Ich habe mehrere PCs zuhause und alle hängen verteilt über Switches an einem Router, der auch die Internetverbindung herstellt (da es ne Flatrate ist, jederzeit online).
Ich möchte erreichen, dass ich einen der PCs vom Internet trennen kann.
Das heißt, er soll weiterhin im lokalen Netzwerk erreichbar sein und dort auch seine Dienste (Fileserver, SQL-Server, etc.) anbieten, aber keinerlei Verbindung zum Internet haben, so dass niemand draufkann und der PC auch selbst nicht nach draußen kann.
Was für Lösungsmöglichkeiten gibt es da? IP-Adresse im Router sperren? Windows-Firewall?
Ich wäre über Lösungsmöglichkeiten dankbar.
Perfekt wäre es natürlich, wenn man zwecks Virenupdate den PC jederzeit manuell mit dem Internet verbinden könnte und ihn anschließend wieder trennen würde.
Guten Tag,
die einfachste und sauberste Lösung ist dafür tatsächlich, die IP im Router komplett zu sperren. Wie das geht, ist von Router zu Router unterschiedlich, daher kann ich da mit den bisherigen Informationen nichts weiter zu sagen.
hallo, ich habe eben mal in meine router (alice IAD) geschaut und habe leider keinen eintrag gefunden um IPs zu sperren.
die einzige möglichkeit innerhalb des router besteht im zulassen bzw. blocken von MAC-Adressen, allerdings sperrt dieser dann den kompletten zugriff auf das netzwerk und nicht nur auf das internet. gibts vielleicht eine software-lösung?
Hmm, das würde zwar theoretisch gehen, auf dem Rechner selber den Internetzugriff zu sperren, wirklich sicher ist das aber nicht. Es gibt immer Mittel und Wege, auf dem jeweiligen Rechner an dort eingestellten Sperren vorbeizukommen.
Von daher empfehle ich einen vernünftigen Router anstelle dieses Alice IAD, z.B. eine Fritz!Box von AVM. Dies deshalb weil die auch IP-Telefonie unterstützt und als Telefonanlage betrieben werden kann.
Ich weiß, war ja erst mal nur eine allgemeine Empfehlung. Auch bei denen mit Telefoniefunktion gibt es noch erhebliche Unterschiede in der Leistungsfähigkeit, kommt eben darauf an was man alles braucht.
Das heißt, er soll weiterhin im lokalen Netzwerk erreichbar
sein und dort auch seine Dienste (Fileserver, SQL-Server,
etc.) anbieten, aber keinerlei Verbindung zum Internet haben,
so dass niemand draufkann und der PC auch selbst nicht nach
draußen kann.
dass niemand von der WAN Seite auf den PC kann, sollte bereits durch den Einsatz eines Routers gegeben sein. Will man einem PC dauerhaft den Zugriff auf das Internet verbieten, gibt es mehrere Möglichkeiten.
Die einfachste: Man verschweigt dem PC den Weg ins Internet, also man konfiguriert einfach kein Gateway.
Andere Möglichkeit: Man konfiguriert den PC so, dass er einen ungültigen Proxy verwendet. Also als Proxy beispielsweise 127.0.0.1, also localhost, eintragen.
Weitere Möglichkeit: Man konfiguriert die Firewall so, dass alles nach außen geblockt wird.
Verpasse dem Rechner eine statische IP und lasse das Gateway weg, dann kann der Rechner in kein anders als dein eigenes Netz, kann aber problemlos von allen internen Rechnern erreicht werden.
Verpasse dem Rechner eine statische IP und lasse das Gateway
weg, dann kann der Rechner in kein anders als dein eigenes
Netz, kann aber problemlos von allen internen Rechnern
erreicht werden.
Die ganz harte Variante, wäre ein richtiges Routing einzusetzen.
Dann wäre der zu Schützende Rechner in einem seperten Netz und könnte nur von innen erreicht werden oder aber man benutzt IPSEC, damit wird der Netzinterne verkehr verschlüsselt. Externe Computer (aus dem i-Net) haben keinen Schlüssel, der einen Verkehr zu dem Rechner erlauben würde, ausser vielleicht ein eigenes Notebook das über DA oder VPN ins Netz dürfte.
Einen Virenscanner nehmen, der in der Lage ist ein Repository des AV Herstellers Zentral im Netz zu spiegeln, das Repository könnte auf dem Fileserver liegen und 2-3 PC’s machen über den Tag verteilt abwechseld die Spiegelung des Verzeichines.
Alle Vierenscanner holen sich die Updates aus dem Lokalen Repository, nur die Update Rechner holen sich ihre Updates vom Hersteller.
McAfee kann das.
gut dann frage ich mal so: bringt es sicherheitstechnisch etwas, dem rechner den internetzugriff zu verwehren oder hat nur das Gegenteil einen Sinn, nämlich das Verhindern von Verbindungen aus dem Internet zum PC?
Natürlich mant das Sinn, sollte schadsoftware auf dem Rechner sein, so kann die nicht nach draussen. Keines der auf den Rechnern installierten Programme kann nach Hause telefonieren, aller dings kann sich das Betriebsystem auch nicht aktualisieren, dafür müsste man denn einen WSUS oder einen I-net Proxy bereitstellen.
Sinn kann das durchaus machen, das hängt von den Anforderungen ab.
Mit dem Gateway ist das doch ruckzuck erledigt. Ein Domain Controller muss auch nicht ins Internet können, das reicht völlig aus, wenn der nur in seinem eigenem Netz arbeitet.
Die Bedingungen hast Du auf gestellt. Ich hab Dir nur die Lösungen dazu genannt und Du kannst beruhigt sein, das klappt auch.
Was bringt das?
Dann bekommt der Rechner keine IP per dhcp zugewiesen und der Router erzählt wohlmöglch noch dem dns Server Märchen.
MAC sperren bringt in diesem Zusammenhang nur Ärger.
Die Idee ist so einfach, dass ich gar nicht drauf gekommen bin.
Faktisch ist der Rechner damit auch von außen abgeschirmt, weil Anfragen aus dem Internet zwar dort ankommen, der TCP/IP-Stack mangels Gateway aber nicht weiß wo er die Antwort hinschicken soll!
