Logo: @Bastianoso : Blogger, Fotograf, Webhoster

Routersicherheit erhöhen

Jeder Haushalt mit DSL-Anschluss verfügt heutzutage auch über einen Router, meist mit WLAN und komfortablen Funktionen zur Einrichtung. Doch oft befinden sich massive Sicherheitslücken in den Systemen. Mit diesen zehn Tipps kannst Du die Sicherheit Deines Routers ganz einfach vervielfachen.

samsung-wlan-router-3210-phone-wlan-sl

Insbesondere bei WLAN-Routern besteht immer die Gefahr, dass es Hackern bzw. Crackern gelingt in das interne Netz einzudringen. Meist werden über gehackte Leitungen dann illegal Daten heruntergeladen. Es ist aber auch möglich, dass die heimischen Systeme ausgespäht werden und persönliche Daten kopiert werden.

Dass das Hacken von WLAN-Routern so einfach ist und quasi schon zu einem Sport geworden ist (siehe Stichwort “Wardriving“), liegt vor allem daran, dass alle Router mit identischen Standardkonfigurationen und bequemen Einrichtungsfunktionen per Knopfdruck ausgeliefert werden. Der WLAN-Name, das Admin-Passwort und eine Reihe anderer Einstellungen sind dabei stets die selben und machen es Hackern einfach, in die WLAN-Netze einzudringen.

Zugang zum Router

Um Deinen Router abzusichern brauchst Du einen Computer oder Laptop, der idealerweise bereits im Netzwerk des Routers ist (LAN oder WLAN) und Zugang zur Administrationsüberfläche des Routers.

Der Weg zum Admininterface führt eigentlich immer über den Webbrowser Deiner Wahl und eine bestimmte Adresse, die sich von Hersteller zu Hersteller unterscheidet. Folgend eine Übersicht der URLs zum Admininterface der gängigsten Routerhersteller:

3com

Admin-URL: http://192.168.1.1
Standardpasswort: admin

Apple

Admin-URL: http://10.0.0.1 oder http://192.168.1.1
Standardpasswort: public, password oder admin

Asus

Admin-URL: http://192.168.1.1
Standardbenutzername: Admin oder admin
Standardpasswort: admin

AVM

Admin-URL: http://fritz.box/
Standardpasswort: nicht vergeben oder 0000

Belkin

Admin-URL: http://192.168.2.1
Standardbenutzername: admin

D-Link

Admin-URL: http://192.168.0.1
Standardbenutzername: nicht vergeben oder Admin
Standardpasswort: nicht vergeben, admin oder Admin

Linksys

Admin-URL: http://192.168.1.1
Standardbenutzername: nicht vergeben oder admin
Standardpasswort: nicht vergeben oder admin

Netgear

Admin-URL: http://192.168.0.1
Standardbenutzername: admin
Standardpasswort: password

Telekom

Admin-URL: http://speedport.ip/
Standardpasswort: nicht vergeben oder 0000

Zyxel

Admin-URL: http://192.168.1.1
Standardbenutzername: admin
Standardpasswort: 1234

Hinweis: Die IP-Adressen sowie Benutzernamen und Passwörter unterscheiden sich bei jedem Hersteller von Modell zu Modell und diese Liste zeigt lediglich die gängigsten Kombinationen auf. Genauer Informationen findest Du in der Anleitung Deines Routers.

Routersicherheit erhöhen

Hast Du einmal Zugang zum Backend des Routers, kannst Du die Sicherheit des WLANs mit folgenden Tipps massiv steigern und es Hackern etwas schwerer machen, in Dein Netz zu gelangen:

WPS deaktivieren

WPS (“Wi-Fi Protected Setup“) ist inzwischen bei vielen WLAN-Routern verbaut und ist leicht am auffälligen WPS-Knopf erkennbar. Mit dieser Funktion können Computer in das WLAN-Netz integriert werden, ohne das WLAN-Passwort eingeben zu müssen. Dabei gibt es bei vielen Routern Sicherheitsprobleme bei WPS, sodass es am sichersten ist, das Passwort beim Endgerät einfach kurz einzugeben und WPS im Backend vom Router zu deaktivieren.

SSID verbergen

Die SSID (“Service Set Identification“) ist der Name des WLANs, der in der Auswahlliste vom Computer beim Verbinden steht. Es ist natürlich sehr bequem die SSID immer sichtbar zu haben, aber so sieht eben auch jeder Passant, ohne besondere Hilfsmittel, dass es hier ein WLAN gibt. Verbirgt man die SSID muss man diese beim erstmaligen Verbindungsaufbau im Computer eingeben. Fortan verbindet sich der Rechner automatisch mit dem hinterlegten WLAN.

Findige Hacker sehen anhand der Strahlung auf bestimmten Frequenzen natürlich immer noch, dass dort ein WLAN existiert, aber den Namen bekommen sie nur über Umwege heraus und das verzögert den Hackingversuch schon mal ein wenig.

WLAN-Passwort ersetzen

Und natürlich sollte man auch nicht das standardmäßig gesetzte Passwort für den WLAN-Zugang nutzen, welches meist auf einem Aufkleber auf der Rückseite des Routers angegeben ist. Es ist auch schon vorgekommen, dass ganze Passwortlisten von Routerherstellern geleakt wurden, sodass die Hacker anhand des WLAN-Names wussten um welchen Routerhersteller es sich handelt und welche Liste sie für eine Brute-Force-Attacke verwenden mussten. Ersetze das Passwort am besten durch ein mächtig langes mit Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Sichere Passwörter kannst Du Dir hier generieren: Passwortgenerator.

Mit einem besonders langen und sicheren Passwort dauern Brute-Force-Attacken so lange, dass es sich für Hacker meist nur unter bestimmten Umständen lohnt, den Aufwand auf sich zu nehmen.

Verschlüsselung aktivieren

Die meisten Router werden inzwischen mit der höchstmöglichen, verfügbaren Consumer-Verschlüsselung ausgeliefert. Dennoch kann ein Blick auf die Verschlüsselungseinstellungen lohnenswert sein. Empfehlenswert ist die starke AES/WPA2-Verschlüsselung mit einem entsprechend komplexen Passwort, oft auch “pre-shared key” genannt (siehe Abschnitt “WLAN-Passwort ersetzen”).

Natürlich kann auch diese Verschlüsselung geknackt werden, doch je besser die Verschlüsselung, desto länger dauert es und so wenden sich Hacker wohl eher den schlechter gesicherten Netzwerken zu.

MAC-Adressfilter aktivieren

Nein, dass hat nichts mit Apples Macintosh-Rechnern zu tun: jede Netzwerkkarte, und dazu gehören auch WLAN-Karten, verfügen über eine MAC-Adresse. Die MAC-Adresse ist, vereinfacht gesagt, eine Art Seriennummer, mit der die Karte sich in jedem Netzwerk anmeldet. Sie sieht etwa so aus:

3c:07:54:17:a7:45

Alle Router sind standardmäßig so konfiguriert, dass sie jeden Computer ins Netz lassen. Man hat jedoch die Möglichkeit einen MAC-Adressfilter zu aktivieren. Dazu hinterlegst Du die MAC-Adresse Deines Rechners/Handy/TV-Box im Router und aktivierst dann den Schutz. Fortan werden nur Rechner ins Netz gelassen, für die die MAC-Adresse hinterlegt wurde.

Achtung: wenn Du nur einen Rechner hast, ist es riskant den Schutz zu aktiveren. Denn ist Dein Rechner defekt und Du versuchst Deinen neuen Computer ins Netz zu bringen, hast Du keine Chance mehr und musst den Router auf Werkseinstellungen zurücksetzen und komplett neu konfigurieren. Achte beim Einrichten des Mac-Adressfilters außerdem darauf, erst die MAC-Adressen einzutragen und erst dann den Schutz zu aktiveren. Sonst sperrst Du Dich aus Deinem eigenen Router aus.

Hacker haben zwar die Möglichkeit die MAC-Adressen ihrer Netzwerkkarten zu manipulieren und können so natürlich trotzdem noch Zugang zum Netz erhalten, doch dazu müssen sie erstmal die richtige MAC-Adresse herausfinden.

Fernwartung deaktivieren

Viele Router bieten die Möglichkeit zur Fernwartung. Damit kannst Du auch wenn Du mal nicht zu Hause bist, die Einstellungen Deines Routers ändern. Das bedeutet: Zugriff auf die Administrationsoberfläche außerhalb des eigenen Netzes. D.h. jeder, der Deine öffentliche IP-Adresse kennt, kann schauen, ob dahinter ein Router erreichbar ist. Und Deine öffentliche IP-Adresse kennt jede Webseite, die Du aufrufst: probiere es hier aus!

IP-Adressbereich ändern

Standardmäßig ist der interne IP-Adressbereich vieler Router die 192.168.1.255 und unter der Adresse 192.168.1.1 ist meist der Router selbst zu erreichen. Das macht es Angreifern natürlich schon mal ein ganzes Stück einfacher, wenn sie wissen, wo sie nach Schwachstellen suchen müssen. Denn jeder Rechner, der mit dem Router verbunden ist, erhält eine IP-Adresse. Der erste Rechner wird höchstwahrscheinlich die 192.168.1.2 haben usw..

Daher ist es sinnvoll, den standardmäßig definierten Bereich zu ändern.
Folgende andere interne IP-Adressbereiche sind möglich:

Weitere Details über die internen IP-Adressbereiche findest Du beim Informatikkaufmann-Azubi.

Admin-Passwort ändern

Um Dich auf der Administrationsoberfläche Deines Routers einzuloggen benötigst Du in der Regel ein Passwort. Nur wenige Routerhersteller liefern Ihre Geräte heutzutage noch ohne Standardpasswort aus. Das standardmäßig vergebene Passwort findest Du meist auf einem Aufkleber auf der Rückseite des Routers oder in der Bedienungsanleitung. Mit diesem Passwortgenerator kannst Du auch hier ein sicheres neues Passwort erzeugen, damit nicht jeder Hacker, der es bis in Dein WLAN geschafft hat, auch gleich noch einen leichten Zugriff auf die Adminoberfläche hat.

Stets aus dem Adminbereich ausloggen

Wenn Du Änderungen auf der Administrationsoberfläche Deines Routers vornimmst, logge Dich danach aus! Andernfalls wäre es möglich, dass Hacker über eine CSRF-Attacke (“Cross-Site-Request-Forgery“) trotz eines sicheren Passworts Zugriff auf den Adminbereich bekommen.

Router-Firmware regelmäßig updaten

Und natürlich solltest Du die Firmware, also die Software auf dem Router, stets auf dem aktuellen Stand halten. Hast Du einen eigenen Router, beispielsweise eine Fritzbox, erscheinen die Updates in regelmäßigen Abständen (etwa einmal im Monat). Bei vom ISP (“Internet Service Provider”) angepassten Geräten, erscheinen leider kaum Updates, aber Du solltest dennoch ab und an nachschauen, ob vielleicht ein Update erhältlich ist. Meist gibt es im Adminbereich des Routers einen extra Menüpunkt dafür.

Extra-Tipp für mehr Komfort

Gäste-WLAN aktivieren

Manche Router bieten die Option an, ein zweites WLAN-Netz bereitzustellen. Ich nutze dies auf Partys um meinen Besuchern WLAN zur Verfügung zu stellen, ohne vorher mühsam deren MAC-Adresse im Router zu hinterlegen oder sie ellenlange Passwörter eingeben zu lassen.

Die Gäste-WLANs sind in der Regel komplett vom internen Netz getrennt und lassen sich auch zeitlich automatisch aktivieren und deaktivieren. So hat Dein Besuch lediglich Zugang zum Internet, aber keinen Zugriff auf Dein internes Netz.

Fazit

Mit diesen zehn Tipps kannst Du Dein WLAN um einiges sicherer machen und dafür sorgen, dass es Hacker möglichst schwer haben, in Dein Netz einzudringen. Unmöglich ist es natürlich nicht, aber zumindest Script-Kiddies haben nun keine Chance mehr und ein versierter Hacker müsste extrem viel Zeit aufwenden, sodass es sich für ihn, insbesondere bei privaten Haushalten, einfach nicht lohnt.

Du hast weitere Tipps zur Absicherung von WLANs oder eine Frage zur Umsetzung? Dann ab damit in die Kommentare!




Schreibe einen Kommentar


Alle Artikel ansehen »

Artikel abonnieren: E-Mail | RSS-Feed