Schutz vor Hackern
Router-Firewall richtig konfigurieren
Jeder Heimnetz-Router soll die daran angeschlossenen Geräte mit seiner Firewall schützen. Wie Sie die Router-Firewall richtig konfigurieren, um noch mehr Schutz zu bekommen, erklären wir.
Wie Sie Ihre Router-Firewall richtig konfigurieren, sich besser schützen und dennoch Ihr NAS von außen ansteuern können, zeigen wir Ihnen hier: Manchmal möchte man einzelne Geräte auch vom Internet aus im Heimnetz erreichen, wie zum Beispiel das NAS. Oder die netzwerkfähige IP-Kamera, die Ihnen aktuelle Videostreams vom Kind, der Katze oder dem Kellereingang zu Hause übermitteln kann. Für einen solchen Fernzugriff benötigt man als erste Voraussetzung die externe IP-Adresse des Routers.
Allerdings ändert sich diese bei den meisten privaten Internet-Anschlüssen täglich. Legen Sie sich deshalb ein Konto bei einem DDNS-Dienst an, der der ständig wechselnden Router-IP-Adresse eine gleichbleibende URL zuweist. Manche Provider bieten auch gegen einen monatlichen Aufpreis eine feste, öffentliche IP-Adresse an.
Sobald Sie Ihren Router aus dem Internet mit dessen externer IP-Adresse oder der entsprechenden DDNS-URL ansurfen, so wird der Router diese Anfrage erst einmal abblocken. Denn die Firewall von außen nach innen ist ja nach wie vor dicht und zudem hat der Router auch noch keine Information, welches Ihrer Geräte im Heimnetz Sie denn nun eigentlich erreichen möchten. Er weiß nicht, an welches Gerät er die Verbindungsanfrage weiterleiten soll. Und hier kommt die Portweiterleitung ins Spiel.
Die Portweiterleitung
Um beispielsweise von außen auf die Browser-Oberfläche Ihres NAS oder der IP-Kamera zugreifen zu können, müssen Sie dem Router irgendwie mitteilen, dass er Ihre Anfrage an das NAS - und nicht an den PC oder das Webradio - weiterleiten soll. Deshalb fügen Sie der IP-Adresse (oder der DDNS-URL) noch eine weitere Information hinzu: die Portnummer. Anhand dieser Portnummer kann die Firewall im Router die Anfrage an das richtige Gerät im Heimnetz weiterleiten. Allerdings nur dann, wenn Sie diesen Port samt Zugriff auf das entsprechende Heimnetzgerät auch in der Router-Firewall freigeschaltet haben.
Bei einer Portweiterleitung im Router stellen Sie ein, was geschehen soll, wenn eine Anfrage aus dem Internet mit einem bestimmten Port am Router eintrifft. Angenommen Ihr Router hat aktuell die externe IP-Adresse 87.106.88.25. Als Portweiterleitung haben Sie eingetragen, dass alle eingehenden Anfragen mit Port 8070 auf Ihr NAS mit der internen Adresse 192.168.1.30 weitergeleitet werden sollen.
Lesetipp: Fernzugriff aufs Heimnetz - so geht's
In den meisten Firewall-Einstellungen können Sie außerdem noch angeben, auf welchen internen Port am NAS die Anfrage erfolgen soll, zum Beispiel an Port 80. Die Verbindungsanfrage funktioniert wie folgt: Sie geben von einem beliebigen Internet-PC die Adresse http://87.106.88.25:8070 in den Browser ein. Anhand der Portnummer 8070 erkennt die Firewall im Router, dass die Anfrage an das NAS weiterzuleiten ist.
Da auf einem NAS meist mehrere Dienste laufen, gibt man in der Portweiterleitung selbst noch an, welcher Dienst auf dem NAS tatsächlich angewählt wird. Achtung: Bei einer Portweiterleitung auf eine SSL-Verbindung, geben Sie im Browser die Adresse nicht mit http:// sondern mit https:// an.
Echte DMZ und Pseudo-DMZ
Eine interessante Strategie, um Portweiterleitungen auf ein bestimmtes Gerät (NAS, Webserver) möglichst sicher für alle übrigen Geräte im Heimnetz zu gestalten, ist die Einrichtung einer demilitarisierten Zone, kurz DMZ. Für eine DMZ benötigen Sie zwei Router beziehungsweise Firewalls, die Sie als Kaskade hintereinander schalten.
Das NAS-Gerät oder der Webserver, der aus dem Internet erreichbar sein soll, befindet sich dann im lokalen Netzwerk zwischen dem äußeren Router und dem inneren Router. Dieser Bereich wird als DMZ bezeichnet. Der äußere Router leitet Zugriffe aus dem Internet, zum Beispiel über eine Portweiterleitung, an den Server in der DMZ weiter. Der innere Router hingegen blockt alle Verbindungsmöglichkeiten aus der DMZ und somit auch aus dem Internet ab.
Selbst wenn ein Angreifer aus dem Internet den Server in der DMZ übernehmen könnte, wird der innere Bereich durch die zweite (Router-) Firewall geschützt.
Doch Vorsicht: In den WAN- oder Portweiterleitungseinstellungen vieler Heimnetz-Router findet sich recht häufig die Einstellung DMZ oder DMZ/Exposed Host, wobei diese Einstellung nichts mit einer echten DMZ gemein hat, sondern in Bezug auf die Sicherheit sogar das glatte Gegenteil bedeutet.
Wenn Sie Ihr NAS oder ein anderes Gerät in Ihrem Netzwerk als DMZ/Exposed Host konfigurieren, so ist die Router-Firewall für dieses Gerät komplett deaktiviert. Der Router leitet alle Anfragen aus dem Internet an diesen ausgesetzten (exposed) Host weiter. Alle anderen, bereits eingerichteten Portfreigaben werden dadurch automatisch unwirksam, da der Router sämtliche Anfragen von außen, egal, an welchen Port diese gerichtet sind, automatisch an den Exposed Host leitet.
Mit dieser Einstellung gefährden Sie nicht nur die auf dem Exposed Host gespeicherten Daten, sondern auch alle übrigen Geräte im Heimnetz, falls das Gerät von Angreifern übernommen und als Brückenkopf verwendet wird. Aktivieren Sie DMZ/Exposed Host deshalb nur zu Testzwecken.
Sicherheitsrisiko UPnP
Apropos löchrige Firewall: Selbst viele moderne AC-WLAN-Router kommen in den Werkseinstellungen mit einer nicht zu unterschätzenden Lücke daher. So besitzt jeder Heimnetz-Router eine UPnP-Option, mit der sich Sicherheitseinstellungen in der Firewall, wie zum Beispiel Portweiterleitungen, automatisiert einstellen lassen. Wenn also eine bestimmtes Gerät im Heimnetz, beispielsweise eine Spielekonsole oder ein Videotelefonie-Client, zur besseren Kommunikation gewisse Ports in der Router-Firewall geöffnet haben möchte, so kann diese Anwendung die Router-Firewall nach Ihren Wünschen über das lokale UPnP-Protokoll anpassen.
Problematisch wird es dann, wenn das Öffnen der Firewall-Ports von einem unerwünschten UPnP-Client erfolgt. Letzterer kann sich als Software oder App auf jedem beliebigen Gerät im Heimnetz befinden. Wenn Sie also eigener Herr über die Firewall Ihres Routers bleiben möchten, deaktivieren Sie die Steuerung Ihres Routers über UPnP.
