97561
Goto Top

Internetseiten deaktiveren (DNS Requests)

Moin zusammen,

wir müssen folgendes erreichen:

a) DNS Requests und Internetseiten komplett deaktiveren
b) ein Mailprogramm soll erlaubt sein, Rest gesperrt.

Wie können wir dies am sinnvollsten bei einem Windows 7 Rechner erzwingen. Wir haben einen fiktiven DNS Server vergeben, dies scheint aber leider nicht die notwendigen Erfolge zu zeigen? Alternativ haben wir den DNS Server aus den Netzwerkeinstellungen rausgenommen.

Setup ist wie folgt:
Windows 7 Rechner hängt an "Router". Dieser baut per Mailprogramm eine Verbindung auf (via Sat. also kein PPOE etc.)

Können wir sinnvolle Maßnahmen auf dem Client PC vornehmen?

Vielen Dank im Vorfeld.

Viele Grüße
Philip

Content-ID: 273536

Url: https://administrator.de/contentid/273536

Ausgedruckt am: 26.11.2024 um 15:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 01.06.2015 um 18:08:37 Uhr
Goto Top
Zitat von @97561:

Setup ist wie folgt:
Windows 7 Rechner hängt an "Router". Dieser baut per Mailprogramm eine Verbindung auf (via Sat. also kein PPOE
etc.)


Wie soll das denn gehen?

Können wir sinnvolle Maßnahmen auf dem Client PC vornehmen?

Sinnvollerweise gar keine.

Du solltest einafch eien Fierwall dazwischenklemmen mit der Du alles außer mail blockierst. Alternativ könntets Du natürlichj eine personal Firewall oder die windows-Firewall benutzen, um alles zu blockieren.

lks
aqui
aqui 02.06.2015 aktualisiert um 08:34:34 Uhr
Goto Top
Wie können wir dies am sinnvollsten bei einem Windows 7 Rechner erzwingen.
Nur mit der Winblows Kiste gar nicht ! Oder soll das nur auf einem einzigen Rechner im Netz passieren ?
Wenn, dann macht man sowas mit einer kleinen Firewall im Netz.
jonsch
jonsch 02.06.2015 um 08:34:39 Uhr
Goto Top
Zitat von @97561:

Moin zusammen,

wir müssen folgendes erreichen:

a) DNS Requests und Internetseiten komplett deaktiveren
b) ein Mailprogramm soll erlaubt sein, Rest gesperrt.

Wie können wir dies am sinnvollsten bei einem Windows 7 Rechner erzwingen. Wir haben einen fiktiven DNS Server vergeben, dies
scheint aber leider nicht die notwendigen Erfolge zu zeigen? Alternativ haben wir den DNS Server aus den Netzwerkeinstellungen
rausgenommen.

Setup ist wie folgt:
Windows 7 Rechner hängt an "Router". Dieser baut per Mailprogramm eine Verbindung auf (via Sat. also kein PPOE
etc.)


Verstehe ich nicht, wie das System momentan funktionieren kann/soll? Bitte nochmals besser erläutern, damit hier auch hilfreiche Antworten entstehen.

Wie LKS schon schrieb, ist es in dem Fall am besten eine Firewall zu integrieren. Das kann eine hardwaretechnische Firewall sein oder auch eine Desktop-Firewall die die Pakete direkt filtert. Das scheint mir hier auch die einfachere und unkompliziertere Lösung zu sein.
97561
97561 04.06.2015 um 01:31:33 Uhr
Goto Top
Hi nochmal zur Erklärung.

Es hängt eine so genannte Fleet Broadband von Trane und Trane als "Router" / Modem dazwischen. Sprich eine Sat. Verbindung wird über dieses Gerät aufgebaut. Derzeit ist es so, dass alle Clients keinen DNS Server haben, bis auf der "Communication PC", der dafür genutzt wird die Mails abzurufen.

Diese ist wie folgt konfiguriert:

IP: 10.16.1.1
Gateway: 10.16.1.10
DNS: 10.16.1.10

Alle anderen PCs befinden sich zwar im 10.16.1.X Netz - haben aber keinen Gateway und keinen DNS eingetragen.

Nun zum Verbindungsaufbau:
Auf dem Communication Computer ist ein Programm, was der Fleet Broadband sagt, bitte bau jetzt eine Verbindung auf und rufe alle Mails ab. (Eigener Mailclient). Sobald du fertig bist, baue die Verbindung wieder ab.

Das funktioniert alles auch.

Nun zu dem Problem:
Der Communication PC merkt in der Zeit wo die Verbindung aufgebaut wird, dass er eine Internetverbindung hat. In diesem Moment kann man "surfen" (mit ISDN Geschwindigkeit) und ebenfalls merkt der Virenscanner etc. das man sich mal updaten könnte. Dies möchte ich jedoch mit Windows Boardmitteln abfangen und blockieren. Die entsprechenden Ports der Anwendungen kenne ich. Wichtig ist wie ich sicher stellen kann, das Port 80 gesperrt ist.

Dazu kam dann die Frage:
Was passiert mit den Rechnern ohne DNS und Gateway, haben die in irgendeiner Weise die Möglichkeit Anfragen zu versenden, da das Datenvolumen während der Abrufe sehr stark angestiegen ist.

Nur zur Erklärung warum so penibel:
Das MB kostet nach Freivolumen ca. 11 Dollar und wenn dann am Ende 200 MB zusammen kommen, wird es teuer ;)

Wo wird es eingesetzt:
Es handelt sich hierbei bei der Sat. Lösung um eine reine Schifffahrtslösung - überall wo UMTS / 4G nicht mehr erreichbar ist ;)

Danke + Gruß
Philip
aqui
aqui 04.06.2015 um 10:21:57 Uhr
Goto Top
Alle anderen PCs befinden sich zwar im 10.16.1.X Netz
Die Aussage ist ziemlich sinnfrei wenn man die Netzwerkmaske dazu nicht kennt ?!
Die entsprechenden Ports der Anwendungen kenne ich. Wichtig ist wie ich sicher stellen kann, das Port 80 gesperrt ist.
Das sind 3 Mausklicks in der Windows eigenen Firewall.
Wenn du dich dann aber nicht gänzlich vom Webbrowsern abhängen willst, (Port TCP 80 ist HTTP) dann solltest du die IP Adressen des Scanner Update Dienstes kennen und nur dediziert diese blockieren das die Update Requests nur dahin blockiert werden.
Was passiert mit den Rechnern ohne DNS und Gateway, haben die in irgendeiner Weise die Möglichkeit Anfragen zu versenden
Auch diese Frage ist sinnfrei und recht naiv.
Die kann man mit dem gesunden Menschenverstand beantworten:
  • 1.) Wie sollen Rechner OHNE Gateway Adresse jemals andere netze geschweige denn das Internet erreichen können ?
  • 2.) Wie sollen Rechner ohne DNS jemals irgendweinen Hostnamen in eine gültige IP Adresse wandeln können um das Netz dann via 1.) (Gateway) zu erreichen ?
Du erkennst vermutlich selber die Sinnfreiheit der Frage, oder ? Einzig ein zentraler Proxy Server wie z.B. der bekannte Squid Proxy dazwischen könnte hier helfen um häufig besuchte Web Seiten zentral zu cachen und somit die Leitung massiv zu entlasten.
Das würde dann auch gleich das fehlende Gateway und DNS Problem lösen und auch dein Kostenproblem pro MB.
Jeder der so eine Umgebung hat wie oben nutzt dann immer einen Proxy.
Lochkartenstanzer
Lochkartenstanzer 04.06.2015 aktualisiert um 10:28:44 Uhr
Goto Top
Zitat von @aqui:

  • 1.) Wie sollen Rechner OHNE Gateway Adresse jemals andere netze geschweige denn das Internet erreichen können ?

Indem die Anwendung selbst ein autotetect von gateways macht und diese nutzt udn sich nicht auf das OS verläßt.

* 2.) Wie sollen Rechner ohne DNS jemals irgendweinen Hostnamen in eine gültige IP Adresse wandeln können um das Netz
dann via 1.) (Gateway) zu erreichen ?

Indem die Software selbst einen Resolver mitbringt. face-smile

Du erkennst vermutlich selber die Sinnfreiheit der Frage, oder ?

Ganz so sinnfrei ist die Frage nicht, aber i.d.R. installiert man Software, die die obigen Eigenschaften hat bewußt in dem Wissen, daß diese das kann oder man hat sich Malware eingefangen.

Einzig ein zentraler Proxy Server wie z.B. der bekannte Squid
Proxy dazwischen könnte hier helfen um häufig besuchte Web Seiten zentral zu cachen und somit die Leitung massiv zu
entlasten.

Das wäre auch meine Empfehlung, einen Proxy aufzusetzen und jeglichen Verkehr darüber zu leiten. Dann kann man auch gezielt steuern, wer wann was wieviel übertragen kann und ggf rechtzeitig den "Hahn zudrehen".


Das würde dann auch gleich das fehlende Gateway und DNS Problem lösen und auch dein Kostenproblem pro MB.
Jeder der so eine Umgebung hat wie oben nutzt dann immer einen Proxy.

Jepp.

lks