Wie lässt sich einfach und effektiv das Netzwerk schützen?

OPNsense

In unserem neuen Haus im Odenwald, welches in einer breitbandschwachen, dafür landschaftlich sehr schönen Region liegt, bietet die Telekom einen MagentaZuhause Hybrid an. Hier wird der langsame DSL-Anschluss mit schnellem LTE kombiniert, funktioniert aber nur mit einem speziellen Router, den nur die Telekom selbst anbietet.

Das Gerät nennt die Telekom Speedport Pro, Hersteller ist Sagemcom. Ein Speedport war laut Heise auch mitverantwortlich, dass 30.000 Patientenakten einer Arztpraxis im Internet frei zugänglich waren.

Nicht nur Sicherheitslücken seitens des Herstellers könnten ein Problem sein, auch die breite Streuung der Telekomrouter macht sie attraktiv für Angriffe. Das gilt natürlich auch für Router anderer Hersteller. EasySupport für Geräte der Telekom ist bei näherer Betrachtung grob fahrlässig. Irgendwelche Mitarbeiter der Telekom haben die Möglichkeit, von ihrem Arbeitsplatz aus auf den Router und die Geräte dahinter zuzugreifen. Auch werden WLAN-Name, WLAN-Schlüssel und die Zuordnung der Rufnummern auf Servern der Telekom gespeichert. Der Haken der Voreinstellung kann zwar entfernt werden, ob dann aber die Daten bei der Telekom auch tatsächlich gelöscht werden, ist fraglich.

Eine Firewall hinter dem Router schützt

Da es einige professionelle und leicht zu installierende OpenSource-Lösungen gibt, kann eigentlich jeder seine Computer schützen.

Ich habe mich für OPNsense entschieden. Die Gründe hierfür:

  • OPNSense basiert zu 100% auf Open Source: Entwicklungen und Planungen rund um das System werden stets offen und nachvollziehbar kommuniziert.
  • OPNSense wird wöchentlich mit Sicherheitsupdates und Bugfixes versorgt.
  • Die Oberfläche von OPNsense ist wesentlich intuitiver zu bedienen als andere Firewallsysteme.
  • DNS-Abfragen können einfach mit OpenDNS gefiltert werden.1
  • Automatisches Blacklisting krimineller IP-Netzwerke und Filter für unerwünschte Seiten (z.B. Pornografie, Spyware, Gewalt).2

Mit einigen guten Anleitungen, z.B. OPNsense installieren im Wiki von Thomas Krenn und OPNsense Grundinstallation und Einrichtung auf der Seite von schulnetzkonzept, kommt man sehr schnell zu einem gut abgesicherten Netzwerk.

Wer Hilfe bei der Auswahl der Hardware, Planung, Installation und Administration benötigt, kann gern mit uns Kontakt aufnehmen.

Übrigens: Wie Heise, hier im letzten Absatz, berichtet, war der Telekom das Problem seit Mai 2019 bekannt, erst mit Veröffentlichung des Heise-Artikels im November reagierte die Telekom.

Verweise

  1. OpenDNS bietet DNS-Abfragen (Auflösung von DNS-Namen) für Privatpersonen und Firmen. Dies stellt eine Alternative zur Benutzung des DNS-Servers des eigenen Internetdienstanbieters dar. Zum anderen bietet die Firma einen Phishing-Filter sowie Korrektur von Eingabefehlern an. OpenDNS sammelt eine Liste fragwürdiger Seiten und blockiert den Zugriff darauf. Siehe auch https://www.opendns.com/home-internet-security/)
  2. OPNSense arbeitet mit folgenden Blacklists-Anbietern zusammen: UT1-Blacklist der Universität von Toulouse (kostenfrei, Creative Commons license), Shallalist.de (für private und kommerzielle Nutzung kostenfrei, kommerzielle Benutzer müssen sich registrieren). URLBlacklist.com (kostenpflichtig), Squidblacklist.org (kostenpflichtig)