Diese Serie richtet sich an Nutzer kleiner Netzwerke, z.B. zuhause.
Es tauchen ja immer wieder Argumente auf wie: "Ich habe doch nichts zu verbergen" oder "An mir haben die doch sowieso kein Interesse".
Das stimmt aber nicht!
Siehe hierzu auch:
Befallen vom Überwachungsvirus - Deutschlandfunk, 04.01.2015
Überwachungsstaat - Youtube Video, 28.07.2013
Du bist Terrorist - Youtube Video, 18.05.2009
Allerdings verlangt die Auswertung der Logfiles eine gewissse Regelmäßigkeit.
Das ist zwar lästig und kostet Zeit, aber nur so findet man Schwachstellen.
Zuallererst muss man fragen, wer sind denn "DIE" ?
- Interesse haben z.B. alle, die etwas verkaufen wollen - Werbung müllt das Postfach zu und wichtige Post wird dabei nicht oder nicht rechtzeitig entdeckt. Das kann durchaus unangenehme Konsequenzen haben.
- Verbrecher haben auch ein Interesse daran, fremde Rechner zu kapern. Bankverbindungen und Passwörter zu erbeuten, in fremdem Namen einzukaufen, den Rechner als Spamversender oder als Kryptominer zu missbrauchen. Das sind nur einige Möglichkeiten.
- Geheimdienste haben u.U. auch ein Interesse daran, fremde Rechner zu übernehmen. Das muss nicht nur zur Überwachung sein, es kann auch dazu dienen, falsche Fährten zu legen oder mir etwas unterzuschieben.
Außerdem ist interessant nachzuvollziehen, welches Gerät sich wie im Internet bewegt und z.B. nach Hause telefoniert. Mein Fernseher macht das nämlich ... Und dümmer wird man durch diese Kenntnisse keinesfalls.
Desktop Firewall
Sehr häufig werden Desktop Firewalls angepriesen, die auch Personal Firewall genannt werden. Von so etwas halte ich gar nichts! Sie laufen auf demselben Betriebssystem wie die Anwendungen, und ist das Betriebssystem oder das BIOS bzw. UEFI angegriffen, können von dort aus alle Abwehrmechanismen der Desktop-Firewall aushebelt werden - und dazu können auch noch die Angriffe verborgen werden, ich kriege also von einer Kompromittierung unter Umständen nur dann etwas mit, wenn ich von einem sauberen System (DVD, Stick) boote. Mit UEFI-boards ist die Situation noch schlimmer geworden.
DSL-Router als Firewall
Seit geraumer Zeit wurde wieder von Angriffen auf DSL-Router berichtet. Nutzt man nur dessen (rudimentäre) Firewall-Funktionen, ist nach einem gelungenen Angriff darauf das gesamte Netzwerk dahinter "offen wie ein Scheunentor". Ob ein DSL-Router durch ein Firmwareupdate wirklich wieder sauber ist, kann nicht immer garantiert werden. Es kommt darauf an, ob beim Aufspielen einer neuen Software wirklich alles überschrieben wird. Außerdem sind auch bei nicht gehacktem DSL-Router genügend Möglichkeiten vorhanden, z.B. NAT zu überwinden. Ein vollständiges logging machen solche DSL-Router in der Regel auch nicht.
Hardware-Firewall
Die Harware-Firewall wird auch externe oder Netzwerk-Firewall genannt. Sie ist vom Rechner unabhängige Hardware und wird zwischen das interne und das externe Netzwerk gehängt. Es läuft nur das darauf, was für die Funktion des Netzwerks nötig ist - es gibt also auch keine zusätzliche Software darauf, die ihre Sicherheitslücken mitbringt. Wer meint, dass die externe Firewall auch als Netzwerkspeicher (NAS) verwenden zu können, kann das durchaus tun, mir wäre das aber zu unsicher, zumal dann sicherlich nicht nur der Firewalladmin auf die externen Firewall Zugriff haben dürfte.
Ich habe einen "Raspberry Pi 2 Modell B" testweise versucht als Firewall einzusetzen, da das eine extrem günstige Variante gewesen wäre. Zweiter Netzwerkport war ein USB-Netzwerkadapter. Als Software hatte ich ipfire verwendet. Der RasPi in der verwendeten Version ist aber mit der Außenanbindung des Netzwerks völlig überfordert, das Surfen macht dann keinen Spaß mehr... Andere Einplatinenrechner habe ich nicht getestet. Andere Firewall-Software mit meisst größerem Ressourcenverbrauch ist damit auch nicht sinnvoll.
Nach reichlichem Einlesen auf diversen Internetseiten habe ich mich dann entschlossen, ein Board von PC Engines anzuschaffen. Die Wahl fiel auf die APU2C4. PC Engines verkauft nicht an Privatpersonen und verweist z.B. auf
Varia Store und APU-board ( = NRG-Systems).
Was wird benötigt (die Links sind Beispiele, durch googlen findet man auch weitere):
- APU2C4 board
- mSATA SSD mindestens 16 GB
- eines dieser Gehäuse (mit 2 bzw. in einem Fall 6 Durchbrüchen für Antennen)
- Netzteil
- Nullmodemkabel
- Seriell-USB-Adapter
- Schablone (optional)
Am Besten kauft man sich ein Bundle mit SSD und ergänzt es mit dem erforderlichen Zubehör (Nullmodemkabel, Seriell-USB-Adapter, Schablone). Die SSD-Größe ist im Bundle wählbar und sollte mindestens 16 GB haben.
Die Montage erfolgt wie bei PC Engines gezeigt, das Blech dient in Verbindung mit dem Gehäuse als Kühlkörper.
Falls die optionale Schablone im Gerät verbleiben soll, müssen beide aufgelöteten Gewinde abgetrennt werden.
Ich habe versucht, die APU2C4 mit 2 Antennen als AP zu betreiben, das ging nicht lange, dann war der Compex WLE600VX kaputt. Außerdem muss man sich bei nur einem Modul entscheiden, ob man 2.4 oder 5 GHz verwenden will, beides gleichzeitig geht nur mit 2 Modulen. Hier wäre dann das Gehäuse mit 6 Durchbrüchen für Antennen angebracht. Auch ein Bundle mit APU4B4 und externem AP ist möglich.
Firewall Software
Die Sophos XG Firewall Home Edition ist eine tolle Firewall mit vielen Feaures, die man sonst so nicht findet. Leider ist eine APU2C4 zu schwach, um damit eine vernünftige Performance zu erhalten.
Ich entschied mich zuerst für die mir bereits bekannte IpFire. Sie lief bei mir auf einer APU2C4 ca. 2 Jahre. In IpFire kann die Oberfläche (genauso wie bei der Sophos XG Firewall Home Edition) auf deutsch umgestellt werden. Sie hat eine sehr hilfsbereite deutsche CommunityCommunity und deutsche Anleitungen sind im Internet ebenfalls gut zu finden.
Genauso gut sind pfSense und OPNSense als Firewall zu gebrauchen.
Wer nicht selber installieren will, kann z.B. hier fertig konfigurierte Geräte kaufen, in die Suchmaske muss nur die gewünschte Firewall-Software eingetragen werden.
Hilfreich bei ipFire ist auch die Integration des scripts dns_blocklist.sh, das die (Basis-)Funktionalität von Pi-Hole nachbildet. Hierbei wird das DNS verbogen, damit "besondere" Seiten ausgeblendet werden. Schön ist, dass die dabei ausgeblendeten Webseiten durch eine aktive Community ständig aktualisiert werden und das script pflegt die Aktualisierung automatisch ein. Testen kann man die Wirkung hier.
Sehr hilfreich für mich waren die Anleitungen von Mike Kuketz zu IpFire. Herzlichen Dank!
WLAN
Wie bereits oben berichtet, hat leider der WLAN-Modul nach kurzer Zeit seinen Geist aufgegeben, vermutlich thermischer Tod wegen dem lüfterlosen Gehäuse. Ich habe deshalb einen externen AP an den 3. Port der APU angehängt. Da ich eine DeMilitarisierteZone nicht brauche, ist das bei mir nicht weiter schlimm. Im Bedarfsfall gibt es ja noch die APU4B4 mit 4 x 1 GB Ports, damit kann ein externer AP und eine DMZ angeschlossen werden.
Gesamtbild
Beispiel:
Warum ist jetzt diese Kaskade von zwei DSL-Routern entstanden?
Die Telekom bietet an, über WLAN to go (Telekom_FON) unterwegs kostenlos das WLAN anderer (dafür geeigneter) Speedports mitzunutzen, wenn man seinen Speedport dafür ebenfalls zur Verfügung stellt. Eine Fritz!Box-FON kann damit aber nicht umgehen. Hinzu kommt, dass sich mein Telefon die Zugangsdaten für Telekom_FON nicht merkt und ich mich jedesmal umständlich erneut einloggen muss. Es gibt zwar die Connect-App der Telekom, die will aber meinen Standort wissen, will die Telefonfunktion meines Mobiltelefonfunktion mitbenutzen und spannt ein VPN auf, angeblich zu meiner Sicherheit...
Auf dem Speedport muss das WLAN immer eingeschalten sein, um für alle Zugriffsberechtigten das Telekom_FON anzubieten, sonst sperrt die Telekom meinen Zugriff auf WLAN to go. Außerdem weiß ich nicht, was sonst noch auf meinem Speedport so alles passiert. Da habe gleich noch ein Gast-WLAN auf dem Speedport eingerichtet.
Weiterhin kann man im Speedport selber keine Rufnummern sperren. Im Telekom-Telefoniercenter kann man maximal 50 Rufnummern einer Negitivliste zuordnen und damit blockieren - und das muss man umständlich für jede eigene Rufnummer machen. Es gibt aber (Call ID Spoofing sei Dank...) mittlerweite wesentlich mehr angeblich "nette Leute, die sich meist als Microsoft-Miitarbeiter ausgeben, die mir helfen wollen meinen PC virenfrei zu machen", ein Abo aufschwatzen oder sonst irgendwie an mein Geld wollen. Auf meiner Fritz!Box kann ich ein zusätzliches Telefonbuch definieren und dort nahezu beliebig viele Einträge machen und dieses Telefonbuch dient dann als Sperrliste. Deshalb hängen meine Telefone an der Fritz!Box.
Inzwischen habe ich meinen Speedport herausgenommen und die Fritz!Box hängt direkt am DSL-Anschluss.
Konfiguration
Die Konfiguration der einzelnen Komponenten sollte man keinesfalls auf den Standardvorgaben belassen. Es wäre die klassische Möglichkeit zum Angriff, wenn grundlegende Einstellungen (IP-Bereich, Passwörter, ...) dem Angreifer schon bekannt sind. Deshalb kann z.B. der IPv4-Adressebereich und die Netzmaske des Routers geändert werden und viele einfache scripte stranden. Wer sich dann aber diese Konfigurationsänderung per push mail unverschlüsselt zusenden lässt, sollte sich fragen, ob er diesen Aufwand überhaupt machen will...
Mit IPv6 wird der Aufwand noch höher, da bereits das Abscannen eines eigenen /64-Netz-Segments sehr lange dauert - der Adressbereich bei IPv6 ist eben wahnsinnig groß.
Überhaupt ist es sinnvoll, bei einem kleinen Netz, wo man jedes Gerät kennt, alle IPv4- und IPv6-Adressen zu sperren und danach nur die Adressen zum Verkehr in das Internet zuzulassen, welche diesen Zugriff auch wirklich brauchen. Wenn dabei etwas nicht funktioniert, sieht man in den Log-Files was fehlt und es kann als Regel eingepflegt werden.
Logging
Die Auswertung händisch vorzunehmen ist ein mühsames Geschäft. Eine Tabellenkalkulation (LibreOffice Calc) ist da sehr hilfreich. Aber es ist schon erstaunlich, was man da so alles findet!