Netzwerksicherheit

Nach dem ich im ersten Artikel dieser Reihe allgemein über die Notwendigkeit der Netzwerksicherheit gesprochen habe werde ich nun auf einzelne Aspekte der Absicherung eingehen.

Viele unserer Daten geben wir schon mehr oder weniger freiwillig an Internetportale weiter, aber dazu gibt es immer Leute die direkt versuchen auf unsere Gerätschaften zurückzugreifen. Seien ihre Beweggründe unsere Daten oder auch „nur“ unsere Rechnerkapazitäten zu ihren Zwecken zu nutzen. Ziemlich sicher bin ich, dass wir dies alle nicht mögen, sei zum Schutz unserer physischen Daten oder auch um die Stromrechnung im Griff zu behalten.

Die Zeiten in denen wir uns auf direktem Weg über unsere öffentliche IP-Adresse von unserem heimischen PC oder aber von einem Server im Firmennetzwerk in das Internet eingewählt haben sind glücklicherweise vorbei. Heute liefern unsere Internetprovider uns einen Router mit (eingeschalteter) Firewall wie z.B. FRITZ!Box, Easy­Box, Speedport, Home­server oder ein ähnliches Gerät.  Diese Router schützen uns mehr oder weniger vor einem Missbrauch und machen uns dabei das Leben bequemer da sie einfach so nebenher allways on sind. Allen dieser Geräten ist gemeinsam, dass Sie unser Heim- oder Büro-Netzwerk von außen absichern, wenn auch dabei die Wartungsmöglichkeit und damit Zugriffsmöglichkeiten für unseren Netzwerkanbieter erhalten bleibt. Abgesehen von der nicht mehr abschaltbaren externen Zugangsmöglichkeit haben wir bereits ein Maß an Sicher­heit erreicht, welches für unser physisches Netz ausreichend sein sollte.

In keinen Fall dürfen wir unseren weiteren Zugang zur Außenwelt vergessen. Bestimmt betreiben Sie genau wie ich ein (geschütztes) W-LAN-Netz um nicht jedes Ihrer Geräte per Kabel anschließen zu müssen bzw. überhaupt Ihr Smartphone oder Tablett in Ihrem Netzwerk betreiben zu können. Wie Sie be­reits in früheren Veröffentlichung der Tagespresse und vieler meiner Kollegen entnommen haben sollten Sie Ihren W-LAN-Router in jedem Fall nur im verschlüsselten WPA2-Modus betreiben und dazu den MAC-Filter aktivieren. Der MAC-Filter ist eine Technik, die es nur bekannten, eigenen Geräten erlaubt Ihr Netzwerk zu benutzen, jedes fremde Gerät wird von Ihrem Router abgelehnt und erhält keine Verbindung. Natürlich macht auch diese Technik es Angreifern nur schwer, deshalb müssen wir auch im W-LAN-Router immer die aktuellsten Sicherheitspatches einspielen. Im Notfall wenn es noch keine Möglichkeit zum Upgrade haben sollten wir auch überlegen ob wir nicht mal ein paar Tage ohne W-LAN leben können. Ich empfehle zusätzlich, sofern Ihr Gerät dies unterstützt, die Sendeleistung des Routers soweit wie möglich herunter zu setzen. So erreichen Sie neben einem geringeren Energieverbrauch auch noch eine Einschränkung der Reichweite. Da Berechnungen wegen vieler Störeinflüsse fast unmöglich sind gebe ich Ihnen keine zahlenmäßige Empfehlung sonder lege Ihnen ausprobieren ans Herz.

Einige Geräte bieten Möglichkeiten ein Gast-Netzwerk einzurichten womit Ihre Gäste Zugriff auf das Internet erhalten ohne Ihr Netzwerk nutzen zu können. Auf Grund der immer noch gültigen Störerhaftung in Deutschland sollten Sie auch bei der Einrichtung dieses Netzwerksegments einen Passwortschutz vorsehen und Ihre Gäste registrieren, sofern Sie nicht z.B. über die Freifunker Organisation der persönlichen Haftung entgehen. Weiterhin ist es seit kurzem für Restaurant-Betreiber möglich ohne Registrierung der Gäste das Gastnetzwerk zu betreiben und nicht der Störerhaftung zu unterliegen sofern Sie sicherstelle, dass nur (zahlende) Gäste dieses Netzwerk benutzen. In jedem Fall sollten Sie neben der rechtlichen Aspekte darauf achten bei Ihrem Router die Sperre des internen Netzwerkes einzuschalten oder ein zweites Gerät benutzen. Auch für Ihr Gastnetzwerk ist es wichtig immer auf dem aktuellen Patchlevel, also dem aktuellen Stand der Technik zu sein.

Auch wenn ich im vorstehenden Artikel vorwiegend den aktuellen Stand der Konsumertechnologie vorgestellt habe, können wir mit diesen Maßnahmen bereist ein Sicherheitsniveau erreichen, von welchem ich als ich Ende der 90er mit der äußeren Absicherung von Netzwerken begann nicht zu träumen wagte. Für Ihr Small Home Office, Praxis, Restaurant, … ist dieses Sicherheitsniveau in der Regel ausreichend, sofern Sie Ihre Geräte selber auch mit grundlegender Sicherheitstechnik, auf die ich im nächsten Teil eingehen werde, ausstatten. Aber mir ist bewusst, wo ein Wille ist, da ist auch ein Weg. Mit dem entsprechendem hohem Aufwand kann ein jeder in (fast) jedes Netzwerk eindringen. Einen Schutz wie Fort Knox brauchen wir in der Regel aber nicht, da wir ja keine so hohen Werte in unserem (physischen) Netzwerk bereitstellen. Da viele Betreiber sich inzwischen an die vorgestellten Regeln halten, werden erfolgreiche Angriffe heute meistens über Social Engineering durchgeführt. Darauf komme ich später nochmals zu sprechen.

Die in diesem Text verwendeten System- und Produktbezeichnungen sind im Allgemeinen Markenzeichen oder eingetragene Markenzeichen ihrer jeweiligen Entwickler oder Hersteller. Die Zeichen ™ oder ® werden jedoch nicht in allen Fällen verwendet.