Die Firewall eines Internet-Routers konfigurieren
Eine Firewall ist ein Sicherheitssystem welche den Datenverkehr über eine bestimmte Schnittstelle kontrolliert. Bei einem Internet-Router ist das die Schnittstelle von Ihrem Heimnetzwerk zum Internet. Ziel ist es, nur Datenverkehr zuzulassen, welcher von einem Ihrer Geräte initiiert wurde bzw. von Ihnen gewollt ist. Ungewollte, bzw. unerlaubte Datenströme sollen gefiltert werden. Um dieser Aufgabe nachzukommen überwacht eine Firewall den Datenverkehr und lässt Daten nach festgelegten Regeln entweder passieren oder filtert diese, sprich blockiert und verwirft Datenpakete.
Firewallsysteme bestehen in der Regel aus mehreren zugehörigen Funktionen. Das bedeutet, wenn Sie die Benutzeroberfläche Ihres Internet-Routers öffnen, dann wird es wahrscheinlich einen Hauptpunkt Firewall geben, unter dem eine Reihe von weiteren Unterpunkten angeordnet ist (z.B. Internet-Router vom Hersteller Asus verwenden dieses Konzept). Alternativ finden Sie den Begriff der “Firewall” gar nicht vor, sondern direkt entsprechende Teilfunktionen, wie Filter oder Freigaben (z.B. bei einer Fritz!Box vom Hersteller AVM unter dem Punkt Internet).
Generell können Firewall Funktionen zwei verschiedenen Bereichen zugeordnet werden. Zum einen Funktionen welche den Datenverkehr aus dem Heimnetzwerk in das Internet kontrollieren. Zum anderen Funktionen welche den Datenverkehr vom Internet in das Heimnetzwerk kontrollieren. Im folgenden wird jeder dieser beiden Bereiche und entsprechende Funktionen bzw. deren Konfigurationsmöglichkeiten näher erläutert. Vorher noch eine generelle Anmerkung, Hersteller von Internet-Routern implementieren Firewall Systeme auf unterschiedliche Art und mit unterschiedlichem Umfang, von daher kann es vorkommen das manche der folgend erwähnten Funktionen auf Ihrem Internet-Router gar nicht unterstützt werden, dafür aber evtl. die ein oder andere zusätzliche Funktion.
Notiz: Sicherheitskonzepte und Funktionen können noch so ausgefeilt sein, die beste Sicherheitsfunktion, bzw. das größte Sicherheitsrisiko sind Sie selbst oder ein anderer Nutzer Ihres Heimnetzwerkes. So nützt z.B. die beste Firewall nichts, wenn durch unachtsames öffnen eines E-Mail Anhanges, sich ein Trojaner einschmuggelt welcher alle Firewalls hinterrücks durchtunnelt. Auf der anderen Seite können Sie durch ein wenig Achtsamkeit, Vorsicht und Kenntnis der Technik, das Risiko sich schadhafte Software einzufangen stark reduzieren. Auf Null senken lässt sich das Risiko aber leider nicht.
Firewall Funktionen zur Kontrolle des Datenverkehrs vom Heimnetzwerk in das Internet
Im Normalfall können alle Geräte, welche an Ihr Heimnetzwerk angeschlossen sind, mit dem Internet eine Verbindung aufbauen. Auch wird der Datenverkehr an sich nicht weiter überwacht und gefiltert. Es kann aber vorkommen das Sie genau kontrollieren wollen, welche Geräte Verbindung mit dem Internet aufnehmen dürfen, bzw. einen Zeitbereich definieren möchten wann dies der Fall sein darf. Ebenfalls kann es in Ihrem Interesse sein, das nicht alle Inhalte des Internets frei aus Ihrem Heimnetzwerk heraus frei abrufbar sind.
Realitätsnahe Beispiele für den eventuellen Bedarf nach erhöhter Kontrolle des Datenverkehrs, sind der Schutz von Kindern oder die freie Zugänglichkeit von Netzwerkschnittstellen, z.B. bei Räumlichkeiten mit Publikumsverkehr (Geschäftsräume, Praxis).
Die Fritz!Box vom Hersteller AVM bietet ein recht umfangreiches Konzept für entsprechende Konfigurationen. Die Benutzeroberfläche einer Fritz!Box listet unter Internet -> Filter -> Kindersicherung alle Geräte auf, welche aktuell oder in der Vergangenheit an Ihr Heimnetzwerk angeschlossen sind, bzw. waren. Für jedes dieser Geräte können Sie ein Profil wählen. Dieses Profil gibt an, ob und was gefiltert wird. Ab Werk sind drei Profile vorhanden Standard, Unbeschränkt und Gesperrt. Mit Gesperrt wird der Zugang zum Internet komplett blockiert, mit Unbeschränkt gibt es keine Einschränkungen. Während die Profile Gesperrt und Unbeschränkt, nicht geändert werden können, ist das Profil Standard konfigurierbar, entspricht aber ohne weiterer Änderung dem Profil Unbeschränkt.
Die detaillierte Konfiguration der Profile ist unter Internet -> Filter -> Zugangsprofile zu finden. Hier können Sie das Zugangsprofil Standard ändern, neue Profile anlegen und Sie finden ein weiteres Profil für Gäste. Dieses letzte Profil ist für den sogenannten Gastzugang relevant.
Bei konfigurierbaren Profilen (z.B. dem Standard Profil) können Sie über Listen (Internet -> Filter -> Listen) den Zugang auf Websites einschränken. Hier gibt es den Ansatz per se den Aufruf aller Websites zu erlauben, außer von Ihnen in einer Liste definierte Websites. Das ist der Ansatz einer sogenannten Blacklist. Alternativ gibt es den Ansatz über eine sogenannte Whitelist. Das bedeutet, dass der Zugriff auf alle Websites per se gesperrt ist, außer die von Ihnen in einer Liste definierten Websites. Zusätzlich kann bestimmten Anwendungen der Zugriff auf das Internet verweigert werden, wie z.B. eMule oder BitTorrent, welche gerne für das Laden und Verteilen von Musik und Filmen im Internet verwendet werden. Als letztes können Profile noch zeitlich eingeschränkt werden, sprich der Zugang zum Internet wird nur zu bestimmten Uhrzeiten an definierten Tagen erlaubt.
Notiz: Mit der Fritz!Box ist es komfortabel möglich die von der Bundesprüfstelle für jugendgefährdende Medien (BPjM) erstellte Liste von Websites über eine einzelne separate Konfiguration zu sperren. Je nach Ihrem Vertrauen in die Bundesprüfstelle können Sie so Ihre Kinder sehr einfach vor dem Zugriff auf eine Reihe von als jugendgefährdend eingestuften Websites schützen.
Ähnliche Funktionen finden Sie üblicherweise auch in Internet-Routern anderer Hersteller, aber dann meist in anderer Ausprägung. Sprich die verwandten Begriffe und das Konzept der Benutzerführung wie man Filter erstellt oder nur bestimmten Geräten den Zugang zum Internet erlaubt/verweigert kann sehr unterschiedlich sein, auch wenn die Funktionen im Kern ähnliches tun.
Die Firewall Ihres Internet-Routers ist sehr wahrscheinlich nicht die einzige Firewall in Ihrem Heimnetzwerk. Beispielsweise haben PCs mit dem Windows Betriebssystem seit Windows XP SP2 eine Firewall Funktion integriert und für Smartphones gibt es Firewall Apps die Ihnen ebenfalls mehr Kontrolle über den Datenverkehr geben. Diese Firewalls kontrollieren den Datenverkehr zwischen dem entsprechenden Gerät (z.B. PC) und dem Netzwerk mit welchem Sie verbunden sind (z.B. Ihrem Heimnetzwerk) Zum Teil überlappt sich die Funktion solcher Firewalls mit der Ihres Internet-Routers, da der gleich Datenverkehr der die eine Firewall passiert hat auch die andere Firewall passiert und dann noch einmal kontrolliert wird. Jede Firewall hat aber in Ihrem spezifischen Kontext Möglichkeiten, welche die andere nicht hat. So kennt z.B. ein PC oder Smartphone die Endanwendungen, welche gerade Daten senden wollen. Ein Internet-Router hat dafür den Blick auf das gesamte Heimnetzwerk und den entsprechenden Datenverkehr, welcher über den Internet-Router läuft. Das bedeutet aber natürlich auch, dass wenn z.B. Ihre Kinder über ein Mobilfunknetz in das Internet gehen, die Firewall und Filter eines Internet-Routers keinen Effekt haben.
Microsoft Windows bietet schon seit mehr als einer Dekade die sogenannte SmartScreen Funktion. Diese Funktion ermöglicht ebenfalls das Filtern von potentiell gefährlichen Websites. Hierbei sendet der Internet Explorer seit der Version 8, bzw. der Webbrowser Edge die Adresse (URL) der Webseite an einen externen Server und dieser antwortet mit einer Einschätzung des Gefährdungspotentials. Ähnliche Konzepte bietet auch Google über Google Safe Browsing oder Funktionen der Sicherheitspakete, welche Internetanbieter in Kombination mit Internetzugängen offerieren. Der Vorteil ist, dass Sie sich nicht selbst um die Erstellung und Wartung einer Liste mit gefährdenden und/oder gefährlichen Websites zu kümmern brauchen. Auch sollten Listen aktueller und zuverlässiger sein, wenn diese von Firmen erstellt wurden welche mit Sicherheitsaufgaben betraut wurden. Der Nachteil ist, dass Sie den Servern der entsprechenden Firmen die Informationen zukommen lassen, welche Webseites Sie wann aufgerufen haben. Des Weiteren verlassen Sie sich darauf das Webseiten korrekt eingestuft werden.
Notiz: Mit dem “AiProtection” genannten Feature hat der Hersteller Asus das Prinzip Sicherheitsfunktionen an eine Sicherheitsfirma und auf Server auszulagern auf Internet-Router übertragen. Hiermit ist es zentral der Internet-Router, welcher sich unter anderem zur Einschätzung potentiell gefährlicher bzw. gefährdender Websites, der Dienste eines externen Servers bedient. Damit profitiert das ganze Heimnetzwerk von den Vorteilen solch einer Funktion.
Firewall Funktionen zur Kontrolle des Datenverkehrs vom Internet in das Heimnetzwerk
Unbekannter Datenverkehr aus dem Internet in Richtung Ihres Heimnetzwerk wird per se von Ihrem Internet-Router blockiert. Mit dem Internet-Protokoll Version 4 (IPv4) ist das eine implizite Auswirkung der IPv4 Adressübersetzung (NAT). Bei der IPv4 Adressübersetzung werden mehrere verschiedene, nur in Ihrem Heimnetzwerk intern gültige, IP Adressen auf eine extern im Internet gültige IP Adresse übersetzt. Datenpakete aus dem Internet passieren die Firewall nur, wenn vorher eine passende Anfrage in das Internet gestellt wurde. Alle anderen unangeforderten und nicht zur Anfrage passenden eingehenden Datenpakete werden gefiltert. Auch mit der Einführung des IPv6 Protokolls bleibt dieses Funktionsprinzip erhalten. Über die sogenannte “Stateful Packet Inspection (SPI)” wird eine Tabelle mit Merkmalen des ausgehenden Datenverkehrs geführt und nur eingehende Datenpakete passieren die Firewall, welche zu einem Eintrag in dieser Tabelle passen.
Für die große Mehrheit aller Heimnetzwerke ist die gerade beschriebene Funktion ausreichend, um sich vor ungebetenem Datenverkehr aus dem Internet zu schützen. Eine weitere Konfiguration ist nur selten nötig, kann aber vorkommen. Hierfür im folgenden Informationen über eine Reihe von Funktionen, welche es erlauben den Datenverkehr aus dem Internet in Ihr Heimnetzwerk etwas mehr im Detail zu kontrollieren und Ausnahmeregeln zu definieren.
Wenn Sie selbst aktiv extern aus dem Internet auf ein bestimmtes Gerät, für eine bestimmte Anwendung in Ihrem Heimnetzwerk zugreifen wollen, dann liegt kein passender Eintrag in der Übersetzungstabelle der Firewall Ihres Internet-Routers vor. Ein entsprechender Zugriff wird abgewiesen. Hier setzt die Konfiguration der Port Freigabe an (engl. Port Forwarding). Für solch eine Konfiguration müssen Sie wissen über welches Protokoll und welchen Port die gewünschte Anwendung kommuniziert. Zusätzlich die IP Adresse des Gerätes auf dem die Anwendung läuft. Mit diesen Daten konfigurieren Sie dann einen festen Eintrag das empfangene Datenpakete welche zu dem benutzten Protokoll und Port passen immer an das gewünschte Gerät (definiert über die IP Adresse) weitergeleitet werden.
Tipp: Wenn Sie solch eine Port Freigabe einrichten, dann sollte die IP Adresse des Gerätes in Ihrem Heimnetzwerk immer die Gleiche sein. Normalerweise beziehen Geräte Ihre IP Adresse aber per DHCP zufällig aus einem verfügbaren Adressbereich. Um eine konstante IP Adresse bei einem Gerät zu erreichen, können Sie diesem Gerät per Konfiguration auf dem Gerät selbst eine feste IP Adresse einstellen. Alternativ können Sie auf Ihrem DHCP Server (in der Regel der Internet-Router) eine feste Zuordnung einstellen, dass ein bestimmtes Gerät (über die MAC Adresse identifziert) immer die gleiche IP Adresse vom DHCP Server zugewiesen bekommt.
Es gibt Ansätze die Konfiguration der Port Freigabe an die Anwendungen auszulagern, welche diese benötigen. Damit könnten diese die Firewall Ihren Bedürfnissen nach entsprechend konfigurieren und Sie bleiben von der Aufgabe der Konfiguration verschont. Nach eigener Einschätzung gibt es aber derzeitig kaum Anwendungen, welche davon Gebrauch machen. Die Empfehlung ist von daher die entsprechenden Protokolle für die automatische Konfiguration Ihres Internet-Routers nicht zu aktivieren, außer Sie wissen das Sie Geräte in Ihrem Heimnetzwerk haben, welche davon profitieren und Ihnen das Leben leichter machen. Ein Beispiel für solch ein Gerät ist die Spielekonsole XBOX one, welche per UPnP die Konfiguration der nötigen Port Freigaben in einem Internet-Router vornehmen kann. Die entsprechende Einstellung für die Fritz!Box finden Sie unter, Internet -> Freigaben -> Portfreigaben -> Alle Geräte im Heimnetz dürfen Portfreigaben selbstständig verändern. Mehr Hintergründe über UPnP und das PCP Protokoll finden Sie in den verlinkten Kapiteln.
Mit der IPv4 Adressübersetzung erwartet der Internet-Router, dass für ein ausgehendes Datenpaket mit einer bestimmten Portnummer auch dazu passende Datenpakete empfangen werden. Falls plötzlich ein Datenpaket aufgrund einer Anfrage aus Ihrem Heimnetz empfangen wird, welches nicht zu der gesendeten Portnummer passt, dann wird das Datenpaket gefiltert. In seltenen Fällen kann das aber gewollt sein, da z.B. eine bestimmte Anwendung aufgrund einer Anfrage Antworten auf mehreren Ports sendet. Mit der Konfiguration einer sogenannten Port Triggering Regel können Sie die IPv4 Adressübersetzung etwas erweitern und auch den Empfang von Datenpaketen mit anderen Portnummern zulassen.
Extremer als die Port Freigabe oder das Port Triggering ist es, einen Rechner komplett gegenüber dem Internet zu öffnen. Sprich alle an Ihr Heimnetzwerk gerichteten Datenpakete, welche nicht über eine Übersetzungstabelle einem anderen Gerät zugeordnet werden, werden an einen bestimmten Computer gesendet. Welcher das ist, wird über die Konfiguration der IP Adresse des Computers festgelegt. Vorteil ist, dass man sich nicht mehr mit individuellen Regeln zur Port Freigabe oder Port Triggering beschäftigen muss. Nachteil ist, dass dieser Computer mit der kompletten Bandbreite seiner Netzwerkschnittstelle mit dem Internet verbunden ist, was das Risiko erhöht das Sicherheitslücken auf diesem Rechner gefunden und ausgenutzt werden. Die Konfiguration diese Funktion ist meistens unter dem Stichwort Demilitarized Zone (DMZ) zu finden. Das Konzept dahinter ist, dass Ihr Heimnetzwerk mehrheitlich weiterhin durch die Firewall Ihres Internet-Routers geschützt ist, außer einem Rechner in einer sozusagen eigenen Zone. Im Normalfall ist es unnötig einen Computer gegenüber dem Internet freizugeben und dementsprechend sollten Sie solch eine Konfigurationsoption nur nutzen, wenn Sie sich sicher sind diese zu benötigen und dem erhöhten Sicherheitsrisiko Rechnung tragen.
Das ICMP (Internet Control Message Protocol) Protokoll ist die Grundlage für eine Anzahl von Tools und Mechanismen, um Einblicke in den Status und Zustand eines Netzwerkes zu bekommen. Eines der bekanntesten auf ICMP basierenden Tools ist Ping, welches Sie nutzen können, um schnell und einfach festzustellen ob ein bestimmtes Gerät auf Netzwerkebene erreichbar ist. Mit einem Tool wie Ping kann aber auch jeder andere x-beliebige Teilnehmer im Internet feststellen ob eine bestimmte IP Adresse erreichbar und damit aktiv ist. Möchten Sie für ICMP Anfragen unsichtbar im Internet sein, dann bieten Internet-Router die Option ICMP Antworten in Richtung Internet zu unterdrücken (z.B. Stealth Mode bei der Fritz!Box des Herstellers AVM). Das Einschalten der ICMP Antwortunterdrückung ist ein zweischneidiges Schwert. Auf der einen Seite erfahren potentielle Hacker weniger über die Präsenz Ihres Heimnetzwerkes im Internet, auf der anderen Seite geht ein nützliches Werkzeug zur Fehlerfindung verloren. Sehr unwahrscheinlich, aber im Extremfall kann es mit einer eingeschalteten ICMP Antwortunterdrückung zu einer Fehlfunktion kommen, da eine Variante zur automatischen Feststellung der maximal möglichen Länge für die Übertragung von IP Datenpaketen auf dem ICMP Protokoll beruht (Path MTU Discovery). Eine eindeutige generelle Antwort auf die Frage ob man ICMP Antworten unterdrücken sollte oder nicht gibt es nicht. Überwiegen Ihre Sicherheitsbedenken, dann können Sie die Funktion einschalten, überwiegt der Wunsch das Sie selbst oder von Ihnen beauftragte Fachleute schnell Einblicke zu Ihrer IP Verbindung bekommen können, dann schalten Sie die Funktion aus. Im Zweifelsfall können Sie die Werkseinstellungen Ihres Internet-Router beibehalten.