Hallo Leutz,

ich habe mir vor kurzem den WL500g für mein Netzwerk gekauft und eingerichtet.
Ich würde nun gerne ein paar Sicherheitseinstellungen an ihm vornehmen:

1. Firmware-Update: meine Version ist 1.8.1.9 - gibt es hier einen Bedarf upzudaten? Gibt es desweitern hierbei etwas Besonderes zu beachten?

2. Deaktivierung des SSID-Broadcasting: Wenn ich unter Wirless >> Advanced >> Hide SSID >> "Yes" einstelle, findet mein W-LAN Laptop das Netzwerk nicht mehr, obwohl der SSID in den "drahtlosen Netzwerkverbindungen" abgespeichert ist. (???) Wenn ich wieder "No" einstelle, läuft alles wieder wunderbar. Was läuft hier falsch???

3. Pings sperren. Wo und wie kann ich die Pings sperren? Was spricht gegen eine Ping-Sperrung?

4. WEP-Verschlüsselung: Ich nutze bisher eine WEP Encryption von WEP-64bits, möchte aber auf 128-bits umstellen. Reicht es hier aus einfach den PullDown-Knopf auf WEP128bits zu stellen, oder muss ich dann auch einen neuen Netzwerkschlüssel erstellen? Gibt es hier noch etwas beachten?

5. Deaktivierung UPnP: Ich habe gehört, dass UPnP eine Sicherheitslücke darstellen soll. Ist das eurer Meinung nach so und sollte man UPnP deaktieren?
Was spricht dagegen?

Ich würde mich über eure Meinungen, Anregungen, Hilfen und Antworten zu den genannten Punkten sehr freuen. :)
Beste Grüße,

euer Peter

Hallo Peter,
mein WL-500gx hat überhaupt nicht funktioniert, bevor ich die Firmware auf 1.950 geupdated habe, die ausgelieferte Firmware ist laut Internet voller Bugs.
Ich würde dir ein Firmware Update wärmstens ans Herz legen.

1. Entweder (wei schon gesagt) die offizielle ASUS Firmware 1.9.5.0 oder eine aus diesem Forum von Oleg (1.9.2.7-6c-pre5 ist der letzte Stand), die hat den Vorteil dass sie noch mehr Funktionen aus dem Router rauskitzelt. Du bekommst z.B. telnet Zugriff auf das Gerät, und danach kannst Du theoretisch fast alles machen was ein normaler Linux-Rechner (mit 16 bzw 32MB und 166 bzw 200MHz Prozessor) so hergibt.

2. Erst das Firmware-Update, dann reden wir weiter drüber ;)

3. Unter "Internet Firewall" -> "Respond Ping Request from WAN? " auf NO setzen. Falls es diesen Punkt bei Dir nicht geben sollte, Firmware Update ;). Damit wird auf Pings aus dem Internet nicht geantwortet. Spricht im 08/15 Standardfall nix dagegen und ist auch empfehlenswert. Wenn Du auch verhindern willst dass von Innen ein Ping nach Aussen geht, musst Du "nur" die "LAN to WAN" und "WAN to LAN" Filter einschalten. Allerdings erfordert dies dann eine erweiterte Konfiguration, damit Du nicht völlig aus dem Netz gefiltert wirst ;).

4. WEP mit 64 oder 128 Bit Verschlüsselung ist wohl mittlerweile so, als ob Du als Wohnungstür nen Vorhang hinhängst. Wer da rein will kommt da rein, gibt sogar "Anleitungen" im Internet. WPA wäre die Lösung der Wahl. Wenn Du allerdings nicht von WEP weg kannst, nimm 128Bit und ja, Du brauchst dann einen neuen Schlüssel.

5. Ja mach es aus. Es kann dem Anfänger helfen, weil UPnP es ermöglicht, dass Anwendungen sich von innen selbst ein "Loch in die Firewall bohren", also man keine extra Konfioguration vornehmen muss. Allerdings könnte ich dann meine Firewall auch gleich abschalten, wenn eh jeder sie (von innen zumindest) öffnen kann. Wenn Du nicht weisst wie Du den Router konfigurieren sollst, findest Du hier im Forum auch meist Hilfe.

Hallo,

erst mal vielen Dank für eure schnellen und guten Antworten!!!!

Ich werde noch heute das Firmware-Update in Angriff, um dann auf dem neusten Stand zu sein. Allerdings weiss ich leider nicht was "telnet" ist und was man damit so machen kann.

@ TheEagle:
Den Punkt mit den "LAN to WAN" und "WAN to LAN" Filtern, um Pings nach draußen zu verhindern klingt sehr interessant.:) Wie kann ich die entsprechenden erweiterten Konfigurationen vornehmen, denn sich "völlig aus dem Netz filtern" hört sich für mich etwas beängstigend an.

Puh, dass die WEP-Verschlüsselung so wenig Schutz bietet hätte ich nicht gedacht. WPA ist ja anscheinend ein echtes MUSS! Wie kann ich WPA einstellen und birgt das vielleicht besondere Schwierigkeiten?

UPnP werde ich auch deaktivieren, welche Programme könnten dadurch betroffen sein? (Hoffentlich nicht Firefox, Thunderbird, oder die Updatefunktionen der Sicherheitsprogramme etc.)

Beste Grüße,

euer Peter

Okay, das Firmware-Update ist drauf. Ich habe mich für das 1.9.5.0 von Asus entschieden.:cool:
Wie geht's jetzt mit der Deaktivierung des SSID-Broadcasting weiter?

Beste Grüße,

Peter :)

Lektion A - die Filter

Also erstmal etwas Grundlegendes, was sich zwar von selbst erklärt, aber manchmal besser gesagt werden sollte. Der "LAN to WAN" (im Folgenden L2W)Filter überprüft jedes Paket aus Deinem Netzwerk ins Internet, und der "WAN to LAN" (W2L) die Gegenrichtung (aus dem Internet zu Dir). JEDES! Das heisst, selbst wenn der L2W Pakete nach draussen gelassen hat, nicht unbedingt die Antwort auch wieder zurück kommen darf (weil der W2L entsprechend eingestellt sein könnte). Am konkreten Beispiel: Du hast Port 80 für alle Deine Lokalen IP's AUSGEHEND freigegeben, aber vergessen es auch EINGEHEND zu erlauben. Jetzt würde Dein Browser zwar korrekt eine Website von einem Webserver anfordern, aber der Router würde keine Antwort (die Daten der Website) zulassen. FAZITFür jede ausgehende Regel muss eine "gespiegelte" eingehende Regel vorhanden sein. Man könnte alternativ auch nur einen der beiden Filter aktvieren (meist ausgehend), aber ich sage immer: Wenn, dann richtig.

Vorraussetzung damit das Ganze optimal funktioniert: Du hast statische IP-Adressen vergeben. Also entweder direkt auf den Computern in den Eigenschaften des TCP-IP-Protokolls der Netzwerkkarte eine IP und Standardgateway und DNS-Server eingetragen, oooder die MAC-Adressen der Computer ausgelesen, und im Router unter "IP Config" -> "DHCP Server" den Punkt "Enable Manual Assignment" auf "Yes", und dann die MAC Adressen und dazugehörige IPs in die Liste darunter eingetragen, damit der Router diese automatisch den PCs zuweist. Falls Du noch keine der Varianten nutzt, sondern dynamisches DHCP, empfehle ich das zu ändern, da man sonst keine Filterregeln für einen bestimmten PC erstellen kann (weil sich dessen IP ja ständig ändert).

Jetzt lautet die wichtigste Frage: Welche Computer hast Du in Deinem lokalen Netzwerk und welcher Computer soll was dürfen. Wenn alle Computer das gleiche machen sollen wirds nicht schwer (oder wenn Du nur einen Computer hast). Wenns mehrere sind, die auch noch unterschiedliche Sachen machen, wirds evtl etwas unübersichtlich. Ich gebe Dir hier ein der üblichen Sachen an, wenn Du noch weitere Ports öffnen möchtest, musst Du das "einfach" dem Schema entsprechend tun.
Zuerst L2W (die Werte entsprechen hier der Reihenfolge nach den Feldern "Source IP" - "Port Range" - "Destination IP" - "Port Range" -"Protocol", ich gehe davon aus dass Du den Standard-IP-Bereich 192.168.1.1 verwendest)
Für FTP-Zugriff:
192.168.1.2 - <leer lassen> - <leer lassen> - 20:21 - TCP
(erklärung: Der Computer mit der lokalen IP 192.168.1.2 darf über ALLE lokalen Ports aussen kommunizieren, und zwar zu JEDER externen IP , aber nur zu den Zielports 20 bis 21 (der Doppelpunkt heisst also nicht "und", sondern "von bis"), und nur mit dem Protokoll TCP. Manche speziellere Anwendungen könnten hier UDP benötigen.
Für normales "Surfen":
192.168.1.2 - <leer lassen> - <leer lassen> - 80 - TCP
192.168.1.2 - <leer lassen> - <leer lassen> - 443 - TCP (für HTTPS Seiten)

Für Emailprogramme (nicht notwendig bei Webmail):
192.168.1.2 - <leer lassen> - <leer lassen> - 25 - TCP (fürs Senden, SMTP)
192.168.1.2 - <leer lassen> - <leer lassen> - 110 - TCP (fürs Empfangen, POP3)

Für Zeitsynchronisation (XP at diese Funktion eingebaut):
192.168.1.2 - <leer lassen> - <leer lassen> - 123 - UDP

Nun der W2L
Wie gesagt müssen die Regeln hier spiegelbildlich geschrieben werden, also eigentlich wirklich nur die Seiten vertauschen (Was vorher Destination war wird jetzt Source und umgekehrt)
<leer lassen> - 20:21 - 192.168.1.2 - <leer lassen> - TCP
<leer lassen> - 80 - 192.168.1.2 - <leer lassen> - TCP
<leer lassen> - 443 - 192.168.1.2 - <leer lassen> - TCP
<leer lassen> - 25 - 192.168.1.2 - <leer lassen> - TCP
<leer lassen> - 110 - 192.168.1.2 - <leer lassen> - TCP
<leer lassen> - 123 - 192.168.1.2 - <leer lassen> - TCP

Fertig ;)

Vergiss nicht nach dem Eintippen jeder Zeile auf "ADD" zu drücken, NICHT auf Apply. Wird gern mal falsch gemacht, und dann steht in der Liste nicht ein einziger Filter drin :rolleyes:

Was sonst noch bei den Filtern einzustellen ist sollte so aussehen
http://theeagle.dyndns.org/peter2006_1.jpg

Die Beispiele oben waren natürlich jetzt nur für einen Computer mit der IP 192.168.1.2. Das muss natürlich für die anderen Computer im Netz auch gemacht werden. Wenn allerdings eine Regel (zB Web) für Dein ganzes Netz gelten soll, schreibe statt 192.168.1.2 einfach 192.168.1.* . Dann gilt es für alle Computer mit einer IP aus dem Bereich 192.168.1 ... wenn Du einen anderen Bereich verwendest, einfach anpassen :). Du könntest übrigens auch einem Rechner so ziemlich ALLES erlauben, in dem Du folgende Regeln definierst.
L2W:
192.168.1.2 - <leer> - <leer> - <leer> - TCP
192.168.1.2 - <leer> - <leer> - <leer> - UDP
W2L:
<leer> - <leer> - 192.168.1.2 - <leer> - TCP
<leer> - <leer> - 192.168.1.2 - <leer> - UDP

Lektion B - WPA
Wichtig: Deine Client-WLAN-Karte muss WPA unterstützen. Tut sie das nicht, neue kaufen :D

Am einfachsten erklärt es sich mit einem Bild:
http://theeagle.dyndns.org/peter2006_2.jpg
Als SSID einfach einen Namen Deiner Wahl eintragen.
Den Rest so einstellen wie auf dem Bild (die 54g Protection brauchst Du evtl nicht, ich habs halt nur drin).
Als "WPA Pre-Shared Key" Denkst Du Dir eine beliebige 63 Zeichen lange Folge von Buchstaben, Zahlen und Sonderzeichen aus (am Besten zuerst im Editor tippen, nicht speichern aber ausdrucken, an sicherem Ort aufbewahren). Und das wars eigentlich schon im Router.
Jetzt musst Du das Ganze natürlich auf dem Client auch noch einrichten, da kann ich Dir allerdings so einfach nicht viel helfen. Weil ich kenne Deine Software auf dem Client nicht, und selbst wenns der XP-eigene Client ist, kann ich Dir keinen Screenie machen weil ich keine W-Lan Karte hier in meinem Rechner habe. Fakt ist: Solange Du ohne versteckte SSID arbeitest, müsste er Dir das Netzwerk ja anzeigen, dann musst Du versuchen Dich dahin zu verbinden, und er fragt dann diesen 63-Zeichen-Key von Dir ab. Ist ein bissel Tipperei, mach sie vorsichtig, sonst tippst Du 4 mal. Man kanns auch evtl. erstmal im Editor eingeben, markieren, kopieren, und mit STRG+V im Abfragefenster einfügen (wenn das erlaubt ist, manche Software lässt es nicht zu). Wenn Du dann drin bist, solltest Du das W-Lan zu Deinen bevorzugten Netzwerken hinzufügen (wiederum falls die Software das unterstützt) und danach sollte es ja immer automatisch verbinden.

Lektion C - versteckte SSID
Wenn Du alles wie oben beschrieben hast, solltest Du jetzt ohne Probleme den Punkt "Hide SSID" auf "Yes" stellen können, und der W-LAN Client sollte (theoretisch!! :p) immer noch verbinden Können.

Jetzt hab ich aber wunde Finger .... viel Spass beim Probieren. Hoffe ich hab nix vergessen.

Habe soweit alles umgesetzt und es läuft alles wunderbar!

1) Deaktivierung des SSID-Broadcasting funktioniert!:)
2) Die Filter Einstellungen (MAC-Filter) habe ich so eingestellt, dass die vier Rechner meines Netzwerks per MAC-Adresse legitiert sind und alle anderen MAC-Adressen abgewiesen werden.
3) Verschlüsslung: Hatte schon WPA-PSK aktiviert und auf einen der W-LAN-Rechner eingerichtet (hat also bereits dank deiner Hilfe funktioniert:) ), als ich beim zweiten W-LAN-Rechner feststellen musste, dass seine W-LAN-Karte nur WEP unterstützt.:( Musste also erstmal wieder gezwungenermaßen zu WEP (128bit) zurtück.

Also noch einmal vielen Dank für eure tolle Hilfe in diesem Forum,

euer Peter

Freut mich zu hören.

Gruss Mario a.k.a. TheEagle