Computer vom Internet trennen

Hallo, ich möchte folgendes bewerkstelligen:

Ich habe mehrere PCs zuhause und alle hängen verteilt über Switches an einem Router, der auch die Internetverbindung herstellt (da es ne Flatrate ist, jederzeit online).

Ich möchte erreichen, dass ich einen der PCs vom Internet trennen kann.

Das heißt, er soll weiterhin im lokalen Netzwerk erreichbar sein und dort auch seine Dienste (Fileserver, SQL-Server, etc.) anbieten, aber keinerlei Verbindung zum Internet haben, so dass niemand draufkann und der PC auch selbst nicht nach draußen kann.

Was für Lösungsmöglichkeiten gibt es da? IP-Adresse im Router sperren? Windows-Firewall?

Ich wäre über Lösungsmöglichkeiten dankbar.

Perfekt wäre es natürlich, wenn man zwecks Virenupdate den PC jederzeit manuell mit dem Internet verbinden könnte und ihn anschließend wieder trennen würde.

Mit freundlichen Grüßen

Guten Tag,
die einfachste und sauberste Lösung ist dafür tatsächlich, die IP im Router komplett zu sperren. Wie das geht, ist von Router zu Router unterschiedlich, daher kann ich da mit den bisherigen Informationen nichts weiter zu sagen.

hallo, ich habe eben mal in meine router (alice IAD) geschaut und habe leider keinen eintrag gefunden um IPs zu sperren.

die einzige möglichkeit innerhalb des router besteht im zulassen bzw. blocken von MAC-Adressen, allerdings sperrt dieser dann den kompletten zugriff auf das netzwerk und nicht nur auf das internet. gibts vielleicht eine software-lösung?

Hmm, das würde zwar theoretisch gehen, auf dem Rechner selber den Internetzugriff zu sperren, wirklich sicher ist das aber nicht. Es gibt immer Mittel und Wege, auf dem jeweiligen Rechner an dort eingestellten Sperren vorbeizukommen.
Von daher empfehle ich einen vernünftigen Router anstelle dieses Alice IAD, z.B. eine Fritz!Box von AVM. Dies deshalb weil die auch IP-Telefonie unterstützt und als Telefonanlage betrieben werden kann.

z.B. eine Fritz!Box von AVM. Dies deshalb
weil die auch IP-Telefonie unterstützt und als Telefonanlage
betrieben werden kann.

Das ist so nicht korrekt.
Nicht jede Fritzbox hat Telefoniefunktionen.

Berro

Ich weiß, war ja erst mal nur eine allgemeine Empfehlung. Auch bei denen mit Telefoniefunktion gibt es noch erhebliche Unterschiede in der Leistungsfähigkeit, kommt eben darauf an was man alles braucht.

Timo

Hallo,

Das heißt, er soll weiterhin im lokalen Netzwerk erreichbar
sein und dort auch seine Dienste (Fileserver, SQL-Server,
etc.) anbieten, aber keinerlei Verbindung zum Internet haben,
so dass niemand draufkann und der PC auch selbst nicht nach
draußen kann.

dass niemand von der WAN Seite auf den PC kann, sollte bereits durch den Einsatz eines Routers gegeben sein. Will man einem PC dauerhaft den Zugriff auf das Internet verbieten, gibt es mehrere Möglichkeiten.

Die einfachste: Man verschweigt dem PC den Weg ins Internet, also man konfiguriert einfach kein Gateway.

Andere Möglichkeit: Man konfiguriert den PC so, dass er einen ungültigen Proxy verwendet. Also als Proxy beispielsweise 127.0.0.1, also localhost, eintragen.

Weitere Möglichkeit: Man konfiguriert die Firewall so, dass alles nach außen geblockt wird.

Oder, oder, oder…

Gruß

S.J.

Verpasse dem Rechner eine statische IP und lasse das Gateway weg, dann kann der Rechner in kein anders als dein eigenes Netz, kann aber problemlos von allen internen Rechnern erreicht werden.

ok, aber auch wenn es nicht ganz so sicher ist: gibt es denn eine softwarelösung?

Verpasse dem Rechner eine statische IP und lasse das Gateway
weg, dann kann der Rechner in kein anders als dein eigenes
Netz, kann aber problemlos von allen internen Rechnern
erreicht werden.

ok, das ist ein guter ansatz.

ist er dann auch von außen abgeschirmt?

ok, aber irgendwie müssen hacker ja auch an routern vorbeikommen. sonst könnten die ja nicht bei großen firmen „einsteigen“, oder?

und 2. frage: gibt es eine möglichkeit, den Proxy bzw. den Gateway per Mausklick (Batchdatei oder ein anderes Programm) zu wechseln.

sonst muss ich ja jedes mal für ein antivirenupdate die daten ändern.

Nö, aber dafür hat der Rechner die Firewall

Die ganz harte Variante, wäre ein richtiges Routing einzusetzen.
Dann wäre der zu Schützende Rechner in einem seperten Netz und könnte nur von innen erreicht werden oder aber man benutzt IPSEC, damit wird der Netzinterne verkehr verschlüsselt. Externe Computer (aus dem i-Net) haben keinen Schlüssel, der einen Verkehr zu dem Rechner erlauben würde, ausser vielleicht ein eigenes Notebook das über DA oder VPN ins Netz dürfte.

Hinsichtlich des Virenupdates:

Einen Virenscanner nehmen, der in der Lage ist ein Repository des AV Herstellers Zentral im Netz zu spiegeln, das Repository könnte auf dem Fileserver liegen und 2-3 PC’s machen über den Tag verteilt abwechseld die Spiegelung des Verzeichines.

Alle Vierenscanner holen sich die Updates aus dem Lokalen Repository, nur die Update Rechner holen sich ihre Updates vom Hersteller.
McAfee kann das.

gut dann frage ich mal so: bringt es sicherheitstechnisch etwas, dem rechner den internetzugriff zu verwehren oder hat nur das Gegenteil einen Sinn, nämlich das Verhindern von Verbindungen aus dem Internet zum PC?

Nö, aber dafür hat der Rechner die Firewall

Natürlich mant das Sinn, sollte schadsoftware auf dem Rechner sein, so kann die nicht nach draussen. Keines der auf den Rechnern installierten Programme kann nach Hause telefonieren, aller dings kann sich das Betriebsystem auch nicht aktualisieren, dafür müsste man denn einen WSUS oder einen I-net Proxy bereitstellen.

Sinn kann das durchaus machen, das hängt von den Anforderungen ab.
Mit dem Gateway ist das doch ruckzuck erledigt. Ein Domain Controller muss auch nicht ins Internet können, das reicht völlig aus, wenn der nur in seinem eigenem Netz arbeitet.
Die Bedingungen hast Du auf gestellt. Ich hab Dir nur die Lösungen dazu genannt und Du kannst beruhigt sein, das klappt auch.

Was bringt das?
Dann bekommt der Rechner keine IP per dhcp zugewiesen und der Router erzählt wohlmöglch noch dem dns Server Märchen.
MAC sperren bringt in diesem Zusammenhang nur Ärger.

Ja, Routing nennt sich das. Wobei Verschlüsseln den internen Datenverkehrs eine zweite Möglichkeit wäre.

ok, aber auch wenn es nicht ganz so sicher ist: gibt es denn
eine softwarelösung?

Die Idee ist so einfach, dass ich gar nicht drauf gekommen bin.

Faktisch ist der Rechner damit auch von außen abgeschirmt, weil Anfragen aus dem Internet zwar dort ankommen, der TCP/IP-Stack mangels Gateway aber nicht weiß wo er die Antwort hinschicken soll!

… und genau deshalb wird das in den Prüfungen für die MS Zertifikate auch abgefragt und mindest mehr als einmal in den Dokumenten von MS erwähnt.