Router endlich sicher machen – so geht´s

Der Zugangspunkt zum Internet ist heute nicht mehr das Modem oder die ISDN-Karte, sondern der Router. Die oft unscheinbaren grauen Kästchen haben es in sich und bieten neben den grundsätzlichen Routing-Funktionen zwischen lokalem Netzwerk (LAN) und Internet (WAN) weitere Extras für den komfortablen Betrieb eines Heimnetzwerks: DHCP-Server ist Pflicht, sowie ein eigener, cachender DNS-Server für schnellere Web-Zugriffe. Für die bequeme Konfiguration steht noch Web-Frontend bereit. Und Zusatzfunktionen wie das umstrittene, weil oft unzureichend implementierte WPS sollen die Client-Konfiguration erleichtern. Sie haben hier also kein vergleichsweise simples Gerät vor sich, das genau eine Ausgabe erfüllt, sondern einen ausgewachsenen Netzwerk-Server mit allen Vor- und Nachteilen. Die Nachteile sind: Höherer Konfigurationsaufwand als Fehlerquelle, unsinnige Standard-Einstellungen, oder gar gravierende Sicherheitslücken in der Firmware. Es gilt, diese Lücken früh aufzuspüren, bevor es jemand anderes tut. Der Beitrag zeigt, was Router über sich verraten und wie Sie von außen oder von innen Netzwerk und Router auf Sicherheitslücken abtasten.

Außenansicht: Was der Router preis gibt

An einen WLAN-Router müssen Sie höhere Anforderungen stellen und für eine sichere Konfiguration sorgen, da Sie nur schwer kontrollieren können, wer das Signal des Drahtlos-Netzwerks empfängt. Es gibt einige Infos, die Sie über einen WLAN-Router heraus finden können, ohne am Netzwerk als Teilnehmer angemeldet zu sein. Und ohne das Passwort für die WLAN-Verschlüsselung oder die SSID (Netzwerknamen) zu kennen.

1. Broadcast-Pakete: Das WLAN stellt sich vor

Damit andere, WLAN-fähige Geräte ein Netzwerk überhaupt erkennen und nutzen können, macht sich ein WLAN-Router selbst durch einen “Beacon” bekannt.  Diese Broadcast-Datenpakete ist der Herzschlag des Drahtlos-Netzwerks und informiert alle Geräte in Reichweite über die SSID, MAC-Adresse des Routers, Kanal und die verwendete Verschlüsselung.  Der Router schickt diese Pakte etwa alle 30 Sekunden an alle, egal ob angemeldet oder nicht. Der Beacon ist nicht nur nötig, um eine Verbindung  aufrecht zu erhalten, sondern auch, um sie erst mal herzustellen.

Um das Netzwerk sicherer zu machen, greifen viele Anwender immer noch auf einen alten Trick zurück: Die SSID des WLANs wird im Router abgeschaltet und das Netzwerk damit vermeintlich unsichtbar. Diese Methode bringt außer einem höheren Konfigurationsaufwand überhaupt nichts. Denn eine versteckte SSID verhindert lediglich, dass sich der Router in den Broadcast-Paketen den Netzwerk-Namen öffentlich bekannt macht, die Pakete werden aber trotzdem verschickt. Ein geeignetes Freeware-Programm für  Windows XP/Vista/7 (32-Bit und 64-Bit) ist inSSIDer . Es zeigt alle verfügbaren WLANs in der Umgebung ab, egal ob dort die SSID aktiviert ist, oder nicht. 

Es macht also keinen Unterschied, ob Sie in der WLAN-Konfiguration des Routers die SSID anzeigen lassen, oder nicht. Bei der SSID ist lediglich darauf zu achten, dass hier keine internen Infos preisgegeben werden: Tabu ist ein WPA2/WPA-Passwort das identisch mit der SSID ist oder einfach nur aus einer Abwandlung der SSID besteht. Ebenfalls sollte die SSID keine Typenbezeichnung des Routers enthalten. Einige Router sind per Hersteller so eingestellt, dass sie den kompletten Modellnamen in der SSID ausposaunen. Da es niemanden angeht, welcher Router bei Ihnen steht und eine genaue Typenbezeichnung bei der Suche nach Hersteller-spezifischen Sicherheitslücken hilft, sollte hier immer etwas Unverdächtiges stehen.

2. MAC-Adresse: Hersteller entschlüsseln

Eine weitere Information, die jeder Router aller Welt in den Broadcast-Paketen mitteilt, ist die eigene MAC-Adresse. Die MAC-Adresse steht auch WLANs mit aktivierter Verschlüsselung im Klartext in den Netzwerkpaketen und wird hier auch BSSID genannt. Diese Adresse ist für jedes Gerät einmalig und enthält in den ersten sechs Stellen den Hersteller des Routers oder des Netzwerk-Chips. Anzeigen können Sie die MAC-Adresse des Routers ebenfalls mit der Freeware inSSIDer . Das Tool zeigt Ihnen in der Übersicht zu den meisten MAC-Adressen auch gleich den Hersteller an. Falls dies mal nicht gelingen sollte, entschlüsseln Sie den Hersteller einfach selbst. Diese englischsprachige Webseite bietet dazu eine Datenbank, die Sie einfach durch die Angabe der MAC abfragen.

Was tun mit der Hersteller-Angabe? Die Kombination aus MAC und der verfügbaren WLAN-Standards (a/b/g/n) ist immer ein Hinweis auf den Typ des Routers. Eine übersehene Gefahr sind Router selbst. Hier schlummern in der Firmware oft Sicherheitslücken, die niemals durch Herstellerupdates behoben wurden. Es lohnt sich deshalb immer, im Web nach bekannten Lücken und voreingestellten Standard-Anmeldeinformationen des verwendeten Routers zu forschen und verfügbare Firmware-Updates einzuspielen. Eine umfangreiche Datenbank bekannter Schwachstellen bietet die englischsprachige Open Source Vulnerability Database unter https://osvdb.org . Hier können Sie mit einer Volltextsuche nach Sicherheitslücken von Routern suchen und dann mit einem Klick auf die Artikel-ID anzeigen.

3. Die WPS-Lücke

Router vereinfachen mit Wi-Fi Protected Setup (WPS) die Konfiguration der Clients mit WPA2 über eine PIN. Mit dem Einsatz von WPS sollten Sie dennoch vorsichtig sein. Der österreichische Student Stefan Viehböck ist Ende 2011 auf eine Sicherheitslücke gestoßen, mit der sich auch ohne zuvorige Anmeldung die PIN von WPS einfach per Ausprobieren knacken lässt. Durch die verräterischen Antworten vieler Router reichen schon 11000 Anmeldeversuche aus, um eine PIN zu erraten. Noch dazu liefern viele Hersteller ihre Router mit standardmäßig aktivierten WPS aus. Einen Ratgeber mit den bisherigen Antworten der Herstellerzur Behebung der Lücke finden Sie hier . Auch mehrere Speedport-Router der Telekom sind betroffen . Generell sollten Sie WPS in der Router-Konfiguration abschalten , wenn es noch kein explizites Firmware-Update des Herstellers gibt, oder sich ein Hersteller bezüglich dieser Lücke bedeckt hält.

Mittlerweile gibt es frei zugänglich das Tool reaver-wps, das Router auf die WPS-Schwachstelle hin testet. Die Sicherheitsfirma Tactical Network Solution hat im Januar 2012 den  Quellcode der Version 1.4 freigegeben . Das Tool steht unter der GNU Public License und lässt sich unter Linux kompilieren. Voraussetzung ist, dass Sie den WLAN-Chip in den Monitor-Modus schalten . Um einen Router anzugreifen, müssen Sie nur dessen MAC-Adresse kennen. Die Kompilierung unter Linux ist nicht weiter schwierig, Sie benötigen neben dem gcc-Kompiler und den make-Utilities lediglich noch zwei Dev-Bibliotheken, die sich unter Debian und Ubuntu  etwa mit diesen beiden Befehlen als Root oder mit sudo nachinstallieren:

Anschließend führen Sie den Kompiler über das mitgelieferte Script aus:

Und mit Root-Rechten oder sudo geht es anschließend zur Installation:

Bevor reaver-wps in Aktion treten kann, müssen Sie noch die Wireless-Netzwerkkarte oder den WLAN-Chip in den Monitor-Modus umschalten. Dies gelingt am einfachsten mit dem Tool aircrack-ng, das Sie eventuell noch nachinstallieren müssen:

Nachdem Sie dieses Kommando mit Root-Rechten oder mit Hilfe von sudo eingegeben haben, steht die WLAN-Schnittstelle unter einer neuen Kennung bereit, in den meisten Fällen lautet diese mon0. Wenn Sie sowohl den Namen des eigenen WLAN-Schnittstelle und die MAC/BSSID des Router haben, können Sie reaver-wps nach folgendem Schema einsetzen:

Da es sich um einen Brute-Force-Angriff handelt, kann der Check bis zu mehreren Stunden dauern. Wenn der Angriff gelingt, erhalten Sie im Terminal die Ausgabe mit dem gefundenen WPA-Schlüssel.  

Innenansicht: Was der Router im LAN verrät

Wenn Sie mit dem Netzwerk verbunden sind, gibt der Router bereitwillig Auskunft über seine interne Netzwerk-Adresse, Ports, Dienste und eventuell sogar Konfiguration. Die richtige Suche nach Sicherheitslücken beginnt erst ab hier, im eigenen Netzwerk. Besonders wichtig ist dieser Punkt, wenn Sie ein offenes WLAN anbieten, oder den Zugang für viele neugierige Nutzer bereit stellen.

1. Die IP-Adresse des Routers finden

Im lokalen Netzwerk ist die IP-Adresse des Routers nicht nur dessen Identität, sondern gleichzeitig auch die Gateway-Adresse für die anderen Netzwerk-Teilnehmer. Bei vielen Routern mit integriertem DNS-Server ist dies auch Adresse für DNS-Anfragen aus dem eigenen Netzwerk. Diese Adressen erhalten die Clients automatisch über DHCP und eine manuelle Konfiguration statische IP-Adressen ist selten nötig. Um die Router-Adresse unter Windows heraus zu finden, öffnen Sie ein Fenster der Eingabeaufforderung und geben dort den Befehl

ein. Traceroute zeigt alle Zwischenstationen (Netzwerk-Hops) zwischen Ihrem PC und unserem Webserver an. Die erste Zwischenstation ist der Router selbst, der sich schön brav mit IP-Adresse meldet. Häufig genutzte Adressen sind 192.168.0.254 oder 192.168.1.254 in einem privaten für C-Klasse-Subnetz von IPv4. Einige Router verwenden gemäß Hersteller-Einstellungen ein A-Klasse-Netz nach dem Schema 10.0.0.0 bis 10.255.255.255. Die übliche Router-Adresse ist hier 10.0.0.138.

2. Portscan auf den Router ansetzen

Welche Dienste der Router im lokalen Netzwerk anbietet, finden Sie mit einem Portscanner heraus. Das mit Abstand bekannteste Programm für diesen Zweck ist der Portscanner Network Mapper – kurz Nmap –  von Gordon Lyon. Das Programm steht unter GNU Public License und steht für viele verschieden Plattformen bereit, auch für Windows. Laden Sie für Windows sich die Installationsdatei nmap-5.51-setup.exe von Nmap 5.51 herunter (15,6 MB) . Doppelklicken Sie auf die EXE-Datei (für Windows NT, 2000, XP, Vista, Windows 7 und Server 2003/2008), um die Installation zu starten. Bei  installiert Nmap nicht nur den eigentlichen Scanner, sondern auch gleich die benötigten WinPcap-Programmbibliothek mit den Treibern für den Zugriff auf die Netzwerkkarte und außerdem noch die grafische Oberfläche Zenmap. Nmap lässt sich jederzeit von der Kommandozeile aus starten, einfacher und übersichtlicher können Sie Nmap aber mit der grafischen Bedienoberfläche Zenmap verwenden:

Geben Sie dort als Ziel die IP-Adresse des Router ein. Wählen Sie im Auswahlmenü hinter Profil die gewünschte Scan-Art, also beispielsweise Quickscan, das für die gängigsten TCP-Ports, was für eine erste Bestandsaufnahmen reichen sollte. Wenn der Router hier nicht antworten will, wählen Sie den Intense Scan. Im darunter liegenden Feld Befehl zeigt Ihnen Zenmap an, wie der korrekte Nmap-Befehl dafür auf der Kommandozeile lautet. Unter Nmap-Ausgabe sehen Sie dann die Ergebnisse des Scans. Auf der Seite Ports/Rechner gibt Nmap die offenen Ports auf dem Router preis.

Ein wichtiger, rechtlicher Hinweis: Scannen Sie nur Ihre eigenen PCs beziehungsweise Ihre eigenen Netzwerke. Scannen Sie keine fremden PCs oder Netzwerke, da dies eine Straftat darstellen könnte, oder erheblichen Ärger mit den Netzwerk-Administratoren einbringen kann.

3. Auf das Web-Frontend zugreifen

Wenn ein Portscan auf dem Router einen Web-Server gefunden hat, etwa auf dem Port 80 (http) oder auf dem Port 443 (https), können Sie versuchen, sich mit dem Browser einfach mal zu verbinden. Geben Sie dazu die Adresse http://[IP des Routers]:80 oder http://[IP des Routers]:433 im Adressfeld des Browsers ein. Wenn sich eine Anmeldemaske zur Eingabe von Login und Passwort meldet, ist dies eine Einladung, hier alle bekannten Standard-Anmeldeinformationen verschiedener Hersteller auszuprobieren. Die meisten Router haben in den Standard-Einstellungen recht simple Login-Daten. Viele Router melden sich hier auch freundlicherweise gleich mit Typenbezeichnung. Diese können Sie dazu nutzen, um im Handbuch des Routers, dass Sie meist der Hersteller-Webseite bekommen, nach den Standard-Logins zu zu suchen. Einige Router bieten im Web-Frontend auch sehr einfach zu findende Sicherheitslücken. Beispielsweise erlaubt der verbreitete 3COM OfficeConnect Router den Zugriff auf das interne Script SaveCfgFile.cgi ganz ohne Anmeldung, um die komplette Konfiguration mit unverschlüsselten Passwörtern im Browser anzuzeigen.  

4. Telnet-Verbindungen zum Router

Einige Router erlauben den Zugang für deren Konfiguration nicht nur über ein Web-Frontend, sondern auch über Telnet. Telnet ist ein altes Protokoll um eine Terminal-basierte Verbindung zu einem Host aufzubauen, um die dort bereitgestellte Shell (Befehlszeile) über das Netzwerk zu nutzen. Der Telnet-Port ist üblicherweise 23, es lohnt sich aber, auch andere Port-Nummern offener Ports auszuprobieren, um zu sehen, ob der Router dort antwortet. Unter Windows nutzen Sie Telnet in der Eingabeaufforderung mit dem Befehl:

Es erfolgt üblicherweise auch hier die Abfrage von Anmeldeinformationen und es lohnt sich, die Standard-Logins der Werkseinstellungen des Routers auszuprobieren.

5. Router mit SSH-Server

Telnet spielt heute nur noch eine untergeordnete Rolle, da das Protokoll unverschlüsselt ist. Einige bessere Router für den professionellen Bereich bieten deshalb nur einen Zugang über SSH an, üblicherweise auf dem Port 22. Um sich unter Windows mit dem SSH-Server des Routers zu verbinden, reichen die Bordmittel leider nicht aus. Sie brauchen einen SSH-Client, etwa den stetsempfehlenswerten, frei verfügbaren Client Putty . Putty läuft unter jeder Windows-Version und es gibt inzwischen auch eine neue 64-Bit-Version. Das Open-Source-Programm unterliegt der MIT License und bietet eine grafische Oberfläche für die Netzwerkdaten.

6. Passwort durch Brute-Force-Angriffe ermitteln

Auch wenn der Router keine Blöße durch Sicherheitslücken zeigt und die Standard-Logins nicht funktionieren, gibt es noch eine Möglichkeit, den Router abzutasten: Sie können den Router mit einem Brute-Force-Angriff auf übliche und schwache Passwörter überprüfen. Eines der mächtigsten Tools dazu ist das Open-Source-Programm THC-Hydra. Das Tools ist ebenfalls aus der Linux-Ecke, kompiliert sich in Cygwin aber auch unter Windows. Hydra hat eine mächtige Befehlszeile mit Regular Expressions, um Login-Dialoge von Webservern und Formulare auf Webseiten mit Anmeldedaten zu bombardieren. Es unterstützt sowohl GET- als auch POST-Requests, unterstützt mehrere Threads und deshalb auch dann recht flott, wenn die Netzwerk-Verbindung langsam ist. Logins und Passwörter übergeben Sie dem Tools als Textdateien. Sie können einen Brute-Force-Scan außerdem auch unterbrechen und später fortsetzen, falls das Tool hier mehrere Stunden zugange sein sollte.

Auch hier darf der rechtliche Hinweis nicht fehlen: Setzen Sie THC-Hydra nur gegen eigene Rechner und Router im eigenen Netzwerk ein, um schwache Passwörter zu finden. Alles andere wäre als Hack-Angriff zu werten und bringt rechtliche Schwierigkeiten, sowie in Firmennetzen unter Umständen eine Abmahnung vom Arbeitgeber ein.