Der Sicherheitsaspekt ist bei Routern speziell mit Standleitung oder standleitungsähnlich genutzten DSL-Flatrates mit Sicherheit ein interessanter Aspekt
Die Ansprüche reichen hier von "ich will mich total unsichbar und unangreifbar machen" bis "ist mir egal - hauptsache ich bin drin".
Grundsätzlich kann man sagen, dass der Zugang ins Internet über einen Router (mit dessen Standardeinstellungen und aktiviertem Administrationspasswort) durch NAT sicherer ist als eine herkömmliche Dial-In-Verbindung.
Da aber auch diese schon nicht grundsätzlich als offenes Scheunentor für Hacker zu sehen ist, könnte man sich eigentlich erstmal zurücklehnen und sagen: "Da kann mir ja nichts passieren!"
Ab der Firmware 2.0 für die 2200er-Reihe wird der Port 56415 wieder per default versteckt - das Problem ist also hier behoben. In Firmware 2.0 und 2.0a (Firmware mit VPN) ist allerdings der Port 1723 (VPN-Listen Port) immer offen, auch wenn kein VPN konfiguriert bzw. genutzt wird. Dies soll laut Draytek ab dem nächsten Release durch eine Checkbox behoben werden, mit der VPN und auch dieser Listen-Port deaktiviert werden kann.
Bis dahin kann man diesen Port bei Bedarf genau so verstecken, wie vorher den 56415.
Ab Firmware 2.1 wurde auch dieses Problem des offen gemeldeten Ports 1723 gelöst und man kann den VPN-Dienst des Routers nun explizit abschalten und damit ist der Port auch geschlossen (> Advanced Setup> VPN and Remote Access Setup> Remote Access Control Setup> dort alle VPN-Dienste bei Bedarf deaktivieren).
Für den 2000er Vigor soll auch in den nächsten Tagen ein Firmware-Update folgen, das den Port 56415 wie bei den aktuellen Versionen des 2200ers versteckt.
Seit nun doch endlich am 19.01.2003 die Firmware 2.1c für den Vigor 2000 bei Draytek-Taiwan auf deren FTP-Server offiziell zum Download angeboten wird, ist auch dieses "Problem" des offenen Ports 56415 für den Vigor 2000 gelöst.
In der aktuellen Firmware-Version werden alle Ports standardmäßig versteckt (stealth) und der Router (bzw. der eigene Rechner hinter dem Router) ist somit vom Internet aus mit Portscannern nicht zu finden.
Was man nicht sieht, kann man schlecht angreifen!
So weit - so gut!
Es gibt allerdings 2 Ausnahmen:
Den Port 113 (Standard "nur" geschlossen) und 56415 (Standard offen).
Warum das so ist wird ebenfalls im Folgenden erklärt.
Es ist aber trotzdem möglich, den Router komplett unsichtbar für externe Portscans zu machen:
1. Pingantwort des Routers abschaltet
System Management > Management Setup > Disable Ping from the Internet aktivieren (war ja schon bekannt).
2. Port 113 und 56415 verstecken
Unter: Advanced Setup > NAT Setup > Configure Port Redirection Table die TCP-Ports 113 und 56415 auf einen nicht verwendeten Adressbereich umleiten.
Z.B. umleiten auf 192.168.5.0, wenn sonst der Defaultbereich des Routers von 192.168.1.xx verwendet wird. Anmerkung: Seit der Firmware 2.0 hat Draytek eine Plausibilitätsprüfung bei der Adressangabe eingebaut. Es ist seitdem nicht mehr möglich, einen Adressbereich aus einem anderen IP-Bereich anzuwählen.
Man sollte jetzt entweder die Zieladresse leer lassen, oder eine gültige IP aus seinem Netz angeben, die für solche Zwecke freigehalten wird. Die Adresse darf also weder im DHCP-Bereich (des Routers) liegen noch darf in einem Rechner diese IP als feste IP definiert sein.
Das verstecken der Ports hat natürlich Konsequenzen, die ich zur Zeit wie folgt sehe:
1.) Ping disable
Eventuell gibt es Probleme in Peer2Peer-Netzwerken, da über Ping der Client abgefragt wird, ob er noch online ist (Habe ich gelesen, weiss aber nicht welche Peer2Peer-Dienste bei deaktiviertem Ping Probleme machen).
Ich habe jedenfalls keine der beschriebenen Geschwindigkeitsprobleme bei meinen Mailprovidern feststellen können.
IRC funktioniert auch - das Einloggen dauert ja hier sowieso meist einige Sekunden.
Bei FTP-Verbindungsaufbau habe ich das Gefühl, dass es etwas länger dauert, bis man eine Rückmeldung des Servers bekommt - der Transfer läuft dann allerdings mir voller Geschwindigkeit.
2.b) Port 56415 stealth statt open machen.
Port 56415 wird laut Taiwan: used by "Smart Start Wizard" and "Virtual TA".
Das Schliessen dieses Ports von aussen dürfte somit keinerlei nachteilige Folgen haben, da beide Funktionen sowieso nicht vom Internet aus nutzbar sind.
Ich habe gerade die Einstellungen über den Portscan bei: http://check.lfd.niedersachsen.de/
verifizieren können.
Der Rechner ist nicht mehr vom Internet aus zu sehen.
(Der Scan dauert seeehr lange, weil eben jede Anfrage des Scanners in den Timeout läuft)
Eine Anmerkung noch dazu noch mir:
Wer z.B. Port 21 offen hat, um seinen FTP (gelegentlich) laufen zu lassen oder für irgendwelche Chat- oder sonstige Dienste Ports geöffnet hat, braucht mit Sicherheit weder Ping abzuschalten noch den Port 113 zu "stealthen".
Das verstecken von Port 56415 halte ich aber auf jeden Fall für sinnvoll.
nach oben