PC Magazin Classic XXL Deutschlands sicherster PC (Vorschau)
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
PERSONAL COMPUTING<br />
henden Anfragen mit Port 8070 auf Ihr NAS<br />
mit der internen Adresse 192.168.1.30 weitergeleitet<br />
werden sollen. In den meisten<br />
Firewall-Einstellungen können Sie außerdem<br />
noch angeben, auf welchen internen<br />
Port am NAS die Anfrage erfolgen soll, zum<br />
Beispiel an Port 80. Die Verbindungsanfrage<br />
funktioniert wie folgt: Sie geben von<br />
einem beliebigen Internet-<strong>PC</strong> die Adresse<br />
http://87.106.88.25:8070 in den Browser ein.<br />
Anhand der Portnummer 8070 erkennt die<br />
Firewall im Router, dass die Anfrage an das<br />
Alle Router sind in der<br />
Regel mit einem DDNS-<br />
Client ausgestattet.<br />
Dieser Netgear-Router<br />
bietet sogar ein eigenes<br />
DDNS-Konto zusammen<br />
mit dem Anbieter No-IP<br />
an.<br />
NAS weiterzuleiten ist. Da auf einem NAS<br />
meist mehrere Dienste laufen, gibt man in<br />
der Portweiterleitung selbst noch an, welcher<br />
Dienst auf dem NAS tatsächlich angewählt<br />
wird. Achtung: Bei einer Portweiterleitung<br />
auf eine SSL-Verbindung, geben<br />
Sie im Browser die Adresse nicht mit http://<br />
sondern mit https:// an.<br />
Echte DMZ und Pseudo-DMZ<br />
Eine interessante Strategie, um Portweiterleitungen<br />
auf ein bestimmtes Gerät (NAS,<br />
Webserver) möglichst sicher für alle übrigen<br />
Geräte im Heimnetz zu gestalten, ist die<br />
Einrichtung einer demilitarisierten Zone,<br />
kurz DMZ. Für eine DMZ benötigen Sie zwei<br />
Router beziehungsweise Firewalls, die Sie<br />
als Kaskade hintereinander schalten. Das<br />
NAS-Gerät oder der Webserver, der aus dem<br />
Internet erreichbar sein soll, befindet sich<br />
dann im lokalen Netzwerk zwischen dem<br />
äußeren Router und dem inneren Router.<br />
Dieser Bereich wird als DMZ bezeichnet.<br />
Der äußere Router leitet Zugriffe aus dem<br />
Internet, zum Beispiel über eine Portweiterleitung,<br />
an den Server in der DMZ weiter.<br />
Der innere Router hingegen blockt alle Verbindungsmöglichkeiten<br />
aus der DMZ und<br />
somit auch aus dem Internet ab.<br />
Selbst wenn ein Angreifer aus dem Internet<br />
den Server in der DMZ übernehmen könnte,<br />
wird der innere Bereich durch die zweite<br />
(Router-) Firewall geschützt.<br />
Doch Vorsicht: In den WAN- oder Portweiterleitungseinstellungen<br />
vieler Heimnetz-<br />
Router findet sich recht häufig die Einstellung<br />
DMZ oder DMZ/Exposed Host, wobei<br />
diese Einstellung nichts mit einer echten<br />
DMZ gemein hat, sondern in Bezug auf die<br />
Sicherheit sogar das glatte Gegenteil bedeu-<br />
Portweiterleitung einrichten<br />
Damit Sie auch vom Internet aus auf ein Heimnetzgerät, z.B. ein NAS, zugreifen können,<br />
richten Sie in der Firewall des Routers eine sogenannte Portweiterleitung ein.<br />
1.<br />
Interne IP-Adresse reservieren<br />
Bevor Sie jedoch eine Portweiterleitung<br />
in der Router-Firewall einrichten,<br />
sorgen Sie dafür, dass das besagte Gerät<br />
im Heimnetz immer dieselbe interne IP-<br />
Adresse zugewiesen bekommt. Viele Router<br />
besitzen hierzu Adressreservierung. Alternativ<br />
können Sie auch die Lease-Dauer<br />
für die interne IP-Adresse verlängern.<br />
Wählen Sie bei der Fritzbox oben im Drop-Down-<br />
Menü die Einstellung Andere Anwendungen.<br />
2.<br />
Internen Port des Geräts prüfen<br />
Prüfen Sie außerdem, mit welcher<br />
Port-Nummer Sie im Heimnetz auf das<br />
besagte Gerät zugreifen. Bei manchen<br />
NAS-Geräten ist der HTTPS-Port nicht<br />
auf den Standard-Port 443 gesetzt. Bei<br />
Synology-NAS-Geräten kommen Sie beispielsweise<br />
mit der Port-Nummer 5001<br />
auf die HTTPS-Weboberfläche.<br />
So könnte eine fertige Portweiterleitung auf ein NAS in<br />
der Fritzbox aussehen.<br />
3.<br />
Interner und externer Port<br />
Suchen Sie nun in der Weboberfläche<br />
Ihres Routers nach der Einstellung<br />
Portweiterleitung, Portfreigabe oder Port<br />
Forwarding. In der Fritzbox finden Sie<br />
diese Einstellung beispielsweise unter Internet/Freigaben.<br />
Achten Sie beim Anlegen<br />
einer neuen Portfreigabe darauf, dass Sie<br />
jeweils einen externen und einen internen<br />
Port angeben können. Dazu müssen Sie<br />
bei der Fritzbox beispielsweise im Drop-<br />
Down-Menü neben Portfreigabe aktiv für<br />
die Option Andere Anwendungen wählen.<br />
Der externe Port heißt hier von Port, der<br />
interne Port an Port.<br />
4.<br />
Fernzugriff aus dem Internet<br />
Für den externen Port wählen Sie<br />
einen vierstelligen, vor allem aber einen<br />
nicht standardmäßig verwendeten Port,<br />
wie zum Beispiel 8070 oder 1274. Für den<br />
internen Port verwenden Sie den Port,<br />
über den Sie auch im LAN auf Ihr NAS<br />
zugreifen, in unserem Beispiel Port 5001.<br />
Ist die Weiterleitung eingerichtet, können<br />
Sie mit einem Browser aus dem Internet<br />
auf Ihr NAS zugreifen. Verwenden Sie die<br />
DDNS-URL des Routers gefolgt von einem<br />
Doppelpunkt und der externen Portnummer<br />
der Portweiterleitung.<br />
34 www.pc-magazin.de <strong>PC</strong> <strong>Magazin</strong> 8/2014