Ich habe mehrere Jahre nach einer guten Lösung für einen Router gesucht. Meine Voraussetzungen waren alles andere als „Standard“.

Ein Router muss für mich neben den selbstverständlichen Aspekten des Routings, bereitstellen der Internetverbindung sowie der Verwaltung von DHCP-Leases, noch ein paar andere wichtige Aufgaben erfüllen. So ist z.B. eine starke, fein granular konfigurierbare Firewall ein Punkt der eine weitere große Rolle spielte. Dazu kommt noch der Support für einen RADIUS-Server (für die Authentifizierung von Geräten im WLAN) und OpenVPN/IPSec um sichere Verbindungen zu anderen Netzwerken zu gewährleisten. Gerade letzteres spielt in der heutigen Zeit eine immer bedeutendere Rolle, in Zeiten wo die Verletzung der Privatsphäre zum Standard gehört und das Ausspionieren so gut wie legal ist.

 

Nun mag sich der ein oder andre die Frage stellen, warum all diesen Aufwand für ein privates Netz betreiben? Warum nicht einfach ein Produkt des doch so gut gelobten Herstellers aus Deutschland benutzen?

Die Antwort lässt sich auf drei Bereiche herunterbrechen: Sicherheit, Performance, OpenSource.

Auch wenn die von vielen so geliebten Plastik-Boxen meist einen guten Job erledigen, sie sind immer noch ein Non-Industrial-Produkt. Somit liegen die Preferencen des Herstellers hier nicht unbedingt auf Sicherheit und Performance, sondern mehr im Funktionstonalitätsumfang. Darunter müssen die anderen Aspekte jedoch stark leiden.

In der Vergangenheit hat man oft genug von Exploits, Leaks und co. gehört. Ein besonderes Manko sind dann noch die Modifikationen der Provider an diesen Geräten. Diese können ungewollt weitere Schwachstellen hineinbringen. Ein Remote-Zugung für den ISP stellt ein enormes Risoko dar. Denn geht dieser nicht sehr sorgfältig mit seinen Zugangsdaten um (Keys, Passwörter) kann es fremden böswilligen Personen in diesem Netz das Spiel um einiges erleichtern. So waren in der Vergangenheit schon mehrere „Hacks“ möglich.

 

Durch die Offenlegung des Quellcodes ist zudem ein weiterer Schritt in richtig Sicherheit getan. Nicht nur das die Community sich mehr an der Entwicklung von Erweiterungen beteiligt, nein, auch Code-Reviews und Optimierungen sind ein großer benefit. Jeder der Misstrauen hat, kann sich die Software selbst ansehen und seine Zweifel „in Luft auflösen“.

 

Den Router als eigenen Rechner zu betreiben mag das beste sein, ist aber zugleich auch die teuerste Variante. Ich habe bei mir bereits einen ESXi Server im Einsatz. Somit kam mir die Idee PFsense zu virtualisieren. Wie eine kurze Suche im Web ergab, war ich damit nicht der erste und PFSense hatte sogar Optimierungen für die Betreibung in einer Virtuellen Maschine vorgenommen. Die Installation und Konfiguration lief ohne Probleme. Um etwas mehr Sicherheit zu bekommen, habe ich verschiedene Netze für WLAN, LAN und das GAST-Netzwerk konfiguriert. Diese sind voneinander mit Firewall-Regeln getrennt und nur gesondert freigegebener Traffic darf passieren. Um das WLAN zusätzlich gegen Angriff abzusichern setze ich auf WPA2-Enterprise als Authentifizierungsprotokoll. Jedes Gerät welches sich im WLAN anmeldet, bekommst seinen eigenen Login für den RADIUS-Server. Somit kann man im Falle eines Leaks genauer nachvollziehen, welches der Geräte für diesen Leak verantwortlich war. Zudem ist es sehr zu empfehlen regelmäßige Audits der Logfiles vorzunehmen. Da können einem so mach komische Dinge auffallen… 🙂

 

Auf der ESXI-Kiste ist es zudem sehr zu empfehlen eine gesonderte Netzwerkkarte für den WAN-Anschluss zu verwenden. Mein erster Ansatz war einfach alles über VLANs zu regeln. Dies stellte sich aber als Risikoreich dar. Denn würde der Switch, welcher die VLANs verwaltet einmal auf die Werkseinstellungen zurückgesetzt werden, wäre es theoretisch möglich über das Modem direkt ins interne Netz zu gelangen. So ein Risiko ist es nicht Wert und eine gute Netzwerkkarte ist schon für unter 20€ zu haben.

 

Eine weitere Idee um die Security zu erhöhen wäre es zwei verschiedene Router/Firewalls hintereinander einzusetzen. Dies ist aber mit einem extremen Mehraufwand verbunden und würde sicherlich den ein oder anderen Abend verderben. Will man aber mehr Sicherheit gegen Backdoors und co. wäre dies sicher ein vernünftiger Ansatz.

 

Eigentlich ist es doch ein riesengroßer Jammer, zu was man im Jahre 2017 schon gezwungen ist, nur im etwas Privatsphäre zu wahren…

Kategorien: Allgemein

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.