Infrastrukturen

In diesem Kapitel werden verschiedene im Heimbereich benutzte Infrastrukturen beschrieben.

Einfache Infrastruktur

Der üblichste, weil einfachste Aufbau eines Heimnetzwerkes, besteht aus einem Router an dem alle Netzwerkteilnehmer per LAN-Kabel und/oder WLAN angeschlossen sind:

einfache Infrastruktur

Dieser Netzwerkaufbau ist sehr einfach und kommt daher wohl bei den meisten Haushalten zum Einsatz. Der Nachteil dieser Installation ist der zentrale Router:

  • dieser sollte immer mit der neuesten Firmware bestückt und somit aktuell gehalten werden (siehe weltweiter Angriff auf Router).
  • Falls doch unbekannte Sicherheitslücken ausgenutzt werden, hat der Angreifer vollen Zugriff auf das Heimnetzwerk.
  • Die meisten Router können vom Provider fernkonfiguriert werden. Benutzt wird dazu das Protokoll TR-069 welches vom Funktionsprinzip einer Hintertür entspricht. Bei den meisten Routern ist diese Funktion aktiviert und lässt sich oft nicht abschalten (speziell bei Mietgeräten der Provider). Über dieses Protokoll können auch staatliche Behörden im Bedarfsfall in das Heimnetzwerk eindringen. Siehe TR-069 und Sicherheit
  • Geheimdienste nutzen heute schon Router als Horchposten aus: CIA betreibt angeblich Router Botnet
  • Blocken von Werbe- und Trackingnetzwerken wenn überhaupt nur sehr eingeschränkt möglich (Bei FritzBox sind nur max. 500 manuelle Einträge möglich).

 

Infrastruktur mit Werbe- und Tracking-Blocker

Eine sehr einfache aber dennoch effektive Möglichkeit im kompletten Heimnetzwerk die überwiegende Mehrzahl an Werbe- und Tracking-Netzwerken an einer zentralen Stelle zu blockieren, ist der Einsatz eines Mini-Computers (RaspberryPi, ca. 50 EUR) auf dem die Software „Pi-hole“ installiert ist. Dies stellt sozusagen eine netzwerkseitige Lösung zum Blockieren von Werbung und Trackern dar. Da die Listen der zu blockierenden Netzwerke ständig und automatisch aktualisiert werden, bleibt man stets vor neuen Werbenetzwerken geschützt.

Eine gute Installationsanleitung mit viel Hintergrundwissen gibt es hier: Pi-hole schwarzes Loch für Werbung.

erweiterte Infrastruktur

Der Netzwerkaufbau entspricht dem vorherigen, außer dass es im gesamten Heimnetzwerk keine Werbung und kein Tracking mehr gibt. Die Nachteile in Bezug auf Provider-Fernwartung und Sicherheitsprobleme des Routers selbst bleiben allerdings bestehen.

 

Erweiterte Infrastruktur mit Firewall

Die für den heimgebrauch beste Lösung ist der Einsatz einer Hardware-Firewall wie es auch in Unternehmen der Fall ist. Empfehlenswert ist hier die Open Source Linux Distribution ipfire.

Bei ipfire werden getrennte Netzwerke eingesetzt: Das rote Netzwerk stellt die Verbindung zum Internet über den Router des Providers dar. Am blauen Netzwerk hängen alle internen WLAN-Teilnehmer, wie Smartphones, Tablets oder SmartTVs. Im grünen Netzwerk befinden sich alle per Kabel angeschlossenen Geräte wie Drucker oder PCs. Die passende Hardware dazu gibt es hier: ipfire-duo-box (299.- EUR)

Jeglicher Netzwerkverkehr von und in das Internet, wie auch zwischen dem roten, blauen und grünen Netzwerk wird anhand von Firewall-Regeln erlaubt oder gesperrt. Man hat somit die volle Kontrolle über alles was im Netzwerk geschieht.

Das vorhandene WLAN des Routers kann entweder komplett abgeschaltet, oder als Gäste-WLAN benutzt werden. Gäste haben somit vollen Internetzugriff, sind aber komplett aus dem Heimnetzwerk ausgesperrt.

Infrastruktur mit Firewall

Werbe- und Tracking Netzwerke können ähnlich wie mit Pi-hole komplett für den gesamten Netzwerkverkehr geblockt werden. Für weitere Informationen siehe Netzwerkaufbau mit ipfire. Da sich der Router völlig isoliert als einziger Teilnehmer im roten Netzwerk befindet, kann selbst per Providerfernwartung nicht auf das Heimnetzwerk zugegriffen werden.