Router
Ein Klick auf dieses Symbol lädt eine druckbare PDF-Datei in den Dowwnload-Bereich.
Alles über Home-Router
Inhaltsverzeichnis
Grundlagen
Router
WLAN und Sicherheit
Aufgaben eines Routers
In diesem Artikel geht es nicht um die Hochleistungs-Router des Internets, sondern um die so genannten Home-Router, die oft auch ein DSL-Modem, einem Switch, eine Firewall, einem DHCP-Server und WLAN in einem Gehäuse vereinen.
Der Router selbst ist ein Vermittler. Er vermittelt die Datenpakete zwischen räumlich oder logisch getrennten Netzwerken. Die Hauptaufgabe eines Internet-Routers ist die Wegewahl für die weiter zu leitende Datenpakete. Für jedes Datenpaket ermittelt der Router den effektivsten Weg und leitet es dann an den Empfänger weiter.
Im Falle unseres Home-Routers ist die Aufgabe recht einfach. Hier koppelt der Router das lokale Netzwerk bestehend aus 1, 2, 3 oder 4 Rechnern an einen DSL-Zugang (es gibt auch Router für ISDN). Der Router nimmt Datenpakete aus dem lokalen Netzwerk entgegen und leitet diese an den Internetprovider weiter. Empfangene Datenpakete aus dem Internet werden wiederum an das lokale Netzwerk übergeben. Eine zusätzliche Funktion – NAT genannt – sorgt dafür, dass die Daten den einzelnen Rechnern korrekt zugewiesen werden.
Die von einem Router weiter zu leitenden Datenpakete heißen IP-Pakete und in diesen Paketen stehen neben den Nutzdaten auch die Absender- und die Ziel-IP-Adresse, sowie die zugehörigen Port-Nummern. Schauen wir uns nun der Reihe nach an, was diese und weitere im Zusammen mit Routern wichtige Fachausdrücke bedeuten.
IP-Pakete
IP steht für „Internet Protokoll“. Ein Protokoll ist eine Art Fremdsprache, die zwei Computer (oder andere Geräte) verstehen müssen, wenn sie miteinander kommunizieren wollen. Doch wozu braucht man Pakete?
Ein paar hundert Anwender greifen zugleich auf den Feierabend-Server zu und tun dabei ganz verschiedene Dinge. Das ist erstaunlich, denn der Server hängt nur über eine einzige Leitung am Internet. Wie bringt es diese Maschine fertig, jeden Anwender glauben zu lassen, der ganze Feierabend-Server gehöre ihm ganz alleine? Etwas präziser: Wieso können viele Anwender eine Leitung gleichzeitig nutzen, und wie unterscheidet der Server die einzelnen Nutzer?
Die erste Frage ist einfach zu beantworten. Der Datenstrom wird in kleine Portionen aufgeteilt. Diese Datenpakete werden IP-Pakete genannt, und diese werden in Abständen nacheinander verschickt. Innerhalb der Lücken zwischen zwei IP-Paketen eines Anwenders werden die Pakete anderer Anwender übertragen. Gibt es also beispielsweise 10 Anwender, wird das erste Paket von Anwender 1 übertragen, dann folgen 9 andere und nun erst das zweite Paket von Anwender 1. Sind es 100 Teilnehmer, passieren zwischenzeitlich schon 99 fremde Pakete diese eine Leitung. Dass diese Leitung sehr schnell sein muss, ist klar.
Nun muss der Server das zweite Problem lösen, nämlich jeden Nutzer individuell zu bedienen. Dafür nutzt er so genannte Ports.
Der Server ist eine Multitasking-Maschine, er kann viele Tätigkeiten (Tasks) parallel ausführen. Für jeden, der sich bei Feierabend einloggt, startet der Server einen neuen Task, und der legt einen so genannten Socket an. Ein Socket ist eine Software-Schnittstelle zwischen dem jeweiligen Task und der Außenwelt. Auch der Client (also der PC) hat einen Socket, praktisch kommunizieren die Sockets miteinander.
Ports
Jetzt gilt es nur noch, die richtigen Sockets miteinander zu verbinden, und das ist Sache der Ports. Ein Port ist eine 16-Bit-Zahl im Bereich von 0 bis 65.535.
Die Ports mit den Nummern 0 - 1023 sind für bestimmte Dienste bzw. Protokolle reserviert. Einige davon sind diese:
Port Dienst
21 FTP (Datei-Übertragung)
23 Telnet (Kommandosprache, verstehen manche Router).
25 SMTP (Postversand)
80 HTTP (Web)
110 POP (Email-Abholung)
Wenn Sie einen Server ansprechen, wählen Sie dessen IP-Adresse (siehe unten) sowie den passenden Port an, fragt sich nur wie? Ganz einfach: Sie senden im Datenpaket neben der IP-Adresse auch die Portnummer. Die Abbildung links zeigt aus Sicht des Servers, was dabei passiert. Daraufhin wird eine Verbindung aufgebaut und dieser eine neue, so genannte lokale Portnummer (ab 1024) zugeteilt. Das ist für den Server schon deshalb wichtig, weil beispielsweise der HTTP-Port (80) sofort wieder freigegeben werden muss, um den nächsten Anwender erwarten zu können.
Der neue Port wird mit einem Socket verbunden. Damit besteht jetzt eine eindeutige Beziehung zwischen dem Client (unserem PC) und dem Server. Die Abbildung rechts verdeutlicht diese Aktion.
Merke: Weil über jeden Port Daten in einen Computer gelangen können, die auch Schaden anrichten mögen, kann man den Zugang für jeden Port erlauben oder nicht. Man sagt auch, man kann den Port öffnen oder schließen. Eine wesentliche Aufgabe von Routern ist der Umgang mit Ports zur Erhöhung der Sicherheit.
IP-Adressen und DNS
www.feierabend.com klingt zwar gut, doch damit wird der Feierabend-Server gar nicht angesprochen. Adressiert wird immer mittels IP-Adressen. Die IP-Adresse entspricht der Postleitzahl eines Gerätes, das sich im Internet oder in einem lokalen Netzwerk befindet. Nicht nur PCs und Server haben IP-Adressen, sondern auch der Router oder netzwerkfähige Drucker. Um eine eindeutige Zustellung von Datenpaketen zu ermöglichen, darf es jede IP-Adresse innerhalb des Internets bzw. eines lokalen Netzwerks nur einmal geben.
Die IP-Adresse besteht aus vier dreistelligen Zahlengruppen, wie192.168.122.156. Jede Zahlengruppe kann Werte zwischen 000 und 255 einnehmen. Daraus ergibt sich, dass maximal rund vier Milliarden PCs gleichzeitig mit dem Internet verbunden sein können.
Sie können anstatt einer URL (Uniform Resource Locator), wie "http://www.google.de" durchaus die IP-Adresse (66.249.85.104) in das Adressfeld des Browsers eintragen oder für Feierabend 81.3.61.2. ganz korrekt geben Sie auch noch die Portnummer an und schreiben dann 81.3.61.2:80.
Tun Sie das nicht, sondern tippen www.feierabend.com, dauert es etwas länger. In diesem Fall verbindet sich nämlich Ihr Browser zuerst mit einem DNS-Server (Domain Name Server), um dort nachzulesen, welche IP-Adresse z.B. "http://www.google.com" hat. Damit Ihr Browser weiß, wo er suchen muss, müssen Sie im Rahmen der Internet-Konfiguration zwei DNS-Adressen eintragen. Die erste (primäre) Adresse wird im Normalfall genutzt, die zweite, wenn der erste Server nicht oder zu spät antwortet. Die DNS können aber auch von einem Router automatisch oder manuell bezogen werden, wozu man noch wissen muss, dass sich der Router selbst die DNS vom Provider holt.
TCP und UDP
TCP und UDP sind die beiden 4-Schichten-Protokolle, mit deren Hilfe im Internet kommuniziert wird. Wenn zwei Anwendungen zuverlässig miteinander kommunizieren wollen, bauen sie eine TCP-Verbindung auf. TCP heißt "Transport Control Protocol", und zwar im Sinne von kontrolliertem Transport. TCP baut eine feste Verbindung auf, ähnlich wie bei Telefongesprächen. Dabei garantiert TCP, dass die Daten zur Gegenstelle gelangen und zwar in der Reihenfolge, in der sie gesendet wurden. Wenn nicht, meldet TCP einen Fehler und die Daten werden erneut übertragen. HTTP oder FTP wären ohne TCP nicht möglich.
Im Gegensatz zum verbindungsorientierten TCP steht das verbindungslose UDP (User Datagram Protocol). UDP sendet einfach seine Datagramme (Datenpakete). Nichts garantiert, dass die Pakete ankommen, und wenn, dann muss die Reihenfolge der Pakete nicht stimmen. Fehlermeldungen unter UDP gibt es nicht. Da fragt mancher nach dem Nutzen dieses Protokolls, aber den muss es wohl geben.
Ein typisches Beispiel ist ein Uhr-Server. Dieser sendet ein Paket der Art "es ist jetzt 13:17:39". Wenn nun in typsicher TCP-Systematik eine Rückmeldung der Art "Paket fehlerhaft, sende es nochmals" käme, wäre diese Uhrzeit nicht mehr aktuell.
TCP setzt auf dem IP (Internet Protocol) auf und deshalb liest man häufig TCP/IP.
Die Verkabelung
Das folgende Bild zeigt, wie die Geräte grundsätzlich anzuschließen sind.
Die gestrichelte Linie deutet an, dass sich DSL-Modem, Router und Access Point (für das WLAN) auch in einem Gehäuse befinden können.
Das Kabel zwischen TAE-Dose und Splitter
ist ein zweiadriges Telefonkabel, das an der einen Seite einen F-Stecker für die TAE-Buchse hat. Das ist der gleiche Stecker, mit dem auch ein Telefon angeschlossen wird. Am anderen Ende ist der kleine RJ11-Stecker, der in den Splitter gesteckt wird.
Das Kabel vom Splitter zum DSL-Modem oder zu einem Router mit integriertem DSL-Modem
Für die Verbindung zwischen Splitter und Modem liefert der Hersteller ein Kabel mit, an dessen beiden Enden sich RJ45-Stecker befinden. RJ45 ist die etwas größere Variante des oben gezeigt RJ11 und wird häufig auch Ethernet-Stecker genannt. Das Kabel kann auf bis zu 20 m verlängert werden. Dafür reicht ein zweiadriges Telefoninstallationskabel oder ISDN-Anschlusskabel.
Das Kabel vom DSL-Modem zum Router
Wenn sich Router und DSL-Modem nicht in einem Gehäuse befinden, müssen sie über ein vieradriges Ethernetkabel verbunden werden, also ein Kabel, an dessen beiden Enden RJ45-Stecker sind. Das eine Ende wird am DSL-Modem an einen Steckplatz mit der Bezeichnung "LAN" angeschlossen, das andere Ende am Router am Steckplatz "WAN".
Das Kabel vom DSL-Modem oder Router zum Computer
>Ein einzelnes DSL-Modem wird über ein vieradriges Ethernetkabel mit RJ45-Steckern an den Ethernet-Anschluss des Computers angeschlossen. Ein Router hingegen hat i.d.R. 4 LAN-Anschlüsse. Damit lassen sich bis zu 4 Computer auch über Ethernetkabel verbinden. Sollen wenige als 4 Rechner angeschlossen werden, ist es egal, welche der Anschlüsse Sie nutzen. Die Kabel können bis zu 100 m lang sein, doch dann sollten Sie hochwertiges so genanntes CAT5-Kabel einsetzen.
DSL-Modem
Ein einfaches Modem überträgt das Signal, indem es einen Ton unterschiedlich moduliert. Prinzipiell ist das bei DSL auch nicht anders, nur dass 256 unterschiedlich hohe Töne parallel übertragen werden. Das Nutzsignal in 256 „Spuren“ aufzuteilen und am anderen Ende wieder zusammen zu bauen und das auch noch in TCP/IP zu übersetzen, ist schon eine komplizierte Geschichte, aber belassen wir es dabei.
Uns interessiert mehr, was wir tun müssen, um so ein DSL-Modem in Betrieb zu nehmen bzw. den Router, in dem das DSL-Modem steckt, mit dem Provider zu verbinden. Das folgende Bild des DSL-WLAN-Routers von AVM zeigt, das die Sache rechte einfach sein kann.
Ihr Provider nennt ihnen eine Benutzerkennung und ein Kennwort. Beides müssen Sie eingeben und dann noch den Provider selbst aus dem Ausklappmenü wählen. Ist Ihr Provider nicht dabei, wählen Sie „Anderer Internetanbieter“, mit der Folge, dass dann die Software etwas länger suchen muss, aber findet, was sie braucht. Eine DSL-Verbindung ist nämlich eine Standleitung zu Ihrem Provider. Mit der Einwahl wählen Sie keine Telefon-Nummer, sondern verbinden sich mit dem Computer Ihres Providers, der Sie dann mit dem Internet verbindet.
Das die Sache auch wesentlich komplizierter sein kann, zeigt das nächste Bild. Es stammt von Draytek-Router Vigor 2600G.
Hier muss man die Fußzeile beachten. In Deutschland gilt der UR-2/T-DSL-Standard der Telekom und somit muss man die Angaben aus dieser Zeile übernehmen.
Router
Ein Router muss Daten zwischen einem LAN und dem Internet vermitteln. Deshalb zeige ich zuerst, wie ein LAN aufgebaut und verkabelt wird, zumal die LAN-Zentrale oft zusammen mit dem Router in einem Gehäuse steckt. Wie man das LAN um drahtlose Verbindungen erweitert, folgt später im Kapitel „WLAN“.
Aufbau eines LAN
LAN steht für „Local Area Network“, auf Deutsch „lokales Netzwerk“. Das Weitverkehrsnetz (WAN= Wide Area Network) hingegen meint hier das Internet.
Ein lokales Netzwerk besteht aus mehreren PCs, die untereinander über Kabel- oder Funkverbindungen kommunizieren können. Auch Peripheriegeräte wie Drucker oder Scanner können Teil des Netzwerkes sein. Das folgende Bild zeigt, wie auf diese Art 4 PC mit Kabeln zu einem Netzwerk verbunden werden.
Ethernetm Hub und Switch
Der am häufigsten eingesetzte Netzwerktyp trägt die Bezeichnung Ethernet.
Jeder aktuelle Computer hat einen Ethernet-Anschluss in Form einer RJ45-Buchse, wie schon gesagt, die etwas größere Ausgabe des Modem-Anschlusses RJ11. Verbindet man mehrere Computer, zieht man Ethernet-Kabel von jedem Computer zu einem Zentralgerät und zwar zu einem Hub oder zu einem Switch. Beide übernehmen die Verteilung der Datenpakete innerhalb eines LAN.
Merke: Ein Switch ist schneller als ein Hub und der Preisunterschied zwischen beiden ist inzwischen so minimal, dass Sie auf jeden Fall einen Switch kaufen sollten.
Derzeit dominiert in den privaten Haushalten und in kleineren Unternehmen der 1995 veröffentlichte Fast-Ethernet-Standard 100Base-T, der eine Übertragungsgeschwindigkeit von 100 MBit/s ermöglicht.
Merke: Verbunden wird über durchgehende Ethernet-Kabel, sog. Patch-Kabel. Gekreuzte Kabel (Cross-Kabel) benötigen man für Kaskaden von Switches oder wenn man 2 Computer direkt mit einem Ethernet-Kabel verbinden will. Doch auch das gilt nicht mehr für neuere Geräte. Die erkennen automatisch, welches Kabel angeschlossen ist und schalten sich dann selbst um. Die Länge der Kabel sollte in zwischen 2 PCs 200 m nicht überschreiten. Das heißt im obigen Bild sollten alle Kabel höchstens 100 m lang sein.
Feste IP-Adressen oder DHCP
Sie haben – wie im obigen Bild gezeigt -- nun mindestens einen Rechner per Ethernet-Kabel mit dem Switch des Routers verbunden, doch nichts geht. Der Router soll über einen Browser, wie den Internet Explorer, eingestellt werden, doch das klappt nicht. Oder: Sie haben 2, 3 oder 4 Rechner am Switch angeschlossen, doch Daten zwischen den Rechnern lassen sich nicht übertragen.
Der Grund des Übels: Der Router und die Rechner haben keine IP-Adressen oder solche, die nicht zusammen passen. Wahrscheinlich ist letzeres der Fall, denn moderne Betriebssysteme vergeben selbst IP-Adressen, wenn sich sonst kein Anbieter findet.
Das Problem: Eine IP-Adresse wie 192.168.1.56 besteht aus einer Netzadresse und einer Rechneradresse. Was was ist, bestimmt eine so genannte Maske.
192.168.1.56 mit der Maske 255.255.255.0 heißt, dass die ersten 3 Werte die Netzwerkadress bilden und der vierte Wert die Rechneradresse ist. Wichtig ist, dass Netzadressen identisch sind, man sagt auch, alle Adressen müsse im selben Teilnetz liegen.
Bestimmt wird das Teilnetz (Subnetz) durch die IP-Adresse des Routers. Ein Router hat beispielsweise die IP-Adresse 192.168.1.1. Dann sollte man noch ein paar Werte für Router-interne Abstand geben und dann IP-Adressen der Art
192.168.1.11
192.168.1.12
192.168.1.13
Die Subnetmaske für alle Adressen ist 255.255.255.0
Was man sonst einstellen muss, zeigt das obige Bild aus Windows XP. Zu diesen Einstellungen selbst gelangen Sie in der Systemsteuerung in der klassischen Ansicht über Netzwerkverbindungen, eine Rechtsklick auf LAN-Verbindung und dann auf Eigenschaften. Das führt zum Bild links. Hier wählen Sie „Internetprotokoll (TCP/IP) und klicken auf „Eigenschaften“.
Und so öffnet man den Dialog für Windows 7 und 8:
Windows 7:
Gebe in das Suchfeld netz ein.
Wähle oben Netzwerk- und Freigabecenter
Klicke links auf Adaptereinstellungen ändern
Rechtsklick auf LAN-Verbindung, Eigenschafen auswählen.
Windows 8:
Tippe in der Startseite netz.
Klicke rechts auf Einstellungen
Wähle Netzwerk- und Freigabecenter
Klicke links auf Adaptereinstellungen ändern
Rechtsklick auf LAN-Verbindung, Eigenschafen auswählen.
Im Feld „Standardgateway“ tragen Sie die IP-Adresse des Routers ein. Gateway ist eine allgemeine Bezeichnung für eine Schnittstelle zwischen zwei Computer-Netzwerken. Ein solcher Netzübergang wird meistens durch einen Router umgesetzt, es kann aber auch so genannte eine Bridge sein, wenn es nur um den Übergang geht.
Auch in das Feld DNS-Serveradresse tragen Sie zuerst die IP-Adresse des Routers ein, denn ein Router liefert auch die DNS Ihres Providers. Für den Fall, dass dabei etwas schief geht, zum Beispiel, dass dieser DNS-Server überlastet ist, tragen Sie noch ein echte DNS ein. Hier habe ich einfach eine DNS der Telekom genommen.
DHCP
Wenn Sie DHCP einsetzen, verringert sich der Aufwand beträchtlich. In den Einstellungen müssen Sie dann nur noch „IP-Adresse automatisch beziehen“ und „DNS-Serveradresse automatisch beziehen ankreuzen, siehe das Bild links.
DHCP ist die Abkürzung für Dynamic Host Configuration Protocoll. Dafür muss es im Router einen DHCP-Server geben. Dieser DHCP-Server teilt jedem Rechner auf Anforderung eine einmalige IP-Adresse zu. Er greift dabei auf einen Pool von IP-Adressen zurück und teilt je eine Adresse aus diesem Pool den Computern im Netzwerk zu und das schlicht in der Reihenfolge, in der sie eingeschaltet werden bzw. die IP anfordern. Sie wissen also erst einmal nicht, welche IP-Adressen die einzelnen Rechner haben.
Außerdem meldet der DHCP-Server den Rechnern den verwendenden DNS-Server und den Standard-Gateways (also seine eigene IP).
Im Rechner passiert folgendes: Sein Betriebssystem schaut erst einmal nach, ob der Rechner auf DHCP steht, d.h. unter Windows, ob „ IP-Adresse automatisch beziehen“ eingestellt ist. Wenn ja, sendet der Rechner ein so genanntes „DHCP Broadcast“, er fragt an, ob sich ein DHCP-Server im Netzwerk befindet. Dann fordert er eine IP an und bekommt hoffentlich eine, denn theoretisch kann der DHCP-Server auch schon ausverkauft sein.
Tipp
Ganz zu Anfang wissen Sie evtl. sehr wenig über die Routereinstellungen, denn es gibt gute und schlechte Handbücher. Doch in aller Regel ist ein DHCP-Server ab Werk aktiviert. Also stellen Sie Ihre Ethernet/LAN-Verbindung auf DHCP (IP-Adresse automatisch beziehen), verbinden Sie sich auf jeden Fall über Ethernet-Kabel mit dem Router und tippen dann im Browser als URL die IP des Routers ein.
Eine Falle
Steht der Rechner auf DHCP, findet aber keinen DHCP-Server, zum Beispiel weil der Router nicht eingeschaltet ist, dann „erfindet“ das Betriebssystem selbst eine IP-Adresse. Dummerweise liegt die dann aber mit hoher Wahrscheinlichkeit in einem anderen Teilnetz als dem des Routers. Schaltet man nun den Router ein, ist das kein Grund für die Rechner, neue IP-Adressen anzufordern. Ergo kommt dann keine Verbindung zustande. Sie können in einem solchen Fall mit einem speziellen Befehl auf der Kommando-Ebene eine neue IP-Adresse anfordern oder einfach die Rechner neu starten.
Bei festen IP-Adressen hätten Sie das Problem nicht. Router einschalten, läuft.
Der Vorteil der dynamischen IPs ist, dass es keine Adresskonflikte geben kann, weil versehentlich ein IP-Adresse doppelt vergeben wurde. Doch manchmal ist es nützlich, die IP-Adresse zu wissen, wobei bei festen IPs ein Blick auf den Zettel reicht, bei dynamischen muss man in die Konfiguration schauen.
Unter Windows geht das am schnellsten in der DOS-Box.
Geben Sie unter Ausführen cmd ein und dann im DOS
ipconfig
oder, wenn Sie mehr wissen wollen
ipconfig /all
Wenn Sie DOS nicht mögen: Gehen Sie in der Systemsteuerung in der klassischen Ansicht auf Netzwerkverbindungen, klicken dann doppelt auf LAN-Verbindung und dort auf den Reiter „Netwerkunterstützung“
Sicherheit
Sicherheit heißt, den Rechner vor Angriffen von außen zu schützen. Dafür sorgen NAT, dass dafür sorgt, dass Ihre IP nicht nach außen gelangt und die Firewall, die niemanden faste herein lassen soll.
Nun die Details dazu:
NAT
Wenn Sie sich bei Ihrem Provider anmelden, teilt dieser Ihnen eine IP-Adresse zu, zum Beispiel
81.14.151.29
Nur mit dieser so genannten öffentlichen IP-Adresse kommen Sie ins Internet. Doch an Ihren Router sind auch die Rechner im lokalen Netz angeschlossen und die wollen alle gleichzeitig ins Internet. Es sind z.B. 3 lokale Rechner mit diesen IP-Adressen
192.168.1.11
192.168.1.12
192.168.1.13
Die Lösung des Problems heißt NAT, die Abkürzung für Network Address Translation, auf Deutsch Übersetzung von Netzwerkadressen. Diese Funktion übernimmt der Router, der dafür natürlich NAT beherrschen muss.
NAT nimmt die zu sendenden Pakete aus dem lokalen Netzwerk entgegen und ersetzt die jeweilige Absenderadresse des IP-Paketes durch die öffentlich IP-Adresse. So geht z.B. ein Datenpaket mit der IP-Adresse 192.168.1.11 an den Router und der setzt dafür die Adresse 81.14.151.29 ein, um es danach zu senden. Nun kommt ein Datenpaket mit der IP-Adresse 192.168.1.13 an und wiederum ersetzt die NAT-Software diese Adresse mit 81.14.151.29. Die als Antwort eingehenden Datenpakete lassen keinerlei Rückschlüsse mehr auf den PC zu, der sie angefordert hat.
Sie sehen schon, irgendetwas fehlt noch und das ist die NAT-Tabelle. Hier wird notiert, dass z.B. der Rechner mit der IP 192.168.1.11 eine Anforderung an IP-Adresse 81.3.61.2 (www.feierabend.com) gesendet hat. Kommt nun ein Antwortpaket, wird die Tabelle durchsucht und dann das Paket an den zugehörigen lokalen Rechner weiter geleitet. Nun können natürlich alle 3 Rechner auf Feierabend zugreifen, also ist dessen IP kein eindeutiges Unterscheidungsmerkmal. Aber jedes IP-Paket hat auch eine einmalige laufende Nummer und die wird auch notiert.
Beim Betrieb ohne Router, also nur mit einem Modem, kann es vorkommen, dass eine Hacker-Software offene Ports sucht und findet, um dann darüber Viren o.ä. einzuschleusen.
Mit einem Router und NAT klappt das nicht, denn die dann eingehenden Datenpakete haben keinem zugehörigen Eintrag in der NAT-Tabelle und werden somit als unerwünscht zugesandte Datenpakete identifiziert und vom Router verworfen. NAT beinhaltet also auch eine sehr sichere Firewallfunktionen.
Auch sehr praktisch ist, dass die als Antwort eingehenden Datenpakete keinerlei Rückschlüsse mehr auf den PC zulassen, der sie angefordert hat. Dadurch sind die PCs im Netzwerk nach außen anonym.
Firewall
Eine Firewall, auf Deutsch Brandmauer, soll den Schutz eines PCs oder eines ganzen lokalen Netzwerkes vor Angriffen aus dem Internet sicherstellen. Um die Qualität einer Firewall beurteilen zu können, sollen Sie einige Fachbegriffe kennen, die gleich noch im Detail erläutet werden.
Einfache Firewalls arbeiten mit Paketfiltern, die nur die IP-Adressen und Portnummern ein- und ausgehender Datenpakete prüfen und die Pakete nach vorgegebenen Regeln filtern.
Bessere Firewalls integrieren daneben noch Konzepte wie IP-Masquerading und NAT und entkoppeln den Datenverkehr durch eine strikte Trennung von internem und externem Netz.
Die besten Firewalls analysieren und bewerten zusätzlich auch noch den Inhalt der Pakete und filtern diese nach vorgegebenen Regeln. Solche Techniken beinhaltet eine“ Stateful Packet Inspection Firewall“.
Paketfilter
Paketfilter setzen einfache Firewall-Funktionalitäten um. Sie analysieren vor einer Weiterleitung die Quell- und Zieladressen (IP-Adressen) der Datenpakete. Außerdem kann der ein- und ausgehende Datenverkehr über bestimmte Ports unterbunden werden.
Bei der Konfiguration von Paketfiltern können zwei Konzepte verfolgt werden: Es können entweder Positivlisten oder Negativlisten in der Firewall (bzw. in einem Router) hinterlegt werden. Positivlisten stellen eine sehr restriktive Form dar, bieten aber ein höheres Maß an Sicherheit, da sie nur ausgewiesene vertrauenswürdige Kommunikationspartner beinhalten. Ein ähnliches Maß an Sicherheit über eine Negativliste zu schaffen, ist dagegen sehr aufwändig. Theoretisch müsste jeder mögliche Kommunikationspartner in Hinblick auf seine Vertrauenswürdigkeit eingeschätzt werden.
Einen Kompromiss zwischen Sicherheit und Konfigurationsaufwand bietet die Kombination aus Positiv- und Negativlisten. Durch eine solche Kombination kann hohe Sicherheit mit einem vertretbaren Konfigurationsaufwand geschaffen werden.
IP Masquerading/ PAT
Beim IP Masquerading - auch als PAT (Port and Address Translation), oder je nach Ausbaustufe NPAT (Network and Port Address Translation) oder 1-to-n-NAT bezeichnet – werden eine oder alle Adressen eines privaten Netzwerkes auf eine einzelne öffentliche (dynamische) IP-Adresse abgebildet. Dies geschieht dadurch, dass bei einer existierenden Verbindung zusätzlich zu den Adressen auch die Portnummern ausgetauscht werden.
Also kann mittels IP-Masquerading ein PC oder ein lokales Netzwerk gegen unerwünschte Verbindungsanforderungen aus dem Internet geschützt werden.
Die Aufgabe des IP-Masquerading übernimmt in der Regel ein so genanntes Application Gateway. Sollen mehrere Rechner per IP-Masquerading über ein und dasselbe Application Gateway mit dem Internet verbunden werden, so muss außerdem NAT zum Einsatz kommen.
Nachteil dieser Lösung: Die Rechner im privaten Netzwerk können nicht aus dem Internet angewählt werden. Diese Methode eignet sich daher hervorragend dazu, zwei und mehr Rechner eines privaten Anschlusses per DFÜ-Netzwerk an das Internet zukoppeln.
Stateful Packet Inspection Firewall
Eine Stateful Packet Inspection Firewall (SPI-Firewall) kann die Verbindung zwischen dem zu schützenden Netz und dem Internet nahezu völlig entkoppeln. Sie kombiniert dazu eine Vielzahl von Firewalltechniken miteinander und fügt ein weiteres umfangreiches Analysemodul hinzu, das den Inhalt der Datenpakete genauestens untersucht, bewertet und nach vorgegebenen Regeln filtert.
Die SPI-Firewall agiert als Stellvertreter des lokalen Netzwerkes gegenüber dem Internet. Einzig die Firewall verfügt über eine öffentliche IP-Adresse und sorgt für die korrekte Zustellung der Antwortpakete aus dem Internet an den PC, der diese Pakete angefordert hat. Dieses Verfahren wird als IP-Masquerading bezeichnet. Durch Einsatz von NAT in einer Stateful Packet Inspection Firewall können auch mehrere PCs gleichzeitig via IP-Masquerading auf das Internet zugreifen.
Gute Router, die eh NAT benötigen, setzen auch eine SPI-Firewall ein.
Portfreigabe
Normalerweise sorgt die Firewall eines Routers dafür, dass alle Ports geschlossen sind und nur von innen geöffnet werden können. Damit kann kein Hacker-Programm von außen auf den Rechner zugreifen, aber auch kein „gutes“ Programm. Will man nämlich selbst einen Internet- oder FTP-Server betreiben oder an einem Fillesharing, wie eMule teilnehmen, müssen bestimmte Ports offen sein. Der Router schaltet aber Ports immer nur für einen bestimmten Rechner frei, weshalb zu einer Freigabe 2 Informationen gehören: die IP-Adresse des Rechners und die Port-Nummer bzw. der Port-Bereich, wenn gleich mehrere Ports zu öffnen sind. Das folgende Bild zeigt im oben Teil einen Draytek-Router bei der Portfreigabe, das untere Bild die Fritzbox von AVM.
WLAN und Sicherheit
Router-Kennwort
Die folgenden Sicherheitseinstellungen bringen herzlich wenig, wenn der Router nicht durch ein Kennwort geschützt ist, denn wer Zugriff auf den Router hat, kann alle dessen Einstellungen ändern, Sicherheitseinstellungen inklusive.
Angreifer probieren einfach die typischen Router-Adressen aus und geben diese in ihren Browser ein. Ist der Router dann nicht mit einem Kennwort geschützt, haben sie vollen Zugriff. Theoretisch könnte man auch die Router-Adresse ändern, aber ein sicheres Kennwort sollte reichen, also eine Komination von Buchstaben, Zahlen und Sonderzeichen. Falls man das vergisst (oder den Zettel verlegt hat), ist das kein großer Beinbruch. Man kann jeden Router auf die Werkeinstellungen rücksetzen. Nur leider gehen mit diesem Reset auch alle Einstellungen verloren.
SSID verstecken
SSID ist das Kürzel für „Service Set Identifier“ auf deutsch, der Netzwerk-Name oder die Kennung eines Funknetzwerkes. Der Netzwerk-Name kann bis zu 32 Zeichen lang sein.
Die SSID ist einstellbar, um das WLAN eindeutig identifizieren zu können, was besonders dann interessant, wenn es mehrere WLANs gibt, die man unterscheiden muss. Man kann aber auch mehrere Basisstationen zu einem Netz verbinden, wenn man allen die selbe SSID gibt. Das nennt man dann ESSID.
Reserviert ist die SSID ANY (deutsch: beliebig). Gibt man das auf einem Client als SSID ein, melden sich alle erreichbaren Basisstationen, so dass aus einer Liste ausgewählt werden kann.
Eine mögliche Sicherheitsmaßnahme soll sein, die Aussendung (Broadcast) der SSID nicht einzuschalten (in den Routereinstellungen wird der Haken bei „Netzwerk-Name bekannt geben“ nicht gesetzt).Nur wenn die Netzkennung explizit bei den Clients eingetragen ist, sollen sich die PC in das Netz einbuchen können.
Doch dummerweise behindert das einen Angreifer kaum. So genannte Netzwerk-Sniffer, wie Kismet (auf dem Macintosh KisMac) haben keinerlei Probleme, eine unterdrückte SSID zu ermitteln. Allerdings, der normale User in der Nachbarschaft sieht ein Netz mit versteckter SSID überhaupt nicht.
Risiko:: Windows zusammen mit einigen WLAN-karten hat Probleme, eine versteckete SSID zu erkennen. Bei Verbindungsproblemen oder Abbrüchen sollte man die SSID also nicht verstecken.
Teilnahme auf bestimmte Rechner beschränken
Über den Menüpunkt „Zugriffskontrolle" (Draytek) oder „WLAN-Zugang beschränken (MAC-Address-Filter)“ (AVM) ist es möglich, Rechnern anhand Ihrer MAC-Adresse den Zugriff auf das Funknetz zu erlauben oder zu verbieten.
MAC steht für Media Access Control oder Ethernet-ID und ist die einmalige Hardware-Adresse jedes einzelnen Netzwerkadapters, jeder WLAN-Karte, jeden Routers oder jeden anderem adressierbaren Gerätes im Netzwerk. Die MAC-Adresse sieht typisch so aus:
00:17:f2:41:60:27
Mittels der Einträge von erlaubten MAC-Adressen kann man verhindern, dass ungebetene Gäste das Funknetz nutzen, allerdings Hacker lassen sich auch damit nicht aussperren. Kennt nämlich ein Hacker eine der zugelassenen MAC-Adressen, kann er seine eigene MAC-Adresse passend fälschen.
Wichhtiger ist deshalb, dass die übertragenen Datenpakete selbst nich von anderen gelesen werden können. Dafür müssen die Daten verschlüsselt werden, wie, zeigt der nächste Abschnitt.
WEP, WPA und WPA2
WEP
Abkürzung für Wired Equivalent Privacy; WLAN-Verschlüsselungsverfahren
WEP ist eines von 3 möglichen Verschlüsselungsverfahren. Es arbeitet mit Schlüssellängen von 64 oder 128 Bit. praktisch gibt man 5 oder 13 Zeichen ein. Am häufigsten kommt die Schlüssellänge von 128 Bit zum Einsatz , die von nahezu allen WLAN-Geräten unterstützt wird.
WEP bietet keinen absolut sicheren Schutz, sondern kann innerhalb weniger Minuten geknackt werden. Dennoch sollte, sofern keine alternative Sicherungsmöglichkeit möglich ist, auf keinen Fall auf den Einsatz von WEP verzichtet werden. So versuchen beispielsweise einige WLAN-Clients selbsttätig Kontakt zu einem WLAN aufzunehmen, sobald sie in dessen Reichweite kommen, ohne dass eine Benutzerinteraktion notwendig wird. Vor derartigen Zufallsbesuchern ist ein durch WEP gesichertes WLAN auf jeden Fall geschützt.
WPA
Abkürzung für Wi-Fi Protected Access; WLAN-Verschlüsselungsverfahren
WPA wurde 2003 entwickelt, nachdem die Schwachstellen von WEP bekannt wurden. Erst seitdem kann WLAN auch in Netzen eingesetzt werden bei denen hohe Sicherheitsanforderungen gelten, z.B. in Firmennetzen.
WPA beinhaltet mit dem Temporal Key Integrity Protocol (TKIP) insbesondere eine gegenüber WEP verbesserte Aushandlung von Schlüsseln. Der Aushandlungsschlüssel wird nur zu Beginn einer Sitzung verwendet. Im Anschluss kommt dann ein Sitzungsschlüssel zum Einsatz, der in regelmäßigen Abständen verändert wird.
Bislang existieren für WPA noch keine wirklich erfolgreichen Angriffsszenarien - außer einer so genannten Wörterbuchattacke, die aber nur dann erfolgreich sein kann, wenn ein Nutzer einen schwachen Schlüssel verwendet. Davor ist jedoch kaum eine Verschlüsselungstechnologie sicher. Immerhin kann ein WPA-Schlüssel bis zu 63 Zeichen lang sein. Lange Schlüssel sind nicht langsamer als kurze, da sie intern eh gleich lange Zahlen-Codes umgesetzt werden.
WPA2
Abkürzung für Wi-Fi Protected Access; WLAN-Verschlüsselungsverfahren
WPA2 ist eine verbesserte Variante seiner Vorgängerversion WPA dar. Durch ein neu aufgenommenes Verschlüsselungsverfahren mit der Bezeichnung AES-CCM (Advanced Encryption Standard - Counter with CBC-MAC) konnte die Sicherheit gegenüber WPA nochmals verbessert werden. Das Verfahren stellt allerdings auch deutlich höhere Anforderungen an die Hardware, so dass Router oder WLAN-Karten, die mit WPA umgehen können, nicht unbedingt auch WPA2 beherrschen oder damit gebremst werden.
Einstellungen auf dem Mac und dem PC
Macinstosh
Auf dem Macinntosh gehst du in die Systemeinstellungen, dort auf "Netzwerk" und wählst aus dem Aufklappmenü "Umgebung" den Punkt "Neue Ummgebung.
Dort wähle im Aufklappmenü "Anzeigen" den Punkt "Airport", was das folgende Bild, allerdings noch leer, öffnet.
Wenn das Netzwerk keinen Namen hat (SSID), stelle das Aufklappmenü "Standardmäßig verbinden mit" auf "Automatisch", ansonsten wie im Bild gezeigt auf "Einem bestimmten Netzwerk".
Nur wenn du letzteren Punkt gewählt hast, musst du den Netzwerknamen eingeben, sonst nur unter Kennwort den am Router eingestellten WEP- oder WPA-Schlüssel.
Die IP-Adresse wird im nächsten Bild eingegeben, aber nur wenn nötig.
Wenn du ohne feste IP-Adresse arbeiten willst, musst du nichts tun, denn standardmäßig steht im folgenden Bild „IPv4 konfigurieren“ auf DHCP.
Der Router hat hier die IP-Adresse 10.0.1.1. Diese trägt man im Feld Router ein aber auch im Feld DNS, weil der Router die DNS-Adresse liefert. Sicherheitshalber noch eine andere DNS einzutragen, kann nichts schaden.
PC unter Windows
Auf dem PC sieht so aus, wie in dem folgenden Bild.
Dazu gehe in die Systemsteuerung/ Netzwerkumgebung und lasse dir die Verbindungen anzeigen.
Wenn du mit der rechten Maustaste auf „Drahtlose Netzwerkverbindung“ klickst, kannst du Eigenschaften“ auswählen. Auf dem Reiter „Drahtlosnetzwerke“ findest du dann Detailinformationen zu deinem Funknetzwerk sowie zur Konfiguration deines WLAN-Adapters. So sollte hier unter „Bevorzugte Netzwerke“ dein eigenes Funknetzwerk zu finden sein. Wenn du das anklickst und erneut die Option „Eigenschaften“, kommst du zu den Verschlüsselungseinstellungen.
Und so öffnet man den Dialog für Windows 7 und 8:
Windows 7:
Gebe in das Suchfeld netz ein.
Wähle oben Netzwerk- und Freigabecenter
Klicke links auf Adaptereinstellungen ändern
Rechtsklick auf Drahtlose Verbindung, Eigenschafen auswählen.
Windows 8:
Tippe in der Startseite netz.
Klicke rechts auf Einstellungen
Wähle Netzwerk- und Freigabecenter
Klicke links auf Adaptereinstellungen ändern
Rechtsklick auf drahtlose Verbindung, Eigenschafen auswählen.
IP-Adresse
Für die IP-Adresse gehe genauso vor, nur wähle LAN-Verbindung. Das folgende Bild öffnet bei einer festen IP so:
Soll es DHCP sein, muss man nichts tun bzw. nur die Option "IP-Adresse automatisch beziehen" anklicken.
Autor:
WoSoft
Artikel Teilen
Artikel kommentieren