ArchiCAD Dongle auf ausgewählte IPs beschränken
 

Die Software, die von Graphisoft für den ArchiCAD Dongel eingesetzt wird unterstützt es bisher leider nicht, dass man den Zugriff auf bestimmte Rechner beschränkt. (Zumiondest ergab dies mein Anruf bei Graphisoft und dem Dongelhersteller...)
Das heißt, dass damit alle Rechner in einem Netzwerk auf irgendeinen Dongel des Subnetzes zugreifen. In einem normalen Architekturbüro ist das eigentlich kein Problem, denn da wird es höchstwahrscheinlich nur einen Dongleserver geben. Problematisch wird es wenn dieser Server auch eine Verbindung zum Internet hat. In Universitäten stellt dies aber immer ein Problem dar. Bei uns wäre es möglich, dass unsere 5er Lizenz durch andere Lehrstühle ausgeschöpft wird, da wir alle im gleichen Subnetz hängen.
Im Zeitalter von DSL und Standleitungen ist es auch durchaus möglich, dass der Dongel auf einem Rechner mit einer festen IP von irgendeinem Fremden Rechner auf der Welt genutzt wird. Einzige Voraussetzung dafür ist es eigentlcih nur, dass man z.B einen Portscan eines Uninetzwerkes macht und nur nach dem typischen Port sucht.
Um dies zu verhindern suche ich nach einer Möglichkeit, Zugriffe auf einen bestimmten Port nur für ausgewählte Rechner zuzulassen. Kennt jemand eine Software, die dies auf einem Win2000 Server ermöglicht? Oder kann man dies dort vielleicht sogar irgendwo einstellen?!
Am besten wäre es, wenn man Nummernbereiche einstellen kann (z.B. 10.217.18.* oder 10.217.* etc).

Danke & Grüsse
Florian


(Aus Neugier würden mich auch entsprechnde Lösungen für Linux und Mac interessieren)

Re: ArchiCAD Dongle auf ausgewählte IPs beschränken
 

Windows kann von Haus aus nur bestimmte Ports oder IP-Protokolle sperren. Dies Einstellungen sind unter den Erweiterten TCP/IP Einstellungen der Netzwerkkarte zu finden. Es gibt aber verschiedene Firewalls, die die gewünschte Funktion ebenfalls beherrschen. WEnn ich mich recht errinere kann http://www.kerio.com/wrp_home.html das. Das Programm kostet allerding Geld


Linux = iptables ; ist der Nachfolger der ipchains Firewall-Implemetierung und kann sehr genau an die eigenen Bedürfnisse angepasst werden. Die Befehlssyntax ist zu erst etwas kryptisch aber im Netz gibt es zahlreiche Tutorials die das ganze gut erklären.

Links: http://www.netfilter.org/ Homepage des Projektes
http://www.netfilter.org/documentati...-tutorial.html Tutorial

Frontends für iptables gibt es unter www.freshmeat.net

MaxOS X = Da MacOS X ja aus einem FreeBSD Kern (oder war es OpenBSD?) besteht, sollte es die dort vorhandene Firewall auch für den Mac geben. Mit der sollte es möglich sein entsprechende Regeln für das Netzwerk zu konfigurieren. Google spuckt folgenden Link aus:
http://www.securemac.com/

Gruss Florian

<cool, das Forum speichert ja sogar Nachrichten, wenn der Browser mal abstürzt>

Unter OS X gibt es einen Dokument, dass sich ipfirewall.4 nennt, allerdings scheint es mir, als sei dies mehr die erklärung, welche Kürzel für was zu verwenden sind.
Obwohl ich mich mittlerweile recht fit fühle, was das Compilieren, Einrichten und Einstellen eines apachen, php oder mysql angeht, versteh ich bei ipfirewall.4 fast nix :rolleyes:

Diese Einstellungen sind aber so weit ich mich entsinne nur auf die typischen Ports (smb, http...) bezogen, oder?

Gibt's da nicht vielleicht sowas wie eine config Datei, wo man das manuell reinschreiben kann?

Grüsse
Flo

Gibts da keine Anleitungen im Netz?
Bei iptables habe ich auch etwas gebraucht um das ganze Prinzip zu verstehen, aber danach gings dann einigermassen.

Man kann beliebiege Ports sperren oder Freigeben. Allerdings kann man nicht festlegen, welche IPs zugriff haben.

Unter Windows musst Du ein zusätzliches Programm einsetzen. Ich glaube, http://www.kerio.com/wrp_home.html kann entsprechende Regeln im Netzerk durchsetzen.

Gruss Flo

http://www.securemac.com/brickhouse.php

Frontend für die OS X Firewall

Flo

ArchiCAD Dongle
 

Da Graphisoft ja wohl kaum genau dokumentiert welche Ports durch die Dongle belegt werden, wäre ich mit solchen Basteleien sehr vorsichtig.

Ich weiss zwar nicht ob Graphisoft die 8.0 nun im Griff hat ist, mit der 7.0er Version hatten wir anfangs große Schwierigkeiten überhaupt Zugriff auf die Lizenzen über das Netz zu bekommen. Es war zum Beispiel nicht möglich mehrere Dongele hintereinander zu stecken ...

Fest steht, dass die Dongle immer wieder ein großes Ärgernis sind ...

Gruß thst

Naja, ganz so ein Geheimniss ist das nicht. In der "WIBUKEY.INI" Datei wird klar gesagt, dass nach dem Port 22347 auf allen Rechnern im gleichen Netzwerk (255.255.255.255) gesucht werden soll.
Bei einem regulären Scan würde man diesen Port nicht finden, da er in einem recht hohen Bereich liegt. Vorallem ist mir die Sicherheit unseres Servers und Lehrbetriebs wichtig :D

; ---------------
; general setting
; ---------------
[Driver]
SubSystem=Kernel, WkLAN

; ---------------------------------------------------------
; sample settings for WkLAN communication (Windows, Mac OS)
; ---------------------------------------------------------
[WkLAN]
; used UDP/TCP port: set default value
IpPort=22347

[WkLAN Client]
Server1=255.255.255.255

[WkLAN Server]
TimeOut=1440


Dabei arbeitet doch ein Herr Studzinski, ein Graphisoft Vertreter auch bei Ihnen an der FH?! :p

Grüsse
Florian

So schlau waren wir damals auch ... Leider hat uns das bei unserem Problem nicht geholfen. Natürlich hatten wir uns an die Installationsanweisungen gehalten (auch der in den Ini - Files eingetragene Port war damals definitiv frei).

Letzendlich mußten wir die Dongle wieder auf verschiedene Rechner verteilen. Auch Graphisoft - Berlin konnte uns damals leider nicht helfen (obwohl der Support sehr gut ist) ...

Ja und?

Wenn ich mich recht erinnere können Sie doch sehen welcher Rechner sich eine Lizenz nimmt. Und können so einen evtl. Mißbrauch doch schnell kappen. Außerdem sollte das Netzwerk der TU doch soweit abgesichert sein, das nicht irgendwelche Ports nach außen offenstehen (besonders NT Server sind im Internet ein begehrtes Angriffsziel).

Selbst kleine Büros können sich doch per Router und NAT problemlos nach außen absichern.

Mit dem Einsatz von handelsüblichen Firewalls sollten Sie diese Ports auf dem NT Server ebenso sperren können, doch machen diese kleinen Helferlein meistens mehr als einem lieb ist und man fängt sich noch größerere Probleme ein ...

Solange es nicht wirklich ein praktisches Problem ist, würde ich die Finger davon lassen.

thst

Ich hätte gedacht, dass man über so eine Quelle schneller zu Lösungen kommt. Ich muß immer bei Graphisoft anrufen und auf den Rückruf warten. Der Support ist zwar rellativ gut, aber definitiv wohl ein anderer, als Büros ihn erhalten.
Bei Netzwerkproblemen, konnte man mir bisher leider nie helfen. Die 7er Version lief bei unseren Macs erst, nachtem ich den Dongel einmal über einen PC angesprochen habe??!!

Sitz ich 24/7 neben dem Server und starr auf den Monitor :confused:

So eine Überlegung hatten die im rechenzentrum wohl mal, aber das ließ sich wohl nicht halten. Zu viele unterschiedliche Ports müssen halt doch offen sein. Versuchen Sie doch mal rauszukriegen, welche man schon bei den Standartinstallationen der versch. Syteme in Benutzung hat...

Auch 'ne Möglichkeit - ist ja eigentlich nicht mein Problem, wenn Fremde unsern Dongle benutzen, solang für uns noch genug Lizenzen übrig bleiben. Man muß ja nicht mangelhafte (Dongle) Software selber absichern :D

Re: ArchiCAD Dongle auf ausgewählte IPs beschränken
 

BlackICE z.B.
Den betreffenden Port 22347 sperren und nur für bestimmte IPs öffnen. Kostet aber. Sollte eigentlich mit jeder beliebigen Firewall gehn.

Re: Re: ArchiCAD Dongle auf ausgewählte IPs beschränken
 

Hallo Zusammen,

wenn ich das Problem richtig verstanden habe, liegt die lösung eigentlich in der WIBUKEY.INI. Dort kann man einen Client auf eine speziellen Rechner festlegen. Danach findet dieser dann keine anderen mehr.

Wenn man mit mehreren Subnetzen arbeitet muss man teilweise die Adresse sogar eintragen um den Server zu finden.

Wenn die limitierung auf dem Server festgelegt werden soll hilft aber wirklich nur eine Firewall.

An thst: Das Problem mit mehrer Dongle an einem Server besteht leider nach wie vor. In vielen Fällen funktioniert es zwar aber bei verschiedenen Dongle gibt es immer wieder Probleme. Der Wibukeyserver war ursprünglich auch nur für Netzwerkdongle gedacht, funktioniert zwar auch oft mit mehrer, aber leider nicht immer.

Leider kann ich anhand des Kürzels den Namen/Büro nicht zuordnen, aber
trotzdem Danke für das kompliment.

F.Studzinski

Ja, mit der Lösung kann ich als gewissensvoller Admin den Dongelzugriff meiner Clients natürlich steuern, was mach ich aber, wenn meine Client nicht mehr auf meinen Dongel zugreifen können, weil alle 5 Plätze von irgendwelchen anderen Rechner im Subnetz belegt werden?

Vorallem, haben die normalen User dann Pech gehabt? Als Admin kann ich fremde ja immernoch vom Server schmeißen, da muß ich aber auch da sein!

Grüsse
Florian

Dann helfen wirklich nur noch die normalen Administrationsmittel. Denn eigentlich gibt es in einem Netzwerk nicht irgenwelche Rechner auf den ArchiCAD installiert ist ohne das der admin davon Kenntnis hat, oder ;-)

Zur Zeit wird ArchiCAD in solchen Umgebungen recht wenig eingesetzt, wodurch der Bedarf an solchen Funktionen recht gering ist. Wenn ArchiCAD Lizenzen vermehrt über W-LAN Hostspots angeboten wird werden wir sicher eine solche Funktion haben.

Frank Studzinski

In dem Unifall ist es leider so, dass allein in einem Subnetz 255 Rechner stehen, die dann zu unterschiedlichen Fachbereichen gehören, also verschiedenen Admins unterliegen. Bei der default Clienconfig. wird aber das gesamte Netzwerk einfach abgesucht...

Im Bürofall, wäre es aber durchaus möglich, dass im Zeitalter von Standleitungen jemand von außerhalb auf so einen Dongel zugreift, indem er in seiner Clientkonfiguration, die richtige IP angiebt. Mit einem Portscan sogar auf gut Glück!
Übrigends auch ein Problem für die Unis - dort gibt es schon immer feste IPs. Viele sogenannte Admins kommen aber garnicht auf die Idee, dass jemand von außerhalb so ein Unidongle nutzen könnte.

Wie wird das von anderen Dongelherstellern gelöst?

Grüsse
Florian

Nochmal ein zarter Versuch...mit einer Firewall muß das eigentlich gehn, da kannst Du auch aus dem Subnetz nur einzelne auswählen, die Zugriff haben. Probiers einfach mal mit ZoneAlarm, das ist kostenlos, hab das mal vor ner Zeit verwendet.

Ich kann mich dem zarten Versuch nur anschliessen.

1. Wenn in einem Subnetz 255 Rechner stehen, die zu verschieden Fachbereichen gehören, und auch noch verschiedenen ?Admins? verwaltet werden, sollte man sich mal generelle Gedanken über den Sinn von Subnetzen machen. Wie kommt bei dem ganzen Traffic denn eine Verbindung zustande ?

2. Auch mit einer Standleitung kommt man mit einem Portscan nicht von aussen an den Dongleserver, denn dazwischen steht dann die Firewall, die im Fall der Uni ein separater Rechner sein dürfte.

3. Der Admin muss garnicht auf die Idee kommen das evtl. auf einem Port ein Dongle liegt, denn er hat alle Ports gesperrt, und gibt nur bestimmte frei. E-donkey und Co werden ja auch gesperrt.
Auch wenn er nicht alle Ports gesperrt hat, wird er den Zugriff, den er nicht zuordnen kann sperren.

Es ist nicht Aufgabe einer Donglesoftware ein Netzwerk abzusichern,
dafür gibt es das Betriebssystem.

Wenn es notwendig ist über das Internet auf einen Dongle zuzugreifen
sollte man VPN benutzen, und nicht einfach den ganzen Server ins Netz stellen.

Ich lasse ja auch keinen Webserver auf meinem Fileserver laufen.

Eine Uni kauft logischerweise ganze IP Bereiche. Bei der TU ist das glaube ich ein Klasse B Netz mit 130.149.*.*
Diese Unterteilt das Rechenzentrum in kleinere bis zu 255 Subnetze 130.149.255.*
Nun kann nicht jeder Lehrstuhl sein eigenes Subnetz haben - 255 IPs für 20 Mitarbeiter + vielleicht 30 Pool-Computer ist vielleicht etwas übetrieben und TEUER. Dennoch ist jeder Lehrstuhl für seinen eigenen Computerpool zuständig. Folglich gibt es jemanden der die Adminfunktion übernimmt. Nicht jeder ist dafür wirklich qualifiziert - ich auch nicht, aber vielleicht mehr als viel andere - jetzt haben wir also schon schnell 10 oder gar 20 "Admins", vielleicht also auch genausoviele ArchiCAD Dongleserver...
Genauso wie sonst bei den Millionen von Rechnern im Internet? Wo liegt das Problem? Da kann man natürlich nicht einfach mal mehrere billig Swiches und Hubs hintereinanderschalten :D

Büro: ja im Idealfall - wenn ich Zeit hab kann ichs ja mal testen :D

Uni: Schaltet zum Glück nur Nepsterports u.ä. ab. Ware ja noch schöner, wenn die Man jedesmal einen Antrag ans ZRZ schicken muß, wenn man einen neuen Port belegt. Sicherere Serverdienste legen wir ja sinnvollerweise auf höhere Portbereiche um nicht bei den Standartscans sofort entdeckt zu werden!
Ich könnt Ihnen ja unsere Server IP geben, damit sies mal testen können... aber ich bin ja nicht verrückt! (dann ist der Dongel garantiert immer belegt :rolleyes: )

Ja, aber den Zugriff auf den Dongelport will ich ja nicht sperren, sondern nur auf bestimte IP-Nummernbereiche beschränken - sonst hab ich ja nichts mehr vom Dongel :rolleyes:

Also ich denke Graphisoft setzt Dongel ein, um dafür zu sorgen, dass nur Berechtigte ein Programm benutzen, dann sollte man aber bei der mitgelieferten Software auch darauf achten, dass es niemand kann?!
Ich bin nicht daran Schuld, wenn jemand unseren Dongel benutzt. Da müsste Graphisoft eine entsprechend sichere Lösung anbieten!

Davon reden wir schon die ganze Zeit, vielleicht auch aneinander vorbei ;)
du kennst vielleicht von Apache-.htaccess-"Programmierung" die Zeilen

deny from all
allow from 130.149.1. (<- 130.149.1.0 - 130.149.1.255. Nur die sonst niemand)

So ähnlich meinen wir das alle. Denke ich.

GS ist m.W. nicht Hersteller der Donglesoftware.

Gruß,
jan


[bearbeitet]Tippfehler[/bearbeitet]

Genau das mein ich :D

GS ist tatsächlich nicht der Hersteller, aber Sie setzen Ihn ein...
Wenn ich 'nen Rover kaufe beschwere ich mich ja auch nicht bei BMW, wenn der Motor nicht funzt, oder? ;)

Flo

[qutoe]Die Clients können doch eine frei Adresse haben, da Sie ja über einen DNS auf das Internet zugreifen.
[/quote]
Alle Universitäten weltweit (die ich kenne) geben fast jedem Rechner eine eigene öffentliche IP! (Deswegen muß ja auch IPv6 eingeführt werden ;)

Sicher, ich kann auf fast alle Rechner der TU/FU/HU etc. mit dem entsprechenden Passwort zugreifen!

Ja Sie nicht, aber es gibt da ja noch 50.000 Architekturstudenten in Deutschland und nicht alle sind die Guten ;)

Das können Sie gerne glauben :p
In dem Fall weiß ichs definitiv besser :D

Grüsse
Florian

Wenn dann alle Rechner öffentlich zugänglich sind, muss wie gesagt
eine Firewall dafür sorgen die entsprechenden Ports zu schützen.

Wir bieten eine Dienst an der über TCP/IP eine ArchiCAD Lizenz in Ihr
Netz stellt. Für die Absicherung Ihres Netzes sind Sie zuständig.

Begrenzen Sie einfach den Zugriff auf den Wibuport auf den gewüschten Adressraum.

Frank Studzinski

Und ich dachte immer daß sei damit in Zukunft jeder Toaster und jeder Kühlschrank ins Netz kann.... :D

Ich hoffe die haben dann eine Firewall, sonst kann ja jeder auf meinen
Kühlschrank zugreifen und Milch für mich bestellen. :confused:

Wenn man nich auf den Open-Kühlschrank setzt:
 

Klar haben die dann 'ne Firewall, aber nicht in der günstigen "Home Edition". Da muss man schon die Professional Version nehmen :D, allerdings wird vermutlich ein wöchentliches 6 Flaschen Coka-Cola Update in 80% der Kühlschränke auch mit drin sein :p

Flo