Die ei­ge­ne Fi­re­wall im Heim­netz

Das In­ter­net der Din­ge macht je­des Ge­rät im ei­ge­nen Netz gleich­zei­tig zu Be­dro­hung und Be­droh­tem. Ein selbst­ge­bau­ter Ac­ces­s­point mit Fi­re­wall mi­ni­miert die Ri­si­ken.

PC Magazin - - Inhalt - MAT­TI­AS SCHLEN­KER

Si­chern Sie Ihr Netz von in­nen und au­ßen

E s ist so weit: Neue Va­ri­an­ten der Mi­raiFa­mi­lie agie­ren noch exi­bler und nut­zen Win­dows-Schad­soft­ware als Sprung­brett. Da­mit ge­fähr­den Li­nux-ba­sier­te Sys­te­me nicht nur an­de­re Li­nux-ba­sier­te IoT-Ge­rä­te, son­dern letzt­lich je­den Rech­ner im Netz. Ei­ne ähn­li­che Lü­cke wie die von Wan­naC­ry aus­ge­nutz­te be­trifft auch vie­le Ver­sio­nen des Sam­ba-Ser­vers. Wann wird die Firm­ware Ih­rer NAS oder Ih­res DSLRou­ters ent­spre­chend ak­tua­li­siert sein? Der Ba­by­sit­ter bringt ger­ne sein ei­ge­nes Note­book mit. Was aber, wenn die­ses mit ei­nem Wurm in ziert ist, ge­gen den noch kei­ne Pat­ches vor­lie­gen? Die Lö­sung liegt in ei­nem WLAN-Ac­ces­s­point, des­sen Fi­re­wall in­di­vi­du­ell ltert, und zwar den Ver­kehr nach drau­ßen ge­nau­so wie den Ver­kehr in­ner­halb des Net­zes. Als Hard­ware kön­nen be­reits 20 Eu­ro güns­ti­ge DSL-Rou­ter zum Ein­satz kom­men, mehr Mög­lich­kei­ten er­öff­nen Rou­ter mit zwei Funk­mo­du­len, die um rund 50 Eu­ro zu ha­ben sind. In die­sem Ar­ti­kel kon gu­rie­ren wir die Rou­ter als rei­ne Ac­ces­s­points. Falls Sie ein se­pa­ra­tes Ka­bel­mo­dem oder DSL-Mo­dem nut­zen, kön­nen Sie spä­ter mit we­ni­gen Än­de­run­gen auch ei­nen ähn­lich kon gu­rier­ten Rou­ter auf­set­zen (DSL-Rou­ter mit in­te­grier­tem Mo­dem und OpenWRTKom­pa­ti­bi­li­tät sind der­zeit rar).

OpenWRT oder LE­DE?

Um die Fra­ge nach dem rich­ti­gen Be­triebs­sys­tem ist ein klei­ner Glau­bens­krieg ent­brannt: Soll man nun das klas­si­sche OpenWRT neh­men oder den mo­der­ne­ren Fork LE­DE? Ge­grün­det wur­de LE­DE von ei­ni­gen fe­der­füh­ren­den Ent­wick­lern des OpenWRTPro­jek­tes, die mehr Fle­xi­bi­li­tät ha­ben und mo­der­ne Kon­zep­te aus­pro­bie­ren woll­ten. Sie wa­ren da­für be­reit, Ab­wärts­kom­pa­ti­bi­li­tät und die Un­ter­stüt­zung äl­te­rer Hard­ware auf­zu­ge­ben. Der­zeit zeich­net sich die Wie­der­ver­ei­ni­gung bei­der Pro­jek­te ab, wo­bei al­ler­dings der Code größ­ten­teils von LE­DE stam­men wird. Da­her soll­ten Sie beim Neu­kauf eher auf LE­DE-Kom­pa­ti­bi­li­tät ach­ten und bei vor­han­de­nen Ge­rä­ten zu­nächst nach­schla­gen, ob LE­DE-Images exis­tie­ren und an­ge­sichts der Sys­tem­an­for­de­run­gen nicht von der LE­DE-Nut­zung ab­ge­ra­ten wird: Beim TP-Link WR841N v10 riet LE­DE von der Nut­zung ab, in un­se­rem Fall hat­ten wir je­doch kei­ne Pro­ble­me, für ei­nen Archer C7 1750 v2.0 gab es Images bei­der Pro­jek­te. Hier be­lie­ßen wir das für ei­nen frü­he­ren Ar­ti­kel in­stal­lier­te OpenWRT. Beim Down­load des In­stal­la­ti­ons­images ist es wich­tig, auf die ex­ak­te Hard­ware­re­vi­si­on

zu ach­ten (sie­he Kas­ten Hard­ware­emp­feh­lung). Bei ei­ner Erst­in­stal­la­ti­on müs­sen Sie das Image mit fac­to­ry im Na­men ver­wen­den, bei Up­dates ei­nes mit sy­sup­grade. Für un­se­ren WR841 war dies le­de-17.01.1ar71xx-ge­ne­ric-tl-wr841-v10-squashfs-fac­to­ry.bin. Die In­stal­la­ti­on des Images ge­lingt meist über das Web­in­ter­face des Rou­ters. In ei­ni­gen Fäl­len (neue­re TP-Link-Firm­ware) muss das Flas­hen via TFTP er­fol­gen.

Das ers­te Log­in

LE­DE und OpenWRT sind stan­dard­mä­ßig auf der IP-Adres­se 192.168.1.1 er­reich­bar und ha­ben ei­nen DHCP-Ser­ver ak­ti­viert, der Adres­sen im Be­reich zwi­schen 100 und 150 ver­gibt. WLAN ist in­ak­tiv. Zur Erst­kon - gu­ra­ti­on soll­ten Sie al­so PC oder Note­book di­rekt mit dem Rou­ter ver­bin­den und die IP-Adres­se in ei­nem Be­reich ein­rich­ten, der nicht vom vor­han­de­nen DSL-Rou­ter per DHCP be­dient wird. Tra­gen Sie die IP-Adres­se des vor­han­de­nen DSL-Rou­ters so­wohl als Gate­way als auch als DNS-Ser­ver ein. Ver­ges­sen Sie nicht, ein Pass­wort zu ver­ge­ben, und de­ak­ti­vie­ren Sie DHCP auf der Et­her­net­schnitt­stel­le. Ak­ti­vie­ren Sie den Drop­be­ar-SSH-Ser­ver für die­se Schnitt­stel­le, denn ei­ni­ge Ein­stel­lun­gen sind auf der Kon­so­le leich­ter vor­zu­neh­men. Der nächs­te Schritt ist ein Aus ug in den Ab­schnitt Soft­ware. Hier wäh­len Sie zu­nächst Up­date Lists, ak­ti­vie­ren den Rei­ter Avail­able Pa­cka­ges und su­chen dann nach eb­ta­bles. In­stal­lie­ren Sie die Pa­ke­te kmod-eb­ta­bles, kmod-eb­ta­bles-ipv4, kmo­debta­bles-ipv6, eb­ta­bles und eb­ta­bles-utils. Auf un­se­rem TP-Link WR941N wa­ren nach der In­stal­la­ti­on ge­ra­de noch 120 KBy­te für wei­te­re Pa­ke­te frei. Punkt­lan­dung für die Fi­re­wall, un­prak­tisch, wenn wei­te­re Funk­tio­na­li­tät er­wünscht ist.

WLAN: Kei­ne Kom­pli­ka­tio­nen mit zwei Net­zen

Jetzt rich­ten Sie das WLAN über Net­work /Wi­re­less ein. Ein Klick auf Enable star­tet den Ac­ces­s­point, der ei­ne di­rek­te Brü­cke ins LAN dar­stellt, al­ler­dings hat der noch kei­ne Ver­schlüs­se­lung. Kli­cken Sie da­her auf Edit und set­zen Sie dann im Rei­ter In­ter­face Con gu­ra­ti­on/Wi­re­less Se­cu­ri­ty die Ver­schlüs­se­lung auf WPA2/PSK. Ein Klick auf Sa­ve & Ap­p­ly star­tet den Ac­ces­s­point neu mit ak­ti­vier­ter Ver­schlüs­se­lung. Span­nend wird es mit ei­nem zwei­ten Netz­werk: Kli­cken Sie un­ter Net­work/Wi­re­less auf Add, um zum vor­han­de­nen WLAN ein wei­te­res lo­gi­sches hin­zu­zu­fü­gen. Wir nann­ten die SSID Gast­zu­gang und aso­zi- ier­ten den Ac­ces­s­point mit ei­nem neu­en Netz­werk Na­mens nat – bis­lang ein rei­nes Dum­my-Netz­werk oh­ne Ver­bin­dung zu an­de­ren Net­zen. Un­ter Net­work>In­ter­faces kon gu­rie­ren Sie nun die­ses Netz­werk: Set­zen Sie das Pro­to­koll auf Sta­tic ad­dress und tra­gen Sie als IP-Adres­se 10.11.11.1 und als Netz­mas­ke 255.255.255.0 ein. Als DNS-Ser­ver kön­nen Sie Googles DNS 8.8.8.8 oder ei­nen DNSSer­ver Ih­res Pro­vi­ders (im Rou­ter aus­le­sen) ver­wen­den. Ak­ti­vie­ren Sie noch den DHCPSer­ver und kli­cken Sie dann auf Sa­ve and Ap­p­ly. Jetzt gilt es noch, un­ter Net­work/ Fi­re­wall ei­ne Fi­re­wall-Re­gel für das neue Netz zu er­stel­len. Nen­nen Sie die dem Netz­werk nat zu­ge­ord­ne­te Fi­re­wall-Zo­ne eben­falls nat, las­sen Sie die Re­geln auf In­put: ac­cept, Out­put: ac­cept und For­ward: re­ject und ak­ti­vie­ren Sie Mas­quera­ding. Un­ter In­ter-Zo­ne-For­war­ding ak­ti­vie­ren Sie For­war­ding zur Zo­ne lan. Mit Sa­ve & Ap­p­ly spei­chern Sie die Fi­re­wall-Ein­stel­lun­gen. Kon gu­rie­ren Sie nun noch un­ter Fi­re­wall Traf c Ru­les ein Sour­ce NAT mit Na­men Gast­zu­gang-In­ter­net, wel­ches als Sour­ce zo­ne nat und als De­sti­na­ti­on zo­ne lan ein­ge­tra­gen hat. Als Sour­ce IP set­zen Sie die ex­ter­ne IP des WLAN-Ac­ces­s­points, wel­che im Drop-down-Me­nü an­ge­bo­ten wird.

Ers­te Tests

Nun soll­ten Sie den In­ter­net­zu­gang tes­ten: So­wohl beim Netz­werk LE­DE als auch beim Gast­zu­gang soll­te In­ter­net­zu­griff mög­lich sein. Über das Netz­werk LE­DE, das als rei­ne Bridge fun­giert, soll­ten End­ge­rä­te die­sel­ben IP-Adres­sen zu­ge­wie­sen be­kom­men wie bei di­rek­tem Zu­griff am DSL-Rou­ter. Auch ist noch Zu­griff auf al­le Hosts im lo­ka­len Netz mög­lich. Bei Zu­gang über das Gast­netz se­hen an­de­re Rech­ner im Netz die Gäs­te nicht, aber noch kann der Gast auf Rech­ner im in­ter­nen Netz zu­grei­fen. Auch kön­nen Cli­ents des Gast­net­zes auf­ein­an­der zu­grei­fen. Wenn die­se Kon gu­ra­ti­on zu­frie­den­stel­lend funk­tio­niert, kön­nen wir be­gin­nen, sie ab­zu­dich­ten. Ers­ter Schritt ist die Iso­la­ti­on von Wi -Cli­ents un­ter­ein­an­der. Dies geht nur auf der Kom­man­do­zei­le. Log­gen Sie sich per SSH als Root am Ac­ces­s­point ein (un­ter Win­dows nut­zen Sie hier­für put­ty.exe) und edi­tie­ren Sie die Kon gu­ra­ti­ons­da­tei /etc/ con g/wi­re­less:

vi /etc/con­fig/wi­re­less Su­chen Sie den Ab­schnitt con­fig 'wifi-iface'

der die SSID Gast­zu­gang ent­hält. Drü­cken Sie i, um den Edi­tor in den In­sert-Mo­dus zu schal­ten, und hän­gen Sie die Zei­le op­ti­on 'iso­la­te' '1' an. Sie ver­las­sen den Edi­tor vi wie­der, in­dem Sie zu­erst Esc drü­cken, dann mit :w (ge­folgt von der Ein­ga­be­tas­te) die ge­än­der­te Da­tei schrei­ben und mit :q schließ­lich den Edi­tor be­en­den. Ist et­was schief­ge­lau­fen, sorgt <ESC> :q! <En­ter> da­für, dass Sie vi oh­ne zu spei­chern ver­las­sen. Al­ter­na­tiv kön­nen Sie sich in ei­nem zwei­ten Put­ty­Pro­zess an­mel­den und ein­fach neu star­ten. Der Be­fehl re­boot star­tet den Ac­ces­s­point mit neu­er Kon gu­ra­ti­on frisch.

Zu­erst die klas­si­sche Fi­re­wall

Um zu ver­hin­dern, dass Gäs­te auf Cli­ents im LAN zu­grei­fen, emp­feh­len wir die Ein­rich­tung ei­ner For­ward Ru­le in den Fi­re­wall-Ein­stel­lun­gen. Nen­nen Sie die Re­gel Gast­zu­griff auf LAN sper­ren und wäh­len Sie als Sour­ce zo­ne nat und als De­sti­na­ti­on zo­ne lan. Als De­sti­na­ti­on Ad­dress tra­gen Sie das ge­sam­te Sub­netz ein (bei­spiels­wei­se 192.168.1.0/24), als Ac­tion drop. Falls ge­wünscht kön­nen Sie noch die Ports 22 (SSH und 80 HTTP) für Zu­grif­fe aus dem Gast­netz auf den Rou­ter sper­ren. Hier ist als De­sti­na­ti­on zo­ne De­vice (in­put) zu wäh­len. In den Fi­re­wall-Re­geln kön­nen Sie auch den Zu­griff auf das kom­plet­te In­ter­net sper­ren (0.0.0.0/0, drop) und ein­zel­ne Ports (Lis­te in der Ta­bel­le) öff­nen, um so bei­spiels­wei­se Gäs­ten nur Zu­griff ins WWW (80 und 443) und auf E-Mails (143, 993, 465, 587) zu ge­ben. Da­bei ist le­dig­lich zu be­ach­ten, dass Re­geln in der Rei­hen­fol­ge von oben nach un­ten ab­ge­ar­bei­tet wer­den, da­bei ge­winnt der ers­te Tref­fer: Re­geln, die den Zu­griff auf be­stimm­te Ports er­lau­ben, müs­sen al­so vor Re­geln ste­hen, die den Rest sper­ren. Mit den klei­nen grü­nen Pfeil­chen ver­schie­ben Sie Re­geln nach oben oder un­ten. Wenn Sie möch­ten, kön­nen Sie auch den un­ge­nutz­ten WAN-Port ana­log zu ei­nem draht­ge­bun­de­nen Gäs­tenetz mit ei­ge­nem IP-Adress­be­reich ( zum Bei­spiel 10.11.12.0/24) um­rüs­ten. Die Re­geln für Fi­re­wall und Sour­ce NAT sind ent­spre­chend dem WLAN Gast­zu­gang ein­zu­rich­ten.

Wei­ter mit den eb­ta­bles

Wäh­rend die klas­si­sche Fi­re­wall auf TCPEbe­ne ar­bei­tet, ltern die eb­ta­bles auf Et­her­net Bridges, set­zen al­so ei­ne Ebe­ne tie­fer im Netz­werk­stack an. Mit ih­nen ist Fil­te­rung an­hand der Hard­ware­adres­sen mög­lich, zu­sätz­li­che Ker­nel­mo­du­le er­lau­ben aber die In­spek­ti­on von IP-He­a­dern und da­mit auch die Fil­te­rung an­hand von IP-Adres­sen so­wie Qu­ell- und Ziel­ports. Mit den rich­ti­gen Re­geln wird so die Brü­cke zwi­schen WLAN und LAN zur Fi­re­wall, Cli­ents kön­nen sich im sel­ben Adress­be­reich be nden, und den­noch ist die Fil­te­rung

durch den Ac­ces­s­point mög­lich. Wol­len wir bei­spiels­wei­se ei­nem Smart TV Zu­griff auf ei­ne NAS mit CIFS-Sha­res ge­ben, so er­rei­chen wir das mit ei­ner Re­gel wie der fol­gen­den für die Ports 137, 138, 139 und 445 und TCP und UDP: eb­ta­bles -t fil­ter -A IN­PUT -i wlan0 --ip-src 192.168.1.123 --ip-dst 192.168.1.2 -p IPv4 --ip-pro­to tcp --ip-dport 137 -j AC­CEPT Ei­ne da­nach fol­gen­de Re­gel sperrt al­le an­de­ren Zu­grif­fe ins lo­ka­le Netz: eb­ta­bles -t fil­ter -A IN­PUT -i wlan0 --ip-src 192.168.1.123 --ip-dst 192.168.1.0/24 -p IPv4 -j DROP Der Zu­griff ins rest­li­che In­ter­net ist hier noch er­laubt. Wei­te­re Ein­schrän­kun­gen des Ver­kehrs nach drau­ßen soll­ten wenn mög­lich am DSL-Rou­ter über des­sen Fi­re­wall statt nden oder bei­spiels­wei­se per Name­ser­ver-Black­lis­ting durch­ge­führt wer­den (die In­stal­la­ti­on und Kon gu­ra­ti­on von piHo­le er­klär­ten wir in PC Ma­ga­zin 6/2017). Re­geln der eb­ta­bles soll­ten mög­lichst kom­pakt ge­hal­ten wer­den, da die Fil­te­rung ei­ne deut­lich hö­he­re CPU-Last ver­ur­sacht als per ip­ta­bles: In un­se­ren Tests stell­ten wir fest, dass ei­ne ein­zel­ne eb­ta­bles-Re­gel bei Fast-Et­her­net-Ge­schwin­dig­keit schnell 3 bis 5 Pro­zent CPU-Last beim Ac­ces­s­point ver­ur­sacht: Sie sind dem­nach auf der si­che­ren Sei­te, wenn Sie die Fil­ter­re­geln so zu­sam­men­füh­ren, dass we­ni­ger als zehn bis fünf­zehn dau­er­haft ab­ge­ar­bei­tet wer­den müs­sen.

Wo­hin mit den Re­geln?

Für eb­ta­bles exis­tiert kein GUI-Mo­dul ana­log dem Front­end für IP-Fil­te­rung. Die Re­geln müs­sen statt­des­sen im Start­script/ etc/ rc.lo­cal ein­ge­tra­gen wer­den. Un­ser Screen­shot zeigt, wie zu­nächst al­le Ta­bel­len ge­leert wer­den. Es folgt das CIFS-Bei­spiel mit zwei ver­schach­tel­ten For-Schlei­fen. Nach dem Neu­start des Rou­ters und gut 30 Se­kun­den War­te­zeit ver­ge­wis­sern Sie sich, dass die Re­geln ge­la­den und ak­tiv sind: Log­gen Sie sich per SSH an der Kon­so­le des Rou­ters ein und ge­ben Sie die­sen Be­fehl ein: eb­ta­bles -L

Fa­zit

Der OpenWRT-ba­sier­te Rou­ter macht mit meh­re­ren vir­tu­el­len Ac­ces­s­points die teil­wei­se oder kom­plet­te Tren­nung kri­ti­scher Ge­rä­te vom ei­ge­nen Netz ein­fach. Al­ler­dings ist Fleiß­ar­beit bei der Art der Fil­te­rung an­ge­sagt: Soll prin­zi­pi­ell al­les ge ltert wer­den und nur Ver­kehr zu be­stimm­ten Di­ens­ten oder Hosts frei­ge­ge­ben wer­den? Oder soll al­les of­fen­blei­ben und punk­tu­ell ge ltert wer­den? Um das her­aus­zu nden, ist es sinn­voll, den Traf c ein­zel­ner Hosts ei­ne Wei­le lang per tcp­dump mit­zu­schnei­den – auch das geht pri­ma an DSL-Rou­tern mit USB-Schnitt­stel­le. Die Mit­schnit­te kön­nen dann mit Wi­reshark aus­ge­wer­tet wer­den und lie­fern so wich­ti­ge Er­kennt­nis­se für künf­ti­ge Re­geln. We­gen der prin­zi­pi­el­len Feh­ler­an­fäl­lig­keit der Kon gu­ra­ti­on per GUI nden Sie im GitHub-Re­po­si­to­ry des Au­tors un­ter https://github.com/mschlen­ker/ PC-Ma­ga­zin die Kon gu­ra­ti­ons­da­tei­en /etc/ con g/net­work, /etc/con g/wi­re­less, /etc/ con g/dhcp, /etc/con g/ re­wall und /etc/ rc.lo­cal, um Ih­re ei­ge­nen Ein­stel­lun­gen ge­gen­zuch­ecken.

We­nig los hier seit dem LE­DE-Fork: Das letz­te OpenWRT-Re­lease ba­siert auf Code von 2015, un­er­setz­lich ist das Wi­ki.

Mo­der­ner, aber bald nicht mehr da: Das LE­DE-Pro­jekt wird wie­der mit OpenWRT fu­sio­nie­ren, der Code wird von LE­DE über­nom­men.

Zwei Net­ze auf ei­nem WLAN-Mo­dul? Ja, das funk­tio­niert – un­ter­schied­li­che Kon gu­ra­ti­on er­mög­licht ziel­ge­rich­te­te Ab­schot­tung.

In der neu ein­ge­rich­te­ten Fi­re­wall-Zo­ne nat muss Mas­quera­ding ak­tiv sein, das For­war­ding ist ab­ge­schal­tet.

Ei­ne Sour­ce NAT

Re­gel für den Gast­zu­gang schreibt das Ab­sen­der­feld der von 10.11.11.1 an­ge­nom­me­nen Pa­ke­te um.

Die /etc/rc.lo­cal edi­tie­ren Sie über Sys­tem > Star­t­up, Än­de­run­gen er­for­dern ei­nen Neu­start.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.