Einstellungen Router zum Netzwerk-Beispiel

Zuallererst sollten alle nicht benötigten Dienste aus Sicherheitsgründen deaktiviert werden. Wir deaktivieren in unserem Fall “UPnP” (Universal Plug and Play), die Druckerfreigabe für das Internet, die Routerkonfiguration über das Internet (siehe auch Google Hacking), den FTP-Server bzw. dessen Anonymous-Zugang. Nun werden folgende Punkte abgearbeitet:

• Eingabe der Internetzugangsdaten des Providers, i.d.R. erfolgt die Übertragung über “PPPoE”
• Setzen einer Idle-Time (Leerlaufzeit), nach der sich der Router aus dem Internet abmelden soll. Sehen Sie hierzu bitte auch diesen Hinweis.
• Deaktivierung des DHCP-Servers und Festlegen der Subnetze: Unsere Clients erhalten folgende statische IP-Adressen und haben folgende MAC-Adressen (12-stellige Gerätenummern hier mit einzelnen Buchstaben bezeichnet):

Teilnehmer IP-Adresse Mask MAC Router WAN (Internet) dynamisch dynamisch   Router LAN 192.168.1.1 255.255.255.0 MAC: A Desktop-PC 1 im LAN 192.168.1.2 255.255.255.0 MAC: B Dekstop-PC 2 im LAN 192.168.1.3 255.255.255.0 MAC: C Notebook im LAN 192.168.1.4 255.255.255.0 MAC: D Access-Point LAN 192.168.1.5 255.255.255.0 MAC: A2 Access-Point WLAN 192.168.2.1 255.255.255.0 MAC: E Notebook im WLAN 192.168.2.2 255.255.255.0 MAC: F Handheld im WLAN 192.168.2.3 255.255.255.0 MAC: G

 

 

Näheres zu den Einstellungen der Clients, siehe Seite 4 und Seite 5.

• Aktivierung der Internet-Firewall: Diese agiert als zusätzliche Sicherheit hinter NAT (NetworkAddressTranslation, siehe Erläuterung) und kann mit zusätzlichen Regeln ausgestattet werden. Entweder auf der Ebene von Verboten oder Erlaubnissen. Wir arbeiten mit Erlaubnissen - alles andere ist somit verboten - und geben die internen IP-Adressen 192.168.1.2-192.168.1.4 für Outgoing-Verkehr aus LAN für die Remote-Ports TCP 80 (http), 443 (https) , 25 (smtp), 110 (pop), 21 (FTP passiv), 1024-65535 (FTP passiv) auf die Local-Ports TCP 1024-65535 frei. Somit können die Desktop-PCs und das Notebook wired im Internet surfen, E-Mails senden/erhalten sowie passive FTP-Up-und Downloads durchführen. Auch ein Online-Banking-Clientprogramm über HBCI kann so eine Verbindung aufbauen. Ferner lassen wir keinen PING aus dem Internet zu bzw. blocken jeglichen ICMP-Traffic aus dem WEB. Die Einstellungen zu den kabellosen Clients (Notebook mit WLAN-Karte und PDA), siehe Wireless-Firewall.

Zu Desktop-PC-1/192.168.1.2 geben wir noch zusätzlich den Remote-TCP-Port 20, 21 auf Local-Ports TCP 1024-65535 für aktives FTP frei. Richtung Outgoing und Incoming.

Zu Desktop-PC-2/192.168.1.3 geben wir noch zusätzlich die Outgoing-Remote-TCP-Ports 4242, 4661, 4662 und Outgoing-Remote-UDP-Ports 4665, 4672 jeweils für die Local Ports 1024-65535 (TCP und UDP) frei (in diesem Bsp. für das eMule-Filesharing legaler Dateien) . Für Incoming-Traffic (als Server) geben wir die Remote-TCP-Ports 1024-65535 zu  Local TCP-Port 4662 frei. Siehe auch Virtual Server (letzter Punkt).

• Aktivierung der Wireless-Firewall: Diese agiert als Filter zwischen den getrennten Subnets WLAN (192.168.2.0) und LAN (192.168.1.0). Unterstützt Ihr Router keine Wireless Firewall bzw. Bildung zweier Subnetze, benötigen Sie zwei getrennte Geräte (Router und WLAN-Router als AP). Sie müssen dann zusätzlich eine statische IP-Routing-Tabelle für die Verbindung der Subnets auf dem Router (192.168.1.1) anlegen. In unserem Beispiel:

Ziel-Netzwerk 192.168.2.0 mit Mask 255.255.255.0, Gateway 192.168.1.5

Hier kann bereits auf Routerebene festgelegt werden, welche Clients untereinander kommunizieren dürfen, unabhängig der Freigaben auf den Clients. In unserem Fall erlauben wir den Zugriff des Notebooks (WLAN) auf den Desktop-PC 1 (LAN). Dazu geben wir folgende Ports frei:

Verbindung WLAN zu LAN:

• Remote-IP 192.168.2.2/TCP 1024-65535 to Destination-IP 192.168.1.2/TCP 139 (NetBiosSessionService), TCP 445 (MS-DS/SMB)
• Remote-IP 192.168.2.2/UDP 137 (NetBios NameService) und 138 (NetBiosDatagramService) to Destination-IP 192.168.1.2/UDP 137, 138

Verbindung LAN zu WLAN:

• Remote-IP 192.168.1.2/TCP 139, 445 to Destination-IP 192.168.2.2/TCP 1024-65535
• Remote-IP 192.168.1.2/UDP 137 (NetBios NameService) und 138 (NetBiosDatagramService) to Destination-IP 192.168.1.2/UDP 137, 138

Verbindung WLAN und WAN (Internet)

• Lokale IP-Adresse 192.168.2.2 für die Outgoing-Remote-Ports TCP 80 (http), 443 (https) , 25 (smtp), 110 (pop), 21 (FTP passiv), 1024-65535 (FTP passiv) zu den Local-Ports TCP 1024-65535 frei. Somit kann das Notebook wireless im Internet surfen, E-Mails schreiben/erhalten sowie passive FTP-Up-und Downloads durchführen.
• Die lokale IP-Adresse 192.168.2.3 geben wir lediglich für die Outgoing-Remoteports TCP 25 (smtp) und 110 (pop) auf Local-Ports TCP 1024-65535 frei, da ja das Handheld lediglich e-mailen darf.

• Sollen während einer Internetverbindung Dateien auf einem Client für den Abruf Dritter bereitstehen (z.B. Filesharing oder Internettelephonie), wäre noch der sog. Virtual-Server zu aktivieren und zu konfigurieren. Hier kann man Anfragen aus dem Internet auf bestimmte Ports an eine lokale IP-Adresse weiterleiten, ohne dass es einer Initiierung durch den Client (NAT) bedarf. Wollen wir nun unseren Linux-Rechner zum File-Sharer über z.B. eMule (siehe rote Anmerkung) machen, müssen die TCP-Ports 4662 und UDP 4672 an die IP-Adresse 192.168.1.3 weitergeleitet werden (Portforwarding).

Weitere Einstellungen:

Allgemeines (Seite 1)

zum Access-Point (Seite 3)

zu den Clients Desktop PC 1 und 2 (Seite 4)

zu den Clients Notebook und PDA (Seite 5)

zur Firewall auf den Clients (Seite 6)

Client-Zugriff auf das Internet und lokale Netzwerk (Seite 7)

Zusammenfassung (Seite 8)

Helfen Sie bitte mit, ein solches Projekt zu ermöglichen und aufrecht zu erhalten. 

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |