Firewall: Vollsperrung einelner LAN-PCs

Hallo,

in meinem D-Link-Router ist es möglich, einzelne PCs bzw deren IP-Adressen über Firewall-Regeln (angeblich) vollständig vom Internet fernzuhalten, also z.B.:
Regel 1: Für WAN->LAN alle Ports sperren
Regel 2: Für LAN->WAN alle Ports sperren

Ist damit wirklich eine absolute Trennung zum Internet vorgenommen oder wähne ich meinen Arbeitscomputer da in falscher Sicherheit, weil er auf LAN-Seite noch mit anderen PCs kommuniziert, denen der Zugriff auf’s Internet ermöglicht ist?

Vielen Dank für Antworten.
Wolfgang

Ist damit wirklich eine absolute Trennung zum Internet
vorgenommen oder wähne ich meinen Arbeitscomputer da in
falscher Sicherheit, weil er auf LAN-Seite noch mit anderen
PCs kommuniziert, denen der Zugriff auf’s Internet ermöglicht
ist?

Nein, wenn es andere PCs im LAN gibt, mit denen der Rechner Kontakt aufnehmen kann, dann ist dies nicht mit absoluter Sicherheit möglich. So kann man z.B. mit einem Rechner, der auf die von dir beschriebene Art via Firewall vom Internet abgeschnitten wurde, z.B. trotzdem noch Skypen. Möglich ist das, wenn auf einem anderen Rechner im LAN ebenfalls Skype läuft und dieses vom abgeschotteten Rechner erreichbar ist (Skype lauscht normal auf Port 80 und 443). Denn der abgeschottete Rechner erkennt, dass er nicht direkt ins Netz kann, und sagt dem anderen Rechner, dass er die Daten für ihn weiterleiten soll. Das ist zwar an und für sich eine nicht besonders rechtschaffene Art und Weise, wie ein Protokoll funktioniert, aber das Beispiel zeigt, dass es mancher Software dadurch trotzdem noch möglich ist, mit dem Internet zu kommunizieren.

Altzernative Vollsperrung einelner LAN-PCs
Hi,
ich grübel. Wenn Skype die Befehle und Anforderungen durchschleift *denk*
*grübel*
*brumm*
*ommmmmmmmmmmmmmmmmmmm*
OK Habe 2 Möglichkeiten… nee doch nicht.
Gibt nur eins… verhindere, dass auf einem anderen PC im Netzwerk Skype läuft.

Nimm dir das Programm PaarenFriends.
Installier es auf jedem PC.
Nun trägst du Skype in die zu sperrenden Programme ein und setzt auf Zeitlimits die Sperre für dieses Programm auf alle Tage und Stunden.
Dann lässt du es so starten, dass alle anderen Anwednungen erst nach ParebFrienbd starten. Es soll unsichtbar bleiben und auch keine Meldungen zeigen.

Wer weiß, dass das Programm auf dem PC ist wird es finden können. aber nicht deinstallieren. Da geht nur aus dem Programm heraus.
Klar gibt es Tricks… aber dazu muss ich halt wissen wie es arbeitet und das geht nur durch Installation.
*lach* eine erneute zusätzliche Installation hebt die vorherigen Einstellungen nicht auf. Im gegenteil.

Besser ist, die User wissen nichts von dem Prog.
Wenn Skype nicht gestartet werden kann, gibt es auch keine „Umgehung“ der Sperren.

Übrigens kannst du zusätzlich auch alle Internetprogramme sperren lassen.

Probiers mal einfach aus. Ist kostenlos.

BJ

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo,

Nimm dir das Programm PaarenFriends.

ParentsFriend, http://www.parents-friend.de.
habe ich im Einsatz. Ist für Kinder okay, mich würde es nicht aufhalten können. Es achtet nur auf die Titelzeile der Fenster. Wenn Du den beeinflussen kannst, hast Du gewonnen.
Ach ja: bei Programmen im Vollbildmodus funktioniert es gar nicht. Und wenn man von CD bootet…
Gruß
loderunner

Ist damit wirklich eine absolute Trennung zum Internet
vorgenommen oder wähne ich meinen Arbeitscomputer da in
falscher Sicherheit, weil er auf LAN-Seite noch mit anderen
PCs kommuniziert, denen der Zugriff auf’s Internet ermöglicht
ist?

[…] So kann man z.B. mit einem Rechner, der
auf die von dir beschriebene Art via Firewall vom Internet
abgeschnitten wurde, z.B. trotzdem noch Skypen. Möglich ist
das, wenn auf einem anderen Rechner im LAN ebenfalls Skype
läuft und dieses vom abgeschotteten Rechner erreichbar ist
(Skype lauscht normal auf Port 80 und 443).

Hallo und danke für die ersten Hinweise,
auf dem absgeschotteten Rechner läuft keine selbst installierte Kommunikationssoftware, also kein Skype, ICQ, MSN oder sonst ein Messenger, Filesharingprogramm, o.ä.
Der abgeschottete Computer ist ‚nur‘ ein Arbeitsgerät für lokale Benutzung. Allerdings hängt er im LAN, damit ich mit dem Internet-PC Daten austauschen, also z.B. Mailanhänge auf den Arbeitscomputer kopieren kann.
W

Hallo und
danke, aber ich benutze gar kein Skype o.ä.
Deshalb macht es wohl gar keinen Sinn, eine solche Software zu installieren, oder? Ich bin mir auch nicht sicher, ob ein solches Programm nicht sogar Türen öffnen könnte, die ich lieber geschlossen halten will (wie es von Personal Firewalls behauptet wird)?
Gruß
W

ich grübel. Wenn Skype die Befehle und Anforderungen
durchschleift *denk*
[…] verhindere, dass auf einem anderen PC im
Netzwerk Skype läuft.
Nimm dir das Programm PaarenFriends.
Installier es auf jedem PC.
Nun trägst du Skype in die zu sperrenden Programme ein und
setzt auf Zeitlimits die Sperre für dieses Programm auf alle
Tage und Stunden.
[…]
Probiers mal einfach aus. Ist kostenlos.

Hallo,

in meinem D-Link-Router ist es möglich, einzelne PCs bzw deren
IP-Adressen über Firewall-Regeln (angeblich) vollständig vom
Internet fernzuhalten, also z.B.:
Regel 1: Für WAN->LAN alle Ports sperren
Regel 2: Für LAN->WAN alle Ports sperren

Ist damit wirklich eine absolute Trennung zum Internet
vorgenommen oder wähne ich meinen Arbeitscomputer da in
falscher Sicherheit, weil er auf LAN-Seite noch mit anderen
PCs kommuniziert, denen der Zugriff auf’s Internet ermöglicht
ist?

Vielen Dank für Antworten.
Wolfgang

in meinem D-Link-Router ist es möglich, einzelne PCs bzw deren
IP-Adressen über Firewall-Regeln (angeblich) vollständig vom
Internet fernzuhalten, also z.B.:
Regel 1: Für WAN->LAN alle Ports sperren
Regel 2: Für LAN->WAN alle Ports sperren

Das ist dann völlig überflüssig, wenn der zu trennende PC ganz in deiner Verfügungsgewalt steht. Solange du nicht selbst auf dem PC eine Standardroute einträgst - und die benötigst du im LAN nicht - und auf dem Router kein NAT auf diesen PC einrichtest, ist der PC völlig vom Internet getrennt.

Aber wie du es auch machst: Ein Angreifer von aussen könnte immernoch per Inselhopping auf den PC gelangen. Kann er die Kontrolle über einen anderen Rechner im LAN (oder gar über den Router selbst) erlangen, kommt er von diesem natürlich auch mit Leichtigkeit auf den zu schützenden PC. Auch Würmer wie z. B. Sasser oder Blaster würden, sind sie erstmal ins LAN gelangt, sich von der Sperre im Router nicht weiter beeindrucken lassen.

Um dich davor zu schützen, böte es sich z. B. an, die Kommunikation von und zu diesem Rechner ausschliesslich über sichere Protokolle wie beispielsweise ssh zu fahren.

Gruss
Schorsch

Hallo!

Um dich davor zu schützen, böte es sich z. B. an, die
Kommunikation von und zu diesem Rechner ausschliesslich über
sichere Protokolle wie beispielsweise ssh zu fahren.

Das Wort „ausschließlich“ impliziert wahrscheinlich schon, dass man alle Services abschalten und alle Ports schließen sollte, die nicht benötigt werden, oder?

Gruss,
Knut

Um dich davor zu schützen, böte es sich z. B. an, die
Kommunikation von und zu diesem Rechner ausschliesslich über
sichere Protokolle wie beispielsweise ssh zu fahren.

Das Wort „ausschließlich“ impliziert wahrscheinlich schon,
dass man alle Services abschalten und alle Ports schließen
sollte, die nicht benötigt werden, oder?

Ja.

Gruss
Schorsch

Hi loderunner,
dann scheint jetzt ne andere version zu existieren. Webnn ich bestimmte Programme (nicht seiten)blockiere und dafür sorge, dass diese Programme nicht vor Parent Friends starten (Einstellung von PF)gibts doch keine Titelzeile.

Beispiel: Ich setze den IE, Netscape, Mozille und alle anderen Browserarten in die Sperrliste.
Wenn eines dieser Progrs dann gestartet werden soll wird die Ausführung verhindert. Ich klicke zwar, aber es wird sich nichts tun.

Von CD booten ? Ok. Da hst du Recht.
Aber… dann hast du deine gewöhnlichen „Autostarts“ ja nicht *g*.
Und deshalb bootet der „normale User“ ja nicht von CD, sondern von Platte. … und dann hängt PF vor allen anderen Anwendungen und verhindert sie so lange bis PF aktiv ist.

So kenne ich die Einstellungen jedenfalls.

Vollbildmodus?
Da stehe ich jetzt ratlos da. Wenn ich die Programmausführung verhindere, komme ich ja nicht mehr dazu einen Modus zu ändern… oder?

Oder kann es daran liegen, dass ich bis jetzt nur W2K und W9x damit betrieben habe und XP reagiert eventuell völlig anders auf das Programm ?

OK. Mir fällt gerade ein, wie ich eine Programmausführung trotzdem „durchbringe“. Das würde aber voraussetzen, dass ich von der Blockade weiß.

Bitte klär mich auf, wenn meine Gedankengänge wesentlich falsch sind. Will weiter lernen.

Hauptgedanke: Wenn ich dafür sorge, dass eine Programmausführung verhindert wird, kann dieses Programm nicht benutzt werden und die eventuellen Zusatzfunktionen dieses Programmes spielen dann keine Rolle mehr.

Gruß
BJ

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo und
danke, aber ich benutze gar kein Skype o.ä.
Deshalb macht es wohl gar keinen Sinn, eine solche Software zu
installieren, oder? Ich bin mir auch nicht sicher, ob ein
solches Programm nicht sogar Türen öffnen könnte, die ich
lieber geschlossen halten will (wie es von Personal Firewalls
behauptet wird)?
Gruß
W

Hi,.
wie Loadrunner schon erwähnt, ist es eigentlich ein Kunderschutzprogramm, das auch empfohlen wird.
Es aktualisiert sich nicht und läuft auch nur intern.

Dieses Programm macht keine Türen außerhalb des Rechners zu, sondern verhindert nur intern, dass die Programme aktiv werden können.
Es schützt weder vor Angriffen, noch filtert es Daten, die rausgehen.

Die nützliche Funktion in deinem Fall ist, dass man die Browserprogramme und „Tunnelsysteme“ an der Ausführung hindern kann.
Wenn kein Browser funktioniert, wird surfen doch „etwas“ schwieriger oder? *grins*

Ist also eher ein „Schlossprorgramm“ als eine „Schutzfunktion“.

Klar. Wenn ich weiß, dass da ein Schloss ist, werde ich versuchen, es zu knacken - und schaffe es auch.
Habe eben selbst erst eine weitere Möglichkeit gefunden, wie ich gesperrte Programme doch starten kann.
Liegt aber dran, dass ich weiß worauf die Schlossfunktuion beruht.

Jetzt wo ich die Umgehung kenne, weiß ich auch wie ich sie schon vorab verhindern kann.

Gruß
BJ

dann scheint jetzt ne andere version zu existieren. Webnn ich
bestimmte Programme (nicht seiten)blockiere und dafür sorge,
dass diese Programme nicht vor Parent Friends starten
(Einstellung von PF)gibts doch keine Titelzeile.

Parents Friend schaut beim Start eines Programms einfach nach, welche Titelzeile das Programm hat. Ist die Titelzeile als „verboten“ gelistet, beendet es das Programm sofort wieder.
Problem: Du änderst einfach vor dem Start des Programms die Titelzeilen-Information und schon nutzt dir dein Parents-Friend gar nichts.
Das Programm mag 10jährige Kinder abhalten, aber einen Schutz vor Hackern oder Malware bietet es nicht.

Das Programm mag 10jährige Kinder abhalten, aber einen Schutz
vor Hackern oder Malware bietet es nicht.

Ja jetzt ist klar mit Ändern.
Dass es keinen Schutz vor Viren usw… bietet hatte ich ja versuht klarzu machen.

Ich ging nur immer von der Fragestellung aus, dass der PC sich nicht durchs LAN ins Internet schleifen sollte.

Das setzt ja einerseits voraus, dass der User keine Erlaubnis dazu hat.
Wenn der User dann auch nicht weiß, dass ich den Zugriff mit einem Prog blockiere, wird er wie alle anderen auch, zuerst seine Aufmerksamkeit auf LAN, Router und Firewall lenken.

Weil das halt die übliche Art ist, den Netzzugang zu blockieren.

Ein übers LAN „eingefangene“ Malware kann zwar alle anderen PCs verseuchen (was es wohl schon getan hat, sonst wäre er nicht hier angekommen), kann aber keine Infos ins Netz schicken, da es auch auf eine Internetverbindung angewiesen ist. (naja, könnte sich durchs LAN tunneln… aber)
Nagut. übers LAN empfangene Malware könntwe doch aktiv werden. Aber dazu sollten die anderenPCs ja eigentlich so abgesichert sein, dass die Malware nicht erst ins LAN kommen kann.

Ach. weisst du was? Deinstalliere alle Browerprogremma und gib dem Benutzer keine eigenen Rechte, neue Programme zu installieren.
Schon hat sich was mit tunneln und browsen. Und entsprechende Malwar kann auch nicht installiert werden.

Einfach viel zu simpel um schnell darauf zu kommen.
Wenn er surfen will, sol er an andere, abgesicherte Rechner gehen.

Die Diskussion führt leider nicht weiter. Gegen die IP-Sperrung usw… wurden schon Gründe vorgebracht. Lösungen habe ich nicht gesehen.
Da versucht man zu helfen, bekommt aber nur ein Blödsinn… Wie es nicht geht wissen scheinbar alle… wie es villeicht gehen könnte ?

probiert wohl keiner oder es wird immer von anderen Voraussetzungen ausgegangen.

Was soll das immer mit Malware und Hacken ?
Die meisten Bürouser wissen soviel vom Hacken wie vom Ändern der systemeinstellungen oder Registry… nix… weil sie eben nur mit den Dingern arbeiten. Was veboten ist, wird zwar probiert aber dann wenns nicht klappt ergibt man sich in sein „Los“ und lässt es sein.

Und wenn hacksüchtige Kiddies am PC sind und die solen nicht ins Netz, so solte man eher überlegen, was man bei seiner Erziehung ändern sollte.
Vielleicht rafft Slöhnchen nicht, dass solche Regeln zum Einhalten da sind… und dann musst du ihm das halt klarmache.
Das gleiche gilt übrigens für Mitarbeietr in der Firma.

Wer sich nicht dran hält bekommt Abmahnung oder mechanische Schreibmaschine und Abakus. Das reicht auch für Berechnungen und Schriftverkehr… den üblichen PC-Einsatz im Büro halt.

Oder es wird zwischen LAN und Router ein interner Proxy gesetzt. Anfragen von gesperrten IPs werden nicht weiter geleitet.
Es kommt dann nur noch auf den Admin an, wie gut er ist um den Proxy/Sandbox einzustellen.

BJ

Hallo

Dieses Programm macht keine Türen außerhalb des Rechners zu,
sondern verhindert nur intern, dass die Programme aktiv werden
können.
Es schützt weder vor Angriffen, noch filtert es Daten, die
rausgehen.

Die nützliche Funktion in deinem Fall ist, dass man die
Browserprogramme und „Tunnelsysteme“ an der Ausführung hindern
kann.
Wenn kein Browser funktioniert, wird surfen doch „etwas“
schwieriger oder? *grins*

Naja, da ich aber u.a. auch Webseiten mit diesem Computer erstelle, und diese auch lokal erst einmal ausprobiere, wäre es blöd, keinen Browser laufen lassen zu können.

W

Hallo,

also irgendwie habt Ihr Euch selbst in Eurer eigenen Diskussion weit von meiner Realität wegbewegt.

Ich habe nie behauptet, dass ich Anwender eines PCs von bestimmten Programmen (z.B. Browser) fernhalten möchte. Ich bin alleiniger Benutzer aller PCs. Ich habe allerdings einen „Arbeitsrechner“ und einen „Internetrechner“. Der Internet-PC darf ins Web, und den Arbeitsrechner möchte ich so gut wie möglich vom Internet fernhalten, hauptsächlich gegen Angriffe von außen.

Ein übers LAN „eingefangene“ Malware kann zwar alle anderen
PCs verseuchen (was es wohl schon getan hat, sonst wäre er
nicht hier angekommen)

Von Benutzern hab ich nie gesprochen, von eingefangener Malware auch nicht (ich versuche grad meinen Anschluss sicherer zu machen, bevor etwas passiert) - wohl aber, dass ich einen Arbeits-PC vom Web abschotten will. Die Vorschläge dieses einen Diskussionszweigs hier sind daher auch nicht ganz das, was ich brauche, denke ich.

Trotzdem danke für die Mühe.
W

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]