Den Netzwerknamen verbergen

Diese Option bietet jeder Router. Sie finden Sie beispielsweise unter Einrichtung, WLAN-Konfiguration, Netzwerkname (SSID). Der Router sendet standardmäßig ein Signal (Beacon) mit seiner SSID (Service Set Identifier) aus, um Clients, die sich verbinden wollen, seine Anwesenheit kundzutun. Die Standard-SSID des Routers sollte man ändern, um das eigene Netzwerk identifizieren zu können: Wenn auch die Nachbarn WLAN-aktiv sind, kann es sonst unklar sein, wem das Netzwerk Fritzbox oder Netgear eigentlich gehört.

Verbirgt man die SSID, macht man nicht sofort auf sein WLAN aufmerksam und kann so wenigstens Gelegenheitsschnüffler abhalten. Allerdings wird die SSID bei Verbindungsversuchen von WLAN-Clients immer übertragen - und zwar unverschlüsselt. Wenn Sie zum Beispiel auf einem Windows-Notebook die automatische Verbindung mit bevorzugten Netzwerken nutzen, sendet der Client auf der Suche nach diesem WLAN immer dessen SSID - auch wenn das Netzwerk gar nicht in Reichweite ist. Für WLAN-Schnüffler stellt daher eine versteckte SSID kein ernstes Problem dar. Mit aktiver SSID können Sie aber wiederum Gästen einen bequemen Zugang zum WLAN verschaffen.

Zugangskontrolle per MAC-Adresse
Ähnliches wie für die SSID gilt auch für die MAC-Adressen-Filterung (Media Access Control). Sie erhöht die Sicherheit ein wenig, kann aber den Umgang mit dem WLAN durchaus erschweren. Sie finden die Access Control List (ACL), die Zugriffsliste für die erlaubten MAC-Adressen, im Router-Menü zum Beispiel unter einer Option wie Erweitert, WLAN-Konfiguration, Liste der zugriffsberechtigten WLAN-Karten, Zugriffsliste anpassen.

Jede Netzwerkkomponente - also Router, Netzwerkkarte oder WLAN-Modul - besitzt eine weltweit eindeutige MAC-Adresse. Sie können daher im Router eine Liste mit zugelassenen MAC-Adressen anlegen. Ist die Adresse eines WLAN-Clients, der eine Verbindung zum Router aufbauen will, dort nicht verzeichnet, weist der Router die Anfrage ab. Am PC oder Notebook finden Sie übrigens über den Konsolenbefehl ipconfig /all unter Physikalische Adresse die MAC-Adressen der in diesem Rechner verbauten Netzwerkkomponenten.

Ebenso wie die SSID wird die MAC-Adresse beim Verbindungsaufbau unverschlüsselt zwischen Router und Client übertragen - ein Schnüffler kann sie also abfangen und mit bestimmten Tools seine Netzwerkkarte sehr leicht mit dieser MAC-Adresse tarnen. Außerdem macht die Kontrolle per MAC-Adresse das Einbuchen eines zusätzlichen Clients aufwendiger: Sie müssen dazu jedes Mal im Konfigurationsmenü des Routers die ACL um einen Eintrag erweitern - selbst wenn etwa ein Besucher nur schnell per WLAN-Notebook seine Mails über Ihren Internet-Zugang abfragen will.

Port-Freigaben einrichten
Der Router erlaubt normalerweise keine Zugriffe aus dem Internet auf das private Netzwerk. Nur aus dem Netzwerk angeforderte Datenpakete dürfen den Router passieren. Wenn Sie in Ihrem Netz aber einen Server betreiben, muss der Router auch unangeforderte Zugriffe von außen zulassen und sie an den Server weiterleiten, damit Ihre Kollegen dort beispielsweise auf Dateien, Präsentationen oder Kontakte zugreifen können. Das regeln Sie durch Port-Freigaben, auch Port-Weiterleitung (Port Forwarding) genannt - und durchlöchern damit kontrolliert die Firewall des Routers.

Viele Router bieten bereits vorkonfigurierte Port-Freigaben für die wichtigsten Anwendungen - etwa für einen FTP-Server oder den Windows-Fernzugriff. Sie können aber natürlich auch eine manuelle Port-Weiterleitung erstellen: Dazu müssen Sie das gewünschte Protokoll (TCP oder UDP) eingeben sowie die Nummer des Ports beziehungsweise den Port-Bereich, von dem der Router die Anfrage aus dem Internet entgegennimmt (Source Port), und den Port, an den der Router die Daten auf dem lokalen PC weiterleiten soll (Destination Port). Schließlich müssen Sie die private IP-Adresse des Server-PCs im LAN eingeben.

Viele Router besitzen eine Option wie Exposed Host oder DMZ-Server: Diese sollten Sie aber nicht verwenden. Damit bestimmen Sie nämlich einen Netzwerk-PC, an den alle unangeforderten Zugriffe aus dem Internet weitergeleitet werden. Wenn dieser wiederum gegenüber dem privaten Netzwerk nicht besonders abgesichert ist, stellt er ein hohes Sicherheitsrisiko dar.