PC sicher abschotten
Hardware-Firewall
Hardware-Firewalls sind heute verbreitet im Einsatz, denn jeder bessere DSL-Router bringt entsprechende Funktionen mit. Die Boxen haben große Vorteile, bergen aber auch neue Risiken.
Schutz durch den Router
Hardware-Firewalls beziehungsweise DSL-Router bieten einen guten zusätzlichen Schutz gegen Gefahren aus dem Internet. Da sie getrennt vom Arbeitsrechner laufen, sind sie selbst weniger für Angriffe anfällig. Sie können zuverlässig alle unverlangten Sendungen aus dem Web verwerfen.
Gefahren bei Hardware-Firewalls
In den vergangenen Monaten häuften sich Angriffe auf DSL-Router bei Privatnutzern.
Javascript-Angriffe: Dabei werden Anwender auf eine manipulierte Website gelockt, auf der sich ein gefährliches Javascript befindet. Dieses läuft im Sicherheitskontext des Browsers und kann mit einer Technik namens "Cross Site Request Forgery" auf den DSL-Router zugreifen und dort den Eintrag für den DNS-Server ändern (Domain Name System). Die Folge: Der Angreifer kann den PC des Anwenders auf beliebige Websites umleiten - etwa eine vorgebliche Bank-Site, die die Log-in-Daten stiehlt. Dieser Trick setzt allerdings voraus, dass der Router mit dem werkseitigen Standardpasswort läuft. Einen a:englischsprachigen Bericht inklusive Video-Erklärung zu der Lücke gibt's vom Sicherheitsexperten Zulfikar Ramzan.
Flash-Angriffe: Ein weiterer Schwachpunkt ist die UPnP-Fähigkeit von vielen DSL-Routern. UPnP (Universal Plug and Play) dient zur herstellerübergreifenden Ansteuerung von Geräten wie Router, Drucker oder Stereoanlage über ein IP-basiertes Netzwerk. Dafür nutzt es eine ganze Reihe von Netzwerkprotokollen. Dank UPnP kann sich etwa eine Spielekonsole wie die Xbox selbständig beim Router anmelden und die Ports öffnen, die es für ein Multiplayer-Spiel braucht. Tauschbörsen-Software wie Emule nutzt ebenfalls UPnP und konfiguriert darüber den DSL-Router.
Das Problem: Über manipulierte Flash-Dateien lässt sich der DSL-Router von Privatanwendern manipulieren - sie können Ports öffnen oder wiederum den DNS-Server ändern. Die Flash-Dateien kombinieren den Angriff über UPnP und das Protokoll SOAP. Dabei benötigt der Angreifer kein Kennwort für den DSL-Router, da eine Autorisierung nicht vorgesehen ist. Auch eine verschlüsselte Verbindung zum Router schützt nicht gegen die Attacke. Es genügt, dass der Anwender auf eine Website mit der manipulierten Flash-Datei gelockt wurde und ein Flash-Plug-in im Browser laufen hat. Glücklicherweise sind Angriffe dieser Art noch nicht in freier Wildbahn gesichtet worden. Weitere Infos von den Entdeckern der Lücke finden Sie hier.
Javascript-Angriffe: Dabei werden Anwender auf eine manipulierte Website gelockt, auf der sich ein gefährliches Javascript befindet. Dieses läuft im Sicherheitskontext des Browsers und kann mit einer Technik namens "Cross Site Request Forgery" auf den DSL-Router zugreifen und dort den Eintrag für den DNS-Server ändern (Domain Name System). Die Folge: Der Angreifer kann den PC des Anwenders auf beliebige Websites umleiten - etwa eine vorgebliche Bank-Site, die die Log-in-Daten stiehlt. Dieser Trick setzt allerdings voraus, dass der Router mit dem werkseitigen Standardpasswort läuft. Einen a:englischsprachigen Bericht inklusive Video-Erklärung zu der Lücke gibt's vom Sicherheitsexperten Zulfikar Ramzan.
Flash-Angriffe: Ein weiterer Schwachpunkt ist die UPnP-Fähigkeit von vielen DSL-Routern. UPnP (Universal Plug and Play) dient zur herstellerübergreifenden Ansteuerung von Geräten wie Router, Drucker oder Stereoanlage über ein IP-basiertes Netzwerk. Dafür nutzt es eine ganze Reihe von Netzwerkprotokollen. Dank UPnP kann sich etwa eine Spielekonsole wie die Xbox selbständig beim Router anmelden und die Ports öffnen, die es für ein Multiplayer-Spiel braucht. Tauschbörsen-Software wie Emule nutzt ebenfalls UPnP und konfiguriert darüber den DSL-Router.
Das Problem: Über manipulierte Flash-Dateien lässt sich der DSL-Router von Privatanwendern manipulieren - sie können Ports öffnen oder wiederum den DNS-Server ändern. Die Flash-Dateien kombinieren den Angriff über UPnP und das Protokoll SOAP. Dabei benötigt der Angreifer kein Kennwort für den DSL-Router, da eine Autorisierung nicht vorgesehen ist. Auch eine verschlüsselte Verbindung zum Router schützt nicht gegen die Attacke. Es genügt, dass der Anwender auf eine Website mit der manipulierten Flash-Datei gelockt wurde und ein Flash-Plug-in im Browser laufen hat. Glücklicherweise sind Angriffe dieser Art noch nicht in freier Wildbahn gesichtet worden. Weitere Infos von den Entdeckern der Lücke finden Sie hier.
Tipps gegen Angriffe auf Router
1:. Installieren Sie regelmäßig Updates für Ihre Hardware-Firewall beziehungsweise Ihren DSL-Router. Sie erhalten damit nicht nur neue Funktionen, sondern schließen auch Sicherheitslücken.
2. Ändern Sie unbedingt das voreingestellte Standardpasswort, da sich sonst Angreifer über Sicherheitslücken von außen einloggen können.
3. Führen Sie vor dem Ändern des Passworts ein Reset durch (Handbuch). Sollte die Box bereits manipuliert worden sein, wird die Änderung so rückgängig gemacht.
4. Falls Sie Universal Plug and Play (UPnP) nicht benötigen, deaktivieren Sie diese Funktion in Ihrem DSL-Router.
Port-Forwarding: Das steckt dahinter
Bei speziellen Diensten - etwa dem File-Sharing-Protokoll Bit Torrent oder VoIP-Telefonaten - genügt die Standardkonfiguration von Routern nicht: Hier erhält der Router Datenpakete aus dem Internet, die zuvor nicht vom PC angefordert wurden. Der Router wird diese verwerfen.
Um dieses Problem zu lösen, gibt es UPnP (siehe oben). Haben Sie das abgestellt, müssen Sie statt dessen mit Port Forwarding arbeiten. Dabei stellen Sie ein, auf welche interne IP-Adresse der Router Kontaktversuche weiterleiten soll, die aus dem Internet auf bestimmten Ports beim Router eintreffen. Damit ist ein Rechner im Netzwerk aus dem Internet erreichbar.
Einige Dienste laufen nur über festgelegte Ports - das Web-Protokoll HTTP zum Beispiel wickelt die Kommunikation über den Port 80 ab. Welche Ports Sie weiterleiten müssen, hängt von der eingesetzten Software ab. Ein Blick in die programminterne Hilfe gibt Aufschluss.
Vorsicht: Sie sollten Port Forwarding sparsam einsetzen - je mehr Ports Sie freigeben, desto löchriger wird der Schutz, den die Router-Firewall bieten kann.
Vorherige Seite
Seite 3 von 3
Nächste Seite
