Kommentieren     
Einsatz eines Hardware-Router oder (Proxy-) Server

In einem lokalen Netzwerkes wird zur Datenübertragung zwischen den einzelnen Clients und einem fremden Netzwerk (z.B. Internet aber auch weiteres Subnet wie z.B. LAN zu WLAN) eine “Instanz” benötigt, welche den Datenverkehr abwickeln kann. Dies kann entweder ein beteiligter Computer-Client sein, welcher gleichzeitig als (Proxy-)Server dient oder ein Router, mit welchem alle Clients verkabelt oder kabellos (über einen integierten oder separaten Wireless Access Point) verbunden sind (siehe Netzwerkgrafik).

Ein Proxy-Server** im lokalen Netzwerk (LAN) stellt die Verbindung zum Internet oder anderen Subnet im LAN her, prüft und filtert die eingehenden Nachrichten, was die Sicherheit in einem internen Netzwerk erhöht. Auch können z.B. die Internet-Daten aller User lokal auf dem Proxy gespeichert werden (Caching), um diese schneller zur Verfügung stellen zu können. Der Unterschied zum Router ist die Abhängigkeit des Proxy vom Anwendungsprotokoll (z.B. http), d.h. er ist das vorläufige Ziel des vom Client versandten Datenpaketes und wertet dieses aus, um zu erfahren was damit geschehen soll. Der Router reicht die Datenpakete dagegen einfach mittels NAT (Erklärung s. unten), unabhängig vom Anwendungsprotokoll, durch.

Wir geben dem NAT-Router den Vorzug, da dieser die vielfältigeren Möglichkeiten bietet. In Verbindung mit einer Firewall auf dem Router und auf jedem Client ist der sicherheitsrelevante Nachteil gegenüber dem Proxy mehr als ausgeglichen und ist einfacher zu konfigurieren !

Ein Router ermöglicht, neben der Verbindung im lokalen Netzwerk, auch die gleichzeitige Internetverbindung aller Clients mit einem Internet-Account, d.h. die vorhandene Bandbreite teilt sich unter den verbundenen Clients auf. Dies bewerkstelligt der Router mittels NAT (Network Address Translation); hierbei wird die gemeinsam genutzte Internet-IP-Adresse auf die lokale IP-Adresse im LAN umgesetzt.

NAT ist mit den Schutzfunktionen einer Firewall vergleichbar, da die interne IP-Adresse (LAN) im Internet aufgrund der umgesetzten Verbindung normalerweisenicht verfügbar ist. Jegliche Anfragen von außen werden gefiltert, d.h. nur an eine interne IP-Adresse weitergeleitet, wenn eine entsprechende Routing-Tabelle vorliegt; ansonsten wird das Paket fallen gelassen (dropped). Standardattacken haben so keine Chance (auch bei ungepatchten Systemen) einzudringen, da dem Router keine Anweisung für die Weiterleitung des Paketes an eine bestimmte LAN-IP-Adresse vorliegt. Für die Kontrolle der Verbindungen von innen nach außen ist jedoch weiterhin unbedingt eine Firewall auf jedem Computer-Client erforderlich !

Sie werden sich nun fragen, wie es denn dann mit NAT möglich sein soll einen Computer-Client hinter einem Router mit Serverfunktionen auszustatten wie z.B. im Falle des Remoting, Filesharing oder IP-Phoning mit einem Instant-Messenger. Es gibt 4 Möglichkeiten:


 

1. Konfiguration eines Virtual-Server innerhalb des Routers (Portforwarding):

Der jeweils von außen angesprochene Port oder Portrange wird an eine bestimmte interne IP-Adresse ohne Auslöser von innen (die Initialisierung erfolgt von aussen) weitergeleitet.

Am Beispiel einer zugelassenen Remote-Verbindung von aussen (Internet) auf einen Rechner im LAN wären das folgende Ports:

      • TCP-Port 3389 für MS-RDP an die IP-Adresse des fernzusteuernden Rechners
      • TCP-Port 22 für Unix/Linux-SSH an die IP-Adresse des fernzusteuernden Rechners
      • TCP-Port 5900 (aktuelle Sitzung) bzw. 5901 (eigene Sitzung unter Linux) für VNC an die IP-Adresse des fernzusteuernden Rechners

Beispiel einer zugelassenen Verbindung für einen integrierten Webserver von aussen. Z.B. für die Konfiguration des Routers selbst oder wenn auf eine Netzwerk-[Überwachungs-]Kamera zugegriffen werden soll (Sie sollten in diesen Fällen das entsprechende Webinterface unbedingt mit einem sehr guten Passwort sichern und wenn möglich sogar eine VPN-Verbindung einrichten. Warum? Siehe Google-Hacking):

    • TCP-Port 80 (http) an die IP-Adresse des Webservers (z.B. Router, Netzwerkkamera...)
    • oder besser TCP-Port 443 (wenn Protokoll https unterstützt wird) an die IP-Adresse des Webservers (z.B. Router, Netzwerkkamera...)

Zum Betrieb eines FTP- (TCP-Port 21) oder Webservers (TCP-Port 80/443) über einen Router bei dynamischer Vergabe der Internet-IP-Adresse des Providers empfiehlt sich die Namensauflösung mittels eines DDNS-Clients bei einem entsprechenden Diensteanbieter (z.B. DynDNS.org). Eine statische IP-Adresse vom Internetprovider wäre jedoch in diesem Fall eindeutig vorzuziehen (weil einfacher, perfomanter, weniger Fehlerquellen).


 

2. Triggern von Ports

Ein Trigger-Port (Auslöser-Port) ermöglicht einem Computer-Client aus dem LAN über einen bestimmten Port (von innen nach außen) eine neue Verbindung zu initiieren. Der Router öffnet dann im definierten Portrange die jeweiligen Ports (meistens dynamisch von der jeweiligen Applikation vergeben) für den Datenverkehr von außen nach innen. Diese Funktion wird benötigt, wenn nicht eindeutig ist, welcher Computer eine eingehende Verbindung empfangen soll bzw. eine vorherige Auslösung durch einen Netzwerkteilnehmer erforderlich ist.

Nehmen wir an, eine beliebige Anwendung verwendet Port 6001, um sich mit einem Server zu verbinden, benötigt danach aber die Ports 6100-6200 für die Datenübertragung. Der Router wird jedoch Anfragen auf den Portrange 6100-6200 verwerfen, da er über NAT nur Verbindungen auf dem ursprünglichen Port 6001 akzeptieren würde. Durch die Festlegung des Port 6001 als Trigger-Port (Auslöseport) und den Portrange 6100-6200 als Public- oder Incoming-Ports (ausgelöste Ports) ist es einem Client-Computer möglich, die Verbindung über Port 6001 (von innen nach außen) aufzubauen und der Router leitet die anschließenden Datenpakete auf die Ports 6100-6200 an diesen Computer (von außen nach innen) weiter.


3. Virtual DMZ (Demilitarisierte Zone)

Entspricht der Situation eines Standalone-Rechners (siehe übernächsten Absatz) mit direktem Anschluss ans Internet ohne dazwischenhängenden Router oder (Proxy-)Server. Wird die interne IP-Adresse eines Computer-Client im Netzwerk in die DMZ eingetragen, werden alle Pakete von außen an diesen Computer weitergeleitet. Diese Konfiguration ist mit absoluter Vorsicht zu behandeln und sollte keinesfalls ohne entsprechende Sicherheitsmaßnahmen betrieben werden.



4. UPnP (Universal Plug and Play)

Eine automatisches Porttriggern (siehe oben), sofern es bei den Betriebssystemen im lokalen Netzwerk sowie beim Router aktiviert wurde. Sicherheitstechnisch ist die manuelle Konfiguration eindeutig vorzuziehen. Unter Umständen kann sonst ein Angreifer über eine Cross-Site-Scripting-Schwachstelle (XSS) im Authentifizierungsdialog des Routers, was nicht selten vorkommt, von aussen auf den Router zugreifen.


 

Warum ein Router bei einem Einzelplatzsystem (Standalone-Computer) ?

Um die Sicherheit zu erhöhen, denn letztendlich geht es um Ihre Daten und Privatsphäre ! Ein Computer, welcher direkt am Netz angeschlossen ist, kann über seine Internet-IP-Adresse angesprochen werden; z.B. mittels eines Portscans geprüft werden, welche Ports geöffnet sind, um über diese letztendlich in das System einzudringen. Über Sicherheitslöcher in den Betriebssystemen können so Viren und Co. eingeschleust werden. Eine solche Konfiguration des Internetzugangs, ohne entsprechende Vorsichtsmaßnahmen, ist in der heutigen Zeit der ständig wachsenden Computerkriminalität nicht nur leichtsinnig, sondern unseren Erachtens mehr als fahrlässig ! Ein NAT-Router in Verbindung mit einer Firewall bietet im Privatbereich optimalen Schutz !

Sofern Sie bereits über einen Router und eine Firewall (auf Client) verfügen, prüfen Sie den Unterschied beider Verbindungsarten (DMZ und hinter Router) anhand der Firewall-Logdateien. Während die Firewall hinter dem Router nahezu arbeitslos ist und somit auch die Performance des Computers erhöht, hat sie in der DMZ ständig Anfragen auf bestimmte Ports (z.B. auch File-Sharing-Ports) zu blocken, welche an einem ungesicherten Computer nicht alle abprallen würden.


Zum Einsatz von Routern, welche gleichzeitig ein Wireless-Access-Point sind, sehen Sie bitte diese Seite und die Beispiel-Netzwerkgrafik.

Um zwei entfernte lokale Netzwerke miteinander zu verbinden (über ein öffentliches Netzwerk wie z.B. das Internet) bedarf es einer VPN (Virtual Private Network)-Verbindung, welche eine Kommunikation über einen sicheren VPN-Tunnel ermöglicht. Dies beinhaltet Verschlüsselung und strenge Authentication-Methoden sowie Mechanismen, um Informationen über die Topologie des Netzwerks vor potentiellen Hackern zu verstecken (Maskierung).

Gerne helfen wir Ihnen, bei der Installation und Konfiguration eines Routers oder Proxyservers.


* der Computer, welcher der Proxyserver ist, benötigt zwei Netzwerkkarten (Bindung an DFÜ-Netzwerk f. Internet und Bindung an LAN)

Kommentieren