Homeoffice Guide: Konfiguration des Netzwerkes

network 1572617 1920

Ändern von Standard Zugangsdaten

018 password

Internet Router kommen vor eingerichtet mit Standard SSIDs (WLAN-Namen) sowie WLAN-Passwörtern und einem Standard Passwort für das Konfigurationsinterface des Routers.  Um sicher zu gehen sollten man all diese Daten zu Beginn an ändern.

wlanssid

WLAN-Namen wie „Fritzbox 7430“ ermöglicht es Angreifern leicht nach speziellen Router Modellen zu suchen, welches von Sicherheitslücken betroffen sind. Versuche also einen unspezifischen WLAN-Namen zu wählen.

Ein Passwort Schutz des eigenen WLANs ist Pflicht. Dafür gibt es die WLAN-Sicherheitsprotokolle WEP, WPA, WPA2 und das ganz neue WPA3. Diese dienen dem Zweck nur berechtigten Personen Zugriff auf euer WLAN-Netzwerk zu geben und gleichzeitig den kompletten Datentransfer von eurem Endgerät zu dem Router zu verschlüsseln. Die veraltete WEP oder WPA Version sollten aus Sicherheitsgründen nicht mehr genutzt werden. WPA3 wurde nach dem Entdecken einiger Sicherheitslücken des WPA2 Standards eingeführt, bietet zahlreiche Verbesserung und ist abwärts kompatibel. Ihr könnt also WPA3 auch noch mit älteren Geräten nutzen. Ganz alte Geräte könnten aber mit WPA3 Probleme haben.

Als Passwort solltet ihr eine Mischung aus Zahlen und Buchstaben mit einer Mindestlänge von 12 Zeichen verwenden. Vermeidet Passwörter, die nur aus Wörtern bestehen wie „BüroWLAN“ oder „WLANPasswortBüro“. Diese könnten mittels Bruteforce Attacken, welche alle Variationen von bekannten Wörtern ausprobieren, schnell geknackt werden. Sonderzeichen und Umlaute sollten bei WLAN-Passwörtern vermieden werden, da einige Geräte hiermit Probleme haben.

>> Mit Passwort Managern sichere Passwörter generieren und verwalten.

image

Jeder Router besitzt ein Webinterface, über das sich WLAN-Einstellungen und weitere Funktionen konfigurieren lassen. Das Webinterface der Fritzbox könnt ihr über die Eingabe von fritz.box im Browser erreichen.

Die typischen Adressen für das Webinterface gängiger Routerhersteller:

  • AVM Fritz!Box: fritz.box oder 192.168.178.1
  • Unitymedia/Vodafone: easy.box oder 192.168.2.1
  • ASUS: http://router.asus.com oder 192.168.1.1
  • TP-Link: http://tplinkwifi.net oder 192.168.0.1 oder 192.168.1.1

Auch diese Oberfläche ist mit einem Standard Passwort geschützt, welches geändert werden sollte. Jeder Nutzer, der mit eurem WLAN verbunden ist, könnte daher bei Kenntnis des Webinterface Passwortes WLAN Passwörter ändern, einen Fernzugriff einrichten oder euren Datenverkehr manipulieren. Zwar werden bei Routern heutzutage keine Standard Passwörter wie „admin“ oder „1234“ benutzt, jedoch stehen die Passwörter auf dem Router und können unter Umständen bei einem offen stehenden Router von ungebetenen Gästen schnell mal entwendet werden.

Nicht notwendige und risikoreiche Router Funktionen deaktivieren:

045 modem

Fernwartung im Router deaktivieren: Eine aktivierte Fernwartung ermöglicht den externen Zugriff auf Router und Heimnetzwerk. Standardmäßig ist diese Funktion deaktiviert und sollte es auch bleiben. Fritzboxen bieten zudem den Zugang aus dem Internet für speziell ausgewählt Benutzer an. (unter Internet/Freigaben/Fritz!Box-Dienste bzw. System/Fritz!Box-Benutzer). Wer die Funktion z.B. für den Fritz!NAS Zugriff benötigt, sollte diese nur mit den notwendigsten Berechtigungen aktiviert lassen, ansonsten sollte die Funktion aus Sicherheitsgründen deaktiviert bleiben.

image 1

Möchte man selbst von unterwegs auf sein Heimnetzwerk zugreifen, bietet sich die einfache und sichere Verbindung per VPN an. Gängige Router bieten hier die einfache Konfiguration an, sodass ihr dann z.B. mittels dem OpenVPN Clienten eine Verbindungen herstellen könnt.

VPN-Verbindung ins Heimnetzwerk auf der Fritz!Box aktivieren

Aktivieren Sie den Zugang aus dem Internet über das Menü „Internet > MyFRITZ!“. Anschließend unter System > Fritz!Box-Benutzer einen neuen Benutzer Account erstellen und einen Haken bei VPN-Verbindung setzen.

image 2

Auf der folgenden Seite von AVM könnt ihr je nachdem von welchen System ihr auf euer Heimnetzwerk zugreifen möchtet, das Gerät nach der jeweiligen Anleitung einrichten.

https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/3448_VPN-mit-FRITZ/

Router mit aktueller Firmware und aktivem Hersteller Support verwenden

Nur Router mit aktueller Firmware nutzen: Aktiviert auf eurem Router immer die automatische Firmware Update Funktion, sodass Sicherheitslücken in der Router Software zeitnah behoben werden können. Wer einen Router nutzt, der keine aktuellen Sicherheitsupdates mehr erhält, sollte auf ein neueres Modell umsteigen. Nicht selten scannen Angreifer das Netz nach veraltetem Router ab, die bekannte Sicherheitslücken aufweisen oder falsch konfiguriert sind.

Meine persönliche Empfehlung ist die Verwendung einer Fritz!Box als Router, da sie ein sehr gutes Gesamtpaket aus Leistung, Funktionen, und Sicherheit bietet. Die Oberfläche des Webinterfaces ist einfach aufgebaut, sodass auch Einsteiger sich hier schnell zurecht finden. Trotzdem lassen sich eine Vielzahl an Einstellungen tätigen, um das Gerät speziell nach seinen Wünschen einrichten zu können. Dazu bietet AVM 5 Jahre lang Updates auf seine Router an, während bei anderen Herstellern bereits nach 2-3 Jahren Schluss ist.

DNS-Server

Nutzung eines datenschutzfreundlichen DNS-Servers und einer verschlüsselten Namensauflösung im Internet (DNS over TLS)

064 internet

Ein DNS-Server ist für die Übersetzung von IP-Adressen in leserliche Domainnamen verantwortlich. Dies hat den Vorteil, dass sich Adressen wie www.google.de deutlich einfacher merken lassen als die dahinterstehende IP-Adresse. Wenn ihr in euren Browser www.google.de eingebt, wird diese Adresse von einem DNS Server übersetzt in die jeweilige hinterlegte IP-Adresse, damit das System diese bearbeiten kann. Bei Google wäre dies z.B. die IP-Adresse 108.177.9.94 . Ihr könnt genauso diese IP-Adresse in euren Browser eingeben und landet auf der Google Startseite. Jedoch lässt sich diese IP nicht so leicht merken wie eine Domain.

DNS-Server werden dabei nicht nur beim Surfen verwendet. Alle Dienste wie auch E-Mail Programme verwenden DNS-Server, um die IP-Adressen der Server zu ermitteln.

DNS-Protokolle wie DNS-over-TLS oder DNS-over-HTTPS stellen sicher, ob man mit dem richtigen DNS-Server verbunden ist und verschlüsseln den DNS-Datenverkehr zu diesem.
Auch Android Smartphones können DNS-over-TLS nutzen (aktivierbar unter „Netzwerk & Internet“ > „Privates DNS“ ) und auch iPhones unterstützen das Protkoll seit iOS Version 14.

Der Internetstandard DNSSEC dient zur Validierung der DNS-Informationen. Der Server kann hier mittels verschiedener kryptografischen Verfahren prüfen, ob die herausgegebenen IP-Adressen auch wirklich zu den jeweiligen Domains gehören. DNSSEC sichert die Strecke zwischen dem Server auf den ihr zugreifen möchtet (z.B. Google.de) und eurem DNS-Server ab.

Privatsphäre und Datenschutz zum Thema DNS-Server

Kaum einem ist bewusst, dass Betreiber von DNS-Servern wie Internet Provider oder Google häufig alle Anfragen protokollieren. Sie wissen damit genau wann ihr welche Webseite aufgerufen habt. Im schlimmsten Fall werden diese Daten an Dritte verkauft, für Werbung oder sogar Zensur genutzt. Zum Glück kann man bei Smartphones, Computern und sogar direkt im Router den DNS-Server ändern und dabei Alternativen wählen, die nicht protokollieren und ggf. höhere Sicherheitsstandards unterstützen.

Empfehlenswerte DNS-Server

Der derzeit schnellste DNS-Server wird von Cloudflare unter der Adresse 1.1.1.1 bereitgestellt. DNSSEC ist Standard, außerdem gibt es DNS-over-TLS und DNS-over-HTTPS.

Cloudflare verspricht die Privatsphäre der Nutzer zu respektieren, wird aber dennoch von datenschutzorientierten Nutzern teilweise misstrauisch betrachtet. Laut Cloudflare werden keine IP Adressen der Nutzer gespeichert, keine Daten verkauft und die Protokoll Daten werden für maximal 24 Stunden gespeichert. Cloudflare wertet jedoch gesuchte Domains für verschiedene Analysen aus.

Cloudflare | USA | DNSSEC, DNS-over-TLS

  • unverschlüsselte Server
    • IPv4
      • 1.1.1.1
      • 1.0.0.1
    • IPv6
      • 2606:4700:4700::1111
      • 2606:4700:4700::1001
  • verschlüsselte Server:
    • DNS-over-TLS (Private DNS)
      • one.one.one.one
      • 1dot1dot1dot1.cloudflare-dns.com

zensur-freie und vertrauenswürdigen DNS-Server mit No-Logging Policy, DNSSEC Validierung und Anti-Spoofing Schutz

Digitalcourage e.V.| Deutschland | DNSSEC, DNS-over-TLS

  • unverschlüsselte Server
    • IPv4
      • 46.182.19.48
    • IPv6
      • 2a02:2970:1002::18
  • verschlüsselte Server:
    • DNS-over-TLS (Private DNS)
      • dns2.digitalcourage.de (Port 853)

Digitale Gesellschaft| Schweiz | DNSSEC, DNS-over-TLS, DNS over HTTPS

  • unverschlüsselte Server
    • IPv4
      • 185.95.218.42
      • 185.95.218.43
    • IPv6
      • 2a05:fc84::42
      • 2a05:fc84::43
  • verschlüsselte Server:
    • DNS-over-TLS (Private DNS)
      • dns.digitale-gesellschaft.ch (Port 853)
    • DNS over HTTPS
      • https://dns.digitale-gesellschaft.ch/dns-query

DNS-Server mit Werbeblocker und Familienfilter

Adguard| Zypern | DNSSEC, DNS-over-TLS, DNS over HTTPS

  • unverschlüsselte Server [Werbeblocker]
    • IPv4
      • 94.140.14.14
      • 94.140.15.15
    • IPv6
      • 2a10:50c0::ad1:ff
      • 2a10:50c0::ad2:ff

unverschlüsselte Server [Familienschutz]

  • IPv4
    • 94.140.14.15
    • 94.140.15.16
  • IPv6
    • 2a10:50c0::bad1:ff
    • 2a10:50c0::bad2:ff
  • verschlüsselte Server:
    • DNS-over-TLS (Private DNS)
      • dns.adguard.com
      • dns-family.adguard.com
    • DNS over HTTPS
      • https://dns.adguard.com/dns-query
      • https://dns-family.adguard.com/dns-query

Beispiele für Angriffe auf Router und Heimnetzwerke

DNS-Spoofing:

Standardmäßig wird der DNS-Server von eurem Internet Provider genutzt. Bei einem DNS-Spoofing Angriff wird dieser DNS-Server manipuliert. Erlangt jemand Zugriff auf euren Router, kann er den DNS-Server dort verändern und Zieladressen manipulieren. So werdet ihr dann beim Aufruf eurer Online Banking Seite auf einen Server des Angreifers weitergeleitet, der euch dann vielleicht eine täuschend echte Kopie der Original Webseite darstellt (Phishing Webseite). Bei Eingabe eurer Zugangsdaten werden diese dann schlussendlich abgegriffen, ohne dass ihr es merkt.

Falsch konfigurierte Portfreigaben und Netzwerkfreigaben:

Besitzt ihr einen Netzwerkspeicher (NAS), auf den ihr auch von außen zugreifen wollt, könnt ihr diesen im Netzwerk freigeben und die für einen Zugriff notwendigen Ports im Router nach außen hin öffnen. Bei einer Fehlkonfiguration oder eventuell vorhandenen Sicherheitslücken ermöglicht dies jedoch auch Fremden einen Zugriff auf eure Daten. Eine Nutzung von VPN-Verbindungen ermöglicht hier eine sichere Verbindung ins Heimnetzwerk, ohne riskante Ports am Router für einen externen Zugriff zu öffnen.

Sicherheitsplus MAC-Adressen Zugangssteuerung

Alternativ könnt ihr auch eine MAC-Zugriffsteuerung auf eurem Router einrichten. Hiermit können sich keine beliebigen Geräte mehr in euer WLAN einloggen sondern müssen vorher von euch freigeschaltet werden. Die Freischaltung funktioniert, indem ihr auf eurem Router alle MAC-Adressen eurer Geräte eintragt, die verbunden werden dürfen.

Die MAC-Adresse eures Android Smartphones könnt ihr in den Einstellungen unter Netzwerk & Internet / WLAN / WLAN-Einstellungen / Erweitert ansehen.

Unter Windows 10: Windows-Einstellungen/Netzwerk und Internet/Status/Adapteroptionen ändern > „Rechtsklick auf euren WLAN Adapter“ / Status/ Details.. > Physische Adresse.

083 data transfer

VPN-Verbindung einrichten

Eine VPN Verbindung stellt eine abhör- und manipulationssichere Verbindung zu eurem Zielnetzwerk, wie dem Firmennetzwerk, her. Dies ermöglicht es euch auf Computer, Drucker oder andere Netzwerkkomponenten in eurem Firmennetzwerk von zu Hause aus zuzugreifen.

Für den Zugriff auf einen Firmen-PC muss der Administrator euren Nutzer Account für den Remotezugriff auf diesem PC freischalten.

Unter Windows-Einstellungen > Netzwerk und Internet > VPN könnt ihr eine VPN Verbindung hinzufügen. Die dazu notwendigen Daten werden euch von eurem Unternehmen oder VPN-Anbieter bereitgestellt.

Alternativ könnt ihr euch in den meisten Routern, wie der Fritz!Box eine direkte Verbindung mit einem Firmen-VPN einrichten.

Internet > Freigaben > VPN > VPN-Verbindung hinzufügen > Diese FRITZ!Box mit einem Firmen-VPN verbinden

Unter „Erweiterte Einstellungen zum Netzwerkverkehr“ könnt ihr – falls nicht benötigt – den Punkt „gesamten Netzwerkverkehr über eine VPN-Verbindung leiten“ deaktivieren, da ansonsten alle Daten inklusive des Aufrufens von Internet Webseiten über das Unternehmen geleitet wird. Für die Nutzung in internen Diensten kann dieser Punkt jedoch notwendig sein.

image 3

VPN-Nutzungshinweis: Bei der Nutzung einer VPN-Verbindung wird in der Regel der gesamte Datenverkehr über die Server des VPN-Anbieter geleitet (getunnelt). Dem VPN-Anbieter ist es theoretisch möglich alle Daten zu protokollieren und zu analysieren. Bedenkt dies bei der Nutzung eines VPNs! Im Falle der Nutzung eines Firmen-VPNs kann das Unternehmen – wenn es darauf abzielt – eure Aktivität erfassen, die besuchten Webseiten protokollieren usw. Eine VPN-Verbindung dient daher auch nicht wie oft von VPN-Anbietern versprochen zum Schutz der Privatsphäre und zum anonymen Surfen.

Mit Split-Tunneling nur den notwendigen Datenverkehr über VPN leiten:

Bietet eurer Unternehmen eine Split-VPN-Konfigurationsdatei an, könnt ihr damit nur den Verkehr zu eurem Unternehmen durch den VPN-Tunnel leiten. Der restliche Datenverkehr verläuft über eure normale Internetverbindung. Dies ist deutlich performanter. Nachteil: Einige Dienste, die keine eigene Authentifizierung unterstützen und nur für Personen innerhalb des Firmennetzwerkes erreichbar sind, können hierdurch eventuell nicht funktionieren, da ihr beim Surfen nicht als authentifizierter Nutzer erkannt werdet.

Remotedesktopverbindung

107 desktop computer

Mit dem Windows integrierten Tool „Remotedesktopverbindung“ könnt ihr bei Eingabe eurer Firmen-PC-IP euch direkt mit eurem Büro PC verbinden. Ihr findet dieses Programm über die Windows-Suche (gebt dazu im Startmenü einfach „Remotedesktopverbindung“ ein). Der Zugriff erfordert eine Freischaltung des Remote Zugriffes für euren Benutzer Account von dem System Administrator. In der Regel ist für die Verbindung mit eurem Büro-PC eine VPN-Verbindung mit eurem Firmennetzwerk notwendig, da die Rechner IP-Adresse nicht öffentlich freigegeben ist.
Für eine Anmeldung mit einem lokalen Benutzer gebt ihr im Benutzernamen Feld „.\“ gefolgt von dem Account Namen ein (z.B. .\admin). Für die Anmeldung mit einem Unternehmenskonto wird die E-Mail Adresse bzw. der Benutzername nach dem Schema Nutzername@Firmendomäne.de eingetragen.

image

Beim ersten Einloggen werdet ihr über darüber informiert werden, dass ein Zertifikat nicht überprüft werden kann. Diese Meldung könnt ihr für zukünftige Zugriffe ausblenden mit dem Klick auf „Nicht erneut nach Verbindungen mit diesem Computer fragen“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.