DasHeimnetzwerk.de - informativ und umfassend

Das Heimnetzwerk durch Bereichsaufteilung sichern

PC’s, Smartphones und Tablets sind längst Teil des Alltags vieler Menschen. Dementsprechend sind auch wertvolle und sensible Daten auf den Geräten gespeichert. Die Erinnerungsfotos vieler Jahre, der Briefverkehr mit Behörden, Kontoauszüge von Banken, und so weiter. Im gleichen Atemzug, bewegen sich die Kinder recht sorglos im Netz und laden alles herunter, was interessant aussieht. Ihren Gästen vertrauen Sie eigentlich und Sie möchten Ihnen Zugang zum Internet geben. Doch letztlich wissen Sie nicht ob deren Smartphones oder Notebooks auch wirklich sicher sind. Die neuen Smart-Home Geräte waren günstig, doch den Namen des Herstellers können Sie nicht einmal aussprechen. Ferner haben Sie letztens gelesen, dass es schon vorgekommen ist, dass die enthaltene Firmware direkt ab Produktion mit einer Trojaner-Software versehen war. Firmwareupdates wird es, im Fall der Fälle, von diesem Hersteller wohl eher nicht geben.

Das gefährliche ist nun, dass diese unsicheren Geräte sich schon hinter der Firewall Ihres Internet-Routers befinden, wenn Sie diesen Zugang gewähren. Damit wird es einen Schritt leichter, andere Geräte direkt in Ihrem Netzwerk zu kompromittieren. Ein bekanntes Beispiel für einen entsprechenden Schädling, welcher sich selbständig im Netzwerk ausgebreitet hat, ist „WannaCry“ (Mai 2017). Dieser nutzte eine Sicherheitslücke im Windows Betriebssystem und konnte sich von PC zu PC innerhalb eines Netzwerks ausbreiten. Dateien der befallenen Rechner wurden verschlüsselt und eine Lösegeldforderung gestellt.

Das Schöne ist aber, dass Sie nicht gleich die unsicheren Geräte aus Ihrem Netzwerk verbannen müssen. Teilen Sie Ihr Netzwerk doch einfach in einen sicheren und einen unsicheren Bereich auf. Dem sicheren Bereich ordnen Sie die Geräte mit niedrigem Sicherheitsrisiko zu, dem unsicheren Bereich die Geräte mit hohem Sicherheitsrisiko. Geräte aus beiden Bereichen können nicht direkt miteinander Daten austauschen. Damit ist der sichere Bereich vor Schädlingen aus dem unsicheren Bereich geschützt und kann auch nicht so schnell ausgespäht werden. Beide Bereiche sind aber mit dem Internet verbunden.

Im folgenden widmet sich dieser Artikel der Beschreibung zweier Lösungen wie Sie, verhältnismäßig einfach, Ihr Netzwerk in zwei getrennte Bereiche aufteilen können.

  1. Die Verwendung der Gastnetzwerkfunktion Ihres Internet-Routers.

  2. Die Einrichtung einer sogenannten „De-Militarisierten Zone“ (DMZ) in Ihrem Netzwerk.

Notiz: Auch für den sicheren Bereich gilt der Grundsatz, dass es 100% Sicherheit nicht gibt. Sie können aber das Risiko einer Ausbreitung von Schädlingen deutlich senken und damit das Risiko vor Datenverlust auf Ihren sensiblen Geräten.

Gastnetzwerk

Sehr viele Internet-Router, so z.B. die bekannten Fritz!Boxen, offerieren eine Gastnetzfunktion. Ein Gastnetzwerk ist ein, von Ihrem eigentlichen primären Netzwerk getrenntes Netzwerk. Die Trennung übernimmt dabei der Internet-Router. Alle Geräte aus dem Gastnetzwerk können mit dem Internet Daten austauschen, aber nicht mit Ihrem primären Netzwerk. Das Gastnetzwerk übernimmt dabei die Rolle des unsicheren Bereiches, das primäre Netzwerk ist der sichere Bereich. Mit wenigen einfachen Einstellungen, können Sie die Gastnetzwerkfunktion aktivieren. Danach müssen Sie nur noch die unsicheren Geräte an das Gast-WLAN anmelden oder mit dem Gast-LAN verbinden und schon haben Sie ein Trennung erreicht.

Bild: Trennung mittels Gastnetzwerk
Bild: Trennung mittels Gastnetzwerk

Notiz: Die Gastnetzwerkfunktion kann sich von Internet-Router zu Internet-Router und Hersteller zu Hersteller unterscheiden. In diesem Artikel wird ein Gastnetzwerk am Beispiel einer Fritz!Box 7590 erklärt. Diese ist auch für andere aktuelle Fritz!Box Modelle gültig. Bei anderen Herstellern gibt die Gerätedokumentation Aufschluss, ob und wie ein Internet-Router die Gastnetzwerkfunktion unterstützt.

Gast-WLAN:

Um ein Gastnetzwerk in ihrem Internet-Router zu aktivieren und einzurichten, müssen Sie sich als erstes die Bedienoberfläche öffnen und sich anmelden. Für ein Gast-WLAN finden Sie die Einstellungen bei einer Fritz!Box unter „WLAN -> Gastzugang“.

Markieren Sie nun die Kontrollbox „Gastzugang aktiv“ und vergeben einen Namen für das Gast-WLAN und ein Zugangspasswort. Die Verschlüsselung sollte bei „WPA2 (CCMP)“ belassen werden, da es dieser dem derzeitig aktuellen Stand entspricht. Ein interessanter Punkt ist noch „Internetanwendungen beschränken“. Hier können Sie direkt wählen ob mittels des Gastnetzwerk nur das Surfen im Internet und die E-Mail Abfrage erlaubt sein soll. Für viele Zwecke reicht das, doch wenn Sie z.B. Smart-Home Geräte einbinden oder Ihre Gäste fortschrittliche Anwendungen benutzen, dann sollte die Markierung aus der Kontrollbox entfernt werden werden.

Bild: Screenshot Fritz!Box Gast-WLAN
Bild: Screenshot Fritz!Box Gast-WLAN

Aktivieren Sie die Einstellungen mit einem Klick auf „Übernehmen“.

Das Gast-WLAN wird jetzt auf den gleichen WLAN-Frequenzbereichen und Kanälen aktiv wie Ihr Haupt-WLAN. Sie können jetzt Geräte mit dem Gast-WLAN verbinden.

Gast-LAN:

Eine Fritz!Box unterstützt nicht nur ein Gast-WLAN, sondern bietet auch die Möglichkeit ein Gast-LAN einzurichten. Sprich sich an das Gastnetzwerk mit einem Ethernet (LAN) Kabel zu verbinden. Das Gast-LAN können Sie unter „Heimnetzwerk -> Netzwerk -> Netzwerkeinstellungen“ aktivieren.

Bild: Screenshot Fritz!Box Gast-LAN
Bild: Screenshot Fritz!Box Gast-LAN

Nach Aktivierung ist die vierte Ethernet/LAN Schnittstelle in den Gast-LAN Modus geschaltet und von Ihrem primären Netzwerk getrennt. Stellen Sie sicher, dass diese Schnittstelle von Ihrem primären Netzwerk getrennt bleibt. Sie sollten diese Schnittstelle nicht ohne weiteres mit einem Ethernet-Switch verbinden, mit welchem auch Ihr primäres Netzwerk verbunden ist. Am einfachsten ist es einen separaten günstigen Ethernet-Switch zu kaufen und diesen exklusiv für das Gast-LAN zu verwenden. Falls Ihr Ethernet-Switch die port-based VLAN Funktion beherrscht, dann können Sie das Gast-LAN und Ihr primäres Netzwerk auch darüber trennen.

Mittels eines port-based VLAN, können Sie Ethernet/LAN Schnittstellen voneinander trennen und mehreren unterschiedlichen LAN Netzwerken zuweisen. Als Identifikator dient dabei eine Zahl, welche eine Schnittstelle eindeutig einem VLAN zuweist. So gelten z.B. alle Schnittstellen mit der VLAN ID „2“ als miteinander verbunden, sind aber getrennt zu Schnittstellen welche der VLAN ID „3“ zugeordnet sind. Schon einfache Smart-/Webmanaged Ethernet-Switches beherrschen typischerweise port-based VLAN. Mit einem unmanaged Ethernet-Switch können Sie keine Trennung per port-based VLAN vornehmen. Mehr zu Ethernet-Switches finden Sie in dem hier verlinkten Artikel.

Notiz: VLAN ist die Abkürzung für Virtual LAN. Die VLAN Technologie wird gerne in größeren Netzwerken zur Bereichstrennung eingesetzt. Neben port-based VLAN kommt dort auch das sogenannte tagged VLAN (IEEE802.1q) zum Einsatz. Der Einsatz von tagged VLAN ist aber vergleichsweise komplex und im Heimnetzwerkbereich nicht nötig.

Bandbreitenkontrolle:

Ihre Kinder sind nun per Gastnetzwerk von Ihrem primären Netzwerk getrennt und potentieller Schaden bleibt begrenzt. Doch die Kinder sind so aktiv im Internet unterwegs, dass Ihre eigenen Downloads und Anwendungen ins Stocken geraten. Für diesen Fall bieten einige Internet-Router die Möglichkeit Bandbreite für das primäre Netzwerk zu reservieren. Eine Reservierung bedeutet, dass wenn benötigt, das primäre Netzwerk immer x % der Bandbreite abrufen kann. Das Gastnetzwerk verlangsamt sich dann entsprechend. Wird die reservierte Bandbreite aber nicht von dem primären Netzwerk benötigt, dann steht diese auch dem Gastnetzwerk zur Verfügung.

Die Aktivierung und Einstellung für die Bandbreitenkontrolle finden Sie bei einer Fritz!Box unter „Internet -> Filter -> Priorisierung“. Scrollen Sie ganz nach unten bis zu dem Bereich „Geschwindigkeit im Heimnetzwerk“. Hier können Sie nun die Bandbreitenkontrolle aktivieren und eine bestimmte Bandbreite in % für Ihr primäres Netzwerk reservieren.

Bild: Screenshot Fritz!Box Bandbreitenkontrolle
Bild: Screenshot Fritz!Box Bandbreitenkontrolle

Notiz: Mittels der Bandbreitenkontrolle können Sie nur die Bandbreite im Uplink Ihres Internetzugangs regeln. Der Datenverkehr im Downlink wird über Geräte Ihres Internetanbieters zu Ihnen gesandt, über welche Sie keine Kontrolle haben.

De-Militarisierte Zone (DMZ)

Die Trennung zweier Netzwerkbereiche mittels De-Militarisierter Zone (DMZ) ist etwas komplexer, als über ein Gastnetzwerk. Das Kernprinzip ist, dass der unsichere Netzwerkbereich direkt mit Ihrem Internet-Router verbunden ist. Der sichere Netzwerkbereich, Ihr primäres Netzwerk, ist mittels eines zweiten Router von dem unsicheren Netzwerkbereich getrennt. Die in dem Router integrierte Firewall sorgt dafür, dass kein unkontrollierter Datenaustausch, zwischen dem unsicheren Netzwerkbereich in den sicheren Netzwerkbereich hinein, erfolgen kann.

Notiz: Der topologische Aufbau einer DMZ wird auch als Routerkaskade bezeichnet, da hier mindestens zwei Router in einer Kaskade nacheinander miteinander verbunden werden.

Bild: Trennung mittels De-Militarisierter Zone (DMZ)
Bild: Trennung mittels De-Militarisierter Zone (DMZ)

Die meisten handelsüblichen Internet-Router können in einem reinen Router-Modus betrieben werden und eignen sich damit als nachgeschalteter Router. Auf das Vorhandensein eines integrierten Modems können Sie getrost verzichten, da sich der zweite kaskadierte Router per LAN mit dem eigentlichen Internet-Router verbindet. Bietet der zweite Router WLAN, dann können Sie dieses gleich für den WLAN Zugang zu dem sicheren Netzwerkbereich verwenden. Achten Sie aber darauf einen anderen Namen und ein anderes Passwort zu vergeben, als welches Sie für das WLAN des unsicheren Netzwerkbereiches verwenden.

Bei der Einrichtung einer DMZ gibt es ein paar wichtige Punkte zu beachten:

Bei einer Fritz!Box können Sie den reinen Router Modus einstellen, in dem Sie unter „Internet -> Zugangsdaten -> Internetzugang“, Bereich Anschluss die Option „Anschluss an externes Modem oder Router“ konfigurieren. Je nach Fritz!Box Modell wird die Ethernet/LAN Schnittstelle 1 oder eine dedizierte WAN-Schnittstelle für die Verbindung zu dem eigentlich Internet-Router verwendet. Das müssen Sie für Ihr individuelles Modell in der Dokumentation prüfen.

Beiden Netzwerkbereichen muss ein eigener separater IP-Adressbereich zugewiesen sein. Ein Beispiel: Ihr Heimnetzwerk verwendet den IP-Adressbereich 192.168.178.1 /24. Sie können jetzt diesen IP-Adressbereich aufteilen, in einen Bereich 192.168.178.1 /25 und einen Bereich 192.168.178.128 /25. Ihr unsicherer Netzwerkbereich verwendet den IP Adressbereich 192.168.178.1 /25, Ihr sicherer Netzwerkbereich 192.168.178.128 /25.

Notiz: Die /25 kennzeichnen die Anzahl der Bits (von links nach rechts), welche den Adressbereich definieren. Die restlichen Bits stehen den Endgeräten als IP Adressen zur Verfügung. Ein IP Adressbereich wird im englischen „Subnet“ genannt. Ferner wird neben der Notation über das „/“ Zeichen auch eine Notation verwendet, welche einer IP Adresse ähnelt und wo die Bits des Adressbereiches auf Eins gesetzt sind. Ein /25 IP Adressbereich wird z.B. in der Alternativnotation 255.255.255.128 geschrieben.

Die IP-Adresseinstellungen in beiden Routern muss an die geplanten IP-Adressbereichen angepasst werden. Diese Einstellungen kann man unter „Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Adresssen“ anpassen. Zusätzlich muss dem zweiten Router mitgeteilt werden, ob dieser seine eigene IP-Adresse per DHCP anfordern soll oder ob Sie alternativ eine fest IP-Adresse konfigurieren. Diese Einstellungen befinden sich unter „Internet -> Zugangsdaten -> Internetzugang -> Verbindungseinstellungen ändern“. Achten Sie bei der Verwendung einer festen IP-Adresse darauf, dass der Internet-Router, dann diese nicht mehr per DHCP anderweitig vergibt, sonst gibt es durch die IP-Adressduplikation Probleme.

Ein Vorteil der Verwendung einer DMZ, gegenüber dem Gastnetzwerk-Ansatz, ist, dass Geräte aus dem sicheren Netzwerkbereich mit Geräten aus dem unsicheren Netzwerkbereich Daten austauschen können. Wenn Geräte aus dem sicheren Netzwerkbereich aktiv den Datenaustausch eröffnen, dann hängt es von der verwendeten Anwendung ab ob weitere Einstellungen nötig sind. So funktioniert der Zugriff eines FTP-Client auf einen FTP-Server in der DMZ problemlos. Ebenfalls der Zugriff auf eine Webanwendung eines Web-Servers in der DMZ. Bei einem Zugriff auf z.B. ein NAS in der DMZ per SMB, müssen Sie bei einem Windows-PC die Firewallregeln anpassen. Grund ist, das als Voreinstellung der Datenaustausch per SMB nur aus dem lokalen IP-Adressbereich erlaubt wird. Die entsprechende Einstellung können Sie mittels der Windows Firewall und einer Anpassung der eingehenden Regel für die Datei und Druckerfreigabe per SMB ändern (Reiter: „Bereich“ und „Erweitert“).

Notiz: Es wird davon ausgegangen, dass als zweiter Router ein Gerät mit Firewall und integrierter IPv4 NAT-Funktion verwendet wird. Wird tatsächlich nur ein reiner Router, mit oder ohne SPI-Firewall verwendet, dann müssen Sie dem Internet-Router noch per statischer Router mitteilen, wie er Geräte in dem sicheren Netzwerkbereich erreichen kann. Eine Fritz!Box hat eine IPv4 NAT-Funktion integriert, somit erübrigt sich eine solche Einstellung, bei Verwendung als zweiten Router. Müssen Sie aber eine statische Route konfigurieren, dann sind die typischen Einstellungen, der IP-Adressbereich des sicheren Netzwerkbereiches, die entsprechende Subnetzmaske und die IP-Adresse des zweiten Routers im IP-Adressbereich der DMZ.

Mit diesen Informationen sollten Sie einen guten Gedanken haben, wie Sie Ihr Netzwerk etwas sicherer Gestalten können und welcher Aufwand dafür nötig ist,

Matthias (06.03.2018)

Nachtrag (23.01.2019): Es erreichte mich die Frage ob man einzelne Geräte aus dem sicheren Netzwerkbereich für den Internetzugriff sperren kann. Mit einer Fritz!Box geht das auf den ersten Blick nicht. Der Internet-Router kennt direkt nicht die Geräte aus dem sicheren Netzwerkbereich und damit kann man diese nicht direkt einem Filter hinzufügen. Der zweite Router könnte einzelne Geräte sperren, verweigert damit diesen Geräten aber auch den Zugriff auf die DMZ. Es gibt aber eine Lösung: Konfigurieren Sie im zweiten Router ein neues Filterprofil. Sperren Sie dort pauschal den Zugriff auf das Internet, inkl. DMZ. Fügen Sie jetzt die Geräte in der DMZ mit welchen aus dem internen Netz kommuniziert werden darf einer Whitelist des Profils hinzu. Weisen Sie jetzt noch den zu sperrenden Geräten dieses Profil zu.