Es könnte alles so einfach sein

… isses es aber nicht – oder doch? Wenn wir alle etwas weniger bequem wären, etwas gründlicher nachdächten und schneller schlechte Angewohnheiten ablegten. Dann wäre tatsächlich alles viel einfacher. Aber so fangen wir erst mit dem Umdenken an, wenn wir mit unseren alten Mustern scheitern. Und wir ändern unser Verhalten erst dann, wenn uns die äußeren Umstände dazu zwingen. Das ist irgendwie sehr schade.

Dabei ist doch eine der größten menschlichen Stärken unsere enorme Anpassungsfähigkeit. Also, lassen Sie uns darauf aufbauen, umdenken und neue Wege beschreiten. Dazu bringen wir zwei altbekannte Themen in einem neuen Licht.

Ein Plädoyer für Qualitäts-gesicherte Websites

Klar wollen wir mit jedem Webauftritt glänzen. Wir wollen viele User gewinnen und ihre Aufmerksamkeit fesseln. Dafür betreiben wir hohen Aufwand im Design. Wir geben uns Mühe mit den Texten. Suchmaschinenoptimierung betreiben wir als Hochleistungssport. Und jetzt sollen wir auch noch darauf achten, dass wir gute Noten für die technische Umsetzung erhalten? Aber klar doch! Nehmen Sie sich einfach ca. 10 Minuten Zeit und sehen Sie sich den „Webcast: Qualitätssicherung für Websites mit Zertifikaten und Gütesiegeln“ an. Dann erfahren Sie, wie das funktioniert.

Hier kommst Du (Hacker) (nicht) rein!

Als der Lockdown uns alle ins Homeoffice zwang, dachten nur die wenigsten darüber nach, dass unser Heimnetzwerk quasi ein „Superspreader“ für Schädlinge in der Unternehmens-IT sein könnte. Denn das typische Heim-Modem, fälschlicher Weise auch „WLAN-Router“ genannt, ist ein beliebtes Einfallstor für Hacker. Und in der Not blendet man das schon mal kurz aus, schließlich kostet es zusätzliche Zeit, Nerven und manchmal auch Geld, eine bessere Lösung zu finden. Aber man kommt an einem professionellen IP-Gateway auch fürs Homeoffice einfach nicht vorbei. Mehr darüber erfahren Sie im Beitrag „WLAN-Router im Visier von Hackern“.

Damit soll es dann aber auch fürs erste gut sein mit dem Neustart nach der Sommerpause. Jedenfalls von unserer Seite aus. Wir hoffen, dass Ihnen die Sommerzeit etwas Ruhe und Entspannung verschafft hat, denn für die nächsten Herausforderungen brauchen wir alle viel Kraft und frische Energie.

In diesem Sinne

Ihr eBusiness Lotse Berlin

WLAN-Router im Visier von Hackern

Mit dieser dramatischen Überschrift titelte Anfang August 2020 ein renommiertes IT-Magazin. Einmal von der recht unprofessionellen Bezeichnung WLAN-Router abgesehen (WLAN-Router sind mir noch nicht untergekommen) und der nun wirklich nicht neuen Information, dass die DSL- und sonstigen „Router“ im Privatbereich gerne „genommen“ werden, hat der nachfolgende Artikel schon aktuelles Potential.

Warum lesen Sie diesen Artikel an dieser Stelle?

Wie Sie wissen, sehen wir unsere Pflicht darin, regelmäßig den Finger in Ihre IT-Wunden zu legen. Und dazu gehört das Thema Router (oder auch „WLAN-Router“) und IP-Gateways, weil sie immer zwischen einem lokalen Netz und dem Internet stehen. Dadurch sind sie ein beliebtes Ziel von Angriffen. Hacker „übernehmen“ gerne auf diesen Weg Ihre Infrastruktur oder sorgen für Störungen. Mögliche Konsequenzen sind Netzwerkblockaden, Datenverluste oder die Nutzung Ihrer Ressourcen für Angriffe auf Dritte. Deshalb ist extrem wichtig, diesem Gerät besondere Aufmerksamkeit zu schenken.

Aber fangen wir noch einmal vorne an und arbeiten uns dann langsam nach hinten durch.

  1. Um welche Geräte geht es hier?
  2. Warum betrifft uns das Thema gerade jetzt besonders?
  3. Besteht Handlungsbedarf?
  4. Best Practice

1. Um welche Art von Gerät geht es beim sogenannten „WLAN-Router“?

Uns geht es konkret um alle IP-Gateways, die zwischen dem Internet und dem Heimnetz stehen. Sie werden gerne oft fälschlicher Weise als Router, DSL-Router, WLAN-Router o.ä. bezeichnet. Wenn Ihnen das immer noch zu technisch oder sonstwie zu unverständlich erscheint: Sie kennen diese Geräteklasse garantiert als „Fritzbox“. Denn Deutschland ist das einzige Land weltweit, in dem „Suchmaschine = Google“ und „SoHo WLAN-Router (Small Office, Home Office) = Fritzbox“ gilt.

Dabei handelt es sich um echte Blackboxes, die meistens kostenlos vom Accessprovider (=Internetanbieter) bereitgestellt werden, um Sie mit einem Internetzugang zu versorgen und gleichzeitig ein WLAN-Netzwerk zu betreiben. Diese Geräte fallen in die Kategorie „Plug&Play“ und zielen damit klar auf den Privatmarkt. Denn hier muss der „WLAN-Router“ ohne Anwenderhilfe sofort funktionieren. Dennoch findet man sie auch in vielen Unternehmen im Einsatz, weil sie so einfach zu installieren sind. Und das freut die Hacker Community.

2. Warum betrifft uns das Thema gerade jetzt besonders?

Diese Geräte bilden derzeit häufig die Gegenstelle des Home-Office zur Verbindung in Ihre Firma. Und sie sind an zentraler Stelle verantwortlich für die Endgeräte im Home-Office, auf denen sensible Firmen-Daten lagern und bearbeitet werden. Wurden diese Geräte in der „Vor-Home-Office“-Zeit überwiegend rein privat eingesetzt, so sind sie nun vollständig im Unternehmens-Umfeld angekommen. Dadurch wächst die Attraktivität als Angriffsziel.

3. Es besteht Handlungsbedarf?

Also: Ja! Wie bereits gesagt, ist die Zielgruppe dieser „Kistchen“ der private Markt. Hier geht es um Plug&Play geht. Im Firmen-Umfeld bedeutet dies allerdings eher „Plug&Pray“, also „hoffentlich passiert nichts“. Aber was sollte schon passieren? Ganz einfach: Wegen mangelhafter Konfiguration, veralteter Firmware (das Betriebssystem der Kistchen) oder fehlerhafter Anwendung stellen diese eine permanente Sicherheits-Schwachstelle dar, über die Hacker gerne einsteigen. Und das kann sich ein Unternehmen nicht leisten.

Veraltete Software

Die Firmware ist oft veraltet, teilweise sind nach zwei Jahren keine Updates mehr erhältlich. Die Anzahl von bekannt gewordenen Exploits wächst aber auch nach zwei Jahren munter weiter. Und selbst wenn der Hersteller Firmware-Updates anbietet, dann werden diese meist nicht installiert. Denn zu Recht haben viele Anwender davor Sorge. Zum Beispiel, ob hinterher noch alles so funktioniert wie vorher, das ist nicht sicher. Daher geht der Laienanwender davon aus: Wenn man keinerlei Anpassungen vornimmt, ist diese Gefahr einigermaßen gering. Aber das greift zu kurz.

Tatsächlich sind einige Fälle bekannt, in denen nach einem solchen Update der Internetzugang instabil wurde oder gar ganz ausfiel. Und genau dafür sind diese Netzwerkbetreiber-Geräte prädestiniert. Darüber hinaus kennt man Fälle, in denen auch ein „Zwangsupdate“ zu lang anhaltenden Problemen führte, obwohl diese Sicherheitslücken schließen sollten. Dennoch sollte man die Firmware regelmäßig aktualisieren. Die jeweilige Vorgängerversion sollte man dann eben lokal zur Sicherheit einfach vorhalten. Damit steht dann bei auftretenden Problemen ein Downgrade zur Verfügung. Das Ganze ist aber schon ein Job für technik-affine und versierte Anwender.

Problematische Konfigurationen

Die angesprochenen „WLAN-Router“ enthalten allermeist Konfigurationen, die sicherheitstechnisch problematisch sind. Dazu gehören ungesicherte Portweiterleitungen, Managementzugriff von aussen, schlecht konfigurierte DHCP-Server etc. Alles zusammen genommen steigert das Risiko erheblich, dass Hacker das interne Netzwerk mit seinen Endgeräten angreifen und kompromittieren. Das heisst, dass auch DOS oder DDOS-Angriffe auf den „Router“ erleichtert werden. Diese Problematik ist in Zeiten der Ausbreitung von „Home-Office“ Lösungen existentiell geworden.

4. BestPractice

Es gibt zwei Wege, wie Sie mit dem real existierenden Sicherheitsproblem aktiv umgehen können:

  1. Wenn es Ihre Ansprüche an Sicherheit und Konfigurationsmöglichkeiten zulassen – und hier seien Sie bitte ehrlich zu sich selbst – können Sie die vorhandene Hardware beibehalten und sicher konfigurieren. Vorausgesetzt, sie ist technisch noch aktuell.
  2. Alternativ können Sie die vorhandene „Small Solution“ gegen professionelle Hardwarelösungen austauschen. Dann wird das IP-Gateway ein eigenständiger, von Ihnen kontrollierter Rechner, z.B. in Form eines kleinen Servers.

In beiden Fällen verlassen wir jedoch die Ebene des „Plug&Play“. In beiden Fällen ist technisches Wissen gefragt. Ich vertrete ganz eindeutig die Auffassung, dass mittel- und erst recht langfristig nur die professionelle Lösung sinnvoll ist, Denn nur sie kann mit den heutigen oder zukünftigen Ansprüchen an ein IP-Gateway mithalten. An einem BestPractice Beispiel möchte ich Ihnen zeigen, wie Sie mit ein paar Regelstandards zu einem sicheren und korrekten Betrieb Ihres IP-Gateways kommen.

4.1 Keine fremden Dienste auf dem IP-Gateway

Das bedeutet im Klartext, dass auf dem IP-Gateway nur die Dienste laufen dürfen, welche für die korrekte Funktion notwendig sind. So darf unter keinen Umständen eine Telefonanlage, ein Datenserver oder eine andere Betriebsanwendung auf dem selben Rechner laufen.

4.2 Nur quelloffene Software (Open Source)

Auch wenn es sich sichtbar um Hardware handelt, so ist es doch eine Software, welche die gewünschten Sicherheitsfunktionen bereitstellt. Hier dürfen keine Softwares verwendet werden, die ihre Funktion verschleiern oder nicht offen einsehbar sind. Die fertigen „Blackboxes“ einiger Hersteller sind demnach ein No-Go. Denn ein fachkundiger Dritter muss jederzeit die Möglichkeit haben, die Funktionen einzusehen und zu überprüfen. Deshalb ist es nötig, an dieser Stelle quell-offene Software zu verwenden. Wir empfehlen üblicherweise Linux oder BSD.

4.3 Zulässige und sinnvolle Funktionen

Zu diesen Funktionen gehören die eigentlichen Aufgaben eines Routers. Der Ordnung halber ist anzumerken, dass wir im Falle eines DSL- oder vergleichbaren Anschlusses vom echten „Routing“ weit entfernt sind. Aber die Funktion zum Erstellen und Verwalten von Regeln für den IP-Transport zwischen dem LAN (internes Netzwerk) und dem WAN (Rest der Welt) sind in beiden Fällen ein Standard. Diese Funktion kennen Sie auch als Firewall. Sie legt fest, wer was darf und wer nicht. Und dann darf natürlich auch ein DHCP-Service für ein Gäste-WLAN im Netz nicht fehlen, ansonsten ist eher das Arbeiten mit festen IPs zu empfehlen.

Je nach Internet-Access-Technik (z.B. DSL) kommt noch die Modem-Funktion hinzu, die entweder mit einem vorgeschalteten Kabelmodem oder einer internen Funktion zu realisieren ist. Ersteres ist der bessere Weg, denn die Art der Modemfunktion hängt stark vom Netzwerkbetreiber ab. Denn dieser muss die Funktionalität bereitstellen. Dieses Modem hat dann einen normalen Ethernet-Ausgang zum Anschluss des IP-Gateways.

Die Empfehlung für Ihr IP-Gateway: pfSense oder OPNSense

Mit dieser Empfehlung kommen wir zum Kern unserer Ausführungen. Entweder kaufen Sie eine fertige Appliance mit den beschriebenen Funktionen und Eigenschaften oder Sie „bauen“ sich diese selbst. Aus eigener jahrelanger Erfahrung empfehle ich eine der beiden IP-Gateway-Lösungen pfSense oder OPNSense. Ich kenne diese Lösungen sowohl im Einsatz im Rechenzentrum als auch in Unternehmen zum Schutz lokaler Netze. Während im Rechenzentrum überwiegend die Firewall-Funktionalität benutzt wird, übernimmt z.B. die pfSense in Unternehmen oft auch die Router-Funktion. Die Software ist in beiden Fällen die selbe, der Unterschied besteht lediglich in der Leistungsfähigkeit der Hardware.

Flexible Netzwerkverwaltung

Die Software ist in beiden Fällen modular aufgebaut. Im Kern arbeitet die Firewall, die den Datenverkehr zwischen „Drinnen & Draussen“ regelt. Die WAN-Schnittstelle ist mit dem Modem des DSL- oder sonstigen Netz-Anbieters verbunden. Eine oder mehrere LAN-Schnittstellen können nun mehrere getrennte (!) lokale Netze bedienen. So können leicht getrennte Netze für die PCs, für den WiFi-Access Point, für Gäste, und für Geräte, die über Internet erreichbar sein sollen eingerichtet werden.

Erweiterungen wie ein DHCP-Dienst für die Vergabe von IP-Adressen für Gäste, ein IDS-Dienst zur Erkennung von Netzwerk-Angriffen, ein VPN-Dienst für den sicheren Zugang zum Firmennetz oder ein Proxy-Dienst für die temporäre Zwischenspeicherung von Internet-Daten lassen sich entweder zuschalten oder durch die Installation von Funktionserweiterungen realisieren.

Natürlich Open Source

Die Software ist nicht nur quelloffen, sondern auch für den kommerziellen Einsatz frei verfügbar. Da als Unterbau BSD verwendet wird, ist dieses System sehr stabil und zuverlässig. Die Software ist, anders als die SoHo-Angebote, nicht auf Komfort, sondern vielmehr auf Sicherheit und Funktionalität ausgerichtet. Während die Installation in wenigen Minuten erledigt ist, verlangt die Einrichtung einiges Wissen über Netzwerk- und Sicherheitstechnik.

Ein Angebot

Auch wenn die Einrichtung eines IP-Gateways nicht ganz einfach ist, so ist es kein Hexenwerk. Deshalb plant der eBusiness-Lotse-Berlin zu diesem Thema ein neues Live-Webinar als Videokonferenz, exklusiv für Abonennten des EBL-Newsletters. Hier installieren wir live eine pfSense als Unternehmensfirewall und richten sie grundlegend ein.

Bei Interesse melden Sie sich bitte über das Anmeldeformular, damit wir Sie als Teilnehmer berücksichtigen und Ihnen rechtzeitig den Termin mitteilen können. Unser Videokonferenzsystem bietet 25 Plätze, wir starten bei mindestens 8 Anmeldungen.

Einführung in die Netzwerkarchitektur für KMUs

Wenn Sie mehr als zwei Mitarbeiter im Unternehmen beschäftigen, spätestens dann sollten Sie über eine gemeinsame technische Basis für Ihre IT-Anwendungen nachdenken. Klar, theoretisch könnte alles „in die Cloud“. Doch wie wir wissen, sollten wir uns aus bekannten Gründen nicht allzu abhängig von reinen Internetanwendungen machen. Deshalb brauchen Sie ein Netzwerk mit Struktur, welches alle Ihre Unternehmensdaten verfügbar hält. Dabei ist ein sauber konfiguriertes und gut zu pflegendes Netzwerk für Ihr Unternehmen kein Hexenwerk.

Netzwerk-Struktur (Netzwerkarchitektur) am praktischen Beispiel

Am Beispiel einer kleinen Agentur zeigen wir Ihnen, welche Komponenten in eine stabile, sichere Netzwerkarchitektur gehören. Sie erfahren, wie Sie Ihr Netzwerk sicher mit dem Internet verbinden und wie Sie Datensicherung und Backup in Ihre Netzwerk-Struktur integrieren.

Referent/in

Uwe Stache, BB-ONE.net Ltd.

Zielgruppe

Das Webinar wendet sich an Entscheider und Netzwerkadministratoren, die für ihr Unternehmen ein Netzwerk planen und verwalten wollen.

Vorkenntnisse

Es sind keine Vorkenntnisse erforderlich.

Webinar wiederholen:


Präsentation herunterladen:

Netzwerkstruktur für KMUs (170 Downloads)

Haben Sie Fragen?

Wenn Sie Fragen haben oder noch einmal nachhaken wollen, dann nutzen Sie einfach das Formular:





Bitte beweise, dass du kein Spambot bist und wähle das Symbol Fahne aus.

 

Installation und Einrichtung der Firewall pfsense

Genug der Theorie, denn jetzt geht’s ans Eingemachte. In diesem Webinar zeigen wir Ihnen am Beispiel „pfsense“, wie diese Firewall installiert und eingerichtet wird. Dabei lernen Sie auch die wichtigsten Komponenten eines IP-Gateways kennen. Und Sie erfahren, worauf Sie bei der Einrichtung achten sollten.

Warum nehmen wir das Beispiel pfsense?

Wir haben uns bewusst für diese Firewall entschieden, weil sie eine echte Open Source Lösung ist. Das heisst zum Beispiel, dass hersteller-unabhängig und ohne versteckte Hintertüren arbeitet. Deshalb erfreut sich die pfsense großer Beliebtheit. Und sie gilt unter Fachleuten als äusserst sicher und stabil. Daher lohnt es sich, einen genaueren Blick „unter die Haube“ zu werfen.

Referent

Uwe Stache, BB-ONE.net Ltd.

Zielgruppe

Das Webinar wendet sich an Administratoren und IT-Sicherheitsbeauftragte, die sich über die Möglichkeiten der pfsense als Firewall informieren wollen. Doch auch IT-Entscheider gewinnen einen guten Einblick in den Aufwand, der mit der Einrichtung eines sicheren IP-Gateways verbunden ist.

Vorkenntnisse

Vorkenntnisse in Firewalling und Netzwerkeinrichtung sind hilfreich. Doch falls Sie sich vorbereiten möchten, empfehlen wir Ihnen die Wiederholung der folgenen Webinare:

Webinar wiederholen:

 

Fragen?

Leider haben wir noch keine Chat-Funktion. Diese werden wir im Laufe des Jahres nachrüsten. Bis dahin empfehlen wir Ihnen, das Webinar zuende anzusehen und dann anschließend Ihre Fragen zu senden. Dafür können Sie das nachfolgende Formular nutzen.

Bitte stellen Sie Ihre Frage.

* So gekennzeichnete Felder sind Pflichtfelder. Bitte füllen Sie diese aus. Danke.

 

Editorial April 2017

Nach dem erfolgreichen Start der ersten Webinare, gesendet aus unserem neuen Online-Studio, liefern wir gleich zwei Spezialthemen nach. Sie erscheinen als vertrautes Terrain, warten aber mit überraschenden Neuigkeiten auf.

IT-Sicherheit mal ganz praktisch

Das Thema Firewalling ist ganz sicher nicht neu, im Gegenteil. Und dass professioneller Schutz Ihrer Netzwerk-Infrastruktur eine Herausforderung ist, die Sie am besten mit einem ebenso professionellen IP-Gateway meistern, auch nicht. Doch es gibt spannende Änderungen in den Möglichkeiten der Netzwerkverwaltung. Diese wollen wir Ihnen vorstellen.

Gute Texte für Smartphones

Mit SEO-konformen Onlinetexten haben wir uns bereits ausführlich beschäftigt. Da dürften Sie jetzt schon richtig fit sein. Wir gehen dieses Mal der Frage nach, welche Anforderungen Ihre Webtexte erfüllen sollten, damit sie auch auf Smartphones gut lesbar sind.

Übrigens

Sollten Sie ein Webinar verpasst haben, dann lohnt sich ein Blick in unsere Veranstaltungs-Doku. Dort finden Sie die Aufzeichnungen der letzten Veranstaltungen sowie die Downloads der Präsentationen.