PC Hilfe und Support

Posts 1-10 of 11

Back
Next

Stephan Triesch Premium Member
The company name is only visible to registered members.

Einzelne IP-Adresse sperren
Hallo zusammen ...

Die Ausgangs-Situation:
- In einem lokalen Netzwerk sind acht Rechner/Notebooks vorhanden.
- Die Betriebssysteme variieren zwischen Win XP Home, Prof. und MCE.
- Die Kommunikation erfolgt per LAN/WLAN
- Allen Rechnern sind feste IP-Adressen zugewiesen (aufgrund der Router-Spezifikation alle im gleichen Subnet).
- Alle Rechner haben über den Router "Speedport w500" Internet-Zugriff
- Firewall => Zone-Alarm (einheitlich)

Die Aufgabenstellung:
Ein Rechner ist als "nicht sicher" eingestuft ... daher müssen alle anderen so konfiguriert werden, dass der Zugriff auf und von diesem Rechner unterbunden wird. ... mit dem Router lässt sich dieses leider nicht lösen.

Frage:
Gibt es WIndows eigene Sicherheitsparameter die man hier verwenden kann ?

... ich hoffe, jemand weiss Rat.

Vielen Dank schonmal vorab und Gruß

Stephan Triesch
- 14 Apr 2009, 12:34 am
Stephan Triesch wrote: > Hallo zusammen ... > > Die Ausgangs-Situation: > - In einem lokalen Netzwerk sind acht Rechner/Notebooks vorhanden. > - Die Betriebssysteme variieren zwischen Win XP Home, Prof. und MCE. > - Die Kommunikation erfolgt per LAN/WLAN > - Allen Rechnern sind feste IP-Adressen zugewiesen (aufgrund der > Router-Spezifikation alle im gleichen Subnet). > - Alle Rechner haben über den Router "Speedport w500" Internet-Zugriff > - Firewall => Zone-Alarm (einheitlich) > > Die Aufgabenstellung: > Ein Rechner ist als "nicht sicher" eingestuft ... daher müssen alle > anderen so konfiguriert werden, dass der Zugriff auf und von diesem > Rechner unterbunden wird. ... mit dem Router lässt sich dieses leider > nicht lösen. > > Frage: > Gibt es WIndows eigene Sicherheitsparameter die man hier verwenden > kann ? > > ... ich hoffe, jemand weiss Rat. > > Vielen Dank schonmal vorab und Gruß > > Stephan Triesch
Jens Kröger Premium Member
The company name is only visible to registered members.

Re: Einzelne IP-Adresse sperren
Guten Morgen,
vielleicht verstehe ich die Problematik noch nicht ganz, ich finde aber die Herangehensweise falsch.
Wenn ein Rechner als nicht sicher eingestuft wird, dann muß er entweder verändert werden (Windows-Updates usw) um sicher zu sein oder er muß aus dem sicherheitsrelevanten Netz verschwinden.
Warum sollten sich alle sicheren Rechner verbiegen damit ein unsicherer teilhaben darf. Das wird nicht funktionieren.

Also entweder den Rechner sicher gestalten oder ein extra Subnetz aufbauen für unsichere Rechner (als DMZ, über IPCop, eigenes WLAN oder oder oder).

Ansonsten bekommt man keine Kontrolle über die unsicheren Rechner und das Netz insgesamt.

Ich hoffe es hilft.

Viele Grüße,
Jens Kröger
- 14 Apr 2009, 08:32 am
Jens Kröger wrote: > Guten Morgen, > vielleicht verstehe ich die Problematik noch nicht ganz, ich finde > aber die Herangehensweise falsch. > Wenn ein Rechner als nicht sicher eingestuft wird, dann muß er > entweder verändert werden (Windows-Updates usw) um sicher zu sein > oder er muß aus dem sicherheitsrelevanten Netz verschwinden. > Warum sollten sich alle sicheren Rechner verbiegen damit ein > unsicherer teilhaben darf. Das wird nicht funktionieren. > > Also entweder den Rechner sicher gestalten oder ein extra Subnetz > aufbauen für unsichere Rechner (als DMZ, über IPCop, eigenes WLAN > oder oder oder). > > Ansonsten bekommt man keine Kontrolle über die unsicheren Rechner und > das Netz insgesamt. > > Ich hoffe es hilft. > > Viele Grüße, > Jens Kröger
Stephan Triesch Premium Member
The company name is only visible to registered members.

Re^2: Einzelne IP-Adresse sperren
Hallo Herr Kröger,
vielen Dank für Ihre Antwort ...

vielleicht verstehe ich die Problematik noch nicht ganz, ich finde aber die Herangehensweise falsch. Bei einem größeren Firmennetzwerk haben Sie sicherlich recht ... dort wäre die Herangehensweise sicherlich eine andere.
Das hier geschilderte Problem ist exemplarisch für den Wunsch, den grundsätzlichen Zugriff einzelner PCs im L-Lan steuern/unterbinden zu können.

Der betroffene Rechner ist übrigens weitestgehend geschützt und sicher eingerichtet (es geht vielmehr um den User ;-)

Ein eigenes Subnetz scheidet leider (leider leider leider) aus, da der Router kein anderes Subnetz zulässt und auf 255.255.255.x fest hängt (auch eine entsprechende NAT-Konfiguration hilft da bislang nicht weiter).

... und da ja viel über die Windows-Firewall (mit all ihren Untiefen) gesprochen wird (aber keiner so recht zu wissen scheint wie das Ding tatsächlich funktioniert) scheint mir die Aufgabenstellung doch exemplarisch zu sein, um ein kleines Netz noch ein wenig sicherer zu machen.

Mit freundlichem Gruß

Stephan Triesch

P.S.: Beispiel für o.g. Problemstellung
- Papa hat Rechner
- Sohn hat Rechner
- Mama hat Rechner
- Alle dürfen ins Internet (über den gleichen Router)
- Auf Mamas und Papas Rechner soll keine Kommunikation mit Rechner Sohn erfolgen
- 14 Apr 2009, 10:32 am
Stephan Triesch wrote: > Hallo Herr Kröger, > vielen Dank für Ihre Antwort ... > > > vielleicht verstehe ich die Problematik noch nicht ganz, ich finde > > aber die Herangehensweise falsch. > Bei einem größeren Firmennetzwerk haben Sie sicherlich recht ... dort > wäre die Herangehensweise sicherlich eine andere. > Das hier geschilderte Problem ist exemplarisch für den Wunsch, den > grundsätzlichen Zugriff einzelner PCs im L-Lan steuern/unterbinden zu > können. > > Der betroffene Rechner ist übrigens weitestgehend geschützt und > sicher eingerichtet (es geht vielmehr um den User ;-) > > Ein eigenes Subnetz scheidet leider (leider leider leider) aus, da > der Router kein anderes Subnetz zulässt und auf 255.255.255.x fest > hängt (auch eine entsprechende NAT-Konfiguration hilft da bislang > nicht weiter). > > ... und da ja viel über die Windows-Firewall (mit all ihren Untiefen) > gesprochen wird (aber keiner so recht zu wissen scheint wie das Ding > tatsächlich funktioniert) scheint mir die Aufgabenstellung doch > exemplarisch zu sein, um ein kleines Netz noch ein wenig sicherer zu > machen. > > Mit freundlichem Gruß > > Stephan Triesch > > P.S.: Beispiel für o.g. Problemstellung > - Papa hat Rechner > - Sohn hat Rechner > - Mama hat Rechner > - Alle dürfen ins Internet (über den gleichen Router) > - Auf Mamas und Papas Rechner soll keine Kommunikation mit Rechner > Sohn erfolgen
Michael Wohlfahrt Premium Member
The company name is only visible to registered members.

Re^3: Einzelne IP-Adresse sperren
wie wäre es als erster schritt einfach mal damit, gegenseitig keine Freigaben zu öffnen?
Oder in ../etc/hosts die Adresse auf was unkritisches umzuleiten (localhost oder so)?
- 14 Apr 2009, 10:57 am
Michael Wohlfahrt wrote: > wie wäre es als erster schritt einfach mal damit, gegenseitig keine > Freigaben zu öffnen? > Oder in ../etc/hosts die Adresse auf was unkritisches umzuleiten > (localhost oder so)?
Post visible to registered members
Post visible to registered members
Stephan Triesch Premium Member
The company name is only visible to registered members.

Re^4: Einzelne IP-Adresse sperren
... ersteinmal vielen Dank für Ihre Antworten.

@Herr Wohlfahrt

wie wäre es als erster schritt einfach mal damit, gegenseitig keine Freigaben zu öffnen? ... die Freigaben sind auf allen Rechnern restriktiv konfiguriert

Oder in ../etc/hosts die Adresse auf was unkritisches umzuleiten (localhost oder so)? ... alle Rechner besitzen eine aktuelle hosts Datei

@Herr Dr. Uhr

sie haben einen Telekom-Zugriff und einen mehr oder weniger geschenkten Speedport und wollen mit sowas einen komplexen Firmenaccount administrieren? Nein ... natürlich nicht !!! ... es handelt sich nicht um einen komplexen Firmenaccount.
Diesen würde ich natürlich anders konzipieren und entsprechend absichern.

Übrigens: Bei guten Routern sperrt man nicht die IP, sondern die MAC-Adresse. Dann kann Sohnemann nämlich auch nicht dann ins Netz wenn Papis Rechner nicht läuft und sich Sohnemann die IP mal ausleihen kann ... :-) nett formuliert.
Das Problem bei diesem Router ist ja, dass sich der vorhandene Mac-Filter nur auf den grundsätzlichen Zugriff zum Router beschränkt ... wenn einmal der Router-Zugriff erlaubt wurde, so wird auch ins L-Lan weiter geroutet.
... einzelne Port-Sperren wären denkbar ... aber genau dahin zielte ja meine Frage (Routerseitig).

Ich habe einen Lancom-Router und da ist das eine Angelegenheit von 1 Minute ... ... hier ist es also möglich, für einen WLAN-verbundenen PC den Internetzugriff zu gestatten, diesen aber aus dem L-Lan auszugrenzen ? ... anhand der Mac-Adressen konfigurierbar ?
... hört sich prima an ... welche Typenbezeichnung hat Ihr Lancom-Router ?

@Grundsätzlich ...
... ist es dennoch interessant zu erfahren, ob es möglich ist über die hauseigene Windows-Firewall den
Netzwerkverkehr auf bestimmte Adressen zu beschränken (es gibt mehrere Beispiele bei denen das ein probates und einfaches Mittel wäre).

... weiss hierzu jemand etwas ?
- 14 Apr 2009, 2:23 pm
Stephan Triesch wrote: > ... ersteinmal vielen Dank für Ihre Antworten. > > @Herr Wohlfahrt > > > wie wäre es als erster schritt einfach mal damit, gegenseitig keine > > Freigaben zu öffnen? > ... die Freigaben sind auf allen Rechnern restriktiv konfiguriert > > > Oder in ../etc/hosts die Adresse auf was unkritisches umzuleiten > > (localhost oder so)? > ... alle Rechner besitzen eine aktuelle hosts Datei > > @Herr Dr. Uhr > > > sie haben einen Telekom-Zugriff und einen mehr oder weniger > > geschenkten Speedport und wollen mit sowas einen komplexen > > Firmenaccount administrieren? > Nein ... natürlich nicht !!! ... es handelt sich nicht um einen > komplexen Firmenaccount. > Diesen würde ich natürlich anders konzipieren und entsprechend > absichern. > > > Übrigens: Bei guten Routern sperrt man nicht die IP, sondern die > > MAC-Adresse. Dann kann Sohnemann nämlich auch nicht dann ins Netz > > wenn Papis Rechner nicht läuft und sich Sohnemann die IP mal > > ausleihen kann ... > :-) nett formuliert. > Das Problem bei diesem Router ist ja, dass sich der vorhandene > Mac-Filter nur auf den grundsätzlichen Zugriff zum Router beschränkt > ... wenn einmal der Router-Zugriff erlaubt wurde, so wird auch ins > L-Lan weiter geroutet. > ... einzelne Port-Sperren wären denkbar ... aber genau dahin zielte > ja meine Frage (Routerseitig). > > > Ich habe einen Lancom-Router und da ist das eine Angelegenheit von 1 > > Minute ... > ... hier ist es also möglich, für einen WLAN-verbundenen PC den > Internetzugriff zu gestatten, diesen aber aus dem L-Lan auszugrenzen > ? ... anhand der Mac-Adressen konfigurierbar ? > ... hört sich prima an ... welche Typenbezeichnung hat Ihr > Lancom-Router ? > > > @Grundsätzlich ... > ... ist es dennoch interessant zu erfahren, ob es möglich ist über > die hauseigene Windows-Firewall den > Netzwerkverkehr auf bestimmte Adressen zu beschränken (es gibt > mehrere Beispiele bei denen das ein probates und einfaches Mittel > wäre). > > ... weiss hierzu jemand etwas ?
Post visible to registered members
Stephan Triesch Premium Member
The company name is only visible to registered members.

Re^6: Einzelne IP-Adresse sperren
@Herr Beckeler

Dazu muss der Port bzw. Programm in der Firewall ausgewählt werden (Ausnahmen).
Anschliessend auf Eigenschaften auswählen.
Zu guter letzt den Bereich ändern.
Un schon sind die Port/Programme für andere PC geblockt
... hört sich für mich nach dem richtigen Weg an.
... haben Sie hierzu ein konkretes Beispiel wie es gehen könnte ?

Gruß ... Stephan Triesch
- 17 Apr 2009, 12:17 pm
Stephan Triesch wrote: > @Herr Beckeler > > > Dazu muss der Port bzw. Programm in der Firewall ausgewählt werden > > (Ausnahmen). > > Anschliessend auf Eigenschaften auswählen. > > Zu guter letzt den Bereich ändern. > > Un schon sind die Port/Programme für andere PC geblockt > > ... hört sich für mich nach dem richtigen Weg an. > ... haben Sie hierzu ein konkretes Beispiel wie es gehen könnte ? > > Gruß ... Stephan Triesch
Post visible to registered members

Back
Next

PC Hilfe und Support

Einzelne IP-Adresse sperren

Re: Einzelne IP-Adresse sperren

Re^2: Einzelne IP-Adresse sperren

Re^3: Einzelne IP-Adresse sperren

Re^4: Einzelne IP-Adresse sperren

Re^6: Einzelne IP-Adresse sperren