[LAN] Direkte Kommunikation zwischen 2 Geräten unterbinden?

[Nightmare85]

Hallo,

in meinem Windows-Netzwerk zu Hause laufen:
Mein Desktop-PC (Win 10 - Rest steht in der Sig) - verbunden über LAN
und
Mein Windows-Tablet (Acer W510 Win 8.1) - verbunden über WLAN

Als Kabelbox verwende ich die WLAN-Kabelbox von Tele Columbus aka Pyür.
Die genaue Bezeichnung ist, soweit ich weiß, CH7485 (habe diese schon 2 Jahre).

Drei Fragen/Anliegen hätte ich:
1)
Kann ich die direkte Kommunikation zwischen beiden Geräten unterbinden?
Falls sich mal auf dem einem Gerät Schad-Software befindet, soll nicht das andere in Mitleidenschaft gezogen werden.
Oftmals installiere und teste ich 0815-Tools auf dem Tablet, bevor ich die auf meinem Desktop-PC verwende.

2)
Wie kann ich am einfachsten testen, ob die zwei miteinander kommunizieren können?
Einfach anpingen?

3)
Die WLAN-Box hat einen USB-Anschluss, an dem ich z.B. einen Stick anschließen kann.
Beide Geräte können darauf zugreifen.
Heißt also, dass trotz Sperre (wenn es möglich ist/wäre), beide Geräte indirekt miteinander kommunizieren könnten.
Das wäre für mich sogar wünschenswert!
Datei vom PC auf den Stick und diese am Tablet öffnen.

Leider bin ich erst wieder nächste Woche zu Hause und bevor ich es vergesse, poste ich es lieber jetzt
Danke für jede Hilfe!



Grüße

 

[Zeroflow]

Ich würd mal Grundsätzlich sagen, mit dem Router den du hast geht das mal nicht so einfach.

Was du aber machen könntest, ist auf deinem PC die Firewall so einstellen, dass nur mit dem Router (wsl. 192.168.0.1) kommuniziert werden darf.
Alles andere im lokalen Netz (192.168.0.2 ... bis Ende) ist gesperrt

 

[Masamune2]

Kann ich die direkte Kommunikation zwischen beiden Geräten unterbinden?

Indem du in der Firewall der jeweiligen Geräte eine Regel anlegst du jegliche Kommunikation blockt.

Falls sich mal auf dem einem Gerät Schad-Software befindet, soll nicht das andere in Mitleidenschaft gezogen werden.

Schädlinge verbreiten sich nicht wie bei Menschen einfach so. Die wenigen Würmer die sich durch Sicherheitslücken in überall erreichbaren Diensten weiterverbreiten können kommen man mit regelmäßigen Sicherheitsupdates bei die ohnehin Pflicht sind.
Wenn der eine PC versucht ist interessiert das den anderen erst mal wenig.

Wie kann ich am einfachsten testen, ob die zwei miteinander kommunizieren können?
Einfach anpingen?

Dann weißt du ob sie über ICMP kommunizieren können, nicht mehr und nicht weniger. Ob andere Protokolle funktionieren ist nicht gesagt.

Die WLAN-Box hat einen USB-Anschluss, an dem ich z.B. einen Stick anschließen kann.
Beide Geräte können darauf zugreifen.
Heißt also, dass trotz Sperre (wenn es möglich ist/wäre), beide Geräte indirekt miteinander kommunizieren könnten.

Ja das würde so natürlich gehen.
Du legst also die infizierte Datei mit dem Tablet auf den Stick und führst sie auf dem PC aus, so hast du ganz sicher beide Rechner infiziert

 

[DeusoftheWired]

Prinzip VLAN.

Unterstützen mittlerweile einige semiprofessionelle/Prosumer-Router: https://geizhals.de/?cat=wlanrout&x...&mail=&fcols=758&bl1_id=30&sort=p#productlist

 

[hantelfix]

mit einer fritzbox kann man es machen

Die unten angezeigten aktiven WLAN-Geräte dürfen untereinander kommunizieren


da gibs eine einstellung dafür

 

[snaxilian]

Wie @Zeroflow schon schrieb: Mit dem Router gar nicht außer der bietet so etwas wie ein Gäste-WLAN. Lösung wäre die Hostfirewall auf dem PC entsprechend zu akzeptieren. Ping sagt auch erst einmal nix aus außer das eben ein Ping geht.
Als Beispiel: Ich kann bei einem Webserver problemlos Ping per Firewall verbieten aber den Webserver erreichbar lassen.

 

[Yuuri]

Warum an den Symptomen herumdoktorn? Pack die Tools auf dem PC in eine VM und gut ist. Die kannst du besser isolieren als den Router oder in der Firewall rumzudoktorn oder noch weitere Clients im Netzwerk zu konfigurieren (TV, AVR, Chrome Cast, Fire TV und was es nicht noch so alles gibt...).

Du kannst auch einfach die Firewall auf dem Tablet in einen Whitelist Modus versetzen, sodass jede Abfrage ins Netzwerk erst durch dich freigegeben werden muss. Ist 10x effektiver, als an anderen Clients im Netzwerk die Verbindung zu Gerät x zu untersagen. Ist halt nur blöd wenn (ggf. bösartige) Tools Admin-Rechte benötigen und selbst die Firewall konfigurieren. Aber einen Tod musst du sterben, wenn du es schon nicht in eine VM packst.

 

[Raijin]

Ich würde bei einem Tool-ausprobier-szenario zu einer VM gegriffen. Gerade wenn du .. zweifelhafte Tools testest oder zumindest zweifelhafte Quellen verwendest, sollte man Vorsichtsmaßnahmen ergreifen, die dem gerecht werden.

Ein privates Netzwerk ist mehr oder weniger per Definition vertrauenswürdig. Deswegen kann man an einem Router auch keinen netzwerkinternen Datenverkehr reglementieren, weil diese Daten direkt von Switch-Port zu Switch-Port geschoben werden, ohne etwa durch die Router-Firewall zu gehen. Für solche Anwendungsfälle gibt es dann separate Subnetze bzw. VLANs. Der Router kann aber nicht verhindern, dass der PC mit den Tablet spricht - höchstens wenn das WLAN<>LAN Traffic ist, aber bei LAN<>LAN Traffic nehmen die Daten den kürzesten Weg und kommen ggfs niemals beim Router vorbei.

Dennoch kannst du natürlich die Windows-Firewall so einstellen, dass sie keinerlei Verbindung zwischen PC und Tablet zulässt, aber spätestens wenn du dann über USB-Sticks Daten austauschst, kann sich eine Infektion auch darüber verbreiten.

Mit einer VM könntest du die Tools gefahrlos testen, weil die VM bei entsprechender Konfiguration vollständig vom Netzwerk getrennt ist und man sie im Falle eines Infekts einfach killen und aus einem Backup wiederhestellen kann.

 

[Harrdy]

Mit dem richtigen Switch (Cisco vermarktet das Feature als Private VLAN) lässt sich auch eine Layer2 Client Isolation im gleichen Subnet bewerkstelligen wie es die meisten 0-8-15 WLAN Router bereits für WLAN Gäste anbieten.

Ansonsten wie bereits oben beschrieben das ganze eher als VM und/oder Client Firewallregeln lösen.

 

[Nightmare85]

Ich danke euch allen für eure weisen Worte!
Mir gefällt sowohl die Idee mit der Windows-Firewall (an beiden Geräten konfigurieren)
als auch die Geschichte mit der VM.

Mit VM hatte ich bisher nur wenig am Hut.
Ist VirtualBox dafür zu gebrauchen?
Würde mir dann paar YT-Videos anschauen, um zu Hause direkt loslegen zu können.
Die 0815-Programme brauche ich dann sicherlich nicht mit meinem "echten System" runterzuladen,
sondern kann stattdessen den Browser des virtuellen OS' nutzen, es dort runterladen und installieren.
Wenn's keine 100 Toolbars mitinstalliert, kann ich es dann bedenkenlos mit meinem echten OS runterladen,
um es dort zu nutzen.

Grüße

 

[Yuuri]

Wenn du die Professional hast, kannst du einfach Hyper-V aktivieren. Installiert wird ganz normal wie beim richtigen PC auch, allerdings einfacher über ne ISO (kannste dir im Media Creation Tool ja auch gleich erstellen lassen).

Am besten erstellst du nach der Installation und initialen Einrichtung einen Wiederherstellungspunkt der VM - dann kannst du immer wieder zu diesem zurückkehren. Und dran denken: Bei nicht so vertrauenswürdigen Tools ggf. vorher das Netzwerk deaktivieren (bzw. einen privaten Switch erstellen).

 

[Nightmare85]

Hallo,

gerade eben versuche ich die Windows Firewall am Tablet einzurichten.
Folgendes habe ich getan:
1. Erweiterte Einstellungen geöffnet
2. Neue Regel für ausgehende Regeln
3. Benutzerdefiniert
4. Alle Programme
5. Protokolltyp: Alle
6. Lokale IP-Adressen: Von 192.168.0.2 mit 192.168.0.254
7. Verbindung blockieren
Das gleiche für die eingehenden Regeln

Leider geht das Internet am Tablet jetzt nicht mehr, da es sich anscheinend selbst blockiert.

Eine Sache verstehe ich zusätzlich nicht:
Die lokalen IP-Adressen werden ja dynamisch verteilt.
Mein Smartphone, mein Tablet und mein PC
könnten somit also immer verschiedene IP-Adressen bekommen.
Heute hat das Tablet die 192.168.0.5,
morgen wird sie vllt dem PC zugewiesen und das Tablet hat wieder eine andere.

P.S. Die Sache mit hyper-v werde ich auch machen, aber würde dennoch gerne die Firewalls einrichten.

Grüße

 

[snaxilian]

Dann weise deinen Geräten halt feste IPs zu. Kann eigentlich jeder Router. Auch solltest du schon konsequent sein und auch IPv6 im LAN entweder deaktivieren oder entsprechend per Firewallregeln blockieren.
Solange dein Internetgateway/Router/DNS etc die 192.168.0.1 hat sollte "Internetzugriff" natürlich noch funktionieren.