(thuis) server offliine houden

Default gateway weghalen en je bent een eind.

Cheap en simple kun je de firewall instellen op dat inkomend én uitgaand verkeer alleen naar het LAN-subnet mag. En eventueel het IP-adres van de server blokkeren op de DDWRT.

En de inkomende firewall ook echt beperken tot het hoogstnodige. Anders is ie vanaf het LAN (intranet) alsnog kwetsbaar.

[ Voor 26% gewijzigd door Room42 op 15-11-2015 18:03 ]

Geen gateway toevoegen aan het ip en je server heeft geen internet. Maar beter is je firewall goed instellen.

Met de hand de IP settings veranderen op de netwerkkaart, en een aders geven in dezelfde range die je modem uitdeelt.

Bv. Modem deelt ui: 192.168.1.10 - 192.168.1.200. Jij maakt je server 192.168.1.250 en netmask 255.255.255.0 Default gateway laat je LEEG. Ook de DNS laat je leeg (of 0.0.0.0 invullen)

Firewall zodat je Windows 7 computer niet naar non-private adressen kan. Geen static onzin of gateway rommel doen, dat maakt een netwerk eerder stuk dan veilig. Verder dan natuurlijk wel offline WSUS update doen he, dat je niet online bent zegt niet dat je niet geïnfecteerd kan worden. Zelfs airgapped systemen kunnen gewoon besmet worden.

Los je de kleine kans dat iemand door je NAT je alsnog aanvalt op door geen updates te downloaden en installeren
Zou er gewoon een strenge firewall op zetten en geen ports forwarden, kan de server alsnog updates binnen krijgen en kan de buitenwereld er niet op.

In ddwrt kun je volgens mij een host internet toegang ontnemen. Kijk eens in je router naar Access Restrictions.

MARTIJNSK schreef op zondag 15 november 2015 @ 17:57:
Internet komt binnen via ziggo/upc gaat naar een linksys ddrwrt router via twee switches aan het netwerk.
nu wil ik op een makkelijke manier de server in het zelfde intranet houden als de rest, echter afschermen van het www.

Met de andere personen eens dat een firewall het best is omdat je dan nog wel patches kunt blijven downloaden. Uiteraard dan wel op zowel inkomend als uitgaand verkeer en verkeer naar de windows update service wél toestaan.

Voor wat het waard is: ik denk niet dat deze maatregel veel toe voegt. Zolang je systeem achter een firewall en/of NAT zit op het router, is het niet bereikbaar voor de buitenwereld. Dit betekent dat er grosso modo de volgende aanvalsvectoren over blijven:
1) Removable media
2) Andere devices in je netwerk die geïnfecteerd raken en de server "mee-besmetten"

In beide gevallen is het risico alleen maar groter wanneer je geen patches installeert door de internet verbinding helemaal weg te halen. Je blijft namelijk verbonden met je lokale netwerk en de apparaten daar zijn ook niet onkwetsbaar. Alle devices op je netwerk kunnen zien dat jouw servertje gedeelde bestanden aanbiedt en weten dus dat de server bestaat.

Goede firewall is van belang. Ook je andere systemen goed afschermen
Als je computer op het internet aangesloten is. Kan je altijd nog via de computer bij je server komen.
Ook is het handig om je server gewoon te blijven patchen.Dit kan eventueel ook met WSUS offline.

Lijkt een beetje op dit topic
Computer wel op het netwerk maar niet verbonden met internet

Je kan meestal ook nog het MAC adres van de netwerkkaart/wlan van de PC in de router blokkeren, alhoewel dan heeft de PC wellicht geen toegang meer tot het netwerk

[ Voor 19% gewijzigd door Ketho op 15-11-2015 20:07 ]

En natuurlijk niet vergeten voor een goede backup buiten de deur. Denk dat je zelf wel heel erg benauwd bent voor iets wat er niet is. Als jij geen portforwards naar je server hebt is er geen probleem en is die net zo kwetsbaar als een PC en waarschijnlijk gebruik je je PC met networking maps naar je server waardoor daar je grootste kwetsbaarheid zit. Kortom even verder kijken.

Frogmen schreef op maandag 16 november 2015 @ 11:49:
En natuurlijk niet vergeten voor een goede backup buiten de deur. Denk dat je zelf wel heel erg benauwd bent voor iets wat er niet is. Als jij geen portforwards naar je server hebt is er geen probleem en is die net zo kwetsbaar als een PC en waarschijnlijk gebruik je je PC met networking maps naar je server waardoor daar je grootste kwetsbaarheid zit. Kortom even verder kijken.

Inderdaad, zolang je geen oude versie van IIS lopen hebt op die Win 7 moet je je geen zorgen maken.
Geen port forwarding is in principe geen directe toegang van buiten naar de computer.

Ik vind het idee van default gateway weglaten wel erg efficient, maar de patches zijn natuurlijk belangrijk op een Windows installatie.

Wat misschien nog kan is de DNS uitzetten en een hele boel windows updates servers gaan toevoegen in de host file. Op die manier kan de computer die wel gaan resolven, maar niets anders meer. Wel een beetje opzoekwerk :-)

Je geeft eigenlijk nog steeds niet aan waar je je tegen wilt beschermen daardoor krijg je eigenlijk geen advies wat je zoekt. Want als ze nu door je firewall komen vinden ze nog steeds je server. Het is als een slot op de buitendeur en vervolgens een extra deur voor de server waardoor hij niet naar buiten kan maar een ander nog wel naar binnen. Leuk en complex maar geen extra veiligheid.

Frogmen schreef op dinsdag 17 november 2015 @ 11:44:
Je geeft eigenlijk nog steeds niet aan [...]

TS heeft niet meer gereageerd na jouw post. Misschien gewoon even geduld hebben dus.