Sicherheit geht vor

Ein Leben ohne Internet - für die meisten von uns heute nicht mehr denkbar. Das Internet hat sich zu einem der wichtigsten Informations- und Kommunikationskanäle gewandelt.

Wir alle verbinden unseren Computer dazu mit dem Internet. Hierbei gibt es verschiedene Methoden, die mehr oder weniger sicher sind. Ich möchte hier nur mal einige Möglichkeiten in Bezug auf DSL beleuchten. (Um es gleich vorweg zu nehmen, die hier geschilderten Möglichkeiten und Meinungen entsprechen meinen persönlichen Erfahrungen.)

Möglichkeit 1: Computer direkt an den Router anschließen

Das ist die Methode, die die meisten Internet-Benutzer wählen. Der DSL-Router bietet die Möglichkeit, mehrere Geräte per Netzwerkverbindung anzuschließen, sei es über Kabel oder über WLAN, also per Funkstrecke.
Dies ist eine sehr einfache Lösung. Sie funktioniert sofort, ist aber nicht besonders sicher.
Folgende Schwachpunkte gibt es bei dieser Lösung:

a) der DSL-Router
Die meisten DSL-Router haben eine eingebaute Hardware-Firewall, die unaufgeforderte Verbindungsanfragen von außen abwehrt. Jedoch lassen sich solche "einfachen" Schutzmechanismen auch umgehen. Dies erfordert zwar etwas Aufwand, ist aber nicht unmöglich.

b) Schutz-Software auf dem angeschlossenen PC
Ist keine Schutz-Software auf dem angeschlossenen PC installiert, so kommt dies fast schon einem digitalen Selbstmord gleich. Leider werden bei Programmen wie Browser und Email-Programme, mit denen wir uns ins Internet verbinden, immer wieder neue Schwachstellen entdeckt. Diese Schwachstellen werden über die normalen Datenströme immer wieder ausgenutzt. Eine Hardware-Firewall, wie unter a) erwähnt bietet hier also keinen richtigen Schutz. Vielmehr muss der Datenstrom untersucht werden, ob hier nicht Schadcode eingeschleust wird, der speziell auf diese Schwachstellen getrimmt ist. Spezielle Schutz-Software, die auf dem PC installiert ist, kann diese Aufgabe übernehmen. Hier wird dann meistens von einer Software-Firewall, Antivirus, Anti-Hacking, Anti-Spyware und manchmal noch von Anti-Spam gesprochen.
Jedoch können Software-Lösungen auch mit etwas Aufwand ausgehebelt und manipuliert werden. Aus diesem Grund ist solch eine Lösung nicht immer ideal oder ausreichend.

Möglichkeit 2: Proxy-Server und Software-Firewall

Diese Lösng hatte ich mehrere Jahre störungsfrei im Einsatz. Hierzu verwendet man einen separaten PC mit zwei Netzwerkkarten, verbindet die "heiße" Seite mit dem DSL-Router und die "kalte" Seite mit dem internen Netzwerk. Der Proxy sorgt dafür, dass alle Netzwerkverbindungen gefiltert übergeben werden. Das entpricht auch der Übersetzung von "proxy". Eine zusätzliche Software-Firewall bot weiteren Schutz. Eine schöne, und für den Privatanwender kostenfreie Lösung, ist der Jana-Server (http://www.janaserver.de) mit der Checkpoint Zonealarm Firewall (http://www.zonealarm.com).
Der Jana-Server bietet unter einer übersichtlichen Web-Oberfläche ein ausgefeiltes System zur Kontrolle und auch Überwachung. Ein zusätzliche "Zuckerl" ist der eingebaute Mail-Proxy, der Emails aus dem Internet einsammeln kann und diese dann intern zur Verfügung stellt.
Diese Möglichkeit hat eine kleine Schwachstelle:
Das Gast-Betriebssystem muss Windows sein. Und es ist eine Software-Firewall in Betrieb, die über Windows ausgehebelt werden kann.

Möglichkeit 3: UTM mit allem drum und dran

UTM? - "Unified Thread Management" erläutert der Fachmann und meint damit ein separates Stück Hardware, dass alle möglichen Angriffe aus dem Internet abwehren kann.
Ich sage dazu nur: 100%-ige Sicherheit gibt es nicht.

Aber dennoch können diese UTMs sehr viel leisten. Zwei schöne Lösungen gibt es für den Privatanwender, die beide auch kostenfrei für kleine Netzwerke zur Verfügung stehen.

a) Astaro Security Gateway (http://www.astaro.de)
Astaro, ein ursprünglich deutscher Hersteller von Sicherheitslösungen (entstanden aus einer Abspaltung von Novell) bietet die Möglichkeit, die Astaro Security Gateway-Lösung, als 30-Tage Testversion und dann als kostenfreie Lösung für Privatanwender zu nutzen. Die kostenfreie Lösung ist in der Anzahl der möglichen IP-Adressen für das interne Netzwerk auf eine Handvoll beschränkt. Das reicht jedoch meistens für die eingesetzten Familien-PCs.

b) Endian Firewall (efw) (http://www.endian.com/en/community/)
Die Endian Firewall ist in der Cummunity-Version kostenfrei und ohne Beschränkungen einsetzbar.

In der Funktionalität nehmen sich die Lösungen nicht viel. Ein gehärtetes Linux-Betriebssystem, Standard-Firewall-Funktionalität, Web- und Email-Proxy mit Viren- und Spam-Filter, Intrusion-Detection-System und der Möglichkeit ein VPN nach Aussen aufzubauen, gehören zum Pflichtprogramm. Beide haben eine Web-Oberfläche zur Konfiguration. Die Astaro-Lösung ist vielleicht noch etwas übersichtlicher und damit einfacher und intuitiver zu bedienen, ansonsten können beide System auf einem einfachen PC mit zwei Netzwerkkarten von einer Boot-CD eingerichtet werden.
Die ISO-Images gibt es jeweils unter den oben genannten Adressen.

Ich habe mich im Endeffekt für die Endian Firewall entschieden. Die Menüführung ist war nicht so schön wie bei der Astaro-Lösung, aber die Beschränkung der Anzahl der verbundenen Netzwerkkarten ins Internet fand ich dann für mich nicht praktikabel.

Jetzt habe ich einen alten PC als UTM laufen.
Pobleme seit vier Monaten 24-Stunden-Betrieb: keine.
Installations- und Konfigurations-Aufwand: rund eine Stunde.

Insgesamt gesehen also eine schöne Lösung.

Und der Stromverbrauch?
Wie? Kein Thema! Natürlich ist das wichtig! Der PC benötigt rund 80 Watt. Bei einem 24-Stunden-Betrieb macht das bei einem angenommenen Srompreis von 17 Cent pro Kilowatstunde rund 120 Euro im Jahr. Interesant - oder?