Fragen & Antworten zu den Themen DSL und WLAN

DSL-Sicherheit

Ist eine Verbindung via DSL genauso unsicher, wie eine Wählverbindung per Modem oder ISDN-Karte?

Prinzipbedingt wirkt ein DSL-Router wie eine einfache Firewall. Das wird durch die Technik "Network Address Translation" (NAT) erreicht. Mit ihrer Hilfe löst der Router das Problem, dass er mehreren per Netzwerk angeschlossenen Computern den Zugang zum Internet geben soll, aber bei der Einwahl nur eine einzige öffentliche Internet-Adresse zugewiesen bekommt. Dazu führt der Router intern eine Liste der aus dem LAN kommenden Kommunikationsanforderungen und schreibt die Quelldressen aller Datenpakete so um, dass sie ihn als Absender nennen. Kommt - etwa als Reaktion auf das Öffnen einer Website per Browser - ein Datenstrom zurück, weiß der Router, welchem Computer im internen Netzwerk er die Antwort zustellen muss.

Weil der NAT Mechanismus für jede Kommunikation einen Aufbau aus dem internen Netz erfordert, werden alle ungefragt aus dem Internet ankommenden Anfragen einfach verworfen. Das System schützt aber nicht, wenn einer der Computer mit einem Trojanischen Pferd befallen ist, weil der Router dessen Verbindungsaufbau zu einem System des Autors genauso als legitim betrachtet.

Eine andere Gefahr trotz NAT droht von Fehlern in der Router-Firmware. Sobald publik wird, mit welchem Dreh ein Router geknackt werden kann, wird in kürzester Zeit jemand ein passendes Angriffswerkzeug schreiben und alle IP-Adressen nach einem anfälligen Gerät abscannen. Dagegen hilft nur der häufige Update der Router-Firmware.

Annex A und B

Bei meinem DSL-Router kann ich zwischen "Annex A" und "Annex B" wählen. Was ist die bessere Alternative?

Achtung, wenn Sie die falsche Variante wählen, wird Ihr DSL nicht mehr funktionieren. Denn es gibt zwei unterschiedliche Arten von DSL-Leitungen. In Deutschland wird fast nur “Annex B” verwendet, das auf ISDN- und Analog-Leitungen funktioniert. Die andere Variante “Annex A”, wird vor allem in Ländern eingesetzt, die kaum ISDN-Anschlüsse haben. Wer sicher gehen will, fragt bei seinem Provider nach.

DSL-Speed

Woher weiss ich, wie schnell mein DSL-Anschluss ist?

Ein Download von eine Server, der direkt bei Ihrem Provider steht, wäre ein Praxistest der effektiven Datenrate. Einige Router geben aber auch Auskunft über die technische Leitungsgeschwindigkeit. Im Admin-Interface des Routers sollte es eine Statusmenü geben. Gibt es dort Einträge, wie "Up Speed" und "Down Speed", dann zeigt der Router den Speed an. Allerdings sind das Bruttowerte. Die echte Geschwindigkeit beträgt etwa 80-85% des genannten Wertes.

DSL Beschleunigung

Mein Provider bietet mir günstig einen Umstieg auf höhere Geschwindigkeiten an. Brauche ich dafür neue Hardware?

Im Gegensatz zu analogen Modems begrenzt nicht die eigene Hardware die mögliche Geschwindigkeit, sondern die die Vermittlungsstelle. Dort wird die Datenrate vorgegeben. Übliche DSL-Geräte machen erst bei 6 MBit/s, Schluss. Dieses Optimum kann aber nur erreicht werden, wenn die Leitung zur Vermittlungsstelle nicht zu lange ist und egute Übertragungseigenschaften aufweist. Das prüft der Provider in der Regel schon vor eineinem Upgrade-Angebot. Nach der Umschaltung brauchen Sie nichts umstellen, da die Hardware die Änderung automatisch erkennt. Um ganz sicherzugehen, ob Ihre DSL-Ausrüstung für den geplanten Umstieg geeignet ist, können Sie im Zweifelsfall die Hotline Ihres Providers kontaktieren.

Verkabelung

Ich erneuere gerade meine Hauselektrik. Welche Kabel sind für DSL sinnvoll?

DSL-Technik benötigt lediglich ein simples zweiadrigfes Telefonkabel.

Empfehlenswert wäre aber eine generelle Ausstattung mit LAN-Kabeln vom Typ CAT-5e oder die sich für Netzwerkverbindungen wie auch für DSL eignen.

Spielarten von DSL

Was bedeuten die Abkürzungen wie "ADSL", "SDSL", “T-DSL” oder "xDSL"?

Die letzten drei Buchstaben stehen immer für "digital subscriber line". ADSL ist am gebräuchlichsten und günstigsten. Es trägt das “A” für die asymmetrische Verteilung der Datenrate, die im Download viel höher ist. Dies erfordert eine geringere Leitungsgüte. T-DSL ist nur ein Markenname für ADSL.

SDSL bietet identische Geschwindigkeiten in beiden Richungen und wird daher als “symmetrisch” bezeichnet. Es ist teurer und wird daher meist im Profibereich eingesetzt. Das Kürzel “xDSL” ist einfach eion Oberbegriff für alle DSL-Arten.

Verbindungsprobleme

Mein Router verbockt anscheinent immer den ersten Einwahlversuch. Am Browser sehe ich immer erst dann etwas, wenn ich die Seite nochmals lade. Danach läuft aber alles, wie am Schnürchen.

Dies ist ein bekanntes Problem bei der DNS-Implementierung mancher älterer Geräte. Versuchen Sie, eine neue Formware aufzuspielen. Das Problem ist, dass der Router die erste Online-Anfrage entgegennimmt und auch die Verbindugn aufbaut, die Anfrage selbst aber nicht weiterleitet, sondern im Daten-Nirwana verschwinden läßt.

Webserver daheim

Zum Testen von Webanwendungen möchte ich mir einen PC daheim als öffentlichen Webserver einrichten. Geht das per DSL-Router?

Alle aktuellen Routers haben eine Funktion, die "Port Forwarding" oder "Port Redirection" heißt. Damit läßt sich festlegen, dass er von aussen kommende Anfragen an einen bestimmten Port nicht wie sonst üblich verwirft, sondern an einen bestimmten Rechner im internen Netz weiterleitet. Wenn Sie hier den Port 80 öffnen, werden alle Browser-Anfragen an ihre öffentliche IP-Adresse an den am Router definierten Computer gerichtet. Ohne weiter Maßnahmen ist das allerdings etwas mühsam. Denn mit einem normalen DSL-Vertrag haben Sie keine feste IP-Adresse, sondern eine, die sich mit jeder Einwahl ändert. Um jemanden etwas auf ihrem Webserver zu zeigen, müssten Sie also immer eine URL mit der aktuellen IP-Adresse mitteilen. Selbst bei ständig aktivem Zugang ändert sich die IP-Adresse, da die Provider nach 24 Stunden die Leitung kappen. Unterstützt Ihr Router "Dynamic DNS", dann gibts eine elegante Lösung dafür. Dynamic DNS ist eine Technik, wo man einen eigenen Hostnamen auf speziellen DNS-Servern registriert und die zugehörige IP-Adresse selbst ändern kann. Ein dafür gerüstetet Router führt nach der Einwahl den Update der Adresse automatisch durch, so dass ihr Heimnetz unter einem Namen wie "mysrv.dyndns.org" erreichbar ist. Eine Liste solcher Dynamic DNS-Server gibt es auf http://noeld.com/services.htm. Die meisten davon sind kostenlos. Wenn Sie damit wirklich einen 24h-Dienst einrichten möchten, muss der Router ständig online sein. Das erreichen Sie durch entsprechende Konfiguration des Geräts, wenn er eine solche Option bietet. Oder Sie sorgen dafür, dass immer genügend Datenverkehr stattfindet, so dass die am Gerät eingestellte Leerlaufzeit nie erreicht wird. Die Option zur Aktivierung der Verbindung nur bei Bedarf ist übrigens nicht möglich. Denn es gibt keinen Mechanismus, der dies ermöglichen würde. Dazu müsste der DynDNS-Server per Anklopfen den Router dazu bringen, online zu gehen. Technisch möglich, aber nicht vorgesehen.Wenn Sie DynDNS einsetzen sollten Sie noch einen Punkt beachten. Wenn Ihr Webserver eine offengelegte Schwachstelle aufweist, kann ein Angreifer darüber die Kontrolle über den Rechner gewinnen und hat Zugriff auf Ihr gesamtes LAN.

MAC-Adressfilter

Mein Router bietet einen Filter für MAC-Adressen. Wozu brauche ich dieses Feature?

Jedes Gerät in einem Netzwerk hat eine feste, eindeutige Geräteadressew, die so genannte MAC-Adresse. Sie ist sechs Bytes lang und wird normalerweise als Hex-Zahl dargestellt. Sie ist auf dem jeweiligen Gerät vermerkt - meist auf der Rück- oder Unterseite. Um die Sicherheit eines WLAN zu verbessern, kann man den MAC-Filter am Access Point einschalten und dadurch nur explitit genannten Adressen die Kommunkation erlauben. Kommt ein Gerät mit einer nicht gelisteten Adresse in den Empfangsbereich des WLAN, verweigert der Access Point den Verbindungsaufbau. Das Gerät ist aus dem WLAN ausgesperrt. Der MAC-Filterung ist allerdings kein Ersatz für Verschlüsselung. Denn ein gut ausgestatteter Hacker kann problemlos die im Netz vorhandenen Adressen ausspähen und mit einer speziell präparierten WLAN-Karte die MAC-Adresse eines vorhandenen Geräts vortäuschen. Abgesehen davon kann jeder den Funkverkehr mithören und damit übertragene Kennwörter oder andere sensible Daten abgreifen. Übrigens müssen Sie wirklich nur die Adressen Ihrer WLAN-Geräte in die Liste aufnehmen. Auf drahtgebundene Verbindungen wirkt der Filter nicht.

MAC-Adressen

Ich möchte gerne den MAC-Filter aktivieren. Nur ist auf der PC-Card meines Laptop der entsprechende Aufkleber abgegangen. Was kann ich da tun?

Mit Windows 2000 oder XP können Sie die sich Adresse vom System anzeigen lassen. Gehen Sie in die Kommandozeile (Start/Ausführen und dann "cmd" engeben). Der Befehl "ipconfig /all" zeigt dann in der Zeile "Physikalische Adresse" die Kennung jeder vorhandenen LAN-Karte aufgeführt. Kopieren Sie die angezeigte Hexzahl ihrer WLAN-Karte einfach über das Kontext-Menü (rechter Mausknopf, dann “Markieren) und fügen sie im Admin-Interface des Routers wieder ein. Manche Router erkennen auch selbst aktive Geräte und zeigen diese dann in einer Übersicht an, die sich hinter "Attached Devices" oder "DHCP-Status" verbirgt. Eventuell ist dort sogar der Netbios-Name vermerkt, was die Indentifikation der Stationen einfach macht.

WLAN Begriffsverwirrung

Neben "WLAN" höre ich öfters den Begriff "Wi-Fi". Stehen beide für dieselbe Technik?

Die "Wi-Fi Alliance" ist eine Hersteller-Organisation, die sich das Marketing von WLAN-Geräten auf die Fahnen geschrieben hat. Dazu dient das WiFi-Label, das alle Geräte zieren darf, die die Zertifizierung der Organisation bestanden haben. Dazu muss das Gerät bestimmte Standards erfüllen, wie etwa 802.11g, also 54 MBit- WLAN, um die Kompatibilität sicherzustellen. Mehr über die Organisation bietet www.wi-fi.org.

WLAN-Sicherheit

Mein Router hat die Verschlüsselungs-Methoden WEP und WPA. Welche ist besser?

Das ältere WEP hat eine Schwachstelle, die es einem Eindringling relativ leicht macht, wenn er die Funksignale nur lang genug abhört. WPA is viel sicherer, wird aber nicht von allen Geräten unterstützt. Wenn auch nur eine Station damit nicht zurechtkommt, müssen Sie WEP verwenden. In Windows XP/SP2 ist der WPA-Standard schon enthalten. In den Netzwerk-Eigenschaften der WLAN-Karte wählen Sie bei den Eigenschaften Ihres WLAN als Authentifizierung "WPA-PSK" und darunter die Option "TKIP". Nutzen Sie bei der Eingabe des Schlüsselwortes die Länge voll aus und verwenden auch Sonderzeichen. Dieses Kennwort muss identisch im Setup des Access Point eingegeben werden.