Hallo,
wir haben hier leider noch einen Rechner mit Windows XP. Dieser hängt nicht am Internet, nur per Switch in einem LAN, welches selbst auch nicht mit dem Internetz verbunden ist. An dem PC gibt es insgesamt drei Netzwerk-Schnittstellen, zwei verbaute Ethernet-Karten und einen USB2LAN-Adapter. Eine Ethernet-Karte ist mit dem Switch verbunden, an der anderen und an dem Adapter sind Geräte per Ethernet mit dem PC zur Kommunikation verbunden.
Unter XP ist wohl nun das Problem, dass ipv4 das sog. "weak host model" verwendet, bei dem auf einem Interface auch Frames verschickt/empfangen werden können, die als IP-Adresse nicht die Adresse des Interfaces haben. Das sieht bei unserer Konfiguration dann so aus:
Ethernetadapter LAN-Verbindung: hängt am Switch
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physikalische Adresse . . . . . . : 00-1C-C4-AE-10-4D
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.5.4.10
Subnetzmaske. . . . . . . . . . . : 255.0.0.0
Standardgateway . . . . . . . . . :
Ethernetadapter ECom: Schnittstelle zum Gerät
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : ASIX AX88772A USB2.0 to Fast Ethernet Adapter
Physikalische Adresse . . . . . . : 00-10-02-1B-5E-4F
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 169.254.80.9
Subnetzmaske. . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . :
Schaut man sich beide Interfaces mit Wireshark an, findet man in beiden die gleichen folgenden Broadcast-Frames:
Source: 169.254.80.9
Target: 255.255.255.255
UDP
Source port: 1028
Destination port: 1947
An der ECom-Schnittstelle soll dieses Frames auch auftauchen, aber nicht an der anderen Schnittstelle, die am Switch hängt. Das Problem ist dann, dass der Switch dieses Frame an alle PCs schickt, die an diesem Switch hängen und somit alle Mitglieder des LANs diese Frames bekommen, was sie aber nicht sollen.
Unter Windows 7 taucht das Phänomen nicht auf, da hier das "strong host model" verwendet wird, welches es nicht ermöglicht über "LAN-Verbindung" mit IP 10.5.4.10 ein Packet mit der IP 169.254.80.9 zu verschicken.
Ich habe mir schon die Finger wund gegooglet, Ansätze über Firewall, Routing-Tabelle und IP-Sicherheitsrichtlinien verfolgt, alles ohne Erfolg. Man findet auch recht wenig dazu, scheint kein Standard-Use-Case z u sein. V.a. findet man fast nichts, wie das Interface-spezifisch gefiltert werden kann. Am Switch kann man es leider auch nicht filtern.
Die Frage ist: Wie verhinder ich, dass am Interface "LAN-Verbindung" oben gezeigte Pakete verschickt werden? Das ganze am besten am XP-Rechner konfigurieren, damit man nicht alle anderen umkonfigurieren muss. Langfristig muss der XP-Rechner durch einen 7er ersetzt werden, aber bis dahin brauchen wir eine Übergangslösung.
Ich danke euch.
Daniel
wir haben hier leider noch einen Rechner mit Windows XP. Dieser hängt nicht am Internet, nur per Switch in einem LAN, welches selbst auch nicht mit dem Internetz verbunden ist. An dem PC gibt es insgesamt drei Netzwerk-Schnittstellen, zwei verbaute Ethernet-Karten und einen USB2LAN-Adapter. Eine Ethernet-Karte ist mit dem Switch verbunden, an der anderen und an dem Adapter sind Geräte per Ethernet mit dem PC zur Kommunikation verbunden.
Unter XP ist wohl nun das Problem, dass ipv4 das sog. "weak host model" verwendet, bei dem auf einem Interface auch Frames verschickt/empfangen werden können, die als IP-Adresse nicht die Adresse des Interfaces haben. Das sieht bei unserer Konfiguration dann so aus:
Ethernetadapter LAN-Verbindung: hängt am Switch
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physikalische Adresse . . . . . . : 00-1C-C4-AE-10-4D
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.5.4.10
Subnetzmaske. . . . . . . . . . . : 255.0.0.0
Standardgateway . . . . . . . . . :
Ethernetadapter ECom: Schnittstelle zum Gerät
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : ASIX AX88772A USB2.0 to Fast Ethernet Adapter
Physikalische Adresse . . . . . . : 00-10-02-1B-5E-4F
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 169.254.80.9
Subnetzmaske. . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . :
Schaut man sich beide Interfaces mit Wireshark an, findet man in beiden die gleichen folgenden Broadcast-Frames:
Source: 169.254.80.9
Target: 255.255.255.255
UDP
Source port: 1028
Destination port: 1947
An der ECom-Schnittstelle soll dieses Frames auch auftauchen, aber nicht an der anderen Schnittstelle, die am Switch hängt. Das Problem ist dann, dass der Switch dieses Frame an alle PCs schickt, die an diesem Switch hängen und somit alle Mitglieder des LANs diese Frames bekommen, was sie aber nicht sollen.
Unter Windows 7 taucht das Phänomen nicht auf, da hier das "strong host model" verwendet wird, welches es nicht ermöglicht über "LAN-Verbindung" mit IP 10.5.4.10 ein Packet mit der IP 169.254.80.9 zu verschicken.
Ich habe mir schon die Finger wund gegooglet, Ansätze über Firewall, Routing-Tabelle und IP-Sicherheitsrichtlinien verfolgt, alles ohne Erfolg. Man findet auch recht wenig dazu, scheint kein Standard-Use-Case z u sein. V.a. findet man fast nichts, wie das Interface-spezifisch gefiltert werden kann. Am Switch kann man es leider auch nicht filtern.
Die Frage ist: Wie verhinder ich, dass am Interface "LAN-Verbindung" oben gezeigte Pakete verschickt werden? Das ganze am besten am XP-Rechner konfigurieren, damit man nicht alle anderen umkonfigurieren muss. Langfristig muss der XP-Rechner durch einen 7er ersetzt werden, aber bis dahin brauchen wir eine Übergangslösung.
Ich danke euch.
Daniel
