Zur Visualisierung mit dem HS2-Client verwende ich einen PC, der ausschließlich diesem Zweck dient. Natürlich ist der PC so konfiguriert das man damit auch ins Internet kann, mit Virenscanner usw.

Da ich mit diesem PC jedoch praktisch nie ins Internet gehe, dachte ich aus Sicherheitsgründen daran, diesen PC komplett für den Internetzugang zu sperren. Die interne Netzwerkverbindung zu diesem PC soll natürlich erhalten bleiben.
Es ist sicher für einen Spezialisten eine leichte Aufgabe aber ich bin mir nicht sicher wie man das am Besten und am Sichersten realisiert?

Der Router ist ein Vigor 2900. Wo kann man da was einstellen? Oder modifiziert man irgendwelche Netzwerkeinstellungen im PC?

Danke für Eure Tips.

Vergebe dem PC einefach eine IP mit Subnetmaske und lass die Gateway IP und DNS IP weg. Dann findet der PC den weg nicht raus.

...und von außen ist der PC dann auch nicht sichtbar?
Ein Virenscanner wäre dann sicher auch nicht nötig?

unless you defined port forwarding or DMZ in your router, this PC will not be accessible 'directly' from the internet.

Keep in mind however that the other pc's IN your network still have access to this PC, so having any other PC infected by virus could still cause infection of your Visu-pc.

kris

und von außen ist der PC dann auch nicht sichtbar?
Du hast doch einen Router. Da ist erstmal gar nichts Sichtbar im Internet. Außer du hast eine Portweiterleitung von extern auf deine interne IP eingerichtet. Dann findet der Router natürlich den PC. Ist im Router keine Weiterleitung eingetragen, findet er auch nicht den PC.

Kommt man jedoch von extern auf einen anderen PC, könnte man von diesem aus auf alle im Netzwerk befindlichen PCs zugreifen.

Sicherheit hat viel Stufen.

Optimal wäre in meinen Augen eine DMZ wo Visu PC und HS sitzen.

Das habe ich soweit verstanden, allerdings bin ich jetzt mit dem Begriff DMZ etwas verunsichert:

Erklärung meines Routerherstellers:

Alle Pakete, die hier noch ankommen, werden ohne Veränderung zum angegebenen Klienten geschickt.
Achtung: Dieser Klient ist allen Paketen, die nicht schon vorher herausgefischt wurden, ausgesetzt!

Das geht auch aus dem Posting von Kris hervor.


Erklärung bei Wikipedia:

Eine Demilitarized Zone (DMZ, daher auch ent-/demilitarisierte Zone) oder Umkreisnetzwerk bezeichnet ein geschütztes Computernetz für einen oder mehrere Computer, das sich zwischen zwei Computernetzen befindet.

Zwischen diesen beiden Erklärungen liegt ein Widerspruch, meine ich.

Kann mich mal jemand aufklären. Danke!

Du hast doch einen Router. Da ist erstmal gar nichts Sichtbar im Internet.


Quark.

Ein Router verbindet per Definition zwei Netze miteinander, also kann aus dem einen Netz jedes System im anderen Netz uneingeschränkt erreicht werden.

Die gängigen DSL-Router haben lediglich irgendwelche Filter (Access-Listen, Firewallfunktionalität) die dafür sorgen sollen dass "unerwünschter" Traffic draussen (im Internet) bleibt.

Weiterhin haben "normale" DSL-Nutzer i.d.R. nur eine öffentliche IP-Adresse und kein geroutetes Netz was den Zugriff von aussen ebenfalls etwas erschwert, userseitig muss man dann zu Krücken wie z.B. Port-Forwarding greifen um ein internes System öffentlich zu machen.

Hinter einem echten Router sollte sich im Zweifelsfall niemand sicher fühler, auch dann nicht wenn er intern "nur" ein RFC 1918-Netz betreibt, zumindest der ISP könnte mit einer zusätzlichen Zeile in der Konfiguration seines Perimeter-Routers auf das intene Netz zugreifen.

Gruss
Markus

Erklärung meines Routerherstellers:

Alle Pakete, die hier noch ankommen, werden ohne Veränderung zum angegebenen Klienten geschickt.
Achtung: Dieser Klient ist allen Paketen, die nicht schon vorher herausgefischt wurden, ausgesetzt!

Das geht auch aus dem Posting von Kris hervor.


Erklärung bei Wikipedia:

Eine Demilitarized Zone (DMZ, daher auch ent-/demilitarisierte Zone) oder Umkreisnetzwerk bezeichnet ein geschütztes Computernetz für einen oder mehrere Computer, das sich zwischen zwei Computernetzen befindet.

Zwischen diesen beiden Erklärungen liegt ein Widerspruch, meine ich.

Kann mich mal jemand aufklären. Danke!

Es gibt im Prinzip zwei Konzepte wie man eine DMZ aufsetzen kann. Ich habe das gerade mal skizziert, einen Schönheitspreis beanspruche ich dafür nicht.

http://www.mms-it.de/EIB/DMZ.jpg

Das was der Routerhersteller als DMZ verkaufen will ist keine DMZ, das ist nicht mal ein Bastard, das ist einfach nur Murks. Eine DMZ ist per Definition vom LAN isoliert um eben dafür zu sorgen dass ein kompromittierter Host immer noch durch eine Firewall vom LAN abgeschirmt ist, ansonsten sitzt der der den Host aufgebohrt hat auch noch direkt im LAN.

Die Wikipedia beschreibt die o.a. skizzierte Variante 1. Landläufig als "die sicherste" Variante der DMZ gesehen. Wenn man das richtig gut machen will nimmt man zwei unterschiedliche Firewalls. Wer die erste Firewall (aus Internetsicht) oder einen Host in der DMZ hackt muss sich immer noch mit der zweiten Firewall auseinandersetzen bis er im LAN ist. Wenn ein Unternehmen hohe Sicherheitsanforderungen hat werden die Firewalls auch noch von unterschiedlichen Leuten administriert um zu verhindern dass einer die ganze Strecke sabotieren kann oder irgendwelche Fehler auf beiden Systemen macht.

Variante 2 ist nicht wirklich toll, dafür aber billig. Hat aber den Nachteil dass jemand der Zugriff auf die Firewall hat auch ins LAN durchgreifen kann.

Die Variante Deines Routerherstellers kann es als DMZ nicht geben da hinter der Firewall das LAN ist aber nie und nimmer ein exposed Host. Ein Router mit Portforwarding ersetzt nunmal keine Firewall mit einem gerouteten Netz.

Die Prediger der reinen Lehre sehen nur die Variante 1 als echte DMZ an, deswegen steht das in der Wikipedia wahrscheinlich auch so beschrieben.

Gruss
Markus

Zur Visualisierung mit dem HS2-Client verwende ich einen
Der Router ist ein Vigor 2900. Wo kann man da was einstellen? Oder modifiziert man irgendwelche Netzwerkeinstellungen im PC?

Danke für Eure Tips.

Vigor 2900 neuestes Update 2.5.6 gibts in Deutsch !
Einstellungen machen unter
Spezielle Einstellungen > IP Filter und Firewall > LAN-Internetzugriffskontrolle

damit kann man pro angeschlossenme Pc ein Profil ob er Zugriff auf das inet bekommen soll und wenn ja wann und wie lange

Hallo Viceversa,

wenn du deinen HS nur mit dem visu-pc von intern bedienst, solltest du auch keine so genannte DMZ einrichten.

In eine DMZ gehören nur Dienste / Systeme man von "aussen" (also meistens Internet) erreichbar machen will.

Dann alles im internen LAN lassen und evtl. den Tip von bjo verfolgen das dein HS und visu-pc zum Internet blockiert werden.

Wenn der HS auch nach aussen erreichbar sein soll, gehört eigentlich nur der HS in die DMZ und der Visu-pc ins interne LAN. Das wesentliche sind die Regeln der Firewall:

Internet -> HS in der DMZ: Zugriff erlauben auf Port 80
Lan -> HS in der DMZ: Zugriff erlauben auf Port 80

Sollte einer den HS knacken kommt er so einfach nicht in das LAN da es keine eingehende Regel auf der Firewall gibt die das erlaubt. Grundsätzlich sollte es auf einer Firewall nie eine Regel geben die Zugriffe von der DMZ in das LAN erlaubt. Immer nur in die andere Richtung. Eine DMZ auf DSL-Routern erhöht die Sicherheit schon, sofern die Regelsätze stimmen. Ausser die Firewall selber wird geknackt, dagegen wurden die von Markus beschriebenen 2-Stufigen Konzepte eingeführt. Das halte ich aber für den Endanwender eher für übertrieben, aber das muss jeder selber wissen.

Der HS ist so oder so immer eine Besonderheit, das ganze Sicherheitskonzept einer DMZ wird ausgehebelt, da dieser direkten Zugriff auf den Bus hat und damit das Konzept auf einem anderen Kommunikationslayer (dem EIB-Bus) kompromitiert wird (zumindest wenn man den Schutz der Schaltvorgänge betrachtet).

Wenn einer den HS in der DMZ knackt hat er Vollzugriff auf EIB und muss nicht dem Umweg über interne Visu-pcs nehmen. Da müsste man schon so was wie eine EIB-Firewall einsetzen.

Ich würde aber auch Virescanner und Personal Firewall aus besagten Gründen der vorherigen Beiträge weiterhin nutzen und wenn es nur die Windows XP Firewall ist ...

Ist aber auch immer schwer eine generelle Empfehlung zu geben, das Thema Sicherheit ist sehr vielschichtig und hängt von vielen Faktoren ab.

Gruss,

Olaf