Wunderschönen guten morgen. Ich brauche für einen Plotter incl Treiber und Bildverarbeitungsprogramm windows xp. (Und ich möchte es auch behalten Never change a running system) Nun würde ich diesen Pc gerne ans Netzwerk anbinden um die Dateien übers Netzwerk zu laden. Ich möchte aber nicht das das Windows ins Internet kommt. Also zugriff nur aufs Heimnetz aber nicht nach draußen. Wie kann man dieses am Geschiktesten einrichten? Lg
Icke ®. schrieb: > Feste IP-Adresse vergeben und das Standardgateway freilassen. Wie ein altes Hacker-Sprichwort sagt, wo ein Draht ist ist auch ein Weg, 100%ig sicher ist das nicht. Aber für normale Ansprüche müsste es reichen. Änderungen am Router usw. sind komplizierter und auch nicht absolut sicher. Georg
XP hat eine Firewall, wenn diese aktiv ist, kommt niemand von außen (außerhalb von deinen Subnetzt) drauf.
Peter II schrieb: > XP hat eine Firewall, wenn diese aktiv ist, kommt niemand von außen > (außerhalb von deinen Subnetzt) drauf. Der TO will aber den umgedrehten Weg (XP ins Internet) verbieten...
Reinhard S. schrieb: > Der TO will aber den umgedrehten Weg (XP ins Internet) verbieten... Könnte man auch mit einer Firewall-Regel machen. Aber auch das ist, wie Georg schon sagt, nicht 100% sicher.
Im Router der die Internetanbindung realisiert, diesen Pc mit seiner MAC-Adresse in der Firewall sperren. Einfacher geht es wirklich nicht. Kann (sollte) heute jeder Router können.
kopfkratz Tja wie wird denn das Ganze angesteuert ? In XP kann man in den TCP/IP Ports blockieren/freigeben, also wenn die Ansteuerung über Port 666 läuft alle anderen ausschalten, dann kann nur noch der Teufel darauf zugreifen ;-) Man kann auch im Router eine bestimmte IP oder IP-Range blockieren, einfach mal in der Hilfe/Bedienungsanleitung nachsehen. Firewall ist auch eine Lösung, dann aber lieber die obsolete KerioPF 2.xyz installieren, findet sich noch bei CNET oder Chip u.ä. Da kann man dann auch erstmal deny any to any angeben und wenn dann die Anfrage auf den passenden Dienst aufpoppt freigeben bzw. gleich als Regel definieren, alles andere kommt weder rein noch raus. Bei vollständiger Paranoia einen alten Rechner zwischen Gerät und Netz und dann mit OpenBSD einen Gateway einrichten ... Probier's mal in der Reihenfolge aus ;-)
Georg schrieb: > Wie ein altes Hacker-Sprichwort sagt, wo ein Draht ist ist auch ein Weg, > 100%ig sicher ist das nicht. Dann erklär mal, wie Pakete den Weg ins Internet finden, wenn es kein Gateway, sprich keinen Weg dorthin gibt? Sicher ist es denkbar, daß ein Trojaner das lokale Netzwerk nach einem Gateway scannt und die Systemeinstellungen ändert. Aber dazu müßte der Trojaner zunächst von innen auf den Rechner gelangen. Solange auf dem PC keine Mails verarbeitet werden oder im Web gesurft wird, ist dieses Risiko schon sehr gering. Dem Rest kann man mit eingeschränten User-Accounts und restriktiven Firewall-Regeln auf dem ROUTER (Whitelisting) begegnen.
> Dann erklär mal, wie Pakete den Weg ins Internet finden, wenn es kein > Gateway, sprich keinen Weg dorthin gibt? Z.b. so: Wenn der RAS-Service auf dem XP laeuft, reicht ein aktiver RIP-Router und zack hat er ein Gateway. Oder der Router sendet Router Advertisements. Und zack hat er ein Gateway. Davon gibt bestimmt noch mehr... Den PC ins MAC-Filter einzutragen ist u.U. fuer die lokale Kommunikation hinderlich :-). DHCP ausschalten und eine statische IP eintragen ohne Gateway ist zumindest schonmal ein guter Anfang. Mit einem netstat -rn kann man sich gelegentlich davon ueberzeugen, das da keine "0.0.0.0" heimlich nachgewachsen ist.
./. schrieb: > Wenn der RAS-Service auf dem XP laeuft, reicht ein aktiver RIP-Router > und zack hat er ein Gateway. > > Oder der Router sendet Router Advertisements. > Und zack hat er ein Gateway. ...und wenn ich ein Raumschiff hätte, könnte ich damit zum Mond fliegen. Sehr theoretisches Szenario, welches groben Vorsatzes und einer gehörigen Portion Nachlässigkeit bedarf, um praktisch realisiert zu werden. Wenn ich nicht will, daß der User ins Web gelangt, verpasse ich ihm ein eingeschränktes Konto und vernagle die Kiste zusätzlich mit GPOs. Dann bleibt ihm nur die Hoffnung auf ungepatchte Sicherheitslücken, mit denen er Adminrechte erlangen kann. Wenn ich ganz fies bin, konfiguriere ich extra noch Gateways oder Proxys, die ins Leere laufen.
> Sehr theoretisches Szenario, welches groben Vorsatzes und einer > gehörigen Portion Nachlässigkeit bedarf, um praktisch realisiert zu > werden. Falsch. Beides Faelle aus der Praxis die ich so vorgefunden habe. Manche Router starten einen RIP-Router per Default ohne die Moeglichkeit einer Konfiguration, z.B. des Abschaltens. Das verringert in DAU-Umgebungen den Supportaufwand. (Weil es dann "automagisch" trotzdem funktioniert.) Router Advertisments sind fester Bestandteil des ICMP-Protokolls um Clientmaschinen das dynamische Lernen von Routen zu ermoeglichen. > verpasse ich ihm ein > eingeschränktes Konto und vernagle die Kiste zusätzlich mit GPOs. Wer nur Naegel kennt, braucht keinen Schraubendreher. Gegen die beschriebenen Szenarien wuerde das uebrigens nichts nuetzen. > Wenn ich ganz fies bin, konfiguriere ich > extra noch Gateways oder Proxys, die ins Leere laufen. Damit handelt man sich u.U. fuer regulaeren Traffic dann minutenlange Timeouts ein. Bevor Du hier weiter Ratschlaege erteilst, solltest Du an Deiner Bildung arbeiten.
./. schrieb: > Bevor Du hier weiter Ratschlaege erteilst, solltest Du an Deiner > Bildung arbeiten. Bevor du hier weitere Horrorszenarien ausmalst, beantworte die Fragen: - IPv6 ist per Default in WinXP installiert/aktiviert? - IPv6 wird gewöhnlich als INTERNES Protokoll verwendet? - GPOs wurden nur zur Belustigung/Beschäftigung des Admins erfunden?
> Horrorszenarien
Dazu braucht es kein IPv6.
Das war alles in IPv4-only Umgebungen.
Gegenfragen:
Welcher Windowsservice verwendet einen RIP-Router?
Welche Parameter des Netzwerkstacks lassen sich nicht mit GPOs
administrieren?
Sven schrieb: > Also zugriff nur aufs Heimnetz aber nicht nach draußen. > Wie kann man dieses am Geschiktesten einrichten? Kleb einen Zettel an den Monitor: "Diesen PC bitte nicht für Internet benutzen!"
./. schrieb: > Welcher Windowsservice verwendet einen RIP-Router? RRAS ist nicht per Default aktiv und falls doch, problemlos zu deaktivieren, wenn keine Einwahl-, PPPoE- o.ä. Verbindungen benötigt werden. > Welche Parameter des Netzwerkstacks lassen sich nicht mit GPOs > administrieren? Du WILLST mich nicht verstehen. Die Parametrisierung des Netzwerks sollte der Admin abgeschlossen haben, bevor er User auf den Rechner losläßt. Mit den GPOs stellt er sicher, daß diese nicht nachträglich dran rumschrauben können. Ich bleibe dabei, dein Szenario ist zu weit hergeholt und bedarf mindestens Fahrlässigkeit seitens des Admins, um praktisch zu funktionieren.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.