: Alte Möhren schützen
Mit ausrangierten Rechnern kann man den PC hervorragend gegen Eindringlinge aus dem Netz abdichten.Wer weiß, wie es geht, kann eine Menge Geld sparen. Eine praktische Anleitung inklusive Glossar
VON DIETER GRÖNLING
Noch nicht mal zehn Jahre ist es her, da glaubte man noch beinahe jeden Internet-User zu kennen. Heute lauern an jeder Ecke Gefahren, und aus dem einst so idyllischen Dorfplatz ist so etwas wie die Bronx der Achtzigerjahre geworden. Da werden Domains gekapert, Browser-Hijacker treiben ihr übles Spiel mit Zwangsumleitungen und plötzlich auftauchenden Pop-Up-Fenstern. Siebzehnjährige Schüler bepinseln ihr kümmerliches Ego mit selbst gebastelten Viren, die sich rasend schnell verbreiten. Gut getarnte Spyware sendet unbemerkt persönliche Daten an dubiose US-Firmen, während sich Sniffer um den Zugang zum heimischen Rechner kümmern. Und die tägliche E-Mail besteht fast nur noch aus Spam.
Das Internet ist zum Schlachtfeld geworden. Aber weil ein Medium nicht deshalb schlecht sein kann, weil ein kleiner, aber sehr störender Teil der Inhalte von Webseiten und Mails immer mieser wird, gilt es sich zu wappnen. Also die Sicherheitslücken schon mal selber stopfen und nicht auf Microsoft warten – wo immer dies möglich ist. Einen ausrangierten Rechner zum Proxy-Server mit integrierter Firewall umzurüsten, statt ihn direkt auf den Müll zu tragen, ist ein hervorragender Anfang – mit dem angenehmen Nebeneffekt, dass alle PCs im Haushalt die nun gut abgesicherte Internet-Leitung gemeinsam nutzen können.
Wie eine Fahrradreparatur
Dazu ist nicht mehr erforderlich als ein Kreuzschlitzschraubendreher und ein bisschen Geschick – etwa so viel, wie man braucht, um ein Fahrrad zu reparieren. Auch die Kosten halten sich in überschaubaren Grenzen. Wenn ohnehin eine Neuanschaffung ansteht, etwa weil die alte Kiste zu lahm geworden ist, die neuen 3D-Spiele und auch die Bildbearbeitung nicht mehr schafft, fallen die paar Euro für Netzwerkkarten und Kabel nicht weiter ins Gewicht.
Selbst wenn der neue Rechner zehnmal so flott ist wie der alte und die Grafik „echter als die Realität“ (Aldi) daherkommt – Leistung ist bei PCs noch lange kein Synonym für Tempo. Der Neue wird natürlich mit vorinstalliertem Windows-XP-Software ausgeliefert, und das will einen großen Teil der Leistung ganz für sich alleine. Wenn dann erst mal allerlei Programme auf der Platte sind und obendrein obskure Spyware ihr unbemerktes Unwesen treibt, dann wird der neue PC schnell wieder so lahm wie der alte.
Zumindest für die Bedrohung aus dem Internet kann das wirksam verhindert werden: Als so genannter Proxy-Server kann die alte Kiste mit einer Firewall den neuen PC und weitere intern vernetzte Rechner vor ungebetenen Eindringlingen schützen. Das müssen nicht unbedingt böse Cracker sein, auch Viren und Computer-Würmer bleiben jenseits der „Brandmauer“ und können so keinen Schaden anrichten. Zwar werden Lösungen angeboten, die das Problem nur mit Software in den Griff kriegen wollen, aber eine Hardware-Lösung ist eindeutig besser, sicherer – und wenn ohnehin ein alter PC zur Verfügung steht, auch billiger.
Daten schaufeln
Der Trick: Interne Rechner bekommen interne numerische IP-Adressen. Die sind auf der anderen Seite der Internet-Leitung nicht mehr „sichtbar“ und werden durch die für die Dauer der Verbindung vom Provider zugeteilte IP ersetzt. So landet alles, was aus dem Internet kommt, auf dem vorgeschalteten Proxy und wird nur dann an den Zielrechner weitergegeben, wenn es auch explizit angefordert wurde.
Für den zum komfortablen Proxy-Server umfunktionierten Alt-PC ist das nicht viel Arbeit. Das lahme Glied in der Kette ist ohnehin die Internetverbindung, auch bei DSL. Da kann er locker mithalten, schließlich geht es nur darum, Daten zu schaufeln, kurz auf der Festplatte abzulegen, zu überprüfen – und dann mit neuer IP an den Zielrechner weiterzuleiten.
Wichtig bei Windows-Rechnern ist lediglich, dass halbwegs aktuelle Internet-Treiber wie der berühmte „Winsock“ installiert sind. Das ist ab Windows 98 SE automatisch der Fall, aber auch noch ältere Versionen sind problemlos einsetzbar, wenn sich bereits ein neuerer Internet Explorer auf dem alten Rechner befindet.
Als Erstes muss beim alten Rechner eine Netzwerk-Karte eingebaut werden. Passende Ethernet-Steckkarten gibt es preiswert im Handel. Lediglich das Kabel erfordert etwas Aufmerksamkeit. Ethernet-Leitungen sind zwar nichts weiter als verdrillte Klingeldrähte – wer jedoch zwei Rechner direkt miteinander verbinden will, etwa weil nicht noch ein DSL-Router angeschlossen werden muss, braucht ein Crossover-Patchkabel.
Zu Fuß installieren
Nun wird’s spannend: Nach dem Einschalten sollten die Rechner dank einer Microsoft-Erfindung namens Plug-and-Play merken, dass sie nicht mehr allein sind, und die Windows-CD zwecks Installation der nötigen Netzwerk-Treiber anfordern. Meist klappt das auch ganz gut, notfalls müssen die Treiber für die Ethernet-Karten zu Fuß installiert werden. Die für das Microsoft-Netz sind ohnehin vorhanden.
Bei dieser Gelegenheit kann auch gleich TCP/IP installiert werden, denn alles was zum Microsoft-Netz gehört, wird auf dem Proxy nach einem ausgiebigen Test entfernt. Eine Firewall ist nur dann wirklich wirksam, wenn es für Eindringlinge keinerlei Möglichkeit gibt, sich unbemerkt auf Schleichwegen zu verbreiten. Die Kommunikation zwischen Proxy und den Windows-Rechnern läuft ausschließlich über das im ganzen Internet seit Jahrzehnten bewährte TCP/IP. Und das ist nicht Windows, das ist Unix.
Die Einstellungen beschränken sich auf das Eintippen von ein paar Nummern in der „Systemsteuerung“ unter „Netzwerk“. Jeder Rechner im Netz braucht seine eigene IP-Adresse. Die könnte man sich zwar ausdenken, aber der Proxy soll ja auch Verbindung mit der Außenwelt aufnehmen. Um Konflikte mit anderen Computern im Internet zu vermeiden, sollten deshalb unbedingt freie IP-Nummern gewählt werden. Die gibt es noch – sie werden eigens für Test- und andere interne Zwecke freigehalten und tauchen nirgendwo im Internet auf. Möglich sind zum Beispiel Adressen zwischen 192.168.0.0 und 192.168.255.255; man könnte dem Proxy-PC also die Nummer 192.168.0.1 und dem ersten Arbeits-PC 192.168.0.2 zuweisen und so weiter. Andere Parameter wie Gateway- oder Name-Server-Adressen können getrost vernachlässigt werden. Lediglich die Subnet-Mask ist noch relevant, hier empfiehlt sich 255.255.255.0. Bei Windows ist danach stets ein Neustart erforderlich.
Nun ist nur noch ein bisschen Software nötig. Wenn es auf dem Proxy kein Microsoft-Netz mehr gibt, kann ein komfortables FTP-Programm die Aufgaben des Windows-Explorer übernehmen. Dazu muss auf dem Proxy ein FTP-Server installiert werden. Den gibt es gratis im Internet, ebenso wie die anderen Dinge, die wichtig sind, um das Haushalts-Netz sicher zu machen.
Wenn alles funktioniert, fängt für ambitionierte Bastler der Spaß erst richtig an. Der auf dem Proxy installierte Mailserver zum Beispiel kriegt dann einen ordentlichen Spamfilter – einen, der gleich die Mail-Header beim Provider liest und Spam-Mails sofort löscht. So kommt die schon zwischen 1969 und 1972 bei der Weiterentwicklung des damaligen militärischen US-Forschungsnetzes Arpanet entstandene TCP/IP-Technologie doch noch zu ihrem ursprünglichen Einsatzzweck: Angriffe des Feindes schadlos überstehen.