zurück zum Artikel

Hardware-Router vermitteln mit einer Vielzahl an Optionen dem Netzwerk-Laien das Gefühl, irgendetwas Wichtiges ausgelassen oder falsch eingestellt zu haben. Dabei ist es ganz einfach, einen Router sicher zu konfigurieren.

Ob der Router nun mit einem komfortablen Web [1]-Interface glänzt oder nur eine Telnet [2]-Konsole anbietet   zur Konfiguration nimmt der Verwalter über das lokale Netzwerk Kontakt mit dem Gerät auf. Der erste Schritt dazu ist natürlich das Verkabeln. An Router mit integriertem Switch [3] schließt man einfach einen PC an. Falls das Gerät nur eine Buchse hat, verhält es sich entweder wie ein Rechner und wird daher mit einem der üblichen Netzwerkkabel an einen normalen Port [4] des Hub [5] oder Switch angeschlossen. Um einen solchen Router direkt mit dem Konfigurationsrechner zu verbinden, benötigt der Verwalter bisweilen ein Netzwerk-Kabel mit gekreuzten Adern Cross-Kabel [6] genannt.

Oder der einzelne Anschluss ist wie bei der Fritz!Box von AVM als Switch-Port beschaltet und der PC findet mit einem normalen Netzwerkkabel direkten Anschluss. Beide Kabelvarianten lassen sich gefahrlos ausprobieren, denn Ethernet [7]-Anschlüsse nehmen beim Verpolen keinen Schaden.

Dass die Verkabelung stimmt, zeigen die Link-LEDs an Router und Netzwerkkarte an. Die Zeit für diese Sichtkontrolle sollte man sich unbedingt nehmen, denn falsche Verkabelung ist auch bei erfahrenen Netzwerkverwaltern eine der häufigsten Fehlerursachen.

Aktuelle Router enthalten einen DHCP-Server, der den Rechnern im LAN [8] die Netzwerkeinstellungen mitteilt. Auch wer in seinem Netzwerk feste IP-Adressen vergeben hat, sollte den Konfigurationsrechner auf DHCP umstellen, bis er den Router fertig konfiguriert hat, um falsche Netzwerkeinstellungen als Fehlerquelle auszuschließen.

Wenn im lokalen Netzwerk schon ein anderer DHCP-Server läuft, legen die widersprüchlichen Informationen das LAN lahm. In diesem Fall verbindet man den Router direkt mit einem PC und integriert ihn erst nach dem Konfigurieren mit deaktiviertem DHCP-Server ins Netzwerk.

Wer bisher die Internetverbindungsfreigabe von Windows (ICS [9])benutzt hat, um mehrere Rechner ins Internet zu bringen, sollte sie nun abschalten. Denn erstens übernimmt ja der Router die Aufgabe und zweitens enthält auch ICS einen DHCP-Server, der sich mit dem im Router beißt.

Beim Booten besorgt sich der Konfigurationsrechner vom DHCP-Server im Router alle nötigen Netzwerkeinstellungen. Unter Windows zeigt der Befehl ipconfig die aktuellen Einstellungen an. Als "Standardgateway" sollte die Adresse des Routers erscheinen, wie sie in der mitgelieferten Dokumentation steht. Häufig lautet sie 192.168.1.1 oder 192.168.0.1, vom zweiten Fall gehen die weiteren Beschreibungen in diesem Artikel aus. Die angezeigte IP-Adresse muss zu der des Routers passen: Die Teile, in denen die "Subnet Mask" auf 255 steht, müssen identisch sein. So gehört zur Router-Adresse 192.168.0.1 normalerweise die Subnet Mask 255.255.255.0 und eine IP-Adresse des Rechners, die mit 192.168.0. beginnt. Welche Adressen zu einem Netzwerk gehören, verrät Ihnen unser Netzwerk-Rechner [10].

Wenn alles stimmt, startet man den Web-Browser und kontrolliert die Proxy-Einstellungen. Entweder sollte hier gar kein Proxy eingetragen sein oder die Adresse des Routers muss auf der Liste der Ausnahmen stehen, die ohne Proxy angesprochen werden. Nun gibt man die Adresse des Routers mit vorangestellter Dienstekennung "http://" ein.

Falls nun die Startseite der Router-Konfiguration nicht erscheint, obwohl alle Netzwerkeinstellungen auf dem Client [11] korrekt sind, hilft als letzte Maßnahme eventuell ein Hardware-Reset des Routers auf seine Werkseinstellungen. Die dazu nötigen Schritte unterscheiden sich je nach Router-Modell, sollten aber in der Dokumentation oder den FAQ-Seiten des Herstellers im Internet beschrieben sein. Typischerweise genügt es, den Reset-Knopf am Router für mindestens 20 Sekunden gedrückt zu halten.

Richtig browsen

Zwischendrin ein Tipp für größeren Komfort während des Konfigurierens: Bis alle Einstellungen des Routers ganz den eigenen Wünschen entsprechen, sind mehrere Sitzungen mit dem Web-Interface fällig. Daher sollte man den Router in die hosts-Datei des Konfigurationsrechners eintragen. Bei Windows XP liegt sie im Verzeichnis System32\Drivers\Etc unterhalb des Windows-Verzeichnisses, bei älteren Windows-Versionen direkt im Windows-Verzeichnis. Unix-Systeme benutzen in der Regel die hosts-Datei aus dem Verzeichnis /etc. Unabhängig vom Betriebssystem steht in jeder Zeile der hosts-Datei eine IP-Adresse, gefolgt vom zugehörigen Namen. Um der Adresse 192.168.0.1 den Namen "router" zuzuordnen lautet der Eintrag also

192.168.0.1 router

Dann reicht im Adressfeld des Browsers die Eingabe "router", um die Web-Konfiguration zu öffnen.

Damit der Browser die Konfigurationsseiten immer vom Router lädt, statt veraltete Informationen aus dem Cache [12] anzuzeigen, sollte man entweder häufig den "Aktualisieren"-Knopf klicken oder den Browser passend umkonfigurieren. Beim Internet Explorer heißt die Option "Neuere Versionen der gespeicherten Seiten suchen: Bei jedem Zugriff auf die Seite" und versteckt sich in den Einstellungen für "Temporäre Internetdateien". Bei Opera findet sich die Option "Auf Veränderungen überprüfen" unter "Verlauf und Cache". Firefox bietet dafür keinen Schalter.

Außerdem sollte man auf den Konfigurationsseiten möglichst den "Zurück"-Knopf des Browsers nicht benutzen, sondern die entsprechenden Links auf den Seiten. Manche Router bekommen sonst nicht mit, welche Seiten der Anwender schon bearbeitet hat und übernehmen andere als die gerade angezeigten Einstellungen.

Schließlich merken sich manche Geräte die Einstellungen zunächst in einem Zwischenspeicher und übernehmen sie erst beim nächsten Router-Reboot, der per Klick im Web-Interface ausgelöst wird. Daher passen die angezeigten Daten vorher oft nicht zu denen, die der Router gerade verwendet.

Router sichern

Router sichern

Die ersten Einstellungen, die man ändern sollte, haben nicht direkt mit dem Internet-Zugang zu tun, sondern betreffen die Sicherheit des Routers selbst. Denn das Gerät ist ein lohnendes Angriffsziel für Hacker [13]; schließlich enthält es die Provider-Daten, die ein böswilliger Angreifer benutzen kann, um auf Ihre Rechnung zu surfen. Außerdem kann er im angegriffenen LAN erheblichen Schaden anrichten, wenn er erst den Router unter seiner Kontrolle hat.

Zwei sehr verbreitete Konfigurationsfehler öffnen bösen Buben Tür und Tor: ein triviales oder fehlendes Konfigurationspasswort und die Fernkonfiguration aus dem Internet. Sie ist bei einigen Routern in der Grundkonfiguration eingeschaltet, um Service-Technikern den Zugang zu erleichtern. Wer den Fernwartungszugang nicht dringend braucht, sollte ihn sofort abschalten. Die dazu erforderlichen Schritte unterscheiden sich von Gerät zu Gerät stark, bitte ziehen Sie das Handbuch zu Rate. Generell beschränkt man alle angebotenen Konfigurationsmethoden auf das lokale Netzwerk. Die nicht genutzten   beispielsweise SNMP [14]   deaktiviert man sicherheitshalber ganz.

Die Fernkonfiguration kann man als Sicherheitslücke gar nicht überschätzen: So kamen beispielsweise bei einigen besonders häufig installierten Routern von Draytek (und einem anderen Modell der inzwischen abgewickelten Firma ELSA) ein Fehler in der Firmware [15], die das Provider-Passwort im Klartext anzeigt, und die Nachlässigkeit der Systembetreuer zusammen, die die Fernkonfiguration ohne Passwort aktiviert lassen. Diese fatale Kombination erlaubt es, aus hunderten von Geräten vollautomatisch per Skript die Providerdaten zu "ernten". Und das, obwohl sowohl c't als auch die Hersteller und die Importeure seit Jahren bei jeder Gelegenheit auf das Problem hinweisen und der Fehler in aktuellen Firmware-Versionen längst behoben ist.

Egal, ob die Fernwartung aktiviert ist oder nicht, die Konfiguration muss mit einem sicheren Passwort geschützt werden. Dabei gelten die üblichen Regeln: Mindestens acht Ziffern und Zeichen aus dem englischen Alphabet, die in dieser Kombination in keinem Wörterbuch stehen. Auf Satz- und Sonderzeichen sollte man allerdings bei der Browser-Konfiguration verzichten, da die Web-Interfaces mancher Router sie nicht korrekt interpretieren.

Ein letzter Sicherheitshinweis: Nach der Konfiguration sollte man den Browser komplett beenden, beim Internet Explorer also alle Fenster schließen. Denn nach der Eingabe des Passworts bleibt man bei vielen Routern angemeldet, solange das Programm läuft. Das können Hackerseiten im Internet ausnutzen, um das Gerät umzukonfigurieren. Besonders verführerisch sind Links auf ihre eigenen Internet-Seiten, die viele Hersteller in das Web-Interface ihrer Router einbauen. Wer diese Seiten besuchen will, sollte einen etwas umständlichen, aber sicheren Weg gehen: Rechtsklick auf den Link und "Linkadresse kopieren", den Browser komplett beenden und neu starten. In die Adresszeile des frischen Fensters fügt man nun die zuvor kopierte Adresse ein.

Eine weitere Sicherheitslücke ist Universal Plug & Play (UPnP [16]). Über dieses Protokoll können Programme den Status der Internetverbindung beim Router abfragen, aber auch Port-Weiterleitungen (Virtuelle Server) einrichten   ohne Passwortabfrage oder irgendeine andere Sicherung. Das ist bei Online-Spielen und manchen Voice-over-IP-Programmen recht nützlich, weil es einige Handarbeit spart. Doch im Prinzip kann jedes Programm sich auf diesem Wege als Server global verfügbar machen, auch ein Virus auf einem der PCs im LAN. Bislang sind zwar noch keine solchen Schädlinge aufgetreten, aber dennoch sollte man UPnP nur notfalls aktiviert lassen, wenn also zum Beispiel ein Spiel einfach nicht ohne UPnP zum Funktionieren zu bekommen ist. In den Internet-Foren und FAQ-Seiten der Spielehersteller finden sich allerdings fast immer Hinweise, wie der Router zu konfigurieren ist, damit die Programme auch ohne UPnP laufen.

Grundkonfiguration

Die meisten aktuellen Router fragen die nötigen Grunddaten in der Art eines Assistenten ab und machen dabei sinnvolle Vorgaben. Einige betreffen das lokale Netzwerk, etwa die Router-Adresse und die Netzmaske, die ruhig unverändert bleiben können. Den DHCP-Server schaltet nur ab, wer einen anderen in seinem LAN betreibt. Bei den DHCP-Einstellungen findet sich in der Regel auch ein Eingabefeld für den DNS [17]-Server, den der DHCP-Server den Clients mitteilen soll. Auch wenn oft ein anderer Hinweis daneben steht, sollte man dieses Feld leer lassen, denn der Router erfährt die richtige DNS-Adresse später automatisch vom Einwahl-Server des Providers. Sofern der Router eine Einstellung für die Network Address Translation [18] (NAT) anbietet, schaltet man sie auf jeden Fall ein, damit die Rechner des LAN über den Router aufs Internet zugreifen können.

Unabhängig von der Zugangstechnik muss der Router das Einwahl-Passwort und den Benutzernamen zur Einwahl beim Provider kennen. Sie lauten genau so wie bei einer Verbindung zu demselben Provider über eine Netzwerkverbindung unter Windows. Bei T-Online setzt sich der Benutzername für DSL [20] aus drei Angaben zusammen: Zum Beispiel ergeben die Anschlusskennung 111111111111, die T-Online-Nummer 2222222222 und die Mitbenutzernummer den Benutzernamen 1111111111112222222222#0001@t-online.de.

Auch bei anderen Providern ist zu den bekannten Zugangsdaten in der Regel ein ähnlicher Anhang wie hier "@t-online.de" erforderlich. Wie er lautet, lässt sich auf den FAQ-Seiten nachlesen oder bei der Hotline erfragen.

In der Regel wählen die Router automatischzwischen den beiden Authentisierungs-Protokollen PAP [21] und CHAP [22] aus. Wenn das Gerät jedoch auf einer Vorgabe für das Verfahren besteht, gibt man für T-Online PAP vor. Bei anderen Providern muss man sich bei der Hotline nach dem eingesetzten Verfahren erkundigen oder es durch Probieren herausfinden, üblich ist CHAP.

ISDN, ADSL, TV-Kabel

ISDN-Optionen

Wer in einem (noch) nicht mit ADSL [23] gesegneten ländlichen Gebiet wohnt, muss wahrscheinlich ISDN für den Zugang zum Internet benutzen. Ein ISDN-Router braucht zusätzlich zu den Zugangsdaten die Einwahl-Nummer des Providers. Das eventuell vorhandene Eingabefeld für die eigene Telefonnummer kann dagegen leer bleiben. Falls der Router mehrere Provider-Profile speichern kann, empfiehlt es sich, gleich zu Anfang mehrere zu konfigurieren; zum Beispiel den Provider, den man hauptsächlich zu benutzen plant, und einen billigen Call-by-Call-Provider. Wenn der Haupt-Provider mal Probleme hat, kommt man so immer noch ans Netz.

Multilink-PPP [24], die Bündelung der beiden ISDN-Kanäle zu einer Internet-Verbindung, bringt zwar die doppelte Geschwindigkeit, kostet aber auch das Doppelte. Wer für große Downloads häufiger mal eine dicke Leitung braucht, normalerweise aber mit der halben Geschwindigkeit auskommt, aktiviert die "Bandwidth on Demand" (BOD). Je nach aktuellem Datenaufkommen schaltet der Router dann den zweiten Kanal zu oder ab. Die zahlreichen BOD-Optionen dienen dem Feintuning und sollten anfangs auf ihren Vorgabewerten stehen bleiben.

Idle-Timeout

Eine ähnliche Abwägung zwischen Komfort und Kosten ist beim Idle-Timeout nötig, der automatischen Trennung nach einer einstellbaren Zeitspanne ohne Datenverkehr. Eine zu kurze Spanne ist nicht nur lästig, wenn man Internet-Seiten langsam liest und bei jedem Klick erst die Verbindung wieder hergestellt wird. Auch der gemächliche Einkauf in Online-Shops kann fehlschlagen, weil sich die IP-Adresse des Kunden bei jeder erneuten Einwahl ändert. Ein Timeout von 120 Sekunden ist eine gute Ausgangsbasis für die Anpassung an das eigene Surf-Verhalten.

Manche Router mit DSL- und ISDN-Interface bieten eine Fallback-Option, das heißt, sie stellen automatisch eine ISDN-Verbindung her, wenn die DSL-Leitung gestört ist. Sparsamere Router-Betreiber aktivieren diese Option nicht, sondern schalten lieber von Hand auf ISDN um, wenn das DSL mal klemmt. So behalten sie die Zusatzkosten der ISDN-Verbindungen im Blick.

ADSL

Für ISDN gibt es keine Alternative, aber eigentlich passen ein Router und ein nach Zeit abgerechneter Tarif nicht zusammen. Durch kleine Fehler bei der Einrichtung oder in der Firmware, durch bösartige Software oder Programme mit Auto-Update-Funktion kann leicht eine Internetverbindung aufgebaut werden, von der man erst etwas merkt, wenn der Provider eine horrende Rechnung schickt.

Zu einem Router bucht man also ein am besten einen Volumen-, Stufen- oder Pauschaltarif und stellt den Idle-Timout einfach ganz ab. Bei den Routern, die dafür keine Checkbox im Web-Interface zeigen, genügt es meist, einen Timeout von 0 Sekunden einzutragen. Die zusätzliche Option "Keep alive", "Auto reconnect" oder "Stay connected" mancher Geräte sorgt außerdem dafür, dass die Verbindung automatisch wiederhergestellt wird, falls der Provider sie trennt. Das ist eigentlich nur sinnvoll, wenn man seinen Router ständig aus dem Internet erreichen will. Andernfalls sorgt schon der erste Zugriff aus dem LAN für die Neueinwahl, und die geht bei aktuellen Geräten so schnell, dass eine Dauerverbindung keinen Komfortgewinn bringt.

An einem herkömmlichen Breitband-Router, der über ein externes DSL-Modem mit dem Internet kommuniziert, gibt es wenig einzustellen. Alle DSL-Provider in Deutschland setzen das Protokoll PPPoE ein. Dazu gehört ein "Service Name", der jedoch meist nicht benutzt wird und daher je nach Router-Vorgabe entweder leer bleibt oder "ANY" lautet.

Bei einem integrierten ADSL-Modem sind einige Einstellungen mehr vonnöten. Zunächst lautet der ADSL-Modus je nach Hersteller "Annex B" oder "ADSL over ISDN" und zwar auch bei ADSL in Kombination mit einem analogen Telefonanschluss. Denn die Telekom betreibt ihr gesamtes ADSL-Netz einheitlich nach diesem Verfahren; und die Konkurrenz tut es ihr nach. Die ADSL-Modulation heißt "G.dmt" oder "Multimode". Mit der Multimode-Einstellung finden die meisten ADSL2+-tauglichen Router auch an einem aDSL2+-Anschluss die passende Modulation selbständig. Nur, wenn das nicht gelingt, hilft man ihnen durch die ausdrückliche Auswahl "ADSL2+" auf die Sprünge.

Auf der nächsten Ebene verwendet die Telekom die "ATM [25]-Encapsulation" LLC [26] und die Parameter "Virtual Path Identifier [27]" (VPI) 1 und "Virtual Channel Identifier" (VCI [28]) 32. Auch hier folgen die meisten anderen ADSL-Anbieter der Vorgabe der Telekom. Lediglich ganz alte Arcor-DSL-Anschlüsse brauchen VPI=8 und VCI=35.

TV-Kabel

Beim Internetzugang über das TV-Kabel stellt die Kabelgesellschaft ein passendes Modem. Anders als bei ADSL kommt hier nicht das Protokoll PPPoE [29] zum Einsatz, sondern eine direkte Verbindung ins Netz des Providers. Die nötigen Netzwerkeinstellung werden per DHCP [30] verteilt. Der Router muss also für den Internetzugang auf "Ethernet" und "DHCP" gestellt werden. Den DHCP-Server im LAN beeinflusst das nicht.

Auf ins Netz!

Wenn all diese Einstellungen erledigt sind, wird es Zeit für den ersten Einwahltest. Der passende Knopf oder Link findet sich bei den meisten Routern auf den Status- oder Diagnose-Seiten. Falls er nicht vorhanden ist, startet man den Browser neu und ruft eine externe Seite wie www.heise.de auf. Ein Ping [31] auf dieselbe Adresse ist weniger geeignet, weil manche Router für Pings die Internet-Verbindung nicht öffnen.

Falls der Browser meldet, der "Server oder DNS" könne "nicht gefunden werden", enthält entweder die eingegebene Adresse einen Tippfehler oder die DNS-Konfiguration stimmt nicht. In der Regel sollte die DNS-Adresse die des Routers sein, denn aktuelle Geräte fungieren als DNS-Proxy [32]: Sie nehmen die Anfragen der LAN-Clients entgegen und reichen sie an den DNS-Server des Providers durch. Falls auf dem Client dieses Feld leer ist, handelt es sich eventuell um ein historisches Router-Modell ohne DNS-Proxy. Dann veranlasst man den Client, sich beim DHCP-Server neue Netzdaten zu holen, denn der Router kennt seit der Einwahl die DNS-Adresse des Providers und sollte sie nun per DHCP an den Client liefern.

Wenn auch das nichts hilft, ist der Router wohl eine vorsintflutliche Antiquität, die die richtige DNS-Adresse auf der Konfigurationsseite zu DHCP eingetragen haben will. Die DNS-Adresse findet sich auf den Support-Seiten des Providers.

Nacharbeiten

Frischzellenkur

Wenn die Internet-Verbindung klappt und sich die erste Euphorie darüber gelegt hat, steht ein Besuch auf den Support-Seiten des Router-Herstellers an, um nachzusehen, ob das Gerät ein Firmware-Update braucht. Bei den Tests im c't-Labor hat regelmäßig rund die Hälfte der Geräte eine solche Frischzellenkur nötig, obwohl sie direkt von den Herstellern stammen. Umso wahrscheinlicher ist es, dass ein Gerät aus dem Lager eines Händlers nicht ganz auf dem neuesten Stand ist.

Allerdings ist ein Firmware-Update kein Selbstzweck. Es ist nur sinnvoll, wenn der Hersteller es dringend anrät oder die neue Betriebssoftware einen Fehler behebt, der wirklich aufgetreten ist. Sonst gilt wie üblich: "Never touch a running system." Leider veröffentlichen immer weniger Router-Hersteller mit den Updates auch die Listen der behobenen Fehler. Solche Geräte muss man dann eben auf Verdacht aktualisieren.

Falls mit einer neuen Firmware auch neue Probleme auftreten, ist man für eine alte Firmware dankbar. Daher lohnt es sich, vor dem Update unbedingt die Firmware-Backup-Funktion zu nutzen, sofern der Router sie anbietet. Außerdem hilft es, alle Downloads zu archivieren, um sie noch zur Hand zu haben, falls der Hersteller nur die aktuelle Version anbietet.

Der Router-Verwalter sollte sich den Versionscheck auf die Liste der monatlich wiederkehrenden Aufgaben setzen, denn auch bei schon lange verkauften Modellen beheben die besseren Hersteller immer wieder Fehler oder fügen sogar nützliche neue Funktionen hinzu.

Während eines Firmware-Updates vergessen die meisten Geräte alle Einstellungen, sodass es ratsam ist, sie vorher zu sichern. Falls das Gerät dafür keine Funktion bietet, halten Papier und Bleistift oder einige Screenshots der wichtigsten Konfigurationsseiten als Backup her.

Kleinigkeiten

Die anfangs eingerichtete Zuteilung der IP-Adressen an die Clients per DHCP ist zwar sehr komfortabel. Doch ein Datei-, Drucker- oder Web-Server im lokalen Netzwerk braucht eine feste IP-Adresse, damit er immer zu erreichen ist. Gute Router weisen ausgewählten Rechnern immer dieselbe Adresse per DHCP zu, indem sie sie anhand der Hardware-Adressen ihrer Netzwerkkarten identifizieren.

Diese Adresse verrät unter Windows der Befehl ipconfig /all, unter Linux und anderen Unix-artigen Systemen ifconfig. Mac-User sehen sie in den Netzwerk-Einstellungen auf der Dialog-Seite "Ethernet" nach. Der Netzverwalter trägt sie einfach zusammen mit der festen IP-Adresse in die "Fixed IP Table" des Routers ein.

Ohne Unterstützung vom Router muss man die feste IP-Adresse in den "Eigenschaften von TCP/IP [33]" im Netzwerkkontrollfeld der Systemsteuerung eintragen. Allerdings darf sie auf keinen Fall aus dem Adressen-Pool stammen, den auch der DHCP-Server benutzt. Das lässt sich sicherstellen, indem der DHCP-Pool entsprechend verkleinert wird. So könnte bei der Router-Adresse 192.168.0.1 der DHCP-Adressbereich von 192.168.0.100 bis 192.168.0.120 gehen, um die Adressen 192.168.0.2 bis 192.168.0.99 für Server frei zu halten. Beide Adressblöcke sollten Luft für zusätzliche Rechner enthalten, denn irgendwann wächst jedes Netzwerk.

Auch wer für alle dauerhaft installierten Rechner im LAN feste IP-Adressen vorsieht, sollte den DHCP-Server durchaus mit einem kleinen Adress-Pool weiterlaufen lassen. Das erspart lästiges Umkonfigurieren, wenn ein Kollege mit dem Notebook vorbeikommt oder die Freundinnen der Tochter zur LAN-Party hereinschneien.

Gelegentlich liest man den Tipp, bei einem WLAN [34]-Router den DHCP-Server abzuschalten. Das soll es Hackern erschweren, sich mit dem Funknetzwerk zu verbinden. Tatsächlich steht dem Verlust an Komfort kein Sicherheitsgewinn gegenüber, denn mit den üblichen Hacker-Tools lassen sich in Sekundenschnelle gültige Netzwerkadressen ermitteln.

Firewall

Brandmauer

Nun sollte der Netzverwalter sich noch ein paar Gedanken zur Sicherheit seines LAN machen. Gegen direkte Angriffe aus dem Internet ist es schon durch die Network Address Translation (NAT [35]) gesichert. Denn wenn ein Hacker versucht, eine Verbindung aufzubauen, so gibt es zu den eintreffenden Paketen keinen Eintrag in der NAT-Tabelle, der ja nur existiert, wenn ein Client im LAN die Verbindung initiiert hat. Der Router verwirft solche Pakete einfach.

Doch manche Router bieten keine Option zum Abschalten der Fernkonfiguration oder stehen trotz dieser Option auf einzelnen Ports offen. Zum Stopfen dieser Lücke dient der Paketfilter. Er prüft jedes einzelne Datenpaket auf Eigenschaften wie Quell- und Ziel-Adressen und -Ports. Erfüllt das Paket die vom Administrator vorgegebenen Bedingungen, so kann der Filter dreierlei damit anfangen: Das Paket weiterleiten (forward), es verwerfen (drop) oder die nächste Regel prüfen. So entsteht eine Kette aus Bedingungen, mit deren Hilfe der Router-Verwalter recht genau entscheiden kann, welche Pakete der Router annimmt und welche nicht.

Um den Router gegen Hacker abzusichern, gilt es, alle Pakete zu verwerfen, die an mögliche Konfigurations-Ports gehen. Die betroffenen Portnummern liegen normalerweise unterhalb von 1024. Diese so genannten privilegierten Ports benutzt der Router nicht als Quell-Port, wenn er Pakete an einen externen Rechner schickt. Somit trägt auch kein erlaubtes Antwort-Paket eine Ziel-Portnummer aus diesem Bereich. Der Netzbetreuer kann den Router also getrost anweisen, alle eingehenden Pakete mit Ziel-Ports unterhalb von 1024 zu verwerfen.

Je nach Paketfilter-Fähigkeiten des Routers gibt es dazu zwei Systeme: Einfachere Filter wenden einen Satz von Regeln auf alle Pakete an, unabhängig davon, ob sie vom LAN ins Internet gehen oder umgekehrt. Komplexere Filter prüfen für jedes Netzwerk-Interface ein- und ausgehende Pakete mit getrennten Regelsätzen. In diesem Fall lassen sich die offenen Ports des Routers leicht schließen: In den Regelsatz für eingehende Pakete des externen Interfaces gehört eine Regel, die alle Pakete an Ports unterhalb von 1024 verwirft. Alle komplexen Paketfilter brauchen drei Schritte: Regelsatz anlegen, Regeln definieren, Regelsatz ans Interface knüpfen.

Bei den einfacheren Geräten mit nur einem Regelsatz für alle Pakete ist meist die Einrichtung einfacher, dafür sind hier vier Regeln nötig: Je eine für TCP und UDP [36], die den lokalen Rechnern den Zugriff auf externe Server erlaubt   sonst könnte ja niemand surfen   und zwei, die alle anderen Pakete verwerfen. Dabei müssen die Ausnahmen (Source IP 192.168.0.0, Netmask 255.255.255.0, Keine Port-Prüfung, Forward) vor der allgemeinen Regel stehen (Keine Adressprüfung, Port <1024, Drop).

Ob nach außen alle wichtigen Ports Ihres Routers dicht sind, können Sie leicht mit unserem Online-Port-Scanner [37] feststellen.

Manche Router können zusätzlich zu den herkömmlichen Paketfiltern eingehende Ping-Pakete (ICMP [38] Echo Requests) verwerfen. Dieser "Ping-Block" erschwert zwaar Hacker-Novizen das Leben, die per Ping-Befehl größere Adressbereiche nach Angriffszielen absuchen. Wenn der Router darauf nicht antwortet, bleibt er zumindest Anfängern verborgen. Doch erfahrenere Böslinge halten sich nicht mit dem Ping-Scan auf. Allein deshalb lohnt es sich nicht, auf Routern ohne Ping-Block per Paketfilter das Ping-Protokoll ICMP gänzlich abzuschalten. Außerdem würde das auch Pings aus dem lokalen Netz unterbinden   sehr zum Ärger von Online-Spielern   und allerhand nützliche Informationen über die Erreichbarkeit von Servern und Fehler bei der Übertragung verwerfen.

Trojaner

Nicht alle Angriffe kommen von außen. Wenn es einem Hacker gelingt, auf einen der Rechner im LAN einen Trojaner [39] zu schmuggeln, kann dieser aus dem Netz eine Verbindung zum externen Rechner seines Herrn aufbauen. Gegen solche Verbindungen, die ja ein Client im lokalen Netz initiiert, hilft NAT nichts. Netzverwalter an der Grenze zur Paranoia setzen daher auf die Deny-All-Strategie: Sie schließen den Internetzugriff vollständig mit einer Paketfilterregel, die alle Pakete unabhängig von Ports und Adressen verwirft. Durch Ausnahmeregeln etwa für den Web-Port 80 bohren sie dann gezielt möglichst wenige Löcher in diese massive Schutzwand.

Gegen dieses Vorgehen spricht dreierlei. Zunächst der hohe Arbeitsaufwand, denn ständig beschweren sich Nutzer, dass diese oder jene Anwendung wegen der restriktiven Firewall nicht funktioniert. Zweitens steht dieser Mühe tatsächlich nur ein geringer Sicherheitsgewinn gegenüber, denn natürlich kennen auch die Programmierer von Trojanern die Deny-All-Strategie und nutzen die eigentlich immer freigeschalteten Ports wie 80 (WWW) und 25 (abgehende E-Mail), um ihr böses Werk zu tun. Wenn der Netzverwalter also irgend einen Zugriff aufs Internet erlaubt, gibt es auch einen Weg, auf dem Trojaner Informationen hinaus schmuggeln können. Der dritte Grund heißt FTP. Dieses verbreitete Protokoll baut zuerst eine Verbindung zum Server mit bekannten Portnummern auf. Zum Download öffnet es eine zweite, deren Quell- und Ziel-Port sich nicht vorhersagen lassen. Mit den einfachen Paketfiltern der preiswerten Router, die diesen Fall nicht besonders behandeln, verhindert die Deny-All-Strategie jeden FTP-Transfer. Ähnliches gilt für andere wichtige Protokolle wie das für Voice-over-IP gebräuchliche SIP [40].

Das soll nicht heißen, dass die Deny-All-Strategie grundsätzlich nicht sinnvoll ist. Nur braucht man statt des einfachen Paketfilters, den preiswerte Router mitbringen, eine wesentlich intelligentere Firewall, die oft viel mehr kostet. Ein Linux-Router bringt zwar die nötigen Funktionen mit, erfordert aber mehr Einarbeitung seitens des Verwalters als die hier beschriebenen Router. Diese Investition an Geld oder Zeit lohnt sich nur für Netzwerke, bei denen ein Trojaner-Angriff besonders wahrscheinlich ist oder verheerende Folgen hätte. Daheim bringt es mehr, den Virenscanner auf allen PCs immer aktuell zu halten, eine Personal Firewall [41] zu aktivieren und beim Ansehen der E-Mail auf die üblichen Sicherheitsgrundregeln zu achten.

Doch nicht nur von Hackern eingeschleuste Trojaner schmuggeln Informationen aus dem lokalen Netzwerk heraus. Auch manche nützliche Software nimmt Kontakt zu ihrem Hersteller auf, beispielsweise der Real-Player und viele Programme, die mit Peer-to-Peer-Clients kommen und vorgeben, Daten für die Netzwerkoptimierung zu sammeln. Wer das unterbinden will, kann dem Paketfilter natürlich passende Regeln beibringen. Dabei sollten jedoch statt der benutzten Ports eher die Zieladressen das Kriterium bilden.

Auch wenn der Router mit den oben dargestellten Einstellungen abgesichert ist und das gemeinsame Surfen funktioniert, ohne dass der Netzbetreuer fürchten muss, irgendetwas wichtiges ausgelassen zu haben, bleibt also reichlich Freiraum für individuelle Anpassungen. (je [42]) ()

URL dieses Artikels:
https://www.heise.de/-221643

Links in diesem Artikel:
[1] http://www.heise.de/glossar/entry/Web-395572.html
[2] http://www.heise.de/glossar/entry/Telnet-399315.html
[3] http://www.heise.de/glossar/entry/Switch-396339.html
[4] http://www.heise.de/glossar/entry/Port-398693.html
[5] http://www.heise.de/glossar/entry/Hub-399385.html
[6] http://www.heise.de/glossar/entry/Cross-Kabel-397485.html
[7] http://www.heise.de/glossar/entry/Ethernet-399379.html
[8] http://www.heise.de/glossar/entry/Local-Area-Network-399387.html
[9] http://www.heise.de/glossar/entry/Internet-Connection-Sharing-396327.html
[10] http://www.heise.de/netze/tools/netzwerk-rechner.shtml
[11] http://www.heise.de/glossar/entry/Client-399351.html
[12] http://www.heise.de/glossar/entry/Cache-395216.html
[13] http://www.heise.de/glossar/entry/Hacker-397025.html
[14] http://www.heise.de/glossar/entry/Simple-Network-Management-Protocol-395168.html
[15] http://www.heise.de/glossar/entry/Firmware-397505.html
[16] http://www.heise.de/glossar/entry/Universal-Plug-and-Play-399549.html
[17] http://www.heise.de/glossar/entry/Domain-Name-System-398615.html
[18] http://www.heise.de/glossar/entry/Network-Address-Translation-399059.html
[19] 
[20] http://www.heise.de/glossar/entry/Digital-Subscriber-Line-396855.html
[21] http://www.heise.de/glossar/entry/Password-Authentication-Protocol-398603.html
[22] http://www.heise.de/glossar/entry/Challenge-Handshake-Authentication-Protocol-398601.html
[23] http://www.heise.de/glossar/entry/Asymmetric-Digital-Subscriber-Line-396823.html
[24] http://www.heise.de/glossar/entry/Multilink-PPP-397521.html
[25] http://www.heise.de/glossar/entry/Asynchronous-Transfer-Mode-398817.html
[26] http://www.heise.de/glossar/entry/Logical-Link-Control-398357.html
[27] http://www.heise.de/glossar/entry/Virtual-Path-Identifier-397561.html
[28] http://www.heise.de/glossar/entry/Virtual-Circuit-Identifier-397557.html
[29] http://www.heise.de/glossar/entry/Point-to-Point-Protocol-over-Ethernet-396829.html
[30] http://www.heise.de/glossar/entry/Dynamic-Host-Configuration-Protocol-398825.html
[31] http://www.heise.de/glossar/entry/Ping-397515.html
[32] http://www.heise.de/glossar/entry/Proxy-398695.html
[33] http://www.heise.de/glossar/entry/Transmission-Control-Protocol-Internet-Protocol-398037.html
[34] http://www.heise.de/glossar/entry/Wireless-Local-Area-Network-395526.html
[35] #NAT-u1
[36] http://www.heise.de/glossar/entry/User-Datagram-Protocol-398809.html
[37] http://www.heise.de/security/dienste/portscan/
[38] http://www.heise.de/glossar/entry/Internet-Control-Message-Protocol-398827.html
[39] http://www.heise.de/glossar/entry/Trojanisches-Pferd-395498.html
[40] http://www.heise.de/glossar/entry/Session-Initiation-Protocol-397437.html
[41] http://www.heise.de/netze/software/default.shtml?srt=l&s=se&kat=447&l_sw=1&l_aw=1&l_fw=1
[42] mailto:je@heise-netze.de

Copyright © 2006 Heise Medien