An dieser Stelle erfahren Sie, wie Sie Ihre Router-Firewall richtig einrichten, sich besser davor absichern und trotzdem Ihren NAS von außerhalb steuern können: In manchen Fällen möchten Sie über das Netzwerk auf die einzelnen Endgeräte in Ihrem Heimnetzwerk zugreifen, z. B. auf den NAS. Grundvoraussetzung für einen solchen Remote-Zugriff ist die IP-Adresse des Router.
Erstellen Sie daher ein Benutzerkonto mit einem DDNS-Dienst, der der IP-Adresse des Routers eine konsistente URL zuordnet. Wenn Sie über das Netz mit seiner externen IP-Adresse oder der zugehörigen DDNS-URL auf Ihren Router zugreifen, blockiert der Router zunächst diese Aufforderung. Weil die Firewall von Aussen nach Aussen immer noch eng ist und der Router auch noch keine Informationen darüber hat, welche Ihrer Endgeräte im Heimnetzwerk Sie tatsächlich anstreben.
Ihm ist nicht bekannt, an welches Endgerät er die Verbindungsanforderung umleitet. Hier kommt die Port-Weiterleitung ins Spiel. Also. Wenn Sie z. B. von außerhalb auf die Browseroberfläche Ihres NAS oder Ihrer IP-Kamera Zugriff haben möchten, müssen Sie den Router anweisen, Ihre Anforderung an das NAS und nicht an den PC oder das Web-Radio weiterzuleiten.
Daher sollten Sie der IP-Adresse (oder DDNS-URL) eine weitere Angabe hinzufügen: die Ports. Über diese Anschlussnummer kann die Firewall im Router die Anforderung an das korrekte Endgerät im Heimnetzwerk umleiten. Jedoch nur, wenn Sie diesen Anschluss inklusive des Zugriffs auf das zugehörige Homegateway in der Router-Firewall aktiviert haben.
Während einer Portforwarding im Router legen Sie fest, was passieren soll, wenn eine Anforderung aus dem Netz den Router mit einem speziellen Anschluss erreicht. Wenn Ihr Router derzeit die äußere IP-Addresse 87.106.88.25 hat. Als Portforwarding haben Sie angegeben, dass alle ankommenden Requests mit Anschluss 8070 an Ihren NAS mit der Innenadresse 192.168.1. 30 weitergereicht werden sollen.
Bei den meisten Firewall-Einstellungen können Sie auch festlegen, an welchen inneren Anschluss des NAS die Anforderung gesendet werden soll, beispielsweise an den Anschluss 80: Die Firewall im Router stellt anhand der Anschlussnummer 8070 fest, dass die Anforderung an den NAS weitergeleitet werden muss. Weil normalerweise mehrere Services auf einem NAS ausgeführt werden, gibt die Portforwarding selbst an, welcher Service auf dem NAS ausgewählt ist.
Hinweis: Wenn Sie einen Port an eine SSL-Verbindung weiterleiten, tragen Sie nicht die Anschrift http:// in Ihren Webbrowser ein, sondern https://. Ein interessanter Ansatz, die Port-Weiterleitung zu einem bestimmten Endgerät (NAS, Webserver) für alle anderen Endgeräte im Heimnetzwerk so weit wie möglich zu sichern, ist die Etablierung einer entmilitarisierten DMZ, kurz DMZ. Bei einer DMZ werden zwei Router oder Firewall benötigt, die Sie als Cascade in Reihe einfügen.
Der NAS-Gerät oder Webserver, auf den über das Netz zugegriffen werden soll, ist dann im örtlichen Netz zwischen dem externen Router und dem internen Router untergebracht. In der DMZ gibt der externe Router den Zugriff aus dem Netz an den in der DMZ befindlichen Rechner weiter, z.B. per Portforwarding. Allerdings blockiert der interne Router alle Anschlussmöglichkeiten aus der DMZ und damit auch aus dem Intranet.
Auch wenn ein Angriff aus dem Netz den Rechner in der DMZ übernimmt, wird der Innenbereich durch die zweite (Router-)Firewall abgesichert. Aber Achtung: In den WAN- oder Port Forwarding-Einstellungen vieler Heimnetzwerk-Router ist die DMZ- oder DMZ/Exposed Host-Einstellung durchaus üblich, obwohl diese mit einer realen DMZ nichts zu tun hat, sondern in Sachen Security gar das genaue Gegenteil impliziert.
Falls Sie Ihren NAS oder ein anderes Netzwerkgerät als''DMZ/Exposed Host'' einrichten, ist die Router-Firewall für dieses Netzwerkgerät vollständig inaktiv. Die Router leiten alle Anforderungen aus dem Netz an diesen exponierten Rechner weiter. Die anderen bereits angelegten Port-Shares werden dadurch wirkungslos, dass der Router alle externen Requests an den exponierten Rechner weiterleitet, unabhängig davon, an welchen Port sie weitergeleitet werden.
Damit werden nicht nur die auf dem exponierten Rechner abgelegten Informationen gefährdet, sondern auch alle anderen im Heimnetzwerk, wenn das System von einem Angreifer als Bridgehead benutzt wird. Deshalb sollten Sie DMZ/belichtete Hosts nur zu Versuchszwecken einrichten. Wo wir gerade von einer porösen Firewall sprechen: Auch viele der modernen AC-WLAN-Router haben eine nicht zu unterschätzende Werkseinstellung.
Jeder Heimnetzwerk-Router verfügt über eine UPnP-Option, mit der automatisch Einstellungen zur Sicherheit in der Firewall, wie z.B. Port-Weiterleitung, vorgenommen werden können. Falls also ein spezielles Endgerät in Ihrem Heimnetzwerk, wie z.B. eine Spielkonsole oder ein Videotelefonie-Client, bestimmte Anschlüsse in der Router-Firewall für eine bessere Verständigung öffnen möchte, kann diese Applikation die Router-Firewall über das UPnP-Protokoll an Ihre Bedürfnisse anpassbar machen.
Es wird schwierig, wenn die Firewall-Ports von einem ungewollten UPnP-Client aus geöffnet werden. Letztere kann als Programm oder Anwendung auf einem der Geräte im Heimnetzwerk installiert werden. Falls Sie also Ihr eigener Master über die Firewall Ihres Router sein wollen, schalten Sie die Kontrolle über Ihren Router über UPnP aus.