Das private bzw. Heim-Netzwerk sollte grundsätzlich geschützt werden. Man könnte meine, dass der Kauf eines Routers von namhaften Herstellern, wie z.B. die beliebte Fritzbox ausreicht, um das Netzwerk zu schützen. Diese Annahme ist falsch und gefährlich.
Solche Router haben mindestens 2 Interressensgruppen, die Zugriff auf den Router und das dahinter liegende Netzwerk nehmen könnten.
- Die Hersteller der Hardware
- Der Internet-Service-Provider
- Hacker, Skript-Kiddies etc.
Die Letzte Gruppe würden sich auf alle Maschinen verbinden, so lange diese unsicher sind. Die ersten beiden haben grundsätzlich das Wohl des Käufers bzw. Kunden im Sinn. Da aber immer wieder von Sicherheitslücken in diesen Geräte berichtet wird, kann man diese nicht als sicher definieren. Auch Sicherheitslücken, wie ein fest vergebenes oder schwaches Passwort, die eigentlich als Wartungszugang gedacht waren tauchen immer wieder im Dark-Net auf.
Eigentlich darf man diese Geräte, egal wie viele Funktionen diese aufbieten, nur als Netzwerk-Schnittstelle sehen und nicht mehr. Auch die Verwendung einer zweiten Maschine vom selben Hersteller ist nicht zu Empfehlen, weil die Software auf den Maschinen sehr häufig die selbe ist und somit nicht als sicher gelten kann.
Die Sicherung des Netzwerkes sollte man durch eine weitere Appliance sichern. Am besten eine von einem anderen Hersteller. So kann ein eventueller Angriff an dem Übergang vom Internet zum privatem Netzwerk stoppt werden, weil die Firewall die Verbindungen von Außen nach Innen blockiert. Dass dann dabei idealerweise eine andere Firewall benutzt wird, behindert die Hacker bei Zugriff und machen das Netzwerk uninteressant. Für diese Muss der Zugriff schnell gehen. Für diese Gruppe ist dann nur noch ein Zugriff von Innen interessant. Aber dafür sollte man eine AntiVirus uns Malware-Lösung auf seinen Rechnern am Laufen und aktuell haben.
Wenn man sich eine Firewall zu legen möchte, sollte man darauf achten, dass diese folgende grundsätzlichen Funktionen beinhaltet.
- Anbindung an das Internet (d.h. mindestens 2 Netzwerkkarten)
- DHCP-Server
- DNS-Server
- Firewall
Bei der Firewall sollte beachtet werden, und dass ist bei den beliebten Routern, wie z.B. die Fritzbox nicht möglich, dass die Richtung, in die die Verbindung aufgebaut werden soll definiert werden kann.
Warum ist das wichtig?
In der Regel werden sollte Geräte im Auslieferungszustand so eingerichtet, dass nichts von Außen nach innen einer Verbindung aufbauen darf, aber alle Verbindungen, die von Innen nach Außen werden, werden alle durchgelassen.
Eine solche Konfiguration ist gefährlich, dann so können Schnüffel-, Tracking- und anderen Dienste, die Daten aus dem privatem Umfeld gesammelt werden ins Internet übertragen werden.
Eine Kontrolle der Verbindungen, die von Innen nach Außen eine Verbindung aufbauen wollen, ist also nötig.
Grundsätzlich werden Firewall-Regeln immer in einer Reihenfolge abgearbeitet. Dabei sollte als erste Regeln immer erst alles verboten werden und mit folgenden Regeln einzelne Kanäle geöffnet werden.
Sind sind in der Regel 10-20 Regeln, die man nach und nach einrichten kann, man hat dann aber die Gewissheit, dass das Netz gesicherter ist.
Natürlich werden Daten von Alexa, Siri und Co. über solche Kanäle auch zu den Marketing-Firmen geschickt, dass kann man aber mit zusätzlichen Diensten wie z.B. DNSHole oder einem IDS unterbinden.
Wie kann man bestimmte Dienste freischalten?
Server werden über die IP-Adresse angesprochen. Die Dienste über sogenannte Ports. Auf einem Server können mehrere Dienste laufen, die Programme auf dem Rechner haben die Portnummer und können so z.B. eine Webseite aufrufen oder Mails abfragen. Zu der Portnummer gibt es noch einen Port Protokolle. Es gibt 3 Protokolle, die unterschiedliche Aufgaben haben und am meisten eingesetzt werden.
- ICMP (Internet Control Message Protocol): Diese Protokoll dienst dazu das Netzwerk und die Verbindung optimal einzurichten. Dies sollte für eine optimale Verbindung immer geöffnet werden.
- TCP (Transport Control Protocol): Der größte Teil der Verbindung wird mit diesem Protokoll aufgebaut. Mit diesem Protokoll wird sichergestellt, dass die Daten komplett und korrekt übertragen werden. Gehen Daten auf dem Weg zum Ziel verloren, werden diese automatisch neu angefordert.
- UDP (User Datagram Protocol). Dieses Protokoll ist auf Geschwindigkeit optimiert. Dabei werden größere Datenmenge als bei TCP verschickt und durch die fehlende Transport-Kontrolle könnenmehr Pakete verschickt werden. Der Vorteil ist eine höhere Datenmenge, die verschickt werden kann. Dieses Protokoll ist beim Streaming sehr häufig verwendet.
Was sind die wichtigsten Ports, die man an einer Firewall für einer Verbindung ins Internet öffnen sollte?
Die grundsätzlichen Dienste sind:
- DNS (Dienst zur Namensauflösung)
- HTTP (unverschlüsselter Aufruf von Webseiten)
- HTTPS (verschlüsselter Aufruf von Webseiten)
- SMTP/SMTPS (unverschlüsselter/verschlüsselter Versand vom E-Mails)
- POP3/POP3S (unverschlüsselter/verschlüsselter Empfang vom E-Mails)
- IMAP/IMAPS (unverschlüsselter/verschlüsselter Empfang vom E-Mails)
Mit diesen Ports hat man schon den größten Teil konfiguriert. In der folgenden Liste sind die Dienste und die zugehörigen Ports, sowie der richtige Protokoll aufgelistet.
| Dienste | Protokoll | Portnummer |
| DNS | UDP | 53 |
| HTTP | TCP | 80 |
| HTTPS | TCP | 443 |
| SMTP | TCP | 25 |
| SMTPS | TCP | 465 |
| POP3 | TCP | 110 |
| POP3S | TCP | 995 |
| IMAP | TCP | 143 |
| IMAPS | TCP | 993 |
Unverschlüsselte Verbindungen, wie SMTP, POP3 oder IMAP sollte aus Sicherheits-Gründen nicht mehr verwendet werden.
Da meisten HTTP auf HTTPS umgeleitet wird, kann dieser Port geöffnet werden, falls aber ein Server noch nicht mit HTTPS eingerichtet ist, ist die Verbindung unverschlüsselt und kann abgehört werden.
Bei SMTP und IMAP gibt es mehrere Methoden eine gesicherte Verbindung aufzubauen. diese werden später noch aufgelistet.
Zu anderen Verbindungen werden immer wieder neue Artikel geschrieben und veröffentlicht.
