1917548

Risiko Router: So schützen Sie Ihr Netzwerk

26.09.2014 | 14:01 Uhr |

Ein Router soll eigentlich Ihr Netzwerk absichern. Dumm nur, wenn diese Mauer Löcher hat. Wir zeigen, wie Sie sich mit einfachen Mitteln schützen können.

Kaum ein Tag vergeht, an dem kein Router-Hersteller im Kreuzfeuer steht: AVM, Asus, D-Link – selbst die Branchengrößen mussten einräumen, dass ihre Router nicht sicher sind. Findige Hacker nutzten Sicherheitslücken aus, um auf die Router zuzugreifen und dort Passwörter auszulesen oder sie zu manipulieren. Das wichtigste Einfalltor ist dabei nicht mehr ein nur mangelhaft geschütztes WLAN: Die meisten Router-Hersteller haben diesem Weg verbaut, indem sie ihre Geräte ab Werk verschlüsselt oder mit Einrichtungs-Assistenten ausliefern, die eine Verschlüsselung  fordern. Stattdessen nutzen die Hacker aus, dass viele Anwender und Hersteller sehr bequem sind: Sie versäumen es, regelmäßig neue Firmware einzuspielen – wenn sie es denn überhaupt gibt. Oder sie schätzen den angenehmen Fernzugriff auf den Router übers Internet, um ihn zu konfigurieren oder auf das dahinterliegende Heimnetzwerk zuzugreifen. Ist dieser unzureichend geschützt oder fehlerhaft programmiert, haben Sie damit ein riesiges Loch in Ihr Sicherheitsnetz gerissen.

Die gute Nachricht: Die meisten Router-Gefahren können Sie mit wenigen Einstellungen schnell beheben. Wir sagen Ihnen, wo die größten Risiken lauern und worauf Sie achten müssen, damit Ihr Router nicht mehr einladend für Hacker wirkt.

So schalten Sie den Fernzugriff bei der Fritzbox ab
Vergrößern So schalten Sie den Fernzugriff bei der Fritzbox ab

Gefahr: Ungesicherter Fernzugriff

Übers Internet auf den eigenen Router zuzugreifen, hat sich in den letzten Jahren zum Trend entwickelt. Früher waren nur IT-Administratoren daran interessiert, den Firmen-Router aus der Ferne zu warten, um sich Wege zu sparen. Doch auch für Privatnutzer hat der Fernzugriff zahlreiche Vorteile: Sie können den Router aus der Ferne einstellen und analysieren – So haben Sie zum Beispiel jederzeit im Blick, ob die DSL-Verbindung stabil läuft oder wie lange die Kinder schon online sind. Außerdem können Sie über den Router auf Ihr Heimnetzwerk zugreifen: So besorgen Sie sich Dokumente vom heimischen PC oder laden Filme, Musik und Fotos von der NAS oder der am Router angeschlossenen Festplatte aufs Notebook oder Smartphone.

Das Ziel

Auf die Web-Oberfläche des Routers gelangen Sie normalerweise, wenn Sie die lokale IP-Adresse des Routers in den Browser eingeben. Wie ein Web-Server liefert der Router eine Webseite zurück, auf der Sie sich einloggen, um zu den Router-Einstellungen zu gelangen.

Aktivieren Sie dort die Option „Fernzugriff“ (auch „Remote Management“ genannt), können Sie die Web-Oberfläche auch übers Internet aufrufen – statt der lokalen IP geben Sie die öffentliche IP-Adresse ein, die der Router vom Internet-Anbieter erhalten hat. Wer diese IP-Adresse des Routers kennt und die Kombination aus Benutzername und Passwort, dem steht die Weboberfläche des Routers frei.

Zugriff begrenzen: Viele Router lassen sich so einstellen, dass sie einen Fernzugriff nur von bestimmte IP-Adressen aus erlauben
Vergrößern Zugriff begrenzen: Viele Router lassen sich so einstellen, dass sie einen Fernzugriff nur von bestimmte IP-Adressen aus erlauben

Die Angriffe

In vielen Fällen können Angreifer eine Schwachstelle der Router-Software bequem ausnutzen, weil der Fernzugriff aktiv ist. So lassen sich zum Beispiel auf anfälligen Routern eine manipulierte Firmware sowie ein Schnüffelprogramm installieren. Damit können Angreifer den Netzwerkverkehr belauschen und Passwörter abgreifen. Als Einfalltor nutzen sie dabei zum Beispiel eine Lücke in der alternativen Router-Firmware DD-WRT.

So schützen Sie sich

Der Schutz ist einfach: Schalten Sie den Fernzugriff aus – beziehungsweise gar nicht erst ein. Denn bei fast allen Routern ist der Remote-Zugriff ab Werk nicht aktiviert. Wollen Sie sich mit dieser sicheren, aber unbequemen Lösung nicht abfinden, sollten Sie unbedingt das Benutzerkennwort und das Passwort für die Web-Oberfläche des Routers ändern. Die Standard-Passwörter stehen nämlich im Router-Handbuch und sind somit öffentlich verfügbar. Nutzen Sie für das Router-Menü eine Kombination, die Sie für keinen anderen Zugang verwenden, zum Beispiel für Web-Mail oder den Online-Einkauf.

Viele Router bieten außerdem die Möglichkeit, den Fernzugriff auf bestimmte IP-Adressen zu beschränken: Diese können sie nutzen, wenn Sie immer von derselben Gegenstelle – etwa dem Arbeitsplatz – auf den Heim-Router zugreifen wollen. Bei der Fritzbox finden Sie die Einstellungen zum Fernzugriff unter „Internet, Freigaben, Fritzbox-Dienste“.

Update per Knopfdruck: Wenn sich die Router-Firmware so einfach aktualisieren lässt wie bei der Fritzbox, gibt es keine Argumente, darauf zu verzichten
Vergrößern Update per Knopfdruck: Wenn sich die Router-Firmware so einfach aktualisieren lässt wie bei der Fritzbox, gibt es keine Argumente, darauf zu verzichten

Gefahr: Fehlende Firmware-Updates

Jeder Router hat sein eigenes Betriebssystem: Es setzt meist auf Linux auf und ist in der Firmware des Routers gespeichert. Und wie bei anderen Betriebssystemen, kann auch Router-Firmware fehlerhaft sein: Qualitätsbewusste Hersteller bemühen sich daher um schnelle und häufige Firmware-Updates. Und sicherheitsbewusste Anwender aktualisieren die Firmware häufig.

Das Ziel

Viele Router-Lücken können Sie selbst schließen, indem Sie Funktionen abschalten – wie beispielsweise beim Fernzugriff. Doch sinnvoller ist es, wenn der Hersteller diese Lücken mit einem Firmware-Update behebt. Außerdem lassen sich einige Software-Fehler nur durch ein Update beheben. Doch viele Anwender verzichten darauf, eine aktuelle Firmware einzuspielen – sei es, weil der Update-Vorgang zu kompliziert ist oder weil sie überhaupt nicht wissen, dass es Update für den Router vorliegt. Diese Update-Müdigkeit können Angreifer ausnutzen. Viele Lücken sind nämlich seit Jahren dokumentiert – die Schwachstelle bei DD-WRT beispielsweise wurde schon vor vier Jahren aufgedeckt. Oft melden sich Hacker auch zuerst beim Hersteller, wenn sie eine Sicherheitslücke entdeckt haben – in der Hoffnung, dass diese sie sofort mit einem Update reagiert. Aber selbst dann ist die Lücke erst geschlossen, wenn das Update auf dem Router installiert wird.

Update frei Haus: Bei Zwangs-Routern sorgt der Internet-Provider automatisch für eine neue Firmware. Das wäre sehr bequem, wenn Updates auch immer schnell und regelmäßig erscheinen würden
Vergrößern Update frei Haus: Bei Zwangs-Routern sorgt der Internet-Provider automatisch für eine neue Firmware. Das wäre sehr bequem, wenn Updates auch immer schnell und regelmäßig erscheinen würden

Die Angriffe

Das spektakulärste Angriffsziel der letzten Zeit waren die Fritzbox-Router von AVM. Aufgrund einer Schwachstelle in der Router-Firmware konnten Angreifer die komplette Kontrolle über den Router gewinnen, wenn auf einer Webseite, die der Router aufruft Schadcode eingebaut ist. Bei den konkreten Angriffen auf die Fritzbox wurden Rufumleitungen eingerichtet, um damit über die Fritzbox Anrufe an kostenpflichtige Service-Telefonnummern im Ausland durchzuführen – in einem Fall hatte das eine vierstellige Telefonrechnung bei einem Fritzbox-Besitzer zur Folge.

Bei bestimmten Routern von D-Link – zum Beispiel DIR-100 und DI-524 – kann ein Angreifer auf die Web-Oberfläche zugreifen, ohne ein Passwort eingeben zu müssen. Dazu muss er die Browser-Einstellungen für den User Agent verändern – und zwar, indem er eine bestimmte Buchstaben- und Ziffernkombination eingibt. Über diese Hintertür soll die Router-Firmware problemlos Zugang zu bestimmten Einstellungen erhalten, auch wenn der Anwender die Zugangskennung geändert hatte. Diesen Firmware-Fehler konnte jeder Angreifer mit Zugang zum Router ausnutzen. Ein ähnliches Problem liegt beim Sitecom-WLM-3500 vor: Dieser Router hat zwei Benutzernamen und Kennwörter dauerhaft gespeichert, die Zugriff auf die Weboberfläche geben.

So schützen Sie sich

Die Faustregel lautet: Aktualisieren Sie immer, wenn es eine neue Firmware gibt. Da viele Hersteller nicht klarstellen, welche Lücken sie mit einem Update schließen, ist ein Update in jedem Fall sinnvoller als darauf zu verzichten. Viele aktuelle Router suchen automatisch nach neuer Firmware, wenn sie online sind und geben bei Updates einen Hinweis in der Web-Oberfläche. Oft finden Sie diesen auf der Startseite des Konfigurationsmenüs, manchmal müssen sie dafür aber auch ins Menü „Administration“ oder „System“. Bei der Fritzbox gehen Sie dazu in „System, Update, Online-Update“. Sie können auch auf den Support-Webseiten der Router-Hersteller nach Firmware-Updates recherchieren.

Hersteller

Webseite

AVM

http://www.avm.de/de/Service/Service-Portale/index.php

Asus

http://www.asus.com/de/support/

D-Link

http://more.dlink.de/sicherheit/router.php

Belkin

http://www.belkin.com/de/support-article?articleNum=38510

Buffalo

http://www.buffalo-technology.de/de/support/

Draytek

http://www.draytek.de/hilfe-u-support.html

Lancom

http://www.lancom-systems.de/service-support/

Linksys

http://support.linksys.com/de-eu/support/linksys

Netgear

http://support.netgear.de/for_home/

Sitecom

http://sitecom.com/de/sie-suchen-eine-lsungkein-problem/71

Telekom

http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/0/Downloads-und-Handbuecher

Trendnet

http://www.trendnet.com/langge/support/

TP-Link

http://www.tp-link.com.de/support/download/

Zyxel

http://www.zyxel.com/de/de/support/download_library.shtml

Machen Sie die Update-Frequenz auch zum Kaufkriterium: Hersteller die häufig Updates liefern, kümmern sich intensiver um ihre Produkte. Das gilt besonders, wenn sie auch Updates für ältere Router anbieten. Wenn möglich, sollten Sie auch aus Sicherheitsgründen auf Zwangs-Router vom Internet-Provider verzichten. Denn meist müssen Firmware-Updates auf diese speziellen Modelle erst angepasst und vom Provider freigegeben werden. Deshalb dauert es länger, bis eine neue Firmware bereit steht – wenn sie überhaupt verfügbar ist. Beim Fritzbox-Hack im Februar lieferte AVM drei Tage nach dem Angriff für die meisten Modelle eine sichere Firmware aus. Bei den Fritzbox-Modellen der Kabel- und Internetprovider stand das Update dagegen erst nach rund einer Woche bereit.

Bei den Provider-Routern müssen Sie sich dafür normalerweise nicht darum kümmern, das Update einzuspielen. Über das Protokoll TR-069 erledigt der Provider das per Fernzugriff: Die Funktion ist normalerweise ab Werk aktiviert. Bei Telekom-Routern finden Sie sie unter „Verwaltung, Hilfsmittel, EasySupport“. Fritzbox-Modelle für den Internetzugang per TV-Kabel bieten eine ähnliche Funktion unter „Internet, Zugangsdaten, Anbieter-Dienste“.

0 Kommentare zu diesem Artikel
1917548