1999106

Torwächter: Wie der Router den Online-Zugang regelt

07.03.2015 | 09:09 Uhr |

Um zu bestimmen, wer was wie lange im Internet macht, sollten Sie den Router zum Online-Torwächter fürs Heimnetz ausbauen.

Vor der Kür kommt die Pflicht: Bevor Sie mit detaillierten Filtern bestimmen, wer was im Heimnetz darf, sollten Sie grundlegende Sicherheitsaufgaben erledigt haben. Denn es bringt wenig, die Wohnzimmertür abzusperren, wenn die Haustür offen steht.

Schritt 1: Router-Zugang sichern

Schützen Sie das Router-Menü der Fritzbox mit einem Passwort. Das empfiehlt der Router schon beim ersten Start – und das sollten Sie auch ernstnehmen. Diesen Schritt holen Sie nach, indem Sie in der Übersicht rechts oben auf „Kennwort setzen“ klicken.

Schritt 2: WLAN-Passwort ändern

Die Fritzbox ist aber Werk mit WPA2 verschlüsselt. Das individuelle Passwort ist aber unten auf das Routergehäuse aufgedruckt und daher zumindest für alle zugänglich, die Sich in der Wohnung befinden. Ein neues Passwort vergeben Sie über WLAN –> Sicherheit.

Schritt 3: Standard-Profil sperren

Wenn sich unbekannte Geräte an der Fritzbox anmelden, weist ihnen der Router das Zugangsprofil „Standard“ zu. Das ist normalerweise nicht eingeschränkt. Deshalb sollten Sie diesem Profil keine Internetzeit zuweisen. Das erledigen Sie unter Internet -> Filter -> Zeitbeschränkung.

Ein beliebter Trick, um die Fritzbox-Kindersicherung auszuhebeln: Das Ändern der IP-Adresse verhindern Sie unter Windows mit einem Standardbenutzerkonto
Vergrößern Ein beliebter Trick, um die Fritzbox-Kindersicherung auszuhebeln: Das Ändern der IP-Adresse verhindern Sie unter Windows mit einem Standardbenutzerkonto

Schritt 4: Keine Adminrechte für Windows-Rechner

Dieser Hinweis ist natürlich nicht nur im Heimnetz sinnvoll. Wenn Sie für Windows einen Standardbenutzer mit eingeschränkten Rechten erstellen, lassen sich bestimmte Tricks zum Umgehen der Fritzbox-Kindersicherung nicht mehr durchführen, die problemlos im Internet zu finden sind. Zum Beispiel kann ein Standardbenutzer die IP-Adresse nicht mehr ändern, um sich für sein Gerät mehr Rechte im Heimnetz zu verschaffen. Ein ähnlich beliebter Trick ist das Ändern der MAC-Adresse eines Heimnetz-Gerätes: Dann wird es dem Router unmöglich, das Gerät zu identifizieren, um ihm bestimmte Rechte zu entziehen. Standardbenutzer können allerdings die dafür nötigen Windows-Einstellungen nicht mehr erreichen beziehungsweise Tools zum Ändern der MAC-Adresse nicht mehr installieren. Die letzte Sicherungsstufe ist dann, das Bios-Setup durch ein Passwort zu sperren. So lässt sich Windows nicht mehr durch das Starten einer Linux-CD oder eines Boot-USB-Sticks umgehen.

Haben Sie diese 4 Schritte getan, geht's an die Feinabstimmung. Mit detaillierten Vorgaben kann der Router virenanfällige XP-Rechner daran hindern, ins Internet zu gehen oder für einzelne Nutzer im Heimnetz bestimmte Online-Programme sperren.

Volle Kontrolle im Heimnetz

Risiko XP: Alte Windows-Rechner am Online-Zugang hindern

In bestimmten Fällen ist es sinnvoll, dass ein Gerät ausschließlich im Heimnetz aktiv ist und nicht ins Internet kommt. Zum Beispiel ein Rechner mit Windows XP: Da das Betriebssystem nicht mehr mit Sicherheitsupdates versorgt wird, stellt er ein großes Risiko für das gesamte Heimnetz dar, würde er online gehen. In der Fritzbox weisen Sie diesem Rechner deshalb das Profil „Gesperrt“ zu. Dazu gehen Sie zu Internet -> Filter. In der Liste wählen Sie beim Eintrag des Windows-Rechners bearbeiten und markieren anschließend „Gesperrt“.

Zugangsprofile anpassen

Den Geräten im Heimnetz können Sie eingeschränkte Rechte zuweisen. Sie können zum Beispiel die Internet-Nutzung zeitlich begrenzen, festlegen, dass nur bestimmte Webseiten aufgerufen oder bestimmte Dienste genutzt werden dürfen. Die Fritzbox bietet dafür die Kindersicherung, die Sie über Internet -> Filter erreichen. Damit verpassen Sie jedem Heimnetz-Teilnehmer ein Zugangsprofil. Die Fritzbox bringt vier vorbereitete Profile mit: Unbeschränkt und Gesperrt lassen sich nicht verändern. Das Profil Gast bekommen automatisch alle Geräte, die sich im Gast-WLAN der Fritzbox anmelden. Das Profil Standard können Sie dagegen gezielt auf bestimmte Netzwerknutzer und deren Geräte anpassen. Dazu gehen Sie auf „Neues Zugangsprofil“.

Über Zeitsperren legen Sie fest, wann oder wie lange bestimmte Geräte über den Router online gehen dürfen. Damit das funktioniert, muss im Router die korrekte Zeit eingestellt sein
Vergrößern Über Zeitsperren legen Sie fest, wann oder wie lange bestimmte Geräte über den Router online gehen dürfen. Damit das funktioniert, muss im Router die korrekte Zeit eingestellt sein

Internetnutzung zeitlich eingrenzen

Sie können den Online-Zugang eines bestimmten Heimnetz-Teilnehmers zu festgelegten Uhrzeiten zulassen oder ihm ein Zeitbudget zuteilen. Die Uhrzeit legen Sie über die Tabelle unter „Zeitraum“ fest. Markieren Sie „eingeschränkt“ und klicken Sie mit der Maus auf den Tag und die Zeit für die Internet-Sperre. Nun ziehen Sie mit gedrückter linker Maustaste den Mauszeiger über den Zeitraum, den die Sperrung umfassen soll – er färbt sich weiß. In den blau markieren Zeiträumen kann das Gerät online gehen.

Anstatt den Internet-Zugang zu einer bestimmten Uhrzeit zu gestatten, können Sie ein Zeitbudget für jedes Gerät oder jeden Nutzer vergeben. Dazu markieren Sie rechts von der Tabelle unter „Budget“ die Option „eingeschränkt“ und geben für jeden Tag die erlaubte Online-Zeit in Stunden und Minuten an. Da die Zeitbudgets pro Gerät vergeben werden, könnte ein Nutzer, der mit verschiedenen Geräten im Netzwerk unterwegs ist, seine Online-Zeit natürlich aufaddieren – was nicht in Ihrem Sinne sein dürfte. Aktivieren Sie deshalb „geteiltes Budget“: Dann verteilt sich die Zeit auf alle Geräte, denen Sie dieses Zugangsprofil zuweisen.

Damit die Kontrolle über die Uhrzeit funktioniert, muss der Router die aktuelle Uhrzeit kennen. Die Fritzbox holt sie sich vom Zeitserver „0.europe.pool.ntp.org“ – die Einstellungen finden Sie unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen. Dort können Sie den Zeitserver auch ändern. Bei vielen Routern von nicht europäischen Herstellern ist beim Einrichten eine andere Zeitzone als Central European Time (CET) eingestellt. Achten Sie deshalb bei diesen Geräten darauf, die korrekte Zeitzone einzustellen sowie die automatische Umstellung auf Sommerzeit zu aktivieren.

Welche Webseiten über den Router erreichbar sind und welche nicht, können Sie über Filterlisten festlegen. Allerdings müssen Sie die URLs dort mühsam per Hand eintragen.
Vergrößern Welche Webseiten über den Router erreichbar sind und welche nicht, können Sie über Filterlisten festlegen. Allerdings müssen Sie die URLs dort mühsam per Hand eintragen.

Einzelne Webseiten sperren

Im Abschnitt „Filter für Internetseiten“ lassen sich bestimmte Webseiten für einzelne Netzwerk-Teilnehmer sperren. Die Fritzbox greift dafür auf Listen zu, die Sie anlegen und verändern können: In einer Whitelist stehen die Webseiten, auf die ein Heimnetz-Gerät zugreifen darf – alle anderen sind verboten. Bei einer Blacklist ist es umgekehrt – nur dort aufgeführte Webseiten sperrt der Router. Wenn Sie Internetseiten sperren wollen, markieren Sie „Internetseiten sperren“. Anstatt alle verbotenen Seiten selbst einzutragen, können Sie eine vorbereitete Blacklist der Bundesprüfstelle für jugendgefährdende Medien (BPjM) nutzen. Setzen Sie dafür einen Haken bei „jugendgefährdende Internetseiten sperren“. Diese Liste liegt dem Router allerdings nicht im Klartext vor – Sie können sie also nicht anpassen.

Stattdessen prüft der Router über Hash-Tag-Werte, ob eine aufgerufene Webseite auf der Liste steht. Allerdings sperrt diese Blacklist nicht alle Seiten, die Sie eventuell verbieten wollen – Sie müssen zusätzliche Verbote in einer weiteren Blacklist ergänzen. Dazu gehen Sie im Fritzbox-Menü zu Internet -> Filter -> Listen und bearbeiten die gesperrten Internetseiten. Die BPjM-Liste sperrt zum Beispiel auch Facebook, Google oder Webseiten fürs Online-Banking. Wenn Sie dies aber erlauben wollen, müssen Sie beim Zugangsprofil die Option „HTTPS-Abfragen erlauben“ markieren. Dann lässt der Router Seiten zu, die eine Anmeldung über das gesicherte HTTPS-Protokoll fordern – eben zum Beispiel Facebook oder Google-Mail.

Vorbereitete Blacklists, die Sie beispielsweise im Internet finden, lassen sich nicht in die Fritzbox importieren. Liegen die Blacklists als Text vor, lassen sich URLs von dort in die Backlist der Fritzbox kopieren – rund 300 Webseiten können Sie maximal auf diese umständliche Weise sperren.

Windows-Nutzer kontrollieren

Tablets und Smartphones nutzt üblicherweise nur eine Person. Für diese Geräte reicht es, die Netzwerk-Rechte des Gerätes über die Fritzbox zu kontrollieren. Anders bei einem Windows-Rechner: Den haben meist mehrere Personen in Beschlag. Wenn Sie aber die Rechner-Rechte im Heimnetz einschränken, trifft das auch den Vater, wenn er über den PC online gehen will, obwohl eigentlich nur die Internetnutzung der Kinder kontrolliert werden soll.

Um jedem Windows-Nutzer bestimmte Heimnetzrechte zuzuordnen, müssen Sie das AVM-Tool Kindersicherung installieren. Wenn Sie dann über den Windows-Rechner auf die Fritzbox zugreifen, tauchen unter Heimnetz –> Netzwerk die entsprechenden Windows-Benutzerkonten auf. Wechseln Sie im Fritzbox-Menü zu Internet -> Filter, um jedem Benutzer ein bestimmtes Zugangsprofil zuordnen: Für die Kinder am Windows-PC beispielsweise das Profil, das Sie für deren Smartphone erstellt haben. Damit die Fritzbox das Windows-Konto erkennt, müssen Sie das Tool auf jedem Windows-Rechner installieren, auf dem dieses Konto existiert.

Anwendungen sperren

Mit der Kindersicherung der Fritzbox können Sie nicht nur einschränken, welche Webseiten über den Router erreichbar sind. Sondern auch, welche Anwendungen ins Internet kommen. Rufen Sie dazu, das Profil auf, das Sie anpassen wollen. Unter „Gesperrte Netzwerkanwendungen“ bietet die Fritzbox eine Vorauswahl von Programme, die sich sperren lassen. Darunter sind auch P2P-Dienste wie eMule und Bittorrent. Bei denen stößt der Router-Filter aber an seine Grenzen, denn die Client-Programme dieser Tauschbörsendienste lassen sich problemlos auf andere Ports einstellen, als die, die Fritzbox sperrt. Hier muss die Kontrolle schon vorher ansetzen – zum Beispiel, indem Sie über ein Windows-Konto mit eingeschränkten Rechten das Installieren der Clients auf dem Rechner unterbinden. Ähnliches gilt für den Videotelefoniedienst Skype.

Am restriktivsten ist die Einstellungen „alles außer Surfen und Mailen“: Damit lässt sich zumindest der Zugang zu P2P-Netzen oder zu Online-Spielen wirksam einschränken.

Andere Dienste sperren Sie, indem Sie sie unter Internet -> Filter -> Listen, Netzwerkanwendung hinzufügen eintragen. Sie müssen einen Namen für die neue Filterregel angeben und anschließend das Protokoll sowie den Quell- und den Zielport beziehungsweise Zielportbereich, den die Anwendung nutzt.

Das Router-Protokoll häklt fest, wer sich im Heimnetz oder am Router anmeldet. Sie können es sich per Mail zuschicken lassen, um immer auf dem aktuellen Stand zu sein
Vergrößern Das Router-Protokoll häklt fest, wer sich im Heimnetz oder am Router anmeldet. Sie können es sich per Mail zuschicken lassen, um immer auf dem aktuellen Stand zu sein

Beweise sichern: Protokolle auswerten, Protokoll zuschicken lassen

Sie haben alle Geräte im Heimnetz über den Router unter Kontrolle. Sie haben Online-Zeit, Webseite und Anwendungen für jedes Gerät und jeden Nutzer festgelegt. Jetzt können Sie sich zurücklehnen? Falsch! Denn natürlich sollten Sie auch kontrollieren, ob die Kontrolle funktioniert. Alle Maßnahmen lassen sich mit mehr oder weniger großem Aufwand aushebeln. Und wenn Sie technisch interessierten Nachwuchs haben, können die Kinder es durchaus als sportliche Herausforderung sehen, Löcher ins Router-Schutzschild zu schießen.

Was im Heimnetz und im Router vor sich geht, sehen Sie im Systemprotokoll des Routers. Hier hält er unter anderem fest, wer sich aus dem Heimnetz beim Router anmeldet oder welchen Internetzugriff er unterbunden hat. Das Protokoll finden Sie bei der Fritzbox unter System –> Ereignisse. Für mehr Übersicht klicken Sie die Reiter oben, die nur bestimmte Ereignisse anzeigen, zum Beispiel „Internetverbindung“ oder „WLAN“.

Die Fritzbox kann Ihnen das Router-Protokoll auch per Mail zuschicken: Dafür tragen Sie unter System -> Push Service E-Mail-Adresse und Kennwort für den Mailzugang ein. Der Router verschickt anschließend eine Testmail an diese Adresse. Klicken Sie auf den eingerichteten Push-Dienst können Sie das Intervall bestimmen, in denen Ihnen die Fritzbox Mails zukommen lässt – täglich, wöchentlich oder monatlich. Außerdem lässt sich die Informationsflut des Protokolls filtern, zum Beispiel können Sie sich nur Angaben zur Kindersicherung zusenden lassen. Auch andere Infos kann die Fritzbox an Sie per Mail senden – etwa Sprachnachrichten auf dem Anrufbeantworter, die Anrufliste oder die gespeicherte Router-Konfiguration. Außerdem macht Sie die Fritzbox aufmerksam, wenn es eine neue Firmware-Version gibt.

0 Kommentare zu diesem Artikel
1999106