Sicherheit im Heimnetzwerk

UPnP: Router auf Sicherheitslücken testen

UPnP (Universal Plug and Play) kann in vielen Routern zur Sicherheitslücke werden. So prüfen Sie Ihren Router auf potenzielle Lecks.

AVM FRITZBox Fon WLAN 7390

© AVM

Ist ihr Router sicher? Testen Sie es!

Auch ohne Portfreigaben kann ein Router Anfragen von außen durch eine Firewall durchleiten: via UPnP. Dsa Protokoll ermöglicht es, dass sich Geräte im Netzwerk auf Anhieb verstehen und bestimmte Funktionen automatisch ablaufen können, ohne dass der Anwender hier zusätzliche Eingaben tätigen muss. In diesem Fall kann beispielsweise Ihre NAS, Ihre IP-Kamera oder auch Ihr Smart-TV über UPnP den Router anweisen, bestimmte eingehende Verbindungsanfragen einfach durchzulassen. Der Haken daran: Ist in Ihrem Router UPnP aktiviert, so kann dann jedes beliebige Gerät und auch jede Software im Heimnetz den Router nach Belieben konfigurieren – oder zumindest anweisen, bestimmte Ports in der Firewall als Einfallstore für Angriffe einfach offen zu lassen.

Lesetipp: WLAN-Router sicher einrichten

So komfortabel die UPnP-Methode auch ist: Sie birgt immer die Gefahr, dass irgendeine schädliche Anwendung auf irgendeinem Gerät in Ihrem Heimnetz (PC, Notebook, Smartphone,...) den Router für gezielte Angriffe aus dem Internet verwundbar macht. Deshalb sollten Sie das UPnP-Protokoll an Ihrem Router grundsätzlich deaktivieren. Falls Sie die Einstellung im Webmenü Ihres Routers nicht finden können, hilft eventuell eine Suche in der Online-Hilfe oder in deren Stichwortverzeichnis.

ACHTUNG: Mit Ausnahme einiger weniger Hersteller ist UPnP in fast jedem Heimnetz-Router ab Werk aktiviert!

UPnP: Ist mein Router gefährdet?

Rapid7: Scan my Router

© Rapid7

Sie können Ihren Router einfach online prüfen lassen.

Das UPnP-Protokoll im Router lässt sich sogar für Angriffe aus dem Internet missbrauchen und ermöglicht im schlimmsten Fall die komplette Übernahme des Routers aus der Ferne. Das Sicherheitsunternehmen Rapid7 bietet hierzu einen kostenlosen Online-Scan an, mit dem Sie rasch feststellen können, ob Ihr Router von außen über UPnP angreifbar ist.

Fehlerhaftes UPnP online checken

Scrollen Sie die Seite bis ganz nach unten. Klicken Sie auf die orangene Schaltfläche „Scan My Router“ und der Online-Scan startet. Ist alles in Ordnung, so erscheint nach spätestens 30 Sekunden die Meldung „Congratulations! Your router did not respond to a UPnP discovery request".

Bitte beachten Sie: Der Online-Scan funktioniert nur bei Internetanschlüssen, die noch über eine echte IPv4-Adresse verfügen. Viele Kabelnetz- oder VDSL-Kunden mit einem DS-Lite-Anschluss sind jedoch nicht mehr über IPv4 erreichbar, sondern nur noch über das neue IPv6-Protokoll. In einem solchen Fall scannt der Rapid7-Check dann die IPv4-Adresse eines vorgeschalteten Gateways Ihres Providers – und eben nicht die Ihres Routers.

Fehlerhaftes UPnP per Tool checken

Damit Sie eine fehlerhafte und aktivierte UPnP-Version auch innerhalb Ihres Heimnetzes ermitteln können, bietet Rapid7 das Tool „ScanNow for UPnP“ an. Sie finden das Tool auch auf der Heft-DVD der PCgo 10/2015 im Tool-Paket unter „Software/Tool-Pakete/WLAN Security Pack“.

Nach dem Start setzen Sie links unten ein Häkchen und gehen auf Next. Tragen Sie im folgenden Formular in jedes Feld etwas ein und klicken Sie auf Submit. Danach gehen Sie auf Next und starten den Scan Ihres Heimnetzes. Im Ergebnis unter „Overview of Results“ sollte unter „Exploitable“ eine „0“ (Null) erscheinen.

Mehr zum Thema

WLAN-Router von D-Link
WLAN knacken

WLAN-Router von D-Link haben eine Schwachstelle im WPS-Algorithmus. Damit können sich Angreifer leicht in ein fremdes Drahtlosnetzwerk einklinken.
Netgear-Router
Schwere Sicherheitslücke

Besitzer bestimmter Netgear-Router sollten die Fernwartung deaktivieren. Ein Fehler in einer Schnittstelle erlaubt einen unautorisierten Zugriff via…
Symbolbild Internetsicherheit
Schwerwiegende Sicherheitslücke

Besitzer eines Netgear-Routers wurden möglicherweise gehackt. Die verantwortliche Sicherheitslücke ist dem Unternehmen bereits seit Monaten bekannt.
AVM FRITZBox - MWC 2016
MWC 2016

AVM präsentiert auf dem MWC 2016 neue Fritzbox-Router. Diese sollen zum Release für den kommenden Sprung auf VDSL gerüstet sein.
Archer VR900v Lifestyle
DSL und Kabelinternet

Der WLAN-Router ist das Einfallstor für Cyberkriminelle in Ihr Heimnetzwerk. Wir zeigen, wie Sie DSL- und Kabel-Router absichern können.