Ein Weg zur Resilienz über meist technische Schutzmaßnahmen
Um ein Heimnetzwerk auf 99% Sicherheit zu heben, sind über die Basiskonfigurationen hinausgehende technische Maßnahmen unerlässlich. Diese reichen von der Absicherung des Routers über die möglichst vollständige Überprüfung von Komponenten bis zur intelligenten Segmentierung des Netzwerks und der Planung einer Ausfallsicherung. (oder zumindest einmal ein Gedankenexperiment, ob und wie lang man bei einem Ausfall auch ohne zurecht kommen wird)
Wie schon letzten Beitrag erwähnt muss man sich aber von der 100 verabschieden, wirklich komplett erreichbare absolute Sicherheit kann es nicht geben. Versuchen wir uns also zu Beginn an der für uns psychologisch wichtigen Marke des Level92 um mit wenig Aufwand bereits viel zu erreichen.
Zwei-Faktor-Authentifizierung (2FA) / Multi-Faktor-Authentifizierung (MFA) für den Netzwerk(Router)Zugriff:
- Was es ist: 2FA oder MFA fügt eine zusätzliche Sicherheitsebene hinzu, die zwei verschiedene Formen der Identifizierung erfordert: etwas, das der Nutzer weiß (Passwort), und etwas, das er besitzt (z.B. ein Smartphone mit einer Authenticator-App).
- FritzBox-Unterstützung: Neuere FRITZ!Box-Router unterstützen 2FA für den Admin-Zugang sowohl lokal als auch für den Fernzugriff über MyFRITZ!. Ältere Geräte immerhin für die Konfigurationsänderung am Gerät als optionale Variante zum Telefon oder Tastendruck. Die Zwei Faktor Authentifizierung erfolgt typischerweise über Authenticator-Apps, die das TOTP-Verfahren (Time-based One-Time Password) nutzen wie Google Authenticator oder Microsoft Authenticator. Die Aktivierung erfordert eine einmalige Bestätigung direkt am Gerät.
- Speedport-Unterstützung: Speedport-Router bieten in der Regel keine direkte 2FA für die lokale Admin-Oberfläche. Allerdings unterstützen Telekom-Dienste, die mit Speedport-Routern verbunden sind, wie die MagentaCLOUD, eine Zwei-Faktor-Authentifizierung. Dies ist ein wichtiger Unterschied, der bei der Sicherheitsstrategie berücksichtigt werden muss.
- Warum es wichtig ist: 2FA/MFA schützt effektiv vor unbefugtem Zugriff, selbst wenn das Passwort gestohlen oder erraten wurde. Es ist eine der wirksamsten Maßnahmen gegen Phishing- und Brute-Force-Angriffe.
- Praktische Umsetzung: Installation einer kompatiblen Authenticator-App auf einem Mobilgerät und Scannen des vom Router angezeigten QR-Codes zur Verknüpfung.
Der Tastendruck bei Änderung der Einstellung an der Fritz.Box ist übrigens auch bereits eine Form der MFA, man musste man quasi „beweisen“ dass man auch wirklich vor Ort ist. Damit wird sicher gestellt dass nicht jemand von außerhalb die Konfiguration verändern kann.
Für alle die schon mal bei Mutti oder Vati per Fernwartung auf der Box waren und dann eine Bestätigung bei Änderung vornehmen übrigens auch ne feine Sache. 🙂
Netzwerksegmentierung:
Die Kunst der Isolation bis „Level 92“
Netzwerksegmentierung ist eine fortgeschrittene Sicherheitsmaßnahme, die das Heimnetzwerk in kleinere, isolierte Segmente (Subnetze) unterteilt. Dies ist ein entscheidender Schritt auf dem Weg zur Sicherheit da es den „Blast Radius“ eines potenziellen Angriffs erheblich reduziert. Selbst wenn ein Gerät in einem Segment kompromittiert wird, kann der Angreifer nicht ohne Weiteres auf andere, sensiblere Segmente zugreifen.
Heimnetz vs. Gastnetz: Kennen wir ja alle schon. Das beliebte Gastnetz ist die einfachste und für Heimanwender am leichtesten umzusetzende Form der Segmentierung. Es ermöglicht Besuchern und potenziell unsicheren IoT-Geräten (wie Smart-TVs, smarte Lampen) Internetzugang, ohne dass sie Zugriff auf das private Hauptnetzwerk mit sensiblen Daten oder Geräten erhalten. Topp!
Schwieriger und potentiell auch für den Heimanwender nicht mehr praktikabel umzusetzen dagegen ist die Segmentierung des Netzwerks über VLAN
VLANs oder separate Subnetze für IoT / Smarte Geräte / Home Automation:
Vorteile: Die Isolation von IoT-Geräten in einem separaten Segment erhöht die Sicherheit erheblich. Sollte ein IoT-Gerät (die oft weniger sicher sind) kompromittiert werden, kann der Angreifer nicht direkt auf PCs, Laptops oder NAS-Systeme im Hauptnetzwerk zugreifen. Dies verbessert die Übersicht und Kontrolle über den Datenverkehr.
Herausforderungen für Heimrouter: Hier zeigt sich eine wichtige Hürde auf dem Weg zu „Level 92“. Viele Consumer-Router, wie die gängigen FRITZ!Box-Modelle, unterstützen keine echten VLANs direkt auf ihren internen LAN-Ports oder WLAN-SSIDs für eine interne Netzwerksegmentierung. Während einige FRITZ!Box-Modelle VLAN-IDs für den WAN-Zugang (Internetanbindung) unterstützen , ist dies nicht für die Unterteilung des internen Heimnetzwerks vorgesehen.
Dies führt zu einer verbreiteten Fehleinschätzung, dass diese Funktion bei Standard-Routern einfach zu aktivieren sei. Die Illusion der Einfachheit bei der Netzwerksegmentierung ist eine wichtige Erkenntnis. Die bloße Empfehlung von „VLANs“ ohne diese Einschränkungen zu beleuchten, würde Nutzer frustrieren, da die vorhandene Hardware die Umsetzung oft nicht zulässt.
Subnetze einrichten
Auch die Möglichkeit sich mit getrennten Subnetzen einzelne Bereiche zu isolieren wollen wir betrachten, um so die möglichen Angriffsflächen zu verkleinern. Sie ist eher im professionellen Netzwerkumfeld üblich und für den Heimanwender meist keine praktikable Möglichkeit, besonders nicht weil die gängigen verfügbaren Heimrouter kein Subnetting im eigentlichen Sinn unterstützen sondern für einen gemeinsamen Adressbereich von üblicherweise maximal 253 Geräten in einem gemeinsamen Segment ausgelegt sind.
Warum jetzt genau 253? Gute Frage! Hier die TL:DR Antwort: Zum einen geht die erste nutzbare Adresse x.x.x.1 der insgesamt 256 verfügbaren möglichen Adressen im /24er Heimnetz für den Router weg und zum anderen sind die erste Netzadresse x.x.x.0 und die letzte x.x.x.255 für die sogenannte Broadcast Adresse reserviert. Damit ist sicher gestellt dass das Netzsegment überhaupt funktioniert. Diese Adressen mit anderen Geräten zu belegen wird, sofern das Gerät die Eingabe überhaupt zulässt, unweigerlich zu Netzwerkfehlern führen.
So richtig ausführlich wird das /24er CIDR System zB. hier beschrieben. Die früher gängige Beschreibung war „Subnetzmaske“ und sah im Heimnetz meist so aus: 255.255.255.0 -> prinzipiell bedeutet /24 das gleiche.
Wer die Ambitionen hat sich da allerdings einzulesen und gegebenenfalls auch entsprechende Lösungsvorschläge umzusetzen findet im Netz diverse hilfreiche Tipps und Tricks.
Lösungen für Heimnutzer:
Nutzung des Gastnetzes als „IoT-Netzwerk“: Dies ist die praktikabelste Lösung für die meisten Heimanwender. Das Gastnetz kann als dediziertes Netzwerk für alle Smart-Home- und IoT-Geräte genutzt werden, um sie vom Hauptnetzwerk zu isolieren.
Mein Level92 Tipp dazu: Auch die LAN Gerätschaften denen man nicht pauschal vertraut können ins Gastnetz eingebunden werden. Dazu gibt es in der Fritz.Box die praktische Option das Gastnetz auch an LAN Port 4 bereit zu stellen. Da dann auch das LAN-Gastnetz vom restlichen Netz isoliert ist werden so die schützenswerten Elemente zuverlässig abgeschirmt.
Einsatz eines Managed Switch und VLAN-fähigen Access Points: Für eine echte und robuste VLAN-Segmentierung ist oft der Einsatz zusätzlicher Hardware erforderlich. Ein Managed Switch hinter dem Router kann den Datenverkehr in verschiedene VLANs aufteilen. VLAN-fähige Access Points (die die AVM-Mesh-Repeater ersetzen könnten) können dann separate WLAN-SSIDs den jeweiligen VLANs zuordnen. Dies stellt eine Investition in Hardware und Konfigurationsaufwand dar, ist aber der Weg zur vollständigen „Level 99“-Segmentierung.
Verwendung von Routern mit erweiterter Funktionalität: Einige fortschrittlichere Heimrouter oder kleine Business-Router bieten native Unterstützung für mehrere separate SSIDs und Subnetze, die eine logische Segmentierung ermöglichen. Ubiqiti oder MikroTik fallen mit da spontan ein. Bei den großen Namen bekommt ihr dass aber auch (Cisco & Co)
Portfreigaben und UPnP-Management
UPnP deaktivieren: Wie bereits erwähnt, sollte UPnP standardmäßig deaktiviert werden, da es ein erhebliches Sicherheitsrisiko darstellt. Es sollte nur bei absolutem Bedarf für spezifische Anwendungen und idealerweise auch nur temporär aktiviert werden.
Manuelle Portfreigaben: Wenn Portfreigaben für bestimmte Anwendungen (z.B. Gaming-Server, Fernzugriff auf Kameras) unerlässlich sind, sollten sie manuell konfiguriert werden. Dabei sollten nur die absolut notwendigen Ports geöffnet und diese auf spezifische interne IP-Adressen beschränkt werden. Die integrierten Firewall-Funktionen des Routers sollten genutzt werden, um den Zugriff weiter einzuschränken.
VPN – Wireguard oder IPSec?
Das Thema VPN, also euer virtuelles privates Netzwerk hätte grundsätzlich defintiv einen eignen kompletten Artikel verdient. Nur ganz kurz umrissen: Ein VPN verschlüsselt den gesamten Datenverkehr und tunnelt ihn sicher ins Heimnetzwerk, wodurch keine direkten Ports von außen geöffnet werden müssen.
Zusätzlich könnte man dann auch noch diverse andere mögliche Optionen benennen, das führt heute aber defintiv zu weit. Wir beschränken uns hier erst einmal auf die grundsätzliche Handhabung und den Unterschied der beiden Möglichkeiten. Dazu gibt es zB. hier ein prima Video:
VPN-Nutzung bevorzugen: Für den sicheren Fernzugriff auf Heimdienste (z.B. NAS, Überwachungskameras) ist eine VPN-Verbindung über den Router (falls unterstützt, wie bei vielen FRITZ!Boxen) oder einen separaten VPN-Server die bei Weitem sicherste Methode.
DHCP-Einstellungen für zukünftige Erweiterungen
Feste IP-Adressen für kritische Geräte: Für Geräte wie NAS-Systeme, Smart-Home-Hubs oder private Server, die eine feste IP-Adresse benötigen, ist es ratsam, diese entweder außerhalb des DHCP-Bereichs des Routers festzulegen oder IP-Reservierungen im DHCP-Server einzurichten. Dies erleichtert die Verwaltung, Fehlersuche und die Konfiguration von Portfreigaben oder Firewall-Regeln erheblich, da sich die IP-Adresse dieser Geräte nicht ändert.
Notfallpläne und alternative Zugangsmöglichkeiten: Ihr PlanB
Ein wirklich widerstandsfähiges Heimnetzwerk auf „Level 92“ zeichnet sich nicht nur durch robuste Sicherheitsmaßnahmen aus, sondern auch durch die Fähigkeit, bei einem Ausfall der primären Internetverbindung handlungsfähig zu bleiben. Die Abhängigkeit von einer einzigen Internetverbindung birgt erhebliche Risiken, da ein Ausfall Home-Office, Kommunikation und Smart-Home-Funktionen lahmlegen kann. Daher ist ein Notfallplan für alternative Zugangsmöglichkeiten unerlässlich.
LTE/5G als Fallback
Vorteile: Mobilfunknetze sind weit verbreitet und bieten in vielen Regionen gute Geschwindigkeiten. Ein LTE/5G-Backup kann relativ schnell eingerichtet werden und bietet eine zuverlässige Alternative, insbesondere in Gebieten, in denen traditionelles Festnetz-Internet langsam oder unzuverlässig ist. Es kann als automatisches Failover oder als manuelles Backup genutzt werden.
Nachteile: Oft mit Datenvolumenbegrenzungen verbunden, was bei intensiver Nutzung zu hohen Kosten führen kann. Unlimitierte Tarife sind teurer. Die Netzabdeckung und die tatsächliche Geschwindigkeit können je nach Standort variieren.
Implementierung: Spezielle LTE/5G-Router mit integrierter Failover-Funktion können bei Ausfall der primären DSL/Kabel-Verbindung automatisch auf das Mobilfunknetz umschalten. Alternativ kann ein Smartphone oder Tablet als mobiler Hotspot genutzt werden.
Satelliten-Internet:
Vorteile: Satelliten-Internet bietet Konnektivität auch in ländlichen Gebieten, in denen keine Festnetzanschlüsse verfügbar sind. Neuere Systeme wie Starlink bieten im Vergleich zu älteren Satellitensystemen deutlich niedrigere Latenzen und höhere Geschwindigkeiten.
Nachteile: Hohe Anschaffungskosten für die Hardware (Satellitenschüssel, Router). Die monatlichen Kosten können ebenfalls hoch sein. Latenzen können für Echtzeitanwendungen wie Online-Gaming oder Videokonferenzen immer noch problematisch sein. Die Verbindung ist zudem anfällig für starke Wetterbedingungen wie Gewitter oder Schneefall.
Richtfunk (Wireless Last Mile):
Vorteile: Richtfunkverbindungen können hohe Bandbreiten über größere Distanzen liefern und weisen in der Regel geringe Latenzen auf. Sie sind eine gute Option, wenn keine Glasfaser- oder Kabelanschlüsse verfügbar sind und eine Sichtverbindung zu einem Sendepunkt besteht.
Nachteile: Benötigt eine direkte Sichtverbindung zwischen Sender und Empfänger. Die Installation ist oft komplex und erfordert spezielle Hardware. Richtfunklösungen sind für Heimanwender seltener verfügbar und werden eher von Business-Kunden oder in spezifischen regionalen Initiativen angeboten.
Automatische Lösungen vs. griffbereite Backups
Automatische Failover-Router: Diese Router sind so konfiguriert, dass sie einen Ausfall der primären Internetverbindung erkennen und dann automatisch auf eine vordefinierte alternative Verbindung (z.B. LTE/5G) umschalten. Dies minimiert die Ausfallzeit des Netzwerks auf ein Minimum und sorgt für Geschäftskontinuität im Home-Office oder für kritische Smart-Home-Funktionen. Exemplarisch genannt: Speedport Router mit Zusatz Hybrid und/oder LTE im Namen können dass.
Level 92% Bastel Lösung:
Fail-Benachrichtigung, automatischer Switch auf Fallback
Charly hat uns dies ja mit einem schönen Beispiel bereits im letzten Beitrag gezeigt, diese Variante ist möglicherweise bereits ausreichend wenn kein manueller Zugriff möglich oder gewünscht wird. Ob und in welchem Umfang bzw. mit welcher Hardware dann wie reagiert wird lässt sich zumindest perfekt auf die eigenen Bedürfnisse anpassen. Klarer Fall von Daumen hoch 🙂
Fail-Benachrichtigung, manueller Switch
Eventuell reicht euch ja aber sogar noch eine andere Variante. Die Ausfallbenachrichtigung mit manuellem Switch. Das kann dann wie folgt aussehen:
Griffbereite Backups: Hierbei handelt es sich um vorkonfigurierte Geräte wie LTE-Sticks, mobile Hotspots oder auch schon ein (Backup-)Smartphone. Diese erfordern eine manuelle Umschaltung oder Aktivierung durch den Nutzer im Falle eines Ausfalls. Obwohl weniger nahtlos als automatische Lösungen, bieten sie eine kostengünstige und effektive Möglichkeit, die grundlegende Konnektivität wiederherzustellen.
Nutzung eines (Backup-)Basismodems vom Anbieter
Ein oft übersehener Aspekt des Notfallplans ist die Bereithaltung eines einfachen Basismodems vom Internetanbieter. Sollte der eigene Router ausfallen oder eine komplexe Fehlfunktion aufweisen, kann ein solches Modem eine direkte Verbindung zum Internet herstellen. Dies ermöglicht zumindest die Wiederherstellung grundlegender Konnektivität und die Diagnose des Problems mit dem Hauptrouter. Vergessen wird aber gern dass ein Basismodem vom Internetdienstanbieter noch einen ganz anderen Zweck hat, nämlich die Möglichkeit zur Differenzdiagnose.
Es kann ein vom Anbieter offiziell freigegebenes Gerät erforderlich sein bei einer Fehlerdiagnose, da ein Provider gern ohne „anbietereigenes“ Modem dem Kunden die Schuld für eine Fehlfunktion oder einen Ausfall anlastet. Die Taktik erst einmal pauschal auf die vom Kunden installierte Hardware schieben mag durchaus nachvollziehbar erscheinen, führt jedoch schnell zu Frust – nur weil keine erweiterten Diagnosemöglichkeiten über einen Kundenrouter zur Verfügung stehen muss dass noch lange nicht die Ursache für einen Ausfall sein. Auch hier denke ich mir wieder, besser man hat und braucht es nicht als anders rum. Ist entspannter. 🙂
Single Point of Failure
Der typische SPOF im Heimnetzwerk ist eine einzelne Komponente, deren Ausfall das gesamte Netzwerk oder Teile davon lahmlegen kann. Vereinfacht gesagt, ist es ein Teil, der so wichtig ist, dass wenn er kaputt geht, das ganze System nicht mehr funktioniert. Im üblichen Sinne wären dass der Router, das Modem oder ein zentrales Switch.
Je nach Setup und benötigten Zugangsstellen kann aber genau so auch ein einzelner AccessPoint der dafür sorgt dass der weit entfernte Laptop, das Tablet im Garten oder der Medienserver im Keller noch Verbindung zum Netzwerk haben der Single Point of Failure sein. Auch eine einzelne Festplatte ohne Datensicherung würde in diese Kategorie fallen.
Wie kann man diese SPOF vermeiden?
- Redundanz: Verwenden Sie redundante Komponenten wie zwei Router oder zwei Modems, um einen Ausfall zu kompensieren.
- Redundante Verbindungen: Nutzen Sie mehrere Internetverbindungen (z.B. DSL und LTE) oder redundante Verkabelung.
- Automatische Failover: Konfigurieren Sie Ihre Geräte so, dass sie automatisch auf eine alternative Verbindung oder einen Ersatzdienst umschalten, wenn ein Problem auftritt.
- Regelmäßige Backups: Sichern Sie wichtige Daten regelmäßig, um Datenverlust im Falle eines Ausfalls zu vermeiden.
- Professionelle Unterstützung: Ziehen Sie bei komplexen Netzwerkkonfigurationen oder Problemen einen Fachmann hinzu.
- Sicherheitskopien von Konfigurationen: Erstellen Sie regelmäßig Sicherungskopien Ihrer Router- und Netzwerkkonfigurationen, um eine schnelle Wiederherstellung im Falle eines Ausfalls zu ermöglichen.
Auch hier muss man natürlich der Fairness halber sagen, dass nicht jeder alle der obigen Elemente vorhalten oder beherzigen muss. Besonders im Heimnetz sind die Prioritäten natürlich anders.
In der Firmen-IT dagegen würde man bei der Einschätzung von einem Risikoappetit sprechen und gegebenenfalls die Anschaffungs und Instandhaltungskosten von solchen Redundanzen gegen die Kosten eines Ausfalls abwägen. Da dort häufig ganz andere Summen im Spiel sind, ist natürlich auch ein mögliches Budget für eine mehrfache doppelte Redundanz und auch ganze Failover-Rechenzentren bei Bedarf absolut gerechtfertigt.
TL:DR für heute?
Manchen reicht ein „Oh Shit – na gut, mehr Zeit für den Biergarten“, andere setzen auf einen Umschalt-Button, andere hätten gern ein Backup Modem, wieder andere wollen einen automatischen Fallback und wer auf Hochverfügbarkeit angewiesen ist hat evtl. sogar direkt eine zweite Leitung 24/7 aktiv. –
Und jede Möglichkeit ist völlig in Ordnung. Was für euch ausreichend ist, ist hier eben der SweetSpot.