Eine detaillierte Beschreibung, wie ein Router zu konfigurieren ist, kann nicht pauschal geliefert werden. Hierzu sind die Router-Modelle und deren Bedienung einfach zu unterschiedlich. Weiterhin hängt die korrekte Konfiguration eines Routers auch von den lokalen Netzwerkgegebenheiten ab. Trotzdem gibt es einige Tipps, die es besonders beim Einsatz eines Mainstream-Routers zu beachten gilt.
Administrationspasswort ändern
So ist es zum Beispiel generell eine schlechte Idee, einen Router mit seinen Standardeinstellungen zu betreiben. Dies gilt vor allem für das Administratorpasswort, mit dem Sie den Zugang zur webbasierten Konfigurationsoberfläche erhalten. Hersteller vergeben hier für jedes Gerät der gleichen Baureihe ein identisches Passwort, welches meist "admin", "12345" oder ähnlich lautet und damit sehr leicht zu erraten ist. Zudem sind die Passwörter in den Handbüchern vermerkt, die von den Herstellern meist als PDF-Datei im Internet zur Verfügung gestellt werden.
Modellbezeichnung und Hersteller beziehungsweise der DSL-Anbieter werden meist schon auf der Einstiegsseite der Web-Oberfläche genannt. Hat ein Angreifer über das Internet Zugang zur Administrationsoberfläche, so genügt nun ein Blick in das PDF-Handbuch, um mit dem Standardpasswort des Routers diverse administrative Einstellungen zu ändern. Kriminelle Zeitgenossen könnten nun zum Beispiel einen anderen DNS-Server eintragen, um so einen Seitenaufruf fürs das Online-Banking auf die eigenen Server umzuleiten um dort sowohl PIN als auch TANs abzugreifen.
Administration des Routers nur per LAN
Um noch weniger Angriffsfläche zu bieten halten sie zudem Ausschau nach einer Option, mit der der Zugriff auf die Administrationsoberfläche des Routers nur über das interne Netzwerk möglich ist. Meist ist diese Konfigurationsoption über den Menüpunkt "Remote Administration" erreichbar. Besitzt ihr Router einen integrierten WLAN-Access-Point, so haben Sie bei vielen Geräten auch die Wahl, den Zugriff auf die Administrationsoberfläche über die WLAN-Schnittstelle zu unterbinden.
Vorsicht bei WLAN
Wie bereits erwähnt ist die Einrichtung eines WLAN-Netzwerks, welches mit einem anderen IP-Adressenbereich als das kabelgebundene Netzwerk betreiben wird und von diesem zudem noch über eine Firewall abgeschottet ist, dem Betrieb eines Access-Points im IP-Adressenbereich des Kabelnetzwerks vorzuziehen.
Zwar ergibt sich auf der einen Seite ein höherer technischer und administrativer Aufwand. Andererseits halten wir diesen für notwendig, da sie dadurch nicht nur Angreifer auf Distanz zu Ihrem Netzwerk halten können, sondern auch möglichen Viren und Trojanern Einhalt gebieten können. Denn Notebooks von Außendienstmitarbeitern, die auch von unterwegs Zugang zum Internet und zu E-Mails haben, bewegen sich außerhalb der gut geschützten Netzwerkinfrastruktur ihres Unternehmens und sind damit anfälliger für schädliche Software.
Unabhängig davon, ob Sie ein separates WLAN-Netzwerk einsetzen oder auf den integrierten Access-Point Ihres WLAN-Routers zurückgreifen, sollten Sie zur Verschlüsselung immer den sicheren Standard WPA2 (WiFi Protected Access) wählen. Verwenden Sie darüber hinaus für die Kennung des WLAN-Netzwerks (SSID - Service Set Identifier) nicht Ihren Firmen- oder Privatnamen. Denn dadurch geben Sie möglichen Angreifern Aufschluss über den Standort des WLAN-Netzwerks, welche Daten sich im Netzwerk befinden könnten sowie ungewollt Information darüber, wie das Passwort für den WLAN-Zugang lauten könnte.
DHCP und Filter für MAC-Adressen
Machen Sie es Angreifern nicht zu einfach und vergeben Sie keine dynamischen IP-Adressen an WLAN-Clients. Besser ist es, dem integrierten DHCP-Server so zu konfigurieren, dass Clients in Abhängigkeit von der MAC-Adresse des Systems immer die gleiche IP-Adresse erhalten und keine dynamischen IP-Adressen vergeben werden. Diese Funktion unterstützen allerdings nicht alle Router.
Ein häufiger anzutreffendes Feature ist die Zugangskontrolle in Abhängigkeit von der MAC-Adresse des Netzwerkgeräts. Hierbei werden auf dem Router alle MAC-Adressen der Geräte eingetragen, die über den Router eine Verbindung herstellen möchten. Versucht ein Gerät über den Router eine Verbindung herzustellen, dessen MAC-Adresse dem Router nicht bekannt ist, wird der Verbindungsaufbau unterbunden.
Allerdings stellt auch dieses Verfahren keinen ultimativen Schutz dar, da er von Angreifern mit genügend Kenntnissen relativ einfach ausgehebelt werden kann. Weniger versierten Angreifern hingegen dürfte eine MAC-Adressen basierte Zugangsliste genügend Steine in den Weg legen, die sie an ihrem Vorhaben hindern könnten.
- Wie isset [Off Topic]
- Einfacher Hardwaregateway gesucht [Netzwerke daheim und im Büro, DSL, Internet & Sicherheit]
- Energiesparender Datei-Server, Raid, Medien-Server [Netzwerke daheim und im Büro, DSL, Internet & Sicherheit]
- Kaufberatung: WLAN Router mit Gigabit Ethernet und OS-Firmware [Netzwerke daheim und im Büro, DSL, Internet & Sicherheit]
- DSL Router mit Wlan 108 Mbps & VOIP gesucht [Produkte: Top oder Flop]
Haben Sie Fragen? Die Tom's Hardware Community hilft!
wer seinen router selber baut der hat auch plan in sachen netzwerk und benötigt diese anleitung hier nicht die eh nur mehr fragen aufwirft als beantwortet
^^ ich hab jetzt schon 6-7 router gebaut (nicht viel ich weis) aber ich kenn mich leider noch nicht so stark aus....und manches war informativ. Einen Router zusammenbauen kann jeder Iraklis, aber mann muss nicht unbedingt das System dahinter/drummherum kennen.
gruß I-LoVeRaP
Was zum Henkel ist eine "Synchrone Verbindungsgeschwindigkeit"?
Also Sorry,
entweder man weiss was man tut, dann kann ich nur Iraklis nur zustimmen, dann braucht man diese Anleitung nicht.
Oder man weiss nicht was man tut, dann sollte man jemanden Fragen der sich damit auskennt und dessen professionelle Arbeit dann entsprechend auch bezahlen.
Alles andere ist Gebastel.
Im einfachsten Fall fuehrt es zu permanenten Problemen, deren Beseitigung durch den zu spaet hinzugezogenen Fachmann teurer kommt als wenn man gleich die Entsprechende Beratung in Anspruch genommen haette. Man Bezahlt dann nicht nur den Fachmann sondern auch noch die vorangegangene Bastelei.
Im schlimmsten Fall fuehrt es zum schnellen Bankrott, bevor sich das Potential des Unternehmens voll entfalten konnte, weil entweder jemand das Gebastel "geknackt" hat und grossen Schaden verursacht oder weil niemand das Unternehmen erreicht und so die dort angebotenen Dienste nicht in Anspruch genommen werden koennen ...
Biggles
Wieder einmal ein "sehr schwacher" Artikel, welcher allerdings fabelhaft auf ein Großteil der Leserschaft von http://www.tomshardware.com/de zugeschnitten scheint.
Lieber Marcel ich kann das nicht mehr mit ansehen und erkläre mich bereit deinen Artikel zu überarbeiten um daraus einen "richtigen" Artikel zu machen.
Ich verstehe, dass du die teilweise doch etwas "weniger leistungsfähige" Leserschaft von tomshardware.com/de nicht überfordern willst aber dein "Artikel" dürfte sich nach meinen Kriterien höchstens "Einleitung" nennen.
Laut deines Profiles bei "Xing" solltest du wirklich genug Erfahrung vorweisen können - und dennoch fehlen viele wichtige Aspekte in deinem Artikel um die kaum ein "Frimengründer" mit "Internetbedarf" herumkommt.
@Iraklis & Biggles
Also ich würde meinen Router, wenn ich ihn für Gewerbezwecke verwenden will, nicht selbst bauen. Sondern ich würde auf ein passendes gerät eines zuverlässigen Herstellers zurückgreifen. Oft macht nämlich die unsägliche Bastelei von Leuten, die meinen Ahnung zu haben, die meisten Probleme. Im Privatbereich mache ich das auch, weils halt Spaß macht. Im Geschäftsalltag, wo es halt einfach laufen muss, würde ich mich nicht darauf verlassen.
Hmm, also zum Thema Firewall/Router würd ichs mir nicht so schwer machen. Ich hab dieses Gerät sowohl persönlich als auch bei Kunden im Einsatz (5-20 User) http://geizhals.at/deutschland/a267193.html . Mit neuerer Firmware sind auch 5 simultane IPSEC-Verbindungen möglich. Die Firewall ist hervorragend. Wenn bedarf besteht gibts das Teil auch mit Wlan.
SDSL... Also hier in Österreich gibts auch Anbieter die statische IPs auf ADSL schalten (ohne Zwangstrennung) so verwischt sich der Nachteil von ADSL. Darüber hinaus gibts Dyndns, zum Mailen gibts Smarthosts... kleine Firmen brauchen heut zu Tage kaum mehr statische Adressen und der Upstream sollte mit 512 oder 768 auch für die meisten kleinen Betriebe reichen. Erst mit dem Einsatz von VPN ist mehr Upstream nicht schlecht. Zur Entlastung eines VPNs setzen wir derzeit Terminalserver ein. So umgeht man Datenverlust oder hängende Sitzungen in BMD und Co. Darüber hinaus schont es auch die Bandbreite. Wer ohne Terminalserver direkt auf Datenbankschnittstellen zugreifen möchte sollte dies mit stabileren Leitungen als "DSL" machen. In Österreich gibts hierzu "LIQ+", ein MPLS-Netz auf SDSL-Basis, eine ethernetbasierte Weiterentwicklung von ATM.
Seperates WLAN zum LAN... tja, die Theorie klingt toll aber wenn ich Wlan haben möchte dann auch ins komplette Netz oder? Erklärt dem Chef warum er mit Wlan nur surfen kann und für seine Firmendaten bitte ein Kabel einstecken soll.... glaub kaum das das gut ankommt.
WLAN nur per LAN administrieren... gleiches Dilemma. Als (externer) Admin bleibt einem keine Wahl als dies gleich wieder zu vergessen und ich glaube nach dem drittem Notebook das man händisch und per LAN per MAC-Adress-Filter freischaltet haut man den Hut drauf.
Kommt gleich der nächste Punkt: WLAN IPs nicht dynamisch Zuweisen und Macfilter. Alles schöne Konzepte aber leider zeitmäßig noch nervenschonend wartbar. Im Alltag schaltet man da auch gleich die Windowsfirewall, UAC und sonstige Sachen ab. Lieber mehr Risiko als wenn irgendein dummes Programm oder Skript dadurch geblockt wird. Sicher nicht die beste Einstellung aber leider Praxis.
Ich weiß ja nicht für wen diese Artikel gedacht sind aber für kleine Unternehmen mit ner handvoll Leute reicht besagte Firewall, dynamische IP, ADSL und alle Ports von aussen zu....
PS. Ok, ich bin neu hier aber gibt's keine Editierfunktion?!?