Was meinst DU im Zusammenhang mit Router mit der Nennung von UPnP? Falls der Router UPnP unterstützen sollte und dieses wäre nicht zu deaktivieren, dann gehört er auf den Müll. ich gehe einmal daon aus, daß Du meintest, daß der Router UPnP aus dem Netz blocken soll.
Ich ergehe mich mal wieder in ein paar theoretischen Gedanken:
Netzwerksicherheit ist vielschichtig, gegen einige Probleme kann ein Router helfen, gegen andere nicht. Man muß immer um die grenzen eines Produktes wissen. Grundsätzlich macht ein Router nichts viel außer Routen, er ist an sich kein Sicherheitsgewinn. NAT hat zwar den angenehmen Nebeneffekt, daß ein System im Normalfall nicht ohne Eigeninitiative kontaktiert werden kann, aber auch dies hat seine Grenzen.
Ein Router mit Firewall kann Verbindungen filtern, wenn man weiß, was man filtern muß, er kann aber keine Inhalte gefilterter Pakete weder nach Innen oder nach Außen prüfen. Wenn Du deinen Router komplett dicht macht und nur Port 80 ausgehend zulässt, eingehend gar ncihts, so kann immer noch Schadsoftware von Innen nach Außen über HTTP tunneln (siehe Phatbot, da HTTPS), oder von einem korrumpierten Server Exploitcode über HTTP gesendet werden. Auch ein Proxy kann dies kaum verhindern, von Innen nach Außen können die vom Schädling gesendeten Daten sauber in XML verpackt sein und wären für den Proxy saubere Protokolldaten (selbst erlebt). Exploitcode von Außen nach Innen kann nur von einem Proxy gefiltert werden, wenn er diesen Code genau erkennt, also nur in Zusammenarbeit mit Zusatz-Filtersoftware.
Viele Leute, die Probleme mit ihren Routern und den allseits beliebten Tauschbörsen haben gehen den einfachen Weg und schalten DMZ ein. Der Sicherheitsgewinn durch einen Router mit NAT ist hier gleich Null, da es bei billigen Geräten damit identisch ist, den Rechner direkt an das Internet anzuschließen. Nur teure Router setzen eine DMZ richtig und im Sinne des Begriffes richtig um.
Im Übrigen kann der Router selbst zu einem Problem werden. Einige ältere Router bieten die Konfiguration auch auf dem WAN-Interface an, oftmals mit Standardpasswort. Cisco hatte sogar mal den Mist gebaut ein Standardpasswort fest einzubauen, welches immer gültig blieb. Oftmals besitzen die Router selbst auch Schwachstellen, welche zum Angriffsziel werden können. Gerade die von Cisco glänzen ob ihrer Verbreitung damit, daß viele Lücken sich über fertige Programme ausnutzen lassen.
Einige Router bieten auf dem WAN-Interface auch Proxydienste an ohne Authentifizierung. Jeder, der was übles vor hat, wird sich über so etwas freuen um dich als Anonymizer zu mißbrauchen.
Das von Dir erwähnte UPnP ist auf manchen älteren Routern auch per default aktiviert und ist eine zusätzliche Gefahrenquelle, z.B. Phatbot nutzt auch UPnP zur Verbreitung, seine Lücken sind altbekannt und allernorts wird vor der Verwendung von UPnP gewarnt, was jeder Admin eigentlich wissen sollte. Zwar wird ein Wurm wohl kaum auf einem Router laufen können aufgrund seiner spezifischen Konfiguration (es sei denn jemand macht sich sehr viel Mühe) aber als Zwischenstation ins WAN könnte er ausreichen.
Wenn man in ein Firmenumfeld schaut, so können Router und Managed Switches schon ein großer Sicherheitsgewinn sein, wenn man feste Routingtabellen ACLs, MAC-Filterung, IPSec-Tunnels, statische ARP-Tabellen einsetzt, im Privatumfeld ist dies jedoch selten Verfügbar und von normalen Anwendern nicht konfigurierbar.
Jedes falsch konfigurierte Sicherheitsfeature KANN gefährlicher sein, als kein Sicherheitsfeature in bestimmten Fällen. Man muß immer wissen, was eine Lösung zu leisten Imstande ist und was nicht.
Letztendlich aber noch eines: Ein Router an einer DSL-Leitung, wenn er nicht komplett falsch konfiguriert ist verringert das Risiko bei sich automatisch verbreitenden Würmern derzeit um einiges.
xafford
marcsen
