Router - Feierabend

Alles über Home-Router
Inhaltsverzeichnis
Grundlagen
• Aufgabe eines Routers
• IP-Pakete
• Ports
• IP-Adressen und DNS
• TCP und UDP
• Die Verkabelung
• DSL-Modem
Router
• Aufbau eines LAN
◦
Ethernet, Hub und Switch
◦
Feste IP-Adressen oder DHCP
• Sicherheit
◦
NAT
◦
Firewall
WLAN und Sicherheit
• Router-Kennwort
• SSID verstecken
• Teilnahme auf bestimmte Rechner beschränken
• WEP, WPA, WPA2
• Einstellungen auf dem Mac und dem PC
Aufgaben eines Routers
In diesem Artikel geht es nicht um die Hochleistungs-Router des Internets,
sondern um die so genannten Home-Router, die oft auch ein DSL-Modem,
einem Switch, eine Firewall, einem DHCP-Server und WLAN in einem
Gehäuse vereinen.
Der Router selbst ist ein Vermittler. Er vermittelt die Datenpakete zwischen
räumlich oder logisch getrennten Netzwerken. Die Hauptaufgabe eines
Internet-Routers ist die Wegewahl für die weiter zu leitende Datenpakete. Für
jedes Datenpaket ermittelt der Router den effektivsten Weg und leitet es dann
an den Empfänger weiter.
Im Falle unseres Home-Routers ist die Aufgabe recht einfach. Hier koppelt der
Router das lokale Netzwerk bestehend aus 1, 2, 3 oder 4 Rechnern an einen
DSL-Zugang (es gibt auch Router für ISDN). Der Router nimmt Datenpakete
aus dem lokalen Netzwerk entgegen und leitet diese an den Internetprovider
weiter. Empfangene Datenpakete aus dem Internet werden wiederum an das
lokale Netzwerk übergeben. Eine zusätzliche Funktion – NAT genannt – sorgt
dafür, dass die Daten den einzelnen Rechnern korrekt zugewiesen werden.
Die von einem Router weiter zu leitenden Datenpakete heißen IP-Pakete und
in diesen Paketen stehen neben den Nutzdaten auch die Absender- und die
Ziel-IP-Adresse, sowie die zugehörigen Port-Nummern. Schauen wir uns nun
der Reihe nach an, was diese und weitere im Zusammen mit Routern wichtige
Fachausdrücke bedeuten.
IP-Pakete
IP steht für „Internet Protokoll“. Ein Protokoll ist eine Art Fremdsprache, die
zwei Computer (oder andere Geräte) verstehen müssen, wenn sie
miteinander kommunizieren wollen. Doch wozu braucht man Pakete?
Ein paar hundert Anwender greifen zugleich auf den Feierabend-Server zu
und tun dabei ganz verschiedene Dinge. Das ist erstaunlich, denn der Server
hängt nur über eine einzige Leitung am Internet. Wie bringt es diese Maschine
fertig, jeden Anwender glauben zu lassen, der ganze Feierabend-Server
gehöre ihm ganz alleine? Etwas präziser: Wieso können viele Anwender eine
Leitung gleichzeitig nutzen, und wie unterscheidet der Server die einzelnen
Nutzer?
Die erste Frage ist einfach zu beantworten. Der Datenstrom wird in kleine
Portionen aufgeteilt. Diese Datenpakete werden IP-Pakete genannt, und diese
werden in Abständen nacheinander verschickt. Innerhalb der Lücken
zwischen zwei IP-Paketen eines Anwenders werden die Pakete anderer
Anwender übertragen. Gibt es also beispielsweise 10 Anwender, wird das
erste Paket von Anwender 1 übertragen, dann folgen 9 andere und nun erst
das zweite Paket von Anwender 1. Sind es 100 Teilnehmer, passieren
zwischenzeitlich schon 99 fremde Pakete diese eine Leitung. Dass diese
Leitung sehr schnell sein muss, ist klar.
Nun muss der Server das zweite Problem lösen, nämlich jeden Nutzer
individuell zu bedienen. Dafür nutzt er so genannte Ports.
Der Server ist eine Multitasking-Maschine, er kann viele Tätigkeiten (Tasks)
parallel ausführen. Für jeden, der sich bei Feierabend einloggt, startet der
Server einen neuen Task, und der legt einen so genannten Socket an. Ein
Socket ist eine Software-Schnittstelle zwischen dem jeweiligen Task und der
Außenwelt. Auch der Client (also der PC) hat einen Socket, praktisch
kommunizieren die Sockets miteinander.
Ports
Jetzt gilt es nur noch, die richtigen Sockets miteinander zu verbinden, und das
ist Sache der Ports. Ein Port ist eine 16-Bit-Zahl im Bereich von 0 bis 65.535.
Die Ports mit den Nummern 0 - 1023 sind für bestimmte Dienste bzw.
Protokolle reserviert. Einige davon sind diese:
Port Dienst
21 FTP (Datei-Übertragung)
23 Telnet (Kommandosprache, verstehen manche Router).
25 SMTP (Postversand)
80 HTTP (Web)
110 POP (Email-Abholung)
Wenn Sie einen Server ansprechen, wählen Sie dessen IP-Adresse (siehe
unten) sowie den passenden Port an, fragt sich nur wie? Ganz einfach: Sie
senden im Datenpaket neben der IP-Adresse auch die Portnummer.
Die folgende Abbildung zeigt aus Sicht des Servers, was dabei passiert.
Daraufhin wird eine Verbindung aufgebaut und dieser eine neue, so genannte
lokale Portnummer (ab 1024) zugeteilt. Das ist schon deshalb wichtig, weil
beispielsweise der HTTP-Port (80) sofort wieder freigegeben werden muss,
um den nächsten Anwender erwarten zu können.
Um eine bestimmte Anwendung, wie HTTP, zu adressieren, müssen Datenpaket die passende Portnummer
gesendet werden.
Der neue Port hingegen wird mit einem Socket verbunden. Damit besteht jetzt
eine eindeutige Beziehung zwischen dem Client (unserem PC) und dem
Server. Die folgende Abbildung verdeutlicht diese Aktion.
Nachdem die erste Verbindung über den Applikationsport hergestellt wurde, werden Verbindungen mit anderen
Portnummern aufgebaut. Damit lassen sich die einzelnen User auseinanderhalten.
IP-Adressen und DNS
www.feierabend.com klingt zwar gut, doch damit wird der Feierabend-Server
gar nicht angesprochen. Adressiert wird immer mittels IP-Adressen. Die IPAdresse entspricht der Postleitzahl eines Gerätes, das sich im Internet oder in
einem lokalen Netzwerk befindet. Nicht nur PCs und Server haben IPAdressen, sondern auch der Router oder netzwerkfähige Drucker. Um eine
eindeutige Zustellung von Datenpaketen zu ermöglichen, darf es jede IPAdresse innerhalb des Internets bzw. eines lokalen Netzwerks nur einmal
geben.
Die IP-Adresse besteht aus vier dreistelligen Zahlengruppen,
wie192.168.122.156. Jede Zahlengruppe kann Werte zwischen 000 und 255
einnehmen. Daraus ergibt sich, dass maximal rund vier Milliarden PCs
gleichzeitig mit dem Internet verbunden sein können.
Sie können anstatt einer URL (Uniform Resource Locator), wie
"http://www.google.de" durchaus die IP-Adresse (66.249.85.104) in das
Adressfeld des Browsers eintragen oder für Feierabend 81.3.61.2. ganz
korrekt geben Sie auch noch die Portnummer an und schreiben dann
81.3.61.2:80.
Tun Sie das nicht, sondern tippen www.feierabend.com, dauert es etwas
länger. In diesem Fall verbindet sich nämlich Ihr Browser zuerst mit einem
DNS-Server (Domain Name Server), um dort nachzulesen, welche IP-Adresse
z.B. "http://www.google.com" hat. Damit Ihr Browser weiß, wo er suchen
muss, müssen Sie im Rahmen der Internet-Konfiguration zwei DNS-Adressen
eintragen. Die erste (primäre) Adresse wird im Normalfall genutzt, die zweite,
wenn der erste Server nicht oder zu spät antwortet. Die DNS können aber
auch von einem Router automatisch oder manuell bezogen werden, wozu
man noch wissen muss, dass sich der Router selbst die DNS vom Provider
holt.
TCP und UDP
TCP und UDP sind die beiden 4-Schichten-Protokolle, mit deren Hilfe im
Internet kommuniziert wird. Wenn zwei Anwendungen zuverlässig miteinander
kommunizieren wollen, bauen sie eine TCP-Verbindung auf. TCP heißt
"Transport Control Protocol", und zwar im Sinne von kontrolliertem Transport.
TCP baut eine feste Verbindung auf, ähnlich wie bei Telefongesprächen.
Dabei garantiert TCP, dass die Daten zur Gegenstelle gelangen und zwar in
der Reihenfolge, in der sie gesendet wurden. Wenn nicht, meldet TCP einen
Fehler und die Daten werden erneut übertragen. HTTP oder FTP wären ohne
TCP nicht möglich.
Im Gegensatz zum verbindungsorientierten TCP steht das verbindungslose
UDP (User Datagram Protocol). UDP sendet einfach seine Datagramme
(Datenpakete). Nichts garantiert, dass die Pakete ankommen, und wenn,
dann muss die Reihenfolge der Pakete nicht stimmen. Fehlermeldungen unter
UDP gibt es nicht. Da fragt mancher nach dem Nutzen dieses Protokolls, aber
den muss es wohl geben.
Ein typisches Beispiel ist ein Uhr-Server. Dieser sendet ein Paket der Art "es
ist jetzt 13:17:39". Wenn nun in typsicher TCP-Systematik eine Rückmeldung
der Art "Paket fehlerhaft, sende es nochmals" käme, wäre diese Uhrzeit nicht
mehr aktuell.
TCP setzt auf dem IP (Internet Protocol) auf und deshalb liest man häufig
TCP/IP.
Die Verkabelung
Das folgende Bild zeigt, wie die Geräte grundsätzlich anzuschließen sind.
Die gestrichelte Linie deutet an, dass sich DSL-Modem, Router und Access
Point (für das WLAN) auch in einem Gehäuse befinden können.
Das Kabel vom DSL-Modem zum Router
Wenn sich Router und DSL-Modem nicht in einem Gehäuse befinden,
müssen sie über ein vieradriges Ethernetkabel verbunden werden, also ein
Kabel, an dessen beiden Enden RJ45-Stecker sind. Das eine Ende wird am
DSL-Modem an einen Steckplatz mit der Bezeichnung "LAN" angeschlossen,
das andere Ende am Router am Steckplatz "WAN".
Das Kabel vom DSL-Modem oder Router zum Computer
Ein einzelnes DSL-Modem wird über ein vieradriges Ethernetkabel mit RJ45Steckern an den Ethernet-Anschluss des Computers angeschlossen. Ein
Router hingegen hat i.d.R. 4 LAN-Anschlüsse. Damit lassen sich bis zu 4
Computer auch über Ethernetkabel verbinden. Sollen wenige als 4 Rechner
angeschlossen werden, ist es egal, welche der Anschlüsse Sie nutzen. Die
Kabel können bis zu 100 m lang sein, doch dann sollten Sie hochwertiges so
genanntes CAT5-Kabel einsetzen.
DSL-Modem
Ein einfaches Modem überträgt das Signal, indem es einen Ton
unterschiedlich moduliert. Prinzipiell ist das bei DSL auch nicht anders, nur
dass 256 unterschiedlich hohe Töne parallel übertragen werden. Das
Nutzsignal in 256 „Spuren“ aufzuteilen und am anderen Ende wieder
zusammen zu bauen und das auch noch in TCP/IP zu übersetzen, ist schon
eine komplizierte Geschichte, aber belassen wir es dabei.
Uns interessiert mehr, was wir tun müssen, um so ein DSL-Modem in Betrieb
zu nehmen bzw. den Router, in dem das DSL-Modem steckt, mit dem
Provider zu verbinden. Das folgende Bild des DSL-WLAN-Routers von AVM
zeigt, das die Sache rechte einfach sein kann.
Ihr Provider nennt ihnen eine Benutzerkennung und ein Kennwort. Beides
müssen Sie eingeben und dann noch den Provider selbst aus dem
Ausklappmenü wählen. Ist Ihr Provider nicht dabei, wählen Sie „Anderer
Internetanbieter“, mit der Folge, dass dann die Software etwas länger suchen
muss, aber findet, was sie braucht. Eine DSL-Verbindung ist nämlich eine
Standleitung zu Ihrem Provider. Mit der Einwahl wählen Sie keine TelefonNummer, sondern verbinden sich mit dem Computer Ihres Providers, der Sie
dann mit dem Internet verbindet.
Das die Sache auch wesentlich komplizierter sein kann, zeigt das nächste
Bild. Es stammt von Draytek-Router Vigor 2600G.
Hier muss man die Fußzeile beachten. In Deutschland gilt der UR-2/T-DSLStandard der Telekom und somit muss man die Angaben aus dieser Zeile
übernehmen.
Router
Ein Router muss Daten zwischen einem LAN und dem Internet vermitteln.
Deshalb zeige ich zuerst, wie ein LAN aufgebaut und verkabelt wird, zumal
die LAN-Zentrale oft zusammen mit dem Router in einem Gehäuse steckt.
Wie man das LAN um drahtlose Verbindungen erweitert, folgt später im
Kapitel „WLAN“.
Aufbau eines LAN
LAN steht für „Local Area Network“, auf Deutsch „lokales Netzwerk“. Das
Weitverkehrsnetz (WAN= Wide Area Network) hingegen meint hier das
Internet.
Ein lokales Netzwerk besteht aus mehreren PCs, die untereinander über
Kabel- oder Funkverbindungen kommunizieren können. Auch
Peripheriegeräte wie Drucker oder Scanner können Teil des Netzwerkes sein.
Das folgende Bild zeigt, wie auf diese Art 4 PC mit Kabeln zu einem Netzwerk
verbunden werden
Ethernetm Hub und Switch
Der am häufigsten eingesetzte Netzwerktyp trägt die Bezeichnung Ethernet.
Jeder aktuelle Computer hat einen Ethernet-Anschluss in Form einer RJ45Buchse, wie schon gesagt, die etwas größere Ausgabe des ModemAnschlusses RJ11. Verbindet man mehrere Computer, zieht man EthernetKabel von jedem Computer zu einem Zentralgerät und zwar zu einem Hub
oder zu einem Switch. Beide übernehmen die Verteilung der Datenpakete
innerhalb eines LAN.
Merke: Ein Switch ist schneller als ein Hub und der Preisunterschied zwischen
beiden ist inzwischen so minimal, dass Sie auf jeden Fall einen Switch kaufen
sollten.
Derzeit dominiert in den privaten Haushalten und in kleineren Unternehmen
der 1995 veröffentlichte Fast-Ethernet-Standard 100Base-T, der eine
Übertragungsgeschwindigkeit von 100 MBit/s ermöglicht.
Merke: Verbunden wird über durchgehende Ethernet-Kabel, sog. Patch-Kabel.
Gekreuzte Kabel (Cross-Kabel) benötigen man für Kaskaden von Switches
oder wenn man 2 Computer direkt mit einem Ethernet-Kabel verbinden will.
Doch auch das gilt nicht mehr für neuere Geräte. Die erkennen automatisch,
welches Kabel angeschlossen ist und schalten sich dann selbst um. Die
Länge der Kabel sollte in zwischen 2 PCs 200 m nicht überschreiten. Das
heißt im obigen Bild sollten alle Kabel höchstens 100 m lang sein.
Feste IP-Adressen oder DHCP
Sie haben – wie im obigen Bild gezeigt -- nun mindestens einen Rechner per
Ethernet-Kabel mit dem Switch des Routers verbunden, doch nichts geht. Der
Router soll über einen Browser, wie den Internet Explorer, eingestellt werden,
doch das klappt nicht. Oder: Sie haben 2, 3 oder 4 Rechner am Switch
angeschlossen, doch Daten zwischen den Rechnern lassen sich nicht
übertragen.
Der Grund des Übels: Der Router und die Rechner haben keine IP-Adressen
oder solche, die nicht zusammen passen. Wahrscheinlich ist letzeres der Fall,
denn moderne Betriebssysteme vergeben selbst IP-Adressen, wenn sich
sonst kein Anbieter findet.
Das Problem: Eine IP-Adresse wie 192.168.1.56 besteht aus einer
Netzadresse und einer Rechneradresse. Was was ist, bestimmt eine so
genannte Maske.
192.168.1.56 mit der Maske 255.255.255.0 heißt, dass die ersten 3 Werte die
Netzwerkadress bilden und der vierte Wert die Rechneradresse ist. Wichtig
ist, dass Netzadressen identisch sind, man sagt auch, alle Adressen müsse
im selben Teilnetz liegen.
Bestimmt wird das Teilnetz (Subnetz) durch die IP-Adresse des Routers. Ein
Router hat beispielsweise die IP-Adresse 192.168.1.1. Dann sollte man noch
ein paar Werte für Router-interne Abstand geben und dann IP-Adressen der
Art
192.168.1.11
192.168.1.12
192.168.1.13
Die Subnetmaske für alle Adressen ist 255.255.255.0
Was man sonst einstellen muss, zeigt das obige Bild aus Windows XP. Zu
diesen Einstellungen selbst gelangen Sie in der Systemsteuerung in der
klassischen Ansicht über Netzwerkverbindungen, eine Rechtsklick auf LANVerbindung und dann auf Eigenschaften. Das führt zum folgenden Bild :
Hier wählen Sie „Internetprotokoll (TCP/IP) und klicken auf „Eigenschaften“.
Im Feld „Standardgateway“ tragen Sie die IP-Adresse des Routers ein.
Gateway ist eine allgemeine Bezeichnung für eine Schnittstelle zwischen zwei
Computer-Netzwerken. Ein solcher Netzübergang wird meistens durch einen
Router umgesetzt, es kann aber auch so genannte eine Bridge sein, wenn es
nur um den Übergang geht.
Auch in das Feld DNS-Serveradresse tragen Sie zuerst die IP-Adresse des
Routers ein, denn ein Router liefert auch die DNS Ihres Providers. Für den
Fall, dass dabei etwas schief geht, zum Beispiel, dass dieser DNS-Server
überlastet ist, tragen Sie noch ein echte DNS ein. Hier habe ich einfach eine
DNS der Telekom genommen.
DHCP
Wenn Sie DHCP einsetzen, verrringert sich der Aufwand beträchtlich. In den
Einstellungen müssen Sie dann nur noch „IP-Adresse automatisch beziehen“
und „DNS-Serveradresse automatisch beziehen ankreuzen, siehe das
folgende Bild.
DHCP ist die Abkürzung für Dynamic Host Configuration Protocoll. Dafür
muss es im Router einen DHCP-Server geben. Dieser DHCP-Server teilt
jedem Rechner auf Anforderung eine einmalige IP-Adresse zu. Er greift dabei
auf einen Pool von IP-Adressen zurück und teilt je eine Adresse aus diesem
Pool den Computern im Netzwerk zu und das schlicht in der Reihenfolge, in
der sie eingeschaltet werden bzw. die IP anfordern. Sie wissen also erst
einmal nicht, welche IP-Adressen die einzelnen Rechner haben.
Außerdem meldet der DHCP-Server den Rechnern den verwendenden DNS-
Server und den Standard-Gateways (also seine eigene IP).
Im Rechner passiert folgendes: Sein Betriebssystem schaut erst einmal nach,
ob der Rechner auf DHCP steht, d.h. unter Windows, ob „ IP-Adresse
automatisch beziehen“ eingestellt ist. Wenn ja, sendet der Rechner ein so
genanntes „DHCP Broadcast“, er fragt an, ob sich ein DHCP-Server im
Netzwerk befindet. Dann fordert er eine IP an und bekommt hoffentlich eine,
denn theoretisch kann der DHCP-Server auch schon ausverkauft sein.
Tipp
Ganz zu Anfang wissen Sie evtl. sehr wenig über die Routereinstellungen,
denn es gibt gute und schlechte Handbücher. Doch in aller Regel ist ein
DHCP-Server ab Werk aktiviert. Also stellen Sie Ihre Ethernet/LANVerbindung auf DHCP (IP-Adresse automatisch beziehen), verbinden Sie sich
auf jeden Fall über Ethernet-Kabel mit dem Router und tippen dann im
Browser als URL die IP des Routers ein.
Eine Falle
Steht der Rechner auf DHCP, findet aber keinen DHCP-Server, zum Beispiel
weil der Router nicht eingeschaltet ist, dann „erfindet“ das Betriebssystem
selbst eine IP-Adresse. Dummerweise liegt die dann aber mit hoher
Wahrscheinlichkeit in einem anderen Teilnetz als dem des Routers. Schaltet
man nun den Router ein, ist das kein Grund für die Rechner, neue IPAdressen anzuforden. Ergo kommt dann keine Verbindung zustande. Sie
können in einem solchen Fall mit einem speziellen Befehl auf der KommandoEbene eine neue IP-Adresse anfordern oder einfach die Rechner neu starten.
Bei festen IP-Adressen hätten Sie das Problem nicht. Router einschalten,
läuft.
Der Vorteil der dynmischen IPs ist, dass es keine Adresskonflikte geben kann,
weil versehentlich ein IP-Adresse doppelt vergeben wurde. Doch manchmal
ist es nützlich, die IP-Adresse zu wissen, wobei bei festen IPs ein Blick auf
den Zettel reicht, bei dynamischen muss man in die Konfiguration schauen.
Unter Windows geht das am schnellsten in der DOS-Box.
Geben Sie unter Ausführen cmd ein und dann im DOS
ipconfig
oder, wenn Sie mehr wissen wollen
ipconfig /all
Wenn Sie DOS nicht mögen: Gehen Sie in der Systemsteuerung in der
klassischen Ansicht auf Netzwerkverbindungen, klicken dann doppelt auf
LAN-Verbindung und dort auf den Reiter „Netwerkunterstützung“
Sicherheit
NAT
Wenn Sie sich bei Ihrem Provider anmelden, teilt dieser Ihnen eine IPAdresse zu, zum Beispiel
81.14.151.29
Nur mit dieser so genannten öffentlichen IP-Adresse kommen Sie ins Internet.
Doch an Ihren Router sind auch die Rechner im lokalen Netz angeschlossen
und die wollen alle gleichzeitig ins Internet. Es sind z.B. 3 lokale Rechner mit
diesen IP-Adressen
192.168.1.11
192.168.1.12
192.168.1.13
Die Lösung des Problems heißt NAT, die Abkürzung für Network Address
Translation, auf Deutsch Übersetzung von Netzwerkadressen. Diese Funktion
übernimmt der Router, der dafür natürlich NAT beherrschen muss.
NAT nimmt die zu sendenden Pakete aus dem lokalen Netzwerk entgegen
und ersetzt die jeweilige Absenderadresse des IP-Paketes durch die öffentlich
IP-Adresse. So geht z.B. ein Datenpaket mit der IP-Adresse 192.168.1.11 an
den Router und der setzt dafür die Adresse 81.14.151.29 ein, um es danach
zu senden. Nun kommt ein Datenpaket mit der IP-Adresse 192.168.1.13 an
und wiederum ersetzt die NAT-Software diese Adresse mit 81.14.151.29. Die
als Antwort eingehenden Datenpakete lassen keinerlei Rückschlüsse mehr
auf den PC zu, der sie angefordert hat.
Sie sehen schon, irgendetwas fehlt noch und das ist die NAT-Tabelle. Hier
wird notiert, dass z.B. der Rechner mit der IP 192.168.1.11 eine Anforderung
an IP-Adresse 81.3.61.2 (www.feierabend.com) gesendet hat. Kommt nun ein
Antwortpaket, wird die Tabelle durchsucht und dann das Paket an den
zugehörigen lokalen Rechner weiter geleitet. Nun können natürlich alle 3
Rechner auf Feierabend zugreifen, also ist dessen IP kein eindeutiges
Unterscheidungsmerkmal. Aber jedes IP-Paket hat auch eine einmalige
laufende Nummer und die wird auch notiert.
Beim Betrieb ohne Router, also nur mit einem Modem, kann es vorkommen,
dass eine Hacker-Software offene Ports sucht und findet, um dann darüber
Viren o.ä. einzuschleusen.
Mit einem Router und NAT klappt das nicht, denn die dann eingehenden
Datenpakete haben keinem zugehörigen Eintrag in der NAT-Tabelle und
werden somit als unerwünscht zugesandte Datenpakete identifiziert und vom
Router verworfen. NAT beinhaltet also auch eine sehr sichere
Firewallfunktionen.
Auch sehr praktisch ist, dass die als Antwort eingehenden Datenpakete
keinerlei Rückschlüsse mehr auf den PC zulassen, der sie angefordert hat.
Dadurch sind die PCs im Netzwerk nach außen anonym.
Firewall
Eine Firewall, auf Deutsch Brandmauer, soll den Schutz eines PCs oder eines
ganzen lokalen Netzwerkes vor Angriffen aus dem Internet sicherstellen. Um
die Qualität einer Firewall beurteilen zu können, sollen Sie einige Fachbegriffe
kennen, die gleich noch im Detail erläutet werden.
Einfache Firewalls arbeiten mit Paketfiltern, die nur die IP-Adressen und
Portnummern ein- und ausgehender Datenpakete prüfen und die Pakete nach
vorgegebenen Regeln filtern.
Bessere Firewalls integrieren daneben noch Konzepte wie IP-Masquerading
und NAT und entkoppeln den Datenverkehr durch eine strikte Trennung von
internem und externem Netz.
Die besten Firewalls analysieren und bewerten zusätzlich auch noch den
Inhalt der Pakete und filtern diese nach vorgegebenen Regeln. Solche
Techniken beinhaltet eine“ Stateful Packet Inspection Firewall“.
Paketfilter
Paketfilter setzen einfache Firewall-Funktionalitäten um. Sie analysieren vor
einer Weiterleitung die Quell- und Zieladressen (IP-Adressen) der
Datenpakete. Außerdem kann der ein- und ausgehende Datenverkehr über
bestimmte Ports unterbunden werden.
Bei der Konfiguration von Paketfiltern können zwei Konzepte verfolgt werden:
Es können entweder Positivlisten oder Negativlisten in der Firewall (bzw. in
einem Router) hinterlegt werden. Positivlisten stellen eine sehr restriktive
Form dar, bieten aber ein höheres Maß an Sicherheit, da sie nur
ausgewiesene vertrauenswürdige Kommunikationspartner beinhalten. Ein
ähnliches Maß an Sicherheit über eine Negativliste zu schaffen, ist dagegen
sehr aufwändig. Theoretisch müsste jeder mögliche Kommunikationspartner
in Hinblick auf seine Vertrauenswürdigkeit eingeschätzt werden.
Einen Kompromiss zwischen Sicherheit und Konfigurationsaufwand bietet die
Kombination aus Positiv- und Negativlisten. Durch eine solche Kombination
kann hohe Sicherheit mit einem vertretbaren Konfigurationsaufwand
geschaffen werden.
IP Masquerading/ PAT
Beim IP Masquerading - auch als PAT (Port and Address Translation), oder je
nach Ausbaustufe NPAT (Network and Port Address Translation) oder 1-to-nNAT bezeichnet – werden eine oder alle Adressen eines privaten Netzwerkes
auf eine einzelne öffentliche (dynamische) IP-Adresse abgebildet. Dies
geschieht dadurch, dass bei einer existierenden Verbindung zusätzlich zu den
Adressen auch die Portnummern ausgetauscht werden.
Also kann mittels IP-Masquerading ein PC oder ein lokales Netzwerk gegen
unerwünschte Verbindungsanforderungen aus dem Internet geschützt
werden.
Die Aufgabe des IP-Masquerading übernimmt in der Regel ein so genanntes
Application Gateway. Sollen mehrere Rechner per IP-Masquerading über ein
und dasselbe Application Gateway mit dem Internet verbunden werden, so
muss außerdem NAT zum Einsatz kommen.
Nachteil dieser Lösung: Die Rechner im privaten Netzwerk können nicht aus
dem Internet angewählt werden. Diese Methode eignet sich daher
hervorragend dazu, zwei und mehr Rechner eines privaten Anschlusses per
DFÜ-Netzwerk an das Internet zukoppeln.
Stateful Packet Inspection Firewall
Eine Stateful Packet Inspection Firewall (SPI-Firewall) kann die Verbindung
zwischen dem zu schützenden Netz und dem Internet nahezu völlig
entkoppeln. Sie kombiniert dazu eine Vielzahl von Firewalltechniken
miteinander und fügt ein weiteres umfangreiches Analysemodul hinzu, das
den Inhalt der Datenpakete genauestens untersucht, bewertet und nach
vorgegebenen Regeln filtert.
Die SPI-Firewall agiert als Stellvertreter des lokalen Netzwerkes gegenüber
dem Internet. Einzig die Firewall verfügt über eine öffentliche IP-Adresse und
sorgt für die korrekte Zustellung der Antwortpakete aus dem Internet an den
PC, der diese Pakete angefordert hat. Dieses Verfahren wird als IPMasquerading bezeichnet. Durch Einsatz von NAT in einer Stateful Packet
Inspection Firewall können auch mehrere PCs gleichzeitig via IPMasquerading auf das Internet zugreifen.
Gute Router, die eh NAT benötigen, setzen auch eine SPI-Firewall ein.
Portfreigabe
Normalerweise sorgt die Firewall eines Routers dafür, dass alle Ports
geschlossen sind und nur von innen geöffnet werden können. Damit kann kein
Hacker-Programm von außen auf den Rechner zugreifen, aber auch kein
„gutes“ Programm. Will man nämlich selbst einen Internet- oder FTP-Server
betreiben oder an einem Fillesharing, wie eMule teilnehmen, müssen
bestimmte Ports offen sein. Der Router schaltet aber Ports immer nur für
einen bestimmten Rechner frei, weshalb zu einer Freigabe 2 Informationen
gehören: die IP-Adresse des Rechners und die Port-Nummer bzw. der PortBereich, wenn gleich mehrere Ports zu öffnen sind. Das folgende Bild zeigt im
oben Teil einen Draytek-Router bei der Portfreigabe, das untere Bild die
Fritzbox von
WLAN und Sicherheit
Router-Kennwort
Die folgenden Sicherheitseinstellungen bringen herzlich wenig, wenn der
Router nicht durch ein Kennwort geschützt ist, denn wer Zugriff auf den
Router hat, kann alle dessen Einstellungen ändern, Sicherheitseinstellungen
inklusive.
Angreifer probieren einfach die typischen Router-Adressen aus und geben
diese in ihren Browser ein. Ist der Router dann nicht mit einem Kennwort
geschützt, haben sie vollen Zugriff. Theoretisch könnte man auch die RouterAdresse ändern, aber ein sicheres Kennwort sollte reichen, also eine
Komination von Buchstaben, Zahlen und Sonderzeichen. Falls man das
vergisst (oder den Zettel verlegt hat), ist das kein großer Beinbruch. Man kann
jeden Router auf die Werkeinstellungen rücksetzen. Nur leider gehen mit
diesem Reset auch alle Einstellungen verloren.
Folgend als Beispiel eine Fritzbox:
SSID verstecken
SSID ist das Kürzel für „Service Set Identifier“ auf deutsch, der NetzwerkName oder die Kennung eines Funknetzwerkes. Der Netzwerk-Name kann bis
zu 32 Zeichen lang sein.
Die SSID ist einstellbar, um das WLAN eindeutig identifizieren zu können, was
besonders dann interessant, wenn es mehrere WLANs gibt, die man
unterscheiden muss. Man kann aber auch mehrere Basisstationen zu einem
Netz verbinden, wenn man allen die selbe SSID gibt. Das nennt man dann
ESSID.
Hier ein Beispiel:
Reserviert ist die SSID ANY (deutsch: beliebig). Gibt man das auf einem
Client als SSID ein, melden sich alle erreichbaren Basisstationen, so dass aus
einer Liste ausgewählt werden kann.
Eine mögliche Sicherheitsmaßnahme soll sein, die Aussendung (Broadcast)
der SSID nicht einzuschalten (in den Routereinstellungen wird der Haken bei
„Netzwerk-Name bekannt geben“ nicht gesetzt).Nur wenn die Netzkennung
explizit bei den Clients eingetragen ist, sollen sich die PC in das Netz
einbuchen können.
Doch dummerweise behindert das einen Angreifer kaum. So genannte
Netzwerk-Sniffer, wie Kismet (auf dem Macintosh KisMac) haben keinerlei
Probleme, eine unterdrückte SSID zu ermitteln. Allerdings, der normale User
in der Nachbarschaft sieht ein Netz mit versteckter SSID überhaupt nicht.
Risiko:: Windows zusammen mit einigen WLAN-karten hat Probleme, eine
versteckete SSID zu erkennen. Bei Verbindungsproblemen oder Abbrüchen
sollte man die SSID also nicht verstecken.
Teilnahme auf bestimmte Rechner beschränken
Über den Menüpunkt „Zugriffskontrolle" (Draytek) oder „WLAN-Zugang
beschränken (MAC-Address-Filter)“ (AVM) ist es möglich, Rechnern anhand
Ihrer MAC-Adresse den Zugriff auf das Funknetz zu erlauben oder zu
verbieten.
MAC steht für Media Access Control oder Ethernet-ID und ist die einmalige
Hardware-Adresse jedes einzelnen Netzwerkadapters, jeder WLAN-Karte,
jeden Routers oder jeden anderem adressierbaren Gerätes im Netzwerk. Die
MAC-Adresse sieht typisch so aus:
00:17:f2:41:60:27
Mittels der Einträge von erlaubten MAC-Adressen kann man verhindern, dass
ungebetene Gäste das Funknetz nutzen, allerdings Hacker lassen sich auch
damit nicht aussperren. Kennt nämlich ein Hacker eine der zugelassenen
MAC-Adressen, kann er seine eigene MAC-Adresse passend fälschen.
Wichhtiger ist deshalb, dass die übertragenen Datenpakete selbst nich von
anderen gelesen werden können. Dafür müssen die Daten verschlüsselt
werden, wie, zeigt der nächste Abschnitt.
WEP, WPA und WPA2
WEP
Abkürzung für Wired Equivalent Privacy; WLAN-Verschlüsselungsverfahren
WEP ist eines von 3 möglichen Verschlüsselungsverfahren. Es arbeitet mit
Schlüssellängen von 64 oder 128 Bit. praktisch gibt man 5 oder 13 Zeichen
ein. Am häufigsten kommt die Schlüssellänge von 128 Bit zum Einsatz , die
von nahezu allen WLAN-Geräten unterstützt wird.
WEP bietet keinen absolut sicheren Schutz, sondern kann innerhalb weniger
Minuten geknackt werden. Dennoch sollte, sofern keine alternative
Sicherungsmöglichkeit möglich ist, auf keinen Fall auf den Einsatz von WEP
verzichtet werden. So versuchen beispielsweise einige WLAN-Clients
selbsttätig Kontakt zu einem WLAN aufzunehmen, sobald sie in dessen
Reichweite kommen, ohne dass eine Benutzerinteraktion notwendig wird. Vor
derartigen Zufallsbesuchern ist ein durch WEP gesichertes WLAN auf jeden
Fall geschützt.
WPA
Abkürzung für Wi-Fi Protected Access; WLAN-Verschlüsselungsverfahren
WPA wurde 2003 entwickelt, nachdem die Schwachstellen von WEP bekannt
wurden. Erst seitdem kann WLAN auch in Netzen eingesetzt werden bei
denen hohe Sicherheitsanforderungen gelten, z.B. in Firmennetzen.
WPA beinhaltet mit dem Temporal Key Integrity Protocol (TKIP) insbesondere
eine gegenüber WEP verbesserte Aushandlung von Schlüsseln. Der
Aushandlungsschlüssel wird nur zu Beginn einer Sitzung verwendet. Im
Anschluss kommt dann ein Sitzungsschlüssel zum Einsatz, der in
regelmäßigen Abständen verändert wird.
Bislang existieren für WPA noch keine wirklich erfolgreichen Angriffsszenarien
- außer einer so genannten Wörterbuchattacke, die aber nur dann erfolgreich
sein kann, wenn ein Nutzer einen schwachen Schlüssel verwendet. Davor ist
jedoch kaum eine Verschlüsselungstechnologie sicher. Immerhin kann ein
WPA-Schlüssel bis zu 63 Zeichen lang sein. Lange Schlüssel sind nicht
langsamer als kurze, da sie intern eh gleich lange Zahlen-Codes umgesetzt
werden.
WPA2
Abkürzung für Wi-Fi Protected Access; WLAN-Verschlüsselungsverfahren
WPA2 ist eine verbesserte Variante seiner Vorgängerversion WPA dar. Durch
ein neu aufgenommenes Verschlüsselungsverfahren mit der Bezeichnung
AES-CCM (Advanced Encryption Standard - Counter with CBC-MAC) konnte
die Sicherheit gegenüber WPA nochmals verbessert werden. Das Verfahren
stellt allerdings auch deutlich höhere Anforderungen an die Hardware, so dass
Router oder WLAN-Karten, die mit WPA umgehen können, nicht unbedingt
auch WPA2 beherrschen oder damit gebremst werden.
Einstellungen auf dem Mac und dem PC
Macinstosh
Auf dem Macinntosh gehst du in die Systemeinstellungen, dort auf "Netzwerk"
und wählst aus dem Aufklappmenü "Umgebung" den Punkt "Neue
Ummgebung.
Dort wähle im Aufklappmenü "Anzeigen" den Punkt "Airport", was das
folgende Bild, allerdings noch leer, öffnet.
Wenn das Netzwerk keinen Namen hat (SSID), stelle das Aufklappmenü
"Standardmäßig verbinden mit" auf "Automatisch", ansonten wie im Bild
gezeigt auf "Einem bestimmten Netzwerk".
Nur wenn du letzteren Punkt gewählt hast, musst du den Netzwerknamen
eingeben, sonst nur unter Kennwort den am Router eingestellten WEP- oder
WPA-Schlüssel.
Die IP-Adresse wird im nächsten Bild eingegeben, aber nur wenn nötig.
Wenn du ohne feste IP-Adresse arbeiten willst, musst du nichts tun, denn
standardmäßig steht im folgenden Bild „IPv4 konfigurieren“ auf DHCP.
Der Router hat hier die IP-Adresse 10.0.1.1. Diese trägt man im Feld Router
ein aber auch im Feld DNS, weil der Router die DNS-Adresse liefert.
Sicherheithalber noch eine andere DNS einzutragen, kann nichts schaden.
PC unter Windows XP
Auf dem PC sieht so aus, wie in dem folgenden Bild.
Dazu gehe in die Systemsteuerung/ Netzwerkumgebung und lasse dir die
Verbindungen anzeigen.
Wenn du mit der rechten Maustaste auf „Drahtlose Netzwerkverbindung“
klickst, kannst du Eigenschaften“ auswählen. Auf dem Reiter
„Drahtlosnetzwerke“ findest du dann Detailinformationen zu deinem
Funknetzwerk sowie zur Konfiguration deines WLAN-Adapters. So sollte hier
unter „Bevorzugte Netzwerke“ dein eigenes Funknetzwerk zu finden sein.
Wenn du das anklickst und erneut die Option „Eigenschaften“, kommst du zu
den Verschlüsselungseinstellungen.
Unter Windows XP stellt man eine feste IP-Adresse so ein:
Gehe in die Systemsteuerung, dann auf Netzwerkverbindungen und klick
"LAN oder Hochgeschwindigkeitsinternet". Klicke auf Eigenschaften, wähle
"Internetprotokoll (TCP/IP)" und klicke wieder auf Eigenschaften. Das
folgende Bild öffnet.
Soll es DHCP sein, muss man nichts tun bzw. nur die Option "IP-Adresse
automatisch beziehen" anklicken.
Autor
Peter (WoSoft)