.06.2003 12:32

Zitat:

Originally posted by Florian
Unter OS X gibt es einen Dokument, dass sich ipfirewall.4 nennt, allerdings scheint es mir, als sei dies mehr die erklärung, welche Kürzel für was zu verwenden sind.
Obwohl ich mich mittlerweile recht fit fühle, was das Compilieren, Einrichten und Einstellen eines apachen, php oder mysql angeht, versteh ich bei ipfirewall.4 fast nix :rolleyes:
Gibts da keine Anleitungen im Netz?
Bei iptables habe ich auch etwas gebraucht um das ganze Prinzip zu verstehen, aber danach gings dann einigermassen.

Zitat:

Diese Einstellungen sind aber so weit ich mich entsinne nur auf die typischen Ports (smb, http...) bezogen, oder?

Gibt's da nicht vielleicht sowas wie eine config Datei, wo man das manuell reinschreiben kann?
Man kann beliebiege Ports sperren oder Freigeben. Allerdings kann man nicht festlegen, welche IPs zugriff haben.

Unter Windows musst Du ein zusätzliches Programm einsetzen. Ich glaube, http://www.kerio.com/wrp_home.html kann entsprechende Regeln im Netzerk durchsetzen.

Gruss Flo

Flo 14.06.2003 12:35

http://www.securemac.com/brickhouse.php

Frontend für die OS X Firewall

Flo

thst 15.06.2003 16:16

ArchiCAD Dongle
 
Da Graphisoft ja wohl kaum genau dokumentiert welche Ports durch die Dongle belegt werden, wäre ich mit solchen Basteleien sehr vorsichtig.

Ich weiss zwar nicht ob Graphisoft die 8.0 nun im Griff hat ist, mit der 7.0er Version hatten wir anfangs große Schwierigkeiten überhaupt Zugriff auf die Lizenzen über das Netz zu bekommen. Es war zum Beispiel nicht möglich mehrere Dongele hintereinander zu stecken ...

Fest steht, dass die Dongle immer wieder ein großes Ärgernis sind ...

Gruß thst

Florian 15.06.2003 17:09

Zitat:

Da Graphisoft ja wohl kaum genau dokumentiert welche Ports durch die Dongle belegt werden, wäre ich mit solchen Basteleien sehr vorsichtig.
Naja, ganz so ein Geheimniss ist das nicht. In der "WIBUKEY.INI" Datei wird klar gesagt, dass nach dem Port 22347 auf allen Rechnern im gleichen Netzwerk (255.255.255.255) gesucht werden soll.
Bei einem regulären Scan würde man diesen Port nicht finden, da er in einem recht hohen Bereich liegt. Vorallem ist mir die Sicherheit unseres Servers und Lehrbetriebs wichtig :D

; ---------------
; general setting
; ---------------
[Driver]
SubSystem=Kernel, WkLAN

; ---------------------------------------------------------
; sample settings for WkLAN communication (Windows, Mac OS)
; ---------------------------------------------------------
[WkLAN]
; used UDP/TCP port: set default value
IpPort=22347

[WkLAN Client]
Server1=255.255.255.255

[WkLAN Server]
TimeOut=1440


Zitat:

Ich weiss zwar nicht ob Graphisoft die 8.0 nun im Griff hat ist, mit der 7.0er Version hatten wir anfangs große Schwierigkeiten überhaupt Zugriff auf die Lizenzen über das Netz zu bekommen.
Dabei arbeitet doch ein Herr Studzinski, ein Graphisoft Vertreter auch bei Ihnen an der FH?! :p

Grüsse
Florian

thst 15.06.2003 21:21

Zitat:

Originally posted by Florian
Naja, ganz so ein Geheimniss ist das nicht. In der "WIBUKEY.INI" Datei wird klar gesagt, dass nach dem Port 22347 auf allen Rechnern im gleichen Netzwerk (255.255.255.255) gesucht werden soll.
So schlau waren wir damals auch ... Leider hat uns das bei unserem Problem nicht geholfen. Natürlich hatten wir uns an die Installationsanweisungen gehalten (auch der in den Ini - Files eingetragene Port war damals definitiv frei).

Letzendlich mußten wir die Dongle wieder auf verschiedene Rechner verteilen. Auch Graphisoft - Berlin konnte uns damals leider nicht helfen (obwohl der Support sehr gut ist) ...

Zitat:

Dabei arbeitet doch ein Herr Studzinski, ein Graphisoft Vertreter auch bei Ihnen an der FH?!
Ja und?

Zitat:

Im Zeitalter von DSL und Standleitungen ist es auch durchaus möglich, dass der Dongel auf einem Rechner mit einer festen IP von irgendeinem Fremden Rechner auf der Welt genutzt wird. Einzige Voraussetzung dafür ist es eigentlcih nur, dass man z.B einen Portscan eines Uninetzwerkes macht und nur nach dem typischen Port sucht.?!
Wenn ich mich recht erinnere können Sie doch sehen welcher Rechner sich eine Lizenz nimmt. Und können so einen evtl. Mißbrauch doch schnell kappen. Außerdem sollte das Netzwerk der TU doch soweit abgesichert sein, das nicht irgendwelche Ports nach außen offenstehen (besonders NT Server sind im Internet ein begehrtes Angriffsziel).

Selbst kleine Büros können sich doch per Router und NAT problemlos nach außen absichern.

Mit dem Einsatz von handelsüblichen Firewalls sollten Sie diese Ports auf dem NT Server ebenso sperren können, doch machen diese kleinen Helferlein meistens mehr als einem lieb ist und man fängt sich noch größerere Probleme ein ...

Solange es nicht wirklich ein praktisches Problem ist, würde ich die Finger davon lassen.

thst

Florian 15.06.2003 21:44

Zitat:

Auch Graphisoft - Berlin konnte uns damals leider nicht helfen (obwohl der Support sehr gut ist) ...

Ja und?
Ich hätte gedacht, dass man über so eine Quelle schneller zu Lösungen kommt. Ich muß immer bei Graphisoft anrufen und auf den Rückruf warten. Der Support ist zwar rellativ gut, aber definitiv wohl ein anderer, als Büros ihn erhalten.
Bei Netzwerkproblemen, konnte man mir bisher leider nie helfen. Die 7er Version lief bei unseren Macs erst, nachtem ich den Dongel einmal über einen PC angesprochen habe??!!

Zitat:

Wenn ich mich recht erinnere können Sie doch sehen welcher Rechner sich eine Lizenz nimmt. Und können so einen evtl. Mißbrauch doch schnell kappen.
Sitz ich 24/7 neben dem Server und starr auf den Monitor :confused:

Zitat:

Außerdem sollte das Netzwerk der TU doch soweit abgesichert sein, das nicht irgendwelche Ports nach außen offenstehen (besonders NT Server sind im Internet ein begehrtes Angriffsziel).
So eine Überlegung hatten die im rechenzentrum wohl mal, aber das ließ sich wohl nicht halten. Zu viele unterschiedliche Ports müssen halt doch offen sein. Versuchen Sie doch mal rauszukriegen, welche man schon bei den Standartinstallationen der versch. Syteme in Benutzung hat...

Zitat:

Solange es nicht wirklich ein praktisches Problem ist, würde ich die Finger davon lassen.
Auch 'ne Möglichkeit - ist ja eigentlich nicht mein Problem, wenn Fremde unsern Dongle benutzen, solang für uns noch genug Lizenzen übrig bleiben. Man muß ja nicht mangelhafte (Dongle) Software selber absichern :D

jcr 18.06.2003 15:15

Re: ArchiCAD Dongle auf ausgewählte IPs beschränken
 
Zitat:

Originally posted by Florian
Kennt jemand eine Software, die dies auf einem Win2000 Server ermöglicht?
BlackICE z.B.
Den betreffenden Port 22347 sperren und nur für bestimmte IPs öffnen. Kostet aber. Sollte eigentlich mit jeder beliebigen Firewall gehn.

fst 07.08.2003 01:34

Re: Re: ArchiCAD Dongle auf ausgewählte IPs beschränken
 
Hallo Zusammen,

wenn ich das Problem richtig verstanden habe, liegt die lösung eigentlich in der WIBUKEY.INI. Dort kann man einen Client auf eine speziellen Rechner festlegen. Danach findet dieser dann keine anderen mehr.

Wenn man mit mehreren Subnetzen arbeitet muss man teilweise die Adresse sogar eintragen um den Server zu finden.

Wenn die limitierung auf dem Server festgelegt werden soll hilft aber wirklich nur eine Firewall.

An thst: Das Problem mit mehrer Dongle an einem Server besteht leider nach wie vor. In vielen Fällen funktioniert es zwar aber bei verschiedenen Dongle gibt es immer wieder Probleme. Der Wibukeyserver war ursprünglich auch nur für Netzwerkdongle gedacht, funktioniert zwar auch oft mit mehrer, aber leider nicht immer.

Leider kann ich anhand des Kürzels den Namen/Büro nicht zuordnen, aber
trotzdem Danke für das kompliment.

F.Studzinski

Florian 07.08.2003 09:31

Ja, mit der Lösung kann ich als gewissensvoller Admin den Dongelzugriff meiner Clients natürlich steuern, was mach ich aber, wenn meine Client nicht mehr auf meinen Dongel zugreifen können, weil alle 5 Plätze von irgendwelchen anderen Rechner im Subnetz belegt werden?

Vorallem, haben die normalen User dann Pech gehabt? Als Admin kann ich fremde ja immernoch vom Server schmeißen, da muß ich aber auch da sein!

Grüsse
Florian

fst 07.08.2003 11:46

Dann helfen wirklich nur noch die normalen Administrationsmittel. Denn eigentlich gibt es in einem Netzwerk nicht irgenwelche Rechner auf den ArchiCAD installiert ist ohne das der admin davon Kenntnis hat, oder ;-)

Zur Zeit wird ArchiCAD in solchen Umgebungen recht wenig eingesetzt, wodurch der Bedarf an solchen Funktionen recht gering ist. Wenn ArchiCAD Lizenzen vermehrt über W-LAN Hostspots angeboten wird werden wir sicher eine solche Funktion haben.

Frank Studzinski

Florian 07.08.2003 19:58

In dem Unifall ist es leider so, dass allein in einem Subnetz 255 Rechner stehen, die dann zu unterschiedlichen Fachbereichen gehören, also verschiedenen Admins unterliegen. Bei der default Clienconfig. wird aber das gesamte Netzwerk einfach abgesucht...

Im Bürofall, wäre es aber durchaus möglich, dass im Zeitalter von Standleitungen jemand von außerhalb auf so einen Dongel zugreift, indem er in seiner Clientkonfiguration, die richtige IP angiebt. Mit einem Portscan sogar auf gut Glück!
Übrigends auch ein Problem für die Unis - dort gibt es schon immer feste IPs. Viele sogenannte Admins kommen aber garnicht auf die Idee, dass jemand von außerhalb so ein Unidongle nutzen könnte.

Wie wird das von anderen Dongelherstellern gelöst?

Grüsse
Florian

jcr 07.08.2003 20:02

Nochmal ein zarter Versuch...mit einer Firewall muß das eigentlich gehn, da kannst Du auch aus dem Subnetz nur einzelne auswählen, die Zugriff haben. Probiers einfach mal mit ZoneAlarm, das ist kostenlos, hab das mal vor ner Zeit verwendet.


Alle Zeitangaben in WEZ +2. Es ist jetzt 20:06 Uhr.

Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
SEO by vBSEO
Copyright ©2002 - 2022 tektorum.de®