WPS, UPnP & Co.

WLAN-Router sicher einrichten: 7 Tipps

Ihr WLAN-Router ist der Dreh- und Angelpunkt im Heimnetzwerk und deshalb ein beliebtes Angriffsziel. Sorgen Sie dafür, dass das Gerät vor unerwünschten Zugriffen gesichert ist. Wir geben Tipps, für einen sicheren Router und die richtige Konfiguration.

AVM FRITZBox Fon WLAN 7390

© AVM

Der Router - hier eine AVM FRITZBox Fon WLAN 7390 - ist die Zentrale im Heim-WLAN.

Speziell in der Geräteklasse der WLAN-Router für das Heimnetz gab es in der jüngsten Vergangenheit massive Sicherheitsmängel. So gut wie jeder der bekannten Netzwerkhersteller von A wie Asus bis Z wie Zyxel war davon betroffen. Viele dieser Schwachstellen machten die Router über das Internet angreifbar, sodass Kriminelle oder deren Tools per Fernzugriff auf die Benutzereinstellungen des Routers Zugriff bekamen. Dadurch konnten Modem-Router mit integrierter Telefonanlage aus dem Internet übernommen werden, um deren ursprüngliche Telefoneinstellungen zu ändern.

Mittels Anrufweiterleitungen zu kostenpflichtigen Telefondiensten wurden die Anwender – oder deren Provider – auf ziemlich hinterhältige Weise abgezockt. Auf ähnliche Art und Weise lassen sich Router-Einstellungen so verändern, dass der Anwender beim Aufruf einer Online-Bankingseite vom Router auf einen Server der Abzocker geleitet wird. Auch die Firmware eines Routers ließe sich durch eine solche Schwachstelle durch eine manipulierte Firmware ersetzen.

Problematisch zudem: Viele Provider nutzen sogenannte Zwangsrouter mit einer eigenen, leicht abgewandelten Firmware. Selbst wenn der Routerhersteller nach Bekanntwerden einer Sicherheitslücke eine neue, sichere Firmware bereitstellt, müssen die Nutzer des Zwangsrouters oft lange Zeit warten, bis dieses Update auch für ihr Modell freigegeben ist. Doch auch fehlerhafte oder laxe Sicherheitseinstellungen bergen Risiken für den oder die Anwender im Heimnetz. Die folgenden Tipps helfen Ihnen dabei, die größten Gefahrenquellen in Ihrem WLAN-Router einzugrenzen – inklusive der Angriffspunkte, die der WLAN-Access-Point Ihres Routers bietet.

Wir geben 7 Tipps, wie Sie Ihren WLAN-Router sicher einrichten und gegen Gefahrenquellen schützen.

Screenshot

© Weka/ Archiv

Die meisten Routermodelle unterstützen inzwischen automatisierte Firmware-Updates.

Tipp1: Halten Sie die Firmware Ihres WLAN-Routers aktuell

Eigentlich ist ein WLAN-Router nichts anderes als ein hochspezialisierter Computer. Er besitzt ein eigenes Betriebssystem („Firmware“) und übernimmt im Heimnetz immer häufiger Funktionen, die über das klassische Routing oder die Verwaltung des Netzwerks hinausgehen. Moderne Router lassen sich mit einem angesteckten USB-Speicher als NAS (Netzwerkspeicher) verwenden, haben oftmals einen Medienserver integriert oder unterstützen Telefoniefunktionen. Doch mit der Komplexität einer Router-Firmware steigt auch das Risiko für Fehler, die – ähnlich wie bei Windows – durch Sicherheits- Updates behoben werden müssen.

Die Firmware- Updates für Ihren Heimnetz-Router sind mindestens ebenso wichtig, wie die für Ihr Windows-Betriebsystem. Glücklicherweise lassen sich Firmware-Updates bei nahezu allen Routerherstellern sehr einfach durchführen. Sie müssen nur die Browser-Oberfläche des Geräts aufrufen und werden meist schon im Übersichts- oder Statusfenster auf Firmware-Updates hingewiesen. Dieses lässt sich fast automatisch installieren. Mit welcher IP-Adresse oder URL Sie in die Browser-Oberfläche Ihres Routers gelangen, entnehmen Sie dem Handbuch oder der dem Router beiliegenden Schnellstartanleitung.

Screenshot

© Weka/ Archiv

Wer eine Fritzbox als Zweitrouter einsetzen möchte, wählt im Menü Internet/Zugangsdaten der Reihe nach die oben gezeigten Einstellungen.

Tipp 2: Das Problem mit Zwangsroutern – und wie es sich umgehen lässt

Einige Provider pochen darauf, dass ihre Kunden nur den vom Provider bereitgestellten Modemrouter nutzen. Da diese über speziell präparierte Firmware- Einstellungen verfügen, kann der Kunde keinen eigenen Router an seinem Anschluss verwenden, da sich mit diesem keine Online-Verbindung herstellen lässt. Auch die Firmware-Updates werden automatisch vom Provider eingespielt, der Kunde selbst kann keine Updates des Routerherstellers durchführen. Stellt der Routerhersteller ein Sicherheits-Update bereit, das eine eklatante Schwachstelle im Gerät behebt, so kann es oft mehrere Wochen dauern, bis der Provider die neue, wiederum angepasste Firmware an die Kundengeräte weitergibt.

Wer sich dieser Gefahr nicht aussetzen möchte und selbst über das im Heimnetz verwendete Routermodell entscheiden möchte, hat verschiedene Möglichkeiten. Der Kunde kann den Provider wechseln, sofern es vor Ort alternative Anbieter ohne Routerzwang gibt. Oder er bastelt sich eine Router- Kaskade (siehe unten), indem er seinen Wunsch router hinter den Zwangsrouter des Providers schaltet. Mit zwei hintereinandergeschalteten Routern setzen Sie das Risiko für einen Angriff aus dem Internet herab.

Screenshot

© Weka/ Archiv

Jede Portweiterleitung reißt ein kleines Loch in die Firewall des Routers.

Tipp 3: Risiko Router-Fernzugriff

Sofern Sie nicht unbedingt von außen auf Ihren Router zugreifen möchten, zum Beispiel wenn Sie unterwegs oder im Urlaub sind, sollten Sie die Funktion Fernzugriff in den Router-Einstellungen deaktivieren.

Falls Sie diese Funktion dennoch dringend benötigen, so aktivieren Sie die Option HTTPS, dann läuft die Verbindung zum Webmenü des Routers über eine verschlüsselte Verbindung und die Zugangsdaten zu Ihrem Router nicht im Klartext durchs Internet.

Tipp 4:  Risiko: Fernzugriff über Portweiterleitungen oder -freigaben

Ein weiteres Problem sind sogenannte Portweiterleitungen, welche den Zugriff von außen auf bestimmte Geräte, wie zum Beispiel eine NAS oder eine IP-Kamera, ermöglichen. Grundsätzlich blockt die Firewall in Ihrem Router alle Verbindungsversuche aus dem Internet in Ihr Heimnetz rigoros ab. Ist jedoch eine Portweiterleitung eingerichtet, lässt der Router bestimmte Anfragen von außen passieren und leitet diese an das in der Portweiterleitung angegebene Gerät im Heimnetz weiter. Solche Portweiterleitungen sind wie kleine Löcher im Schutzschirm der Router-Firewall.

Screenshot

© Weka/ Archiv

Der Fernzugriff auf Heimnetzgeräte (hier: NAS) via Browser sollte nur über das verschlüsselte HTTPS-Protokoll erfolgen.

Die Verbindung zu dem Gerät in Ihrem Heimnetz sollte wenigstens durch HTTPS oder besser noch durch eine VPN-Verbindung, auch VPN-„Tunnel“ genannt, abgesichert sein. Wem das zu kompliziert ist, sollte erst gar keine Portweiterleitungen einrichten. Inzwischen bieten viele Hersteller von NAS-Modellen, IP-Kameras und anderen Geräten, die per Fernzugriff erreicht werden sollen, eigene Dienste, für die man keine Portweiterleitung am Router mehr benötigt.

Tipp 5: UPnP im Router deaktivieren

Ihr Router kann übrigens auch ohne explizit eingetragene Portfreigaben Anfragen von außen durch seine Firewall durchleiten – wenn Sie in Ihrem Router die UPnP-Unterstützung aktivieren. Das UPnP-Protokoll (Universal Plug and Play) ermöglicht es, dass sich Geräte im Netzwerk auf Anhieb verstehen und bestimmte Funktionen automatisch ablaufen können, ohne dass der Anwender hier zusätzliche Eingaben tätigen muss. In diesem Fall kann beispielsweise Ihre NAS, Ihre IP-Kamera oder auch Ihr Smart-TV über UPnP den Router anweisen, bestimmte eingehende Verbindungsanfragen einfach durchzulassen.

Der Haken daran: Ist in Ihrem Router UPnP aktiviert, so kann dann jedes beliebige Gerät und auch jede Software im Heimnetz den Router nach Belieben konfigurieren – oder zumindest anweisen, bestimmte Ports in der Firewall als Einfallstore für Angriffe einfach offen zu lassen.

Lesetipp

image.jpg
Galerie
Top 5

Wir stellen Ihnen die besten Router vor, die bereits den neuen WLAN-Standard 802.11ac unterstützen.

So komfortabel die UPnP-Methode auch ist: Sie birgt immer die Gefahr, dass irgendeine schädliche Anwendung auf irgendeinem Gerät in Ihrem Heimnetz (PC, Notebook, Smartphone,...) den Router für gezielte Angriffe aus dem Internet verwundbar macht. Deshalb sollten Sie das UPnP-Protokoll an Ihrem Router grundsätzlich deaktivieren. Falls Sie die Einstellung im Webmenü Ihres Routers nicht finden können, hilft eventuell eine Suche in der Online-Hilfe oder in deren Stichwortverzeichnis.

ACHTUNG: Mit Ausnahme einiger weniger Hersteller ist UPnP in fast jedem Heimnetz-Router ab Werk aktiviert!

Tipp 6: WLAN absichern

Das zweite Einfallstor für mögliche Angriffe auf Ihren Router und die daran angeschlossenen Gerät ist die WLAN-Schnittstelle. Mittelerweile kommen alle WLAN-Router mit individuell vorverschlüsseltem WLAN in den Handel. Wer ganz sicher gehen möchte, kann hier dennoch ein eigenes WPA2-Passwort vergeben. Dieses sollte nicht im Wörterbuch stehen (je sinnloser desto besser), mindestens 16-stellig sein und aus Ziffern, Groß- und Kleinbuchstaben bestehen. Nutzen Sie für Ihre Gäste das vom eigenen Netzwerk abgetrennte Gäste-WLAN.

Screenshot

© Weka/ Archiv

Die UPnP-Unterstützung ist vornehmlich in Routern für den Heimnetz-Bereich integriert und sollte aus Gründen der Sicherheit nach außen unbedingt deaktiviert werden.

Auch dieses sollten Sie verschlüsseln und nur bei Bedarf aktivieren. Dasselbe gilt übrigens auch für das „normale“ WLAN: Schalten sie es aus, wenn Sie für mehrere Tage in den Urlaub fahren oder lassen Sie das WLAN über Nacht, wenn es nicht benötigt wird, automatisch ausschalten. Viele Router besitzen hierzu eine entsprechende Zeitschaltung.

ACHTUNG: Das vorübergehende Abschalten macht natürlich keinen Sinn, falls eine oder mehrere IP-Kameras per WLAN mit dem Router verbunden sind – und Sie in Abwesenheit darauf zugreifen möchten.

Lesetipp

WLAN einrichten mit WPS
WLAN einrichten

Verbinden Sie WLAN-Router mit Smartphone, Smart TV, Drucker und anderen Geräten. Wie Sie mit WPS und Co. Ihr WLAN sicher einrichten.

Tipp 7: Vorsicht bei der WPS-Funktion

Die WPS-Funktion per PIN oder Knopfdruck erleichtert das Einbinden eines neuen WLAN-Geräts ins Heimnetz ungemein. Aufgrund einer verbreiteten WPS-Sicherheitslücke sollten Sie das WLAN Ihres Routers so einstellen, dass es nur die WPS-PBC-Methode unterstützt. Ansonsten aktivieren Sie WPS nur, wenn Sie ein neues Gerät ins WLAN einbinden möchten.

Mehr zum Thema

Die 5 besten Router mit WLAN 802.11ac
Kaufberatung

Wir stellen Ihnen in unserer Kaufberatung die fünf besten Router vor, die bereits den neuen WLAN-Standard 802.11ac unterstützen.
WLAN-Router von D-Link
WLAN knacken

WLAN-Router von D-Link haben eine Schwachstelle im WPS-Algorithmus. Damit können sich Angreifer leicht in ein fremdes Drahtlosnetzwerk einklinken.
Netgear-Router
Schwere Sicherheitslücke

Besitzer bestimmter Netgear-Router sollten die Fernwartung deaktivieren. Ein Fehler in einer Schnittstelle erlaubt einen unautorisierten Zugriff via…
WLAN-AC nachrüsten
WiFi-Ratgeber

Sie wollen Ihr WLAN schneller machen? Rüsten Sie Ihr Heimnetz auf AC-WLAN auf. Wir zeigen, wie Sie das günstig und mit wenig Aufwand schaffen.
TP-Link TL-WA850RE
TP-Link TL-WA850RE

Wer einen WLAN Repeater kaufen möchte, sollte einen Blick in die Amazon-Blitzangebote werfen. Es wartet ein gutes Angebot von TP-Link.