ph0rl2
Goto Top

Host Datei vor Änderungen schützen

Hallo,

ich habe eine Netzwerkressource (NAS) für dessen Freigaben sich keine gezielten Userrechte eintragen lassen, da sich das NAS nicht im AD registrieren lässt.

Dennoch möchte ich, dass lediglich der Server Zugriff auf die Ressource hat (wird als Backup benötigt). Meine Idee war nun, die host Datei der Clients so abzuändern, dass beim Versuch das NAS zu erreichen eine Umleitung auf 127.0.0.1 erfolgt.

Meine Fragen dazu:
1: Macht das Sinn?
2: Wie kann ich die Host Datei vor Änderungen schützen? Meine Idee war hier die Dateirechte für User auf Read Only zu setzten und nur dem Administrator Write Rechte geben.
3: Kann es zu irgendwelchen Einschränkungen (ausser den gewollten) bei dieser Umsetzung kommen, bzw. gibt es vielleicht andere offene Lücken oder andere Lösungen um den Zugriff auf eine Ressource zu schützen?

Viele Grüße

Content-Key: 187539

Url: https://administrator.de/contentid/187539

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: MrNetman
MrNetman 05.07.2012 um 14:17:29 Uhr
Goto Top
Hi,
setze eine zweite Netzwerkkarte in den Server und nutze einen zweiten IP-Range. Korrekt gemacht, wird das auch noch mitttels eines VLANs getrennt.

Gruß
Netman
Mitglied: Onitnarat
Onitnarat 05.07.2012 um 14:18:06 Uhr
Goto Top
1: Jein...über die IP kommen die User trotzdem drauf...

2: Die Idee ist gut und sogar sinnvoll...Du schützt Deine User sogar vor Schadsoftware die die HOSTS-Datei ändern will.

3: Nein, keine Einschränkungen. Andere Lösung: NAS zu ebay rein und sich eine kaufen die man ins AD einbinden kann.
Mitglied: ph0rl2
ph0rl2 05.07.2012 um 14:18:49 Uhr
Goto Top
Zitat von @MrNetman:
Hi,
setze eine zweite Netzwerkkarte in den Server und nutze einen zweiten IP-Range. Korrekt gemacht, wird das auch noch mitttels eines
VLANs getrennt.

Gruß
Netman

Hey, schonmal nen guter Tipp face-smile Muss mal schauen ob dafür noch Platz ist face-smile
Mitglied: ph0rl2
ph0rl2 05.07.2012 um 14:20:07 Uhr
Goto Top
Zitat von @Onitnarat:
1: Jein...über die IP kommen die User trotzdem drauf...

2: Die Idee ist gut und sogar sinnvoll...Du schützt Deine User sogar vor Schadsoftware die die HOSTS-Datei ändern will.

3: Nein, keine Einschränkungen. Andere Lösung: NAS zu ebay rein und sich eine kaufen die man ins AD einbinden kann.

Über die IP?? wenn ich die IP (statisch) und Name jeweils aus 127.0.0.1 umleite?
Mitglied: lenny4me
lenny4me 05.07.2012 um 14:20:28 Uhr
Goto Top
Hallo,

wenn ich nun ein User wäre... und auf die NAS wöllte und nur weis das Sie NAS heißt...

NSlookup NAS MEINDSNSERVER

\\IP.IP.IP.IP\

dropp gelutscht.

Aber auf die Idee das über die Host Datei machen zu wollen muss man auch erst mal kommen.


Grüße Lenny

PS: kennt sie NAS kein Samba?
Mitglied: ph0rl2
ph0rl2 05.07.2012 um 14:28:52 Uhr
Goto Top
Zitat von @lenny4me:
Hallo,

wenn ich nun ein User wäre... und auf die NAS wöllte und nur weis das Sie NAS heißt...

NSlookup NAS MEINDSNSERVER

\\IP.IP.IP.IP\

dropp gelutscht.

Aber auf die Idee das über die Host Datei machen zu wollen muss man auch erst mal kommen.


Grüße Lenny

PS: kennt sie NAS kein Samba?

Sry, aber ich verstehe deinen Beitrag nicht.

Wenn ich (als Admin) in die host Datei der User sinnbildlich folgendes eintrage:
192.168.0.2 127.0.0.1
nas 127.0.0.1

und die hostdatei für den standarduser auf read only setze, was bringt ihm dann ein nslookup? Jegliche Anfragen an die IP vom NAs oder den NAmen vom verlaufen "ins Leere"
Mitglied: Onitnarat
Onitnarat 05.07.2012 um 14:32:02 Uhr
Goto Top
192.168.0.2 127.0.0.1

^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
Mitglied: ph0rl2
ph0rl2 05.07.2012 um 14:33:56 Uhr
Goto Top
Zitat von @Onitnarat:
192.168.0.2 127.0.0.1

^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.

wieder was gelernt face-wink Mist =)
Mitglied: MrNetman
MrNetman 05.07.2012 aktualisiert um 15:02:21 Uhr
Goto Top
Zitat von @Onitnarat:
^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
Nein, Mit der HOSTS kann man auch Anfragen erden, bzw, aufs lokale Interface umleiten. Wird sogar von manchen Virenprogrammen und den anderen benutzt.

Ich zitiere aus http://de.wikipedia.org/wiki/Hosts-Datei
Muss ein Hostname in eine IP-Adresse (oder umgekehrt) übersetzt (oder „aufgelöst“) werden, so wird bei Betriebssystemen zuerst versucht, die Namensauflösung lokal anhand der in der Hosts-Datei gespeicherten Zuordnungen durchzuführen, bevor andere Methoden (DNS, WINS, usw.) versucht werden.

##EDIT: entweder oder ist richtig. Aber der DNS wird erst später gefragt##

Gehen tut es, aber tun würde ich es nicht.
Mitglied: Onitnarat
Onitnarat 05.07.2012 um 14:57:23 Uhr
Goto Top
Zitat von @MrNetman:
> Zitat von @Onitnarat:
> ^^ das geht nicht!!! Die Hostsdatei dient imho nur dazu einen fehlenden DNS-Server zu simulieren, also Host zu IP-Umsetzung.
Nein, Mit der HOSTS kann man auch Anfragen erden, bzw, aufs lokale Interface umleiten. Wird sogar von manchen Virenprogrammen und
den anderen benutzt.

Bitte was???? Erst lesen, dann denken, dann nochmal lesen, dann tippen...Du kannst mit der HOSTS-Datei KEINE IP mit einer anderen ersetzen!
Mitglied: psannz
psannz 05.07.2012 aktualisiert um 15:33:11 Uhr
Goto Top
sers,

vielleicht könntest du uns ja verraten um welches Modell es sich hier handelt? Details helfen bekanntlich immer.

Alternativ eine sehr dreckige Lösung: Pass die IP der NAS und die Subnetzmaske deiner Clients so an dass sie sich nicht mehr sehen können. Dann musst nurnoch zusehen dass dein Gateway die Verbindung nicht herstellt.
Dreckigst, aber würde klappen.

vLAN wäre natürlich die bessere Lösung. Zumindest aus den Infos die du uns gabst.

Grüße,
Philip

:edit: Mal ganz davon abgesehen dass man sowiso Adminrechte braucht um die HOSTS DAtei zu editieren.
Mitglied: DerWoWusste
DerWoWusste 05.07.2012 aktualisiert um 15:56:18 Uhr
Goto Top
Moin.

Auf einem NAS läuft immer ein OS. Da solltest Du ansetzen oder aber an der Firewall Zugriffe auf dessen IP verbieten. Hosts-Datei wird hier nichts aus genannten Gründen.

PS: die Hosts-Datei ist selbstverständlich schon von Haus aus Read-only für nicht-Admins.
Edit: ach, hat schon jemand angemerkt face-smile
Mitglied: lenny4me
lenny4me 05.07.2012 um 15:56:48 Uhr
Goto Top
Hallo,

bitte verbessere mich wenn ich mich irre aber...
Aber der DNS wird erst später gefragt##
Bei einem NSlookup ziel server frage ich den DNS Server direkt. Was in meiner host datei steht ist dabei unerheblich.
Oder?

Grüße