Windows 7 64bit u. Heimnetzwerk
 

Hallo zusammen,

ich bin neu hier und habe einmal eine Frage bezüglich Win7.
Ist es möglich dass ich 2 PC's die am Netzwerk hängen über eine Fritzbox zwar miteinander im Heimnetzwerk kommunizieren lasse aber das Internet zwangsläufig sperre?
Gedanklich soll es so sein, dass diese beiden Rechner von der außenwelt abgeschnitten sind aber trotzdem im Heimnetzwerk hängen, wegen einem Netzwerkdrucker, Netzwerkspeicher usw.
Es muss einfach sichergestellt werden das man von außerhalb nicht zugreifen kann.

Würde mich freuen wenn mir jemand eine Hilfestellung geben könnte, bzw. sagen ob es geht oder nicht, oder ob ich gar etwas anders machen muss/kann.

Gruß Jens

Versteh ich das richtig:
-An der FritzBox hängen diverse Computer
-Die FritzBox soll im Internet hängen
- Für 2 der Computer an der Fritz-Box soll der Internet-Zugang gesperrt sein, die Switch-Funktion der FB soll jedoch weiterhin genutzt werden


Wenn das stimmt, kannst du den beiden gewünschten Computern, wenn du in der FB-Konfiguration bist, unter Internet -> Filter das Zugangsprofil "gesperrt" zuweisen.
Die Lan-Verbindung sollte davon nicht betroffen sein.

Hallo,

ja du hast mich richtig verstanden.
Der Hintergrund ist das an der FB 4 PC's hängen. 2 Davon müssen ins inet das ist wichtig.
Von allen 4 muss auf den Drucker der per LAN an der FB hängt zugriff sichergestellt werden.

Die anderen 2 PC's haben sehr vertrauliche Daten, die müssen zwar drucken können, aber es darf kein zugang zum inet stattfinden.
Genauso sollt man von außerhab den PC nicht erreichen können, bzw hacken können.
Kann ich das so, wie du beschrieben hast sicherstellen?

Oder gibt es hier andere Mittel die ich ansetzten könnte, oder wie würde ihr eine solche Anforderung lösen?

Nunja.
Die Kindersicherung der FB würde ich nicht als Sicherheitskonzept ansehen.

Theoretisch kann sowohl die Fritzbox als auch alle sich im Internet befindenen Rechner als Eingangspunkt ins Netzwerk genutzt werden.

Würde es dann alternativen geben wie ich in meiner Netzwerkumgebung sicher sein kann mit diesen 2 Rechnern ohne alles komplett umzuändern?


Gruß Jens

Ich sehe die Kindersicherung schon als Möglichkeit. Theoretisch ist alles möglich, was Angriffe betrifft. Die Frage ist aber, wie ich die Sicherheit im Lan regele.
@+jens+
Eine aktuelle Firmware ist Pflicht, dass gilt aber nicht nur für Fritzis.
Desweitern weitern sollte man sich überlegen, ob man solche Sachen wie MyFritz oder DynDNS benötigt. Da kann man zwar auf sein Heimnetz zugreifen und Daten abfassen oder die Heizung steuern. Aber wenn man dies nicht wirklich benötigt, kann man die Fritzen richtig dicht machen.
Ich habe auch eine Fritzi, von 1&1 geliefert. Die habe ich dicht gemacht, der ISP darf nicht draufschauen und auch nicht updaten. Die Updates muss ich dann natürlich selbst überwachen und durchführen.

Hallo Felix,

also MyFritz und DynDNS benötige ich nicht, beim zweiten bin ich mir nicht sicher wo man das abschaltet.
Gibt es denn eine Anleitung zum seine Box "dicht" machen, bzw was gehört da alles dazu?

Und dann würde mich eben interessieren was für meinen Fall die beste möglichkeit wäre deiner/eurer Meinung nach.
Die FB brauch ich nunmal da ich ins inet muss mit den anderen 2 Rechnern.
Getrennte Netzwerke aufbauen wollte ich nicht da ich ja sonst auch 2 Drucker benötige.
Ich möchte einfach mit den mir gegebenen Mitteln sicherstellen können das die 2 Rechner mit den vertraulichen Daten sicher sind. Sicher heißt natürlich das was man heute unter sicher verstehen kann.
Stellen denn die 2 Inet Rechner für die anderen 2 sicheren Rechner ein Problem dar, oder kann man die vom Netzwerk so steuern das diese nicht mit den anderen kommunizieren?


Gruß Jens

Hallo!

Was du versuchen kannst ist das du eine feste IP im Netzwerk vergibst. Trägst aber KEIN Standardgateway ein. Somit ist der Rechner im Netz erreichbar kommt aber nicht ins Internet.

DNS Kannst du eintragen wenn du die anderern Rechner im Netz per Namensauflösung finden willst.

Gruß Dominic

Feste IP hatte ich schon immer vergeben.
Dachte nur hier sind sicher soviel experten die mir die Lösungen geben können wie es am besten zu machen ist.

Aber vll ist mein Vorhaben auch total blöd, und so eine Konstellation gibt es normal nie.

Wo liegt denn dein Problem mit der Lösung ohne Gateway?
Der Pc/die Pc's kommen ohne Standardgatway nicht ins netz sind aber innerhalb des Netzwerkes erreichbar.

Nun ich weiß ja nicht, was für FBI-Berichte du da hast, die du beschützen willst, weil du natürlich ein System soweit zuschotten kannst, dass du gar nicht mehr damit arbeiten kannst (Rechenr in einen Safe sperren und diesen unter keinen Umständen öffnen, sollte in vielen Fällen helfen, solange dieser rund um die Uhr bewacht wird)

Aber wenn die Rechner mit den sensiblen Daten, keine Dateien ausführen, die Schadcode enthalten können und das Netzwerk so konfiguriert ist, dass die Rechner, die am Internet hängen keine Zugriffsrechte auf die anderen Rechner haben, kann eigentlich nicht so viel passieren.

Hinzu könnte man nun auch noch vermeiden, von den am Internet hängenden Computern auf die FB konfiguration zuzugreifen. Und natürlich die FB Firmware immer auf den aktuellen Stand halten, den wir haben ja brav in den Nachrichten von der neusten FB Sicherheitslücke gelesen.

Muss man halt immer abwegen, wie weit man gehen will. :-)

Soweit ist alles gesagt.
Was man auch in Zeiten preisgünstiger Speichersystem für das LAN unbedingt vermeiden sollte, ist die Freigabe von Ordnern auf einzelnen PCs und Zugriffe von anderen Rechnern aus.

Aber nur wenn die Telefonie angeschlossen ist (ISDN an FB) ^^ beim VoIP anschluss besteht da natürlich auch die Problematik -> KD einer 3170 dürfen sich hier freuen haha

Wenn Dir das ein Fremdwort ist, ist alles gut:taenzer:

Das Problem ist ganz einfach, auf den Rechnern befinden sich Lohnabrechnungen diverser Firmen. Diese und deren Mitarbeiter würden es sicher nicht toll finden wenn diese Info nach außen dringt.

Wenn mir jemand bitte diese 2 Themen erkären könnte wie ich sie am PC umsetzt wäre mit sehr geholfen.

An der FB hängen auch Telefone und Voip wird auch genutzt ist aber keine 3170.
Stellte die Telefonie ein Problem mit der Sicherheit der Rechner dar, kann ich mir jetzt nur schwer vorstellen?!?

Zusätzlich habe ich nochmals geschaut auf der FB sind keiner Nutzer angelgt, auch ist unter System FB Benutzer so lesen, dass die Box nicht aus dem Inet erreichbar ist. Reicht diese Info aus oder muss man noch speziell etwas einstellen?

Ordnerfreigaben auf den Rechnern gibt es nicht, jedoch ist ein NAS als Netzlaufwerk eingebunden, es wird aber nur zur Sicherung ans Stromnetz genommen und dann getrennt.

Die NAS hängt an der Fritzbox?
Werden dort auch die sensiblen Daten gesichert?

Weil es bringt nichts, wenn du die beiden Rechner mit den sensiblen Daten abschottest von denen, die auf das Internet zugreifen aber dann alle sensiblen Daten auf der NAS sicherst, wo alle dann freien Zugriff haben. :pfeiff::pfeiff::pfeiff::pfeiff:

Das NAS hängt nur dann dran wenn die FB keinen Zugriff auf das INET hat, DSL Kabel abgezogen.
Wenn die Sicherung vorbei ist wird das NAS abgeschaltet und die FB bekommt wieder ihr INET.

Naja angenommen du hättest einen Trojaner drauf der Daten abgreifen will, dann tut er das auch ohne Internet und sobald das I-Net wieder da ist, verschickt er diese.

Somit sollten auch der/die PC/s vom NAS getrennt laufen welche Zugriff auf das Internet haben.

Wenn es dir mit dem PC nur um Surfen geht, dann kannst du den einen Rechner der ins Internet möchte auch am LAN 4 als Gastcomputer einrichten, dieser hat dann KEINE Verbindung zur FB und auf das lokale Netz. Wäre dann aber auch nicht mehr aus deinem Netz erreichbar.

Hier ein Link wie man den LAN Gastzugang einrichtet:
hxxp://service.avm.de/support/de/skb/FRITZ-Box-7390/949:LAN-Gastzugang-in-FRITZ-Box-einrichten

Vielen Dank für diese Info, dann werde ich das sofort ändern müssen.

Hatte heute ein Gespräch mit einem Admin einer größeren Firma, der meinte nur mit der festen IP und keine Gateway das wäre ihm zu heiß.
Er hat mal erlebt wie sich so ein PC irgendwann mal über DHCP diese fehlende IP geholt hatte, allerdings war das unter Vista und munter Windows-Updates gezogen hat.

Das mit dem Gastzugang ist zumindest super das zu wissen, leider ist das durch die räumliche Verteilung der PC ohne Zusatzaufwand nicht machbar.

Kann eigentlich ein PC mit einer 172.xxx IP mit anderen die im 192.xxx Adressbereich sind kommunizieren?

Die FB hat auch einen Gastzugang für W-Lan :)
Link:
hxxp://service.avm.de/support/de/skb/FRITZ-Box-7390/294:WLAN-Gastzugang-privater-Hotspot-einrichten

Nein, da anderer IP-Bereich

Und mein Drucker hätte auch W-Lan...
Wenn ich nun die 2 Rechner am Inet im IP Bereich 192.xxx betreibe und über Wlan drucke, dann die 2 sensiblen Rechner im IP Bereich 172.xxx betriebe und über Lan drucke wie wäre das?
Die FB hat zwar DHCP aber hat auch eine Feste IP Adresse im 192.xxx Bereich, also kann sie mit den sensiblen Rechner nicht kommunizieren, kann ihnen auch per DHCP nichts antun.

Quatsch oder kann das Sinn ergeben?

Es gibt manche Drucker da kannste dich mit WLAN direkt auf den Drucker ohne den Umweg über einen Router.
Damit könnte das eventuell funktionieren.
Aber die meisten Drucker, da ist die WLAN funktion nur, damit sich der Drucker mit einem Router verbinden kann.
In dem Fall glaub ich nicht, dass du WLAN und LAN vom Drucker gleichzeitig in 2 verschiedenen Netzen nutzen kannst.
Aber vielleicht bin ich auch nicht up2date was die neuen Drucker so alles können :-)

Wahrscheinlich sollte die Kindersicherung der FB als Internetschutz ausreichen, wenn du gewährleisten kannst, dass:
1. Diese (die Kindersicherung) nicht über die am Internet hängenden Computer ausgeschaltet werden kannst
2. Das Netzwerk so konfigurierst, dass die Internet Computer keine Zugriffsrechte auf die anderen haben
3. Das mit der NAS wäre mir zu gefährlich auch wenn du während der Sicherung das Internet ausstellst. Aber das musst du wissen.

Hallo,

also Drucker einrichten funktioniert so nicht.
Ich kann kein WLAN und gleichzeitiges LAN Nutzen.
Deshalb scheidet diese Lösung LEIDER aus.
Das ich den Drucker aber im Bereich 172.xxx und 192.xxx Nutzen kann, dafür gibt es keine Lösung?
Weil dann könnte ich das NAS auch im 172.xxx Bereich nutzen und somit wäre es von 192.xxx auch abgetrennt. Problem 3 wäre erledigt!

Wenn nur der Drucker jetzt nicht das Problem wäre.

Hmm ich würde mir einfach nen 2. günstigen Drucker holen und gut is, dann haste alles getrennt voneinander und brauchst dir keine Sorgen mehr machen:)

Hallo,

also Drucker wären eben mal 500+ Euro für das was er können muss.
Aber ich habe zumindest heute bei einer Fimra gesehen das diese auch im begrenzten Entwicklungsbereich wo die Rechner SICHER sein müssen und im restlichen Betrieb mit Inet gearbeitet wird diese auch in 2 Subnetzen unterwegs sind und gemeinsame Drucker nutzen können.
Hoffe ich bekomme Infos mit welchem Zusatzgerät oder Konfiguration das gemacht wird.


Gruß
Jens

Leute, ehe hier noch eine Endlosschleife entsteht:
- feste IP
- DNS.Server leer
- Subnet-Mask leer
- IP mit Kindersicherung auf dem Router
- auf der Netzwerkkarte Client für MS... und Datei und Drucherfreigabe abwählen
- QOS kann auch weg
Damit sollte nach menschlicschem Ermessen nichts passieren