Kontrolliertes Vernetzen
Sicherheitskonzepte fürs private LAN
Viele Netzwerkgeräte, beispielsweise Webcams, sind so schwach konzipiert, dass sie Angreifer leicht kapern und so das private LAN ausspionieren und unter ihre Kontrolle bringen können. Das lässt sich jedoch drastisch erschweren, indem man Konzepte, die Profi-Admins für Unternehmensnetze entwickelt haben, geschickt für das private Netz abwandelt.
In Heimnetzen hat sich fast unbeachtet eine ähnliche Entwicklung wie vor Jahren in Unternehmensnetzen vollzogen: Immer mehr Geräte ziehen ein und alle dürfen im LAN praktisch alles. Ob darunter Underperformer sind, die Angreifer als trojanische Pferde missbrauchen, zeigt sich erst, wenn man den Schaden hat. Um das Risiko zu begrenzen, teilt man Netzwerkgeräte in Firmennetzen in Gruppen ein und steckt sie in verschiedene Netzwerk-Zonen, sodass zum Beispiel Versand, Einkauf und Büros die Geräte der anderen Abteilungen nicht sehen (Segmentierung). Dieses Konzept lässt sich leicht in Heim-LANs anwenden, denn die Anzahl der Gruppen und die Geräteanforderungen sind im privaten Bereich kleiner. Deshalb sind auch die Kosten geringer und die Aufgabe können sich auch Heim-Admins zutrauen.
Es liegt zwar nahe, die Infrastruktur zu schützen, indem man Angreifern bereits den Zugang zum LAN verwehrt (Perimeter-Sicherheit). Doch im LAN landen auch Systeme, deren Vertrauenswürdigkeit unklar oder zweifelhaft ist. Und selbst wenn die Geräte anfangs vertrauenswürdig sind, können sie durch Updates zum Sicherheitsrisiko werden. Besser ist es daher, robuste Vorkehrungen zu treffen, um trotz nicht vertrauenswürdiger Systeme größtmöglichen Schutz zu gewährleisten.
Ein Heimnetz mit DSL-Router und ohne weitere Schutzmaßnahmen entspricht einem Haus, in dem es außer einer Haustür (Router) keine Zugangshemmnisse gibt. Wer ein solches Haus betritt, kann sich darin frei bewegen, Gegenstände mitnehmen. Ebenso kann sich jeder, der Zugang zum LAN hat, ungehindert darin umsehen. Um das zu unterbinden, empfiehlt es sich, das private LAN so wie ein Firmen-Netz in Sicherheitszonen einzuteilen – mit dem Unterschied, dass man das Heim-Netz nicht nach Abteilungen trennt, sondern nach Geräteklassen. Das Werkzeug zur Aufteilung in Zonen ist – wenig überraschend – eine Firewall. Im einfachsten Fall besteht das LAN aus zwei Zonen: der privaten Zone und der Gäste-Zone.