Am Computer oder der Spielkonsole zocken ist für manchen das Größte schlechthin. Bei Multiplayer-Rollenspielen, Online Egoshootern oder Strategiespielen kann man das auch online und mit anderen zusammen tun.  Mit und gegen menschliche Mitspieler anstatt nur gegen den Computer zu spielen, gibt der Sache einen zusätzlichen Pfiff. Dabei müssen Spieldaten über das häusliche Netz und den zentralen Internetzugang hin und her geschoben werden. Wie sieht es dabei aber mit der Sicherheit des Heimnetzes aus? Und wie, wenn die Sprößlinge gar einen eigenen Server für das Lieblingsspiel und/oder Zocker-Kommunikationssoftware wie TeamSpeak einrichten wollen?

Ein Computernetzwerk ist ein feine Sache. Aber wie bekommt man es sicher?

Ports dicht und sorgenfrei?

 Solange man mit den "ganz normalen" Netzanwendungen, also EMail und WebBrowser arbeitet, gibt es größere Probleme vor allem durch die üblichen Sicherheitslöcher in der handelsüblichen Software. Sie ermöglichen es, ein System von innen anzugreifen. Gegen Angriffe von außen hingegen kann man das Netz durch die Firewall auf dem Gateway bzw. dem Router recht zuverlässig schützen. Im Normallfall kann man die Ports des Gateways bzw. des Routers nämlich komplett dicht machen. Sie sind dann von außen nicht einmal mehr zu sehen. In diesem Fall lässt die Firewall nur solche Datenpakete passieren, welche von den Computern im LAN ausdrücklich angefordert wurden. Damit wird zunächst einmal verhindert, dass ein Rechner aus dem Internet von sich aus Kontakt zu einer Maschine im LAN aufnimmt.

 Was die Firewall nicht verhindern kann, sind Angriffe mit Hilfe von Trojanern oder Würmern: Die laufen nämlich auf dem/den befallenen Rechner(n)  im LAN und nehmen mit ihren jeweiligen Herrchen in der gleichen Weise Kontakt auf, wie das die Programme tun, die legalerweise auf das Internet zugreifen. Die Firewall kann nicht erkennen, das hier ein Angriff stattfindet: sie ist ja angewiesen, Datenverkehr zuzulassen, der auf Initiative aus dem LAN hin stattfindet.

Virenschutz-Software und Personal-Firewall

 Gute Firewalls bieten natürlich die Möglichkeit, beliebige Regeln aufzustellen, die von den Paketen erfüllt werden müssen, damit sie nach draußen (oder auch nach drinnen) gelassen werden; Sinn und Zweck einer Firewall ist es ja schließlich, Daten zu filtern. Auf diese Weise könnte man möglicherweise einen brauchbaren Schutz aufbauen, der den legalen Programmen den Zugriff auf das Internet erlaubt, den Datenverkehr von Bösewichtern jedoch abblockt und meldet.

Viele Online-Spiele, wie z.B. auch World of Warcraft, lassen sich auch spielen, wenn die Ports des Gateways bzw. des Routers gegen Zugriff aus dem Internet sauber dicht gemacht  sind

 Es ist zum einen fraglich, ob ein solcher Schutz wirklich dicht zu bekommen ist; zum andern erfordert er einen Haufen Detailwissen. Man muss ja feststellen, was für Daten welches der eingesetzten Programme wie an welche Adressen senden können muss und daraus die Regeln für die Firewall entwickeln. Zum anderen muss ein solches Regelwerk bei jedem neuen Programm angepasst werden. Das macht nicht nur Arbeit , sondern ist auch eine Fehlerquelle ersten Ranges. Schließlich ist Papi ja kein gelernter System-Administrator und hat auch noch anderes zu tun, als das häusliche Netz am Laufen und sicher zu halten.

 Aus diesem Grunde ist es besser, wenn man die Angriffe von Trojanern und Würmern auf den einzelnen Workstations verhindert. Dazu verwendet man eine ordentliche Virenschutzsoftware und eine Personal Firewall wie Zone Alarm. Erstere soll verhindern, dass sich überhaupt Schadsoftware festsetzen kann, letztere sorgt dafür, das nur Programme auf das Netz zugreifen können, denen der Anwender es explizit erlaubt. Diese Lösung verlangt zwar ein wenig Sachkenntnis und Verantwortungsbewusstsein bei jedem Anwender - aber warum sollen Mami und die Kids nicht selbst ein wenig von ihren Compis verstehen? Das gleiche gilt für die Anwender in einem kleinen Firmennetz. Die Lösung eignet sich also nicht nur sehr gut für Heim- sondern auch für kleine Firmennetze.

 Sie lässt sich sowohl mit den handelsüblichen DSL-Routern wie z.B. dem Speedport 700 W der Telekom realisieren, als auch mit einem einfachen DSL-Modem und einem gesonderten Rechner, der als (LAMP-)Server fungiert. Im ersten Falle kann man sogar auf einen LAN-Switch oder -Hub verzichten, solange man nicht mehr Rechner per Kabel im Netz hat, als der DSL-Router Anschlüsse hat. Auf die drahtlose EInbindung von Stationen, die z.B. beim Speedport 700 W durchaus möglich ist, verzichtet man besser, denn drahtlose Netzwerke sind immer ein Schlupfloch für Eindringlinge. Selbst um sie einigermaßen sicher zu bekommen, muss man sich mit der Konfiguration auskennen.

 Der LAMP-Server (LAMP = Linux Apache MySQL PhP) dient dabei nicht nur als Gateway und Router. Er kann auch noch als zentraler Fileserver, lokales EMail-Postamt, WebServer für das Intranet, lokaler DNS-Server, ja sogar als ISDN-Server zum Faxen und noch zu 1000 weiteren Dingen dienen. Ein älterer Rechner, z.B. eine 1-GhZ-Maschine, der man eine entsprechend große Festplatte verpasst, tut es hier vollauf.

Wenn Ports zu öffnen sind, wird es gefährlich

 Für den normalen Anwender gestaltet sich die Kommunikation mit dem Internet in aller Regel als Client-Server-Beziehung. Das bedeutet, dass, wie bereits erläutert, die Firewall die Ports zum Internet hin geschlossen halten kann. Dann dürfen nur Daten passieren, die als Antwort auf eine vorausgegegangene Anfrage erkannt werden. Eine ganze Reihe von Online Spielen kommt damit klar, so z.B. auch World of  Warcraft. Solche Spiele verursachen daher keine Erhöhung des Risikos von Angriffen aus dem Internet.

Mit dieser Netzarchitektur schafft man eine entmilitarisierte Zone (rot), in der unsichere Endgeräte, auch über WLAN, betreiben werden können, ohne dass die Sicherheit des lokalen Netzes (grün) leidet

 Es gibt nun aber auch Spiele, vor allem scheint das bei Konsolenspielen der Fall zu sein, die, wenn man sie über das Internet spielen will,  erfordern, dass bestimmte Ports geöffnet werden. Warum das so sein muss, erschließt sich mir nicht so ganz: Es gibt ja auch jede Menge Spiele, die keine offenen Ports benötigen. Ich kann allenfalls vermuten, dass hier peer-to-peer-Verbindungen vermittelt werden um Serverlast zu sparen: Der Server vermittelt nur die Bildung einer Spielgruppe, die weitere Kommunikation läuft dann zwischen den Rechnern der Gruppenmitglieder direkt ab, ohne dass der Server dazwischengeschaltet ist. Dieses Sparen geht aber zu Lasten der Sicherheit der lokalen Netze, in denen sich die Spieler jeweils befinden. Offene Ports können nämlich mit Portscannern aufgespürt werden und sind potentielle Schlupflöcher für Angriffe.

 Das gleiche Problem tritt auch auf, wenn zuhause ein öffentlicher Server betrieben werden soll: Sei es ein TeamSpeak-Server für die Kommunikation in Gruppe oder Raid bei WoW, ein eigener CS-Server oder auch ein persönlicher WebServer. Alle diese Dinge lassen sich mit dynDNS ja auch ohne Standleitung und  feste IP bewerkstelligen, benötigen aber offene Ports, denn ein Server muss ja per se von außen erreichbar sein.

Die Lösung: eine entmilitarisierte Zone

 Strikte Ablehnung und Verbot von Spielen, die offene Ports verlangen, wäre eine Lösung. Wer aber will sich das Geplärre anhören, das die Folge einer solchen Entscheidung ist? Die schlechtere Lösung wäre, die Ports zu öffnen und das Risiko eines Angriffs in Kauf zu nehmen. Die beste Lösung aber ist, eine entmilitarisierte Zone zu schaffen,  von der aus man beliebig Ports zum Netz öffnen kann, ohne die SIcherheit der Workstations im eigentlichen lokalen Netz zu gefährden.

Beim Speedport 700 W lassen sich Portregeln sehr bequem und einfach über ein Web-Interface setzen, ohne dass man die kryptische "Sprache" der Routing-Regeln beherrschen muss

 Das lässt sich mit der oben abgebildeten Netzarchitektur verwirklichen: Der LAMP-Server für das lokale Netzt hängt mit einer Netzwerkkarte am Hub oder Switch des LANs und über ein zweite Netzwerkkarte am DSL-Router. Für die Workstations im Netz ist er das Gateway. Er greift aber bei Internetzugriffen seinerseits auf den DSL-Router zu, der bei ihm als Gateway eingetragen ist. Die Firewall des LAMP-Servers schützt so das lokale Netz auch dann, wenn man am Router Ports öffnet. Diejenigen Geräte, welche offene Ports benötigen, schließt man an den LAN-Anschlüssen des Routers an und stellt diesen so ein, dass er die Daten, weche auf den Ports ankommen, zu den jeweiligen Geräten routet, z.B. den Port #80 auf die IP-Adresse, die man einem angeschlossenen Rechner gegeben hat, der als WebServer dient.

 Greift nun jemand das lokale Netz über einen der offenen Ports an, kommt er lediglich zu den Geräten, die an den LAN-Anschlüssen des DSL-Routers hängen. Bei Spielkonsolen kann er praktisch gar keinen Schaden anrichten; bei einem Rechner nur begrenzten, denn selbstverständlich dürfen hier keine wichtigen und/oder sensiblen Daten lagern. An die Maschinen im eigentlichen LAN kann er aber noch lange nicht: von denen trennt ihn nämlich immer noch eine Firewall mit dicht gemachten Ports.

 Mit dieser Architektur kann man nun auch das WLAN einschalten, um z.B. im Garten oder auf der Terasse mit dem Laptop zu surfen oder zu zocken. Dringt jemand drahtlos ein, ist er wiederum lediglich in der entmilitarisierten Zone und kommt erst einmal nicht in das LAN, denn da ist wieder die Firewall auf dem LAMP-Server dazwischen.

 Was er allerdings kann, ist über den Router auf das Internet zugreifen. Dass er dabei Bandbreite abzwackt, ist noch das kleinere Übel: Im schlimmeren Fall begeht er dort irgendwelche kriminellen Handlungen, deren Spur dann zunächst zum Inhaber des missbrauchten Anschlussses führt. Wenn der in einem solchen Fall vielleicht auch glaubhaft machen kann, dass er nicht selbst der Online-Ganove war und so der Strafverfolgung entgeht, wird er aber dennoch unter Umständen für einen eventuell entstandenen haftbar Schaden gemacht. Schließlich ist er zivilrechtlich verantwortlich, weil er durch sein offenes LAN den Zugriff des Online-Ganoven auf das Internet erst ermöglicht hat. Das WLAN ist also auch in diesem Falle mit Vorsicht zu genießen.