Netzwerk sichern
Jede Netzwerkkomponente mit Anschluss an das Heimnetz ist ein potentielles Sicherheitsrisiko. Haben Hacker erst einmal den Zugriff auf das heimische Netzwerk geschafft, steht ihnen nahezu jede Möglichkeit der Manipulation und Verseuchung aller anderen Net
Sensible Geräte als Hackerschutz im Gastnetz anmelden
Neben diversen Datenskandalen bestimmen auch immer wieder Sicherheitslecks und Hintertüren bei Netzwerkkomponenten die Schlagzeilen in den Medien. Man denke da nur an IP-Kameras, die völlig offen und ohne Passwort über das Internet abrufbar sind, oder Router, die von außen angreifbar sind und Hackern den Weg in das heimische Netzwerk ebnen. Hat dieser den Eintritt in das heimische Netzwerk einmal geschafft, hat er Zugriff auf alle im Netzwerk befindlichen Geräte und kann diese zum Beispiel in ein Bootnetz einbinden oder Viren einschleusen. Die einzige Barriere ist hier der Router, der vergleichbar mit der Wohnungstür ist. Wenn diese erstmal geöffnet ist, hat der Einbrecher Zugriff auf das gesamte Haus. Aber auch die Fenster – im Fall des Netzwerkes Drittkomponenten wie Receiver, Fernseher oder Smart-Home-Komponenten – eigenen sich zum Einbruch. Denn selbst wenn der Router auf dem aktuellen Stand ist und über eine gute Firewall verfügt, unsichere Komponenten erlauben möglicherweise dennoch den Zugriff.
Immer mehr Online
Das Thema ist dabei gravierender, als mancher im ersten Moment denkt. Fernseher benötigen einen Internetanschluss für HbbTV, App-Zugriff und Updates. Auch der Receiver wird in aller Regel mit dem Netzwerk und damit dem Internet verbunden. Smart-Home-Systeme wie beispielsweise WLAN-Steckdosen oder IP-Kameras sind sogar zwingend auf einen Internetzugang angewiesen, da der Zugriff auch von unterwegs möglich sein soll und viele WLAN-Steckdosen über Server geschaltet werden. Hier beginnen die Sicherheitsprobleme, denn je nach System wenden die Hersteller auch Tricks an.
Tunnel durch die Firewall
Immer dann, wenn ein Gerät von außen erreichbar sein soll, muss im Normalfall ein Port im Router weitergeleitet werden. Der Nutzer muss also aktiv eingreifen und eine solche Weiterleitung einrichten. Daraufhin leitet der Router Anfragen aus
dem Internet an den entsprechenden internen Port weiter. Da sich aber nicht jeder mit dieser Einrichtung auskennt und die Einrichtung auch vergleichsweise kompliziert ist, bedienen sich viele Hersteller eines Tricks: Die Verbindung wird über einen ohnehin geöffneten Port getunnelt. Praktisch handelt es sich also über ein virtuelles Netzwerk (ähnlich einem VPN). Hierzu muss nur das Gerät über eine App angesprochen werden. Dort müssen dann die Zugangsdaten in das heimische Netz bzw. WLAN freigegeben werden. Steht die Verbindung, ist das Gerät völlig unabhängig von den Portfreigaben im Router erreichbar. Davon merkt der Nutzer praktisch nichts. Doch die Umgehung hat ihren Preis. Denn wird ein System kompromittiert, kann auf diesem Weg auch ein Hacker den Weg in das heimische Netzwerk finden. Dasselbe kann auch bei anderen Netzwerkgeräten passieren – also auch über einen Fernseher, Receiver oder Sat-IP-Server. Bei Letzterem beispielsweise ist ein ungehinderter Zugriff über Telnet möglich, weil dort bei manchen Systemen kein oder nur ein (Hackern bekanntes) Passwort hinterlegt ist. Auch hier könnte dann Schadsoftware in das Netz eingeschleust werden und wichtige Infrastruktur wie den Arbeitsrechner befallen. Doch was kann man dagegen tun, legen doch die wenigsten Hersteller Informationen über die Netzwerkeinbindung offen? Eine einfache, aber sehr effektive Möglichkeit sind separate, abgeschottete Netzwerke.
Eigenes Netzwerk für Risikogeräte
Hierzu richten wir ein komplett eigenständiges Netzwerk mit einer anderen IP-Range ein. Diesem geben wir zwar die Zugriffsmöglichkeit auf das Internet, nicht aber das zu schützende Heimnetzwerk. Geräte, die in diesem neuen Netzwerk einsortiert werden, können dann generell nicht auf das Heimnetzwerk zugreifen und somit auch nur begrenzt bis gar keinen Schaden anrichten. Unser neues Netzwerk können wir dann auch noch zusätzlich absichern und beispielsweise auch verbieten, dass Geräte untereinander interagieren können. Schafft es also ein Hacker tatsächlich in unser gesichertes Netz, kommt er lediglich auf die Komponente, mit der er den Zugriff erreicht hat, nicht aber auf andere Systeme im Netz. Das ist übrigens ein gängiges Szenario auch bei großen Firmennetzwerken. Dort werden mit Routern die Netzwerke untereinander abgegrenzt. So bekommt dann die Buchhaltung ein eigenes Netz, ebenso die Produktion. Im heimischen Umfeld lohnt ein so großer Aufwand aber kaum, zumal hier nicht unerhebliche Kosten entstehen würden. Wer eine neuere Fritz!Box nutzt, hat allerdings praktisch schon ein zweites abgesichertes Netzwerk eingebaut, das muss nur noch aktiviert werden.
Gastnetzwerk bei der Fritz!Box
Die Rede ist vom Gastnetzwerk. Dieses soll eigentlich Gästen ermöglichen, das heimische Netzwerk für den Zugriff auf das Internet mit zu nutzen, ohne aber einen Zugriff auf wichtige Komponenten zu haben. Schließlich weiß man bei Gästen nie, welche Systeme zum Einsatz kommen und ob Smartphone, Tablet & Co. nicht bereits von Schadsoftware befallen sind. Dieses Gastnetzwerk machen wir uns zunutze und verlegen alle Komponenten, die ein Sicherheitsrisiko darstellen, in dieses neue Netzwerk. Zunächst prüfen wir, dass sich die Fritz!Box im Expertenmodus befinden. Eventuell müssen wir diesen erst aktivieren. Dann aktivieren wir das Gastnetzwerk und vergeben einen SSID-Namen sowie ein Passwort für den WLAN-Zugang. Zwar wäre auch der Betrieb als offenes WLAN
ohne Passwort möglich, dies nutzen wir aus Sicherheitsgründen aber nicht. Demnach machen wir ein Häkchen bei „Gastzugang aktiv“und wählen „privater WLAN-Zugang“aus. Zusätzlich nehmen wir noch Änderungen bei „Weitere Einstellungen“vor. Vorerst aktivieren wir hier zusätzlich das Häkchen „WLAN-Geräte dürfen kommunizieren“und entfernen das Häkchen „Internetanwendungen beschränken“. Diese Einstellung können wir später wieder ändern, doch zum Anmelden und auch für Updates sind die hier empfohlenen Einstellungen erst einmal zu ändern. Nach dem Klick auf „übernehmen“richtet die Fritz!Box nun das Gastnetzwerk wie gewünscht ein. In unserem Fall aktiviert der Router damit den neuen IP-Bereich 192.168.179.xxx.
Geräte umsortieren
Nun können wir Überlegungen anstellen, welche Geräte in unser sicheres Netzwerk verschoben werden sollen. Grundsätzlich empfehlen wir, alle Smart-Home-Komponenten unbekannter Herkunft mit Netzwerkanbindung in das neue Netzwerk zu verlegen. Das gilt also beispielsweise für Systeme, die mit chinesischen Servern kommunizieren. Aber auch der Fernseher oder Receiver finden besser im alternativen Netzwerk Platz. Grundsätzlich gilt: Ist ein interner Zugriff auf das Gerät nicht erforderlich, sollte es aus Sicherheitsgründen in das Gastnetzwerk verlegt werden. Hat der Fernseher oder Receiver also nur einen Internetzugriff wegen der Updates und HbbTV, kann er problemlos umverlegt werden. Sollen allerdings Medien aus dem heimischen Netzwerk gestreamt werden (also zum Beispiel von einer Netzwerkfestplatte), muss diese entweder auch in das Gastnetz oder der Fernseher weiter im normalen Heimnetz betrieben werden. Das ist dann immer eine individuelle Abwägung. Alle im Gastnetz gemeldeten Komponenten werden übrigens bei der Darstellung in der Fritz!Box mit einem symbolischen Koffer versehen. Dabei haben wir uns bislang nur mit WLAN-Geräten beschäftigt. Doch auch so manche drahtgebundene Komponente sollte möglicherweise besser in das Gastnetzwerk. Auch hier bietet die Fritz!Box eine Möglichkeit.
Drahtgebundenes Netzwerk
Um auch Geräte mit Netzwerkkabel in das Gastnetz zu verlegen, müssen wir noch eine weitere Einstellung in der Fritz!Box vornehmen. Hierzu rufen wir die Netzwerkeinstellungen auf und suchen dort den Menüpunkt „Gastzugang“. Hier können wir ein Häkchen bei „Gastzugang für LAN 4 aktiv“setzen und somit dem vierten LAN-Anschluss für diese Funktion nutzen. Soll nur ein einziges Gerät im Gastnetzwerk betrieben werden, reicht es, einfach das LAN-Kabel in den Port 4 zu stecken. Bei mehreren Geräten hingegen benötigen wir noch einen Switch. Über diesen verteilen wir dann den Anschluss der LAN-Kabel für unsere Geräte, die in das Gastnetzwerk sollen.
Weiter absichern
Haben wir alle Geräte im Gastnetz untergebracht, können wir die Sicherheit weiter erhöhen. Hierzu rufen wir noch einmal die WLAN-Gastnetzeinstellung auf und entfernen das Häkchen bei „WLAN-Geräte dürfen kommunizieren“wieder. Zusätzlich aktivieren wir testweise das Häkchen „Internetanwendungen beschränken“. Nun prüfen wir, ob alle Geräte im Netzwerk noch korrekt funktionieren. Normalerweise dürfte dies der Fall sein. Es kann allerdings passieren, dass für Updates kurzzeitig die Begrenzung für Internetanwendungen wieder deaktiviert werden muss. Bei uns war das beispielsweise bei WLAN-Steckdosen des Herstellers Sonoff der Fall. Dort war ein Einspielen der neuen Firmware nur möglich, wenn die Beschränkung abgeschaltet war.
Gesicherter Zugriff
Hat alles geklappt, funken nun alle verlegten Komponenten in unserem besser abgesicherten Gastnetz. Wichtig ist hier vor allem, dass potentielle Hacker keine Möglichkeit mehr haben, beispielsweise unseren Hauptrechner zu infizieren. Das bringt ein deutlich höheres Maß an Sicherheit, als wenn wir den Komponenten den Zugriff auf unser empfindliches Heimnetzwerk erlauben würden. Übrigens brauchen Sie hierzu nicht zwingend eine Fritz!Box, auch andere Router verfügen teilweise über eine solche Praktische Funktion. Hier hilft ein Blick in die Dokumentation des Routers. Denn viele andere Hersteller bieten ähnliche Funktionen unter dem Namen „Gastzugang“, „Gast-Netzwerk“, „Guests“oder auch „Virtual Access Points“. Letzteres ist beispielsweise bei D-Link der Fall.