Schon ganz dicht?

Router-Sicherheit: Lancom und Netgear im Check

Lancom 1781VAW

© Lancom

Der Lancom 1781VAW.

Lancom 1781 VAW

Einziger Router mit einem proprietären System im Test ist Lancoms 1781VAW. Mit einem Preis von ca. 600 Euro richtet sich Lancoms Router vor allem an professionelle Nutzer, welche von der Netzvirtualisierung zur Trennung und Absicherung, von fünf gleichzeitigen IPSec-VPN-Kanälen oder der Nutzung als ISDN-VoIP-Gateway profitieren können. Von professionellen Nutzern erwartet Lancom auch die Lektüre des Benutzerhandbuches, bevor das Gerät ins Netzwerk übernommen wird, so sind neben dem Webinterface sowohl SSH als auch das veraltete Telnet ohne Passwort erreichbar und können dazu genutzt werden, den Router zu konfigurieren, heimlich VPN-Tunnel hinzuzufügen oder Portweiterleitungen einzurichten! Die Einrichtung sollte daher auf jeden Fall mit einer 1:1-Verbindung zwischen PC und Router erfolgen.

Lancom-Benutzeroberfläche

© PC Magazin

Die Lancom-Benutzeroberfläche für den Router.

Prüfen Sie nach der Einrichtung, ob ein Telnet-Login ohne Passwort möglich ist. Haben Sie eines gesetzt, können Sie im Security Wizard gezielt festlegen, über welche Schnittstellen die Konfiguration erfolgen kann, beispielsweise können Sie die Konfiguration via WLAN komplett untersagen. Daneben erlaubt Lancom die Sperre der Konfiguration für einige Minuten nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche. Für Administratoren positiv: Mit der Möglichkeit, SSH Public Keys zu hinterlegen, kann Mitarbeitern Zugriff auf die Management-Konsole gegeben werden, ohne das Login-Passwort herausrücken zu müssen. Bis auf den werksseitig offenen Telnet-Zugang gibt es keine groben Schnitzer: Unnötige Dienste sind keine angeschaltet, nicht einmal WLAN ist aktiv. Allerdings richtet sich das Konfigurations-Frontend, das nach Protokollen statt nach Aufgaben gliedert, eindeutig an erfahrene Administratoren: Wer nicht täglich mit Netzwerken zu tun hat, übersieht leicht etwas, Updates müssen manuell installiert werden. Für Privatanwender ist Lancom daher nur sehr bedingt zu empfehlen.

Netgear AC1900 R7100 LG​

Netgear AC1900 R7100 LG

© Netgear

Der Netgear AC1900 R7100 LG

Die LTE-Variante aus Netgears Nighthawk-Reihe versucht mit seiner schnellen USB-3.0-Schnittstelle und WLAN mit maximalen Bruttodatenraten bis 1.300 MBit/s als Medienzuspieler (unter anderem für Tivo und UPnP-fähige Fernseher) zu punkten. Zudem soll die angeschlossene Festplatte als Cloudspeicher (Readycloud) von außen zugreifbar sein (sinnvoller bei der Internetverbindung via Kabelmodem), und Netgear bietet Time-Machine-Kompatibilität und mit Readyshare Vault eine Backup-Lösung für Windows. Das Login am Router ist unter der IP-Adresse 192.168.1.1 mit dem Nutzernamen admin und dem Passwort passwort möglich. Immerhin: Passwörter werden per HTTP-Auth abgefragt und damit relativ sicher übertragen. Wegen der unsicheren Standardeinstellung sollte die Ersteinrichtung ebenfalls 1:1 stattfinden, dabei kann hier WLAN mit der auf dem Boden aufgedruckten SSID (wovon es wohl 100 verschiedene gibt, was in Umgebungen mit vielen Netzen hilft, das eigene zu finden) und einem kreativ erzeugten Pre Shared Key genutzt werden: Unserer lautete elegantbreeze370. Das Muster <Adjektiv><Substantiv><dreistellige Zahl> verspricht bereits bei 100 Adjektiven und 100 Substantiven (die man erst mal kennen muss) 10 Millionen Kombinationen – und noisyunicorn117 ist leichter zu merken als 25638971117.

Netgear-Benutzeroberfläche

© PC Magazin

Netgear-Benutzeroberfläche

Die Time-Machine-Unterstützung dürfte erklären, warum das Apple File Protocol vorhanden ist, nicht jedoch, dass es unmittelbar nach dem Start des Routers aktiv ist. Leider haben wir keine Möglichkeit gefunden, es abzuschalten. Gleiches gilt für das Internet Printing Protocol: Auch ohne angeschlossene Drucker ist es aktiv, ebenso UPnP Mediensharing. Einen groben Schnitzer leistet sich Netgear in der Konfiguration des Gast-WLANs mit dem Vorschlag, einen unverschlüsselten Accesspoint aufzusetzen. Ohne Einschränkungen hinsichtlich erlaubter Ports, beanspruchter Bandbreite und gleichzeitiger TCP-Verbindungen erhöht sie das Abmahnrisiko durch „Trittbrettsurfer“ enorm, zudem können nicht per zusätzlicher Verschlüsselung geschützte Daten leicht ausgelesen werden. Bei vorhandener Internetverbindung werden beim Login eventuell vorhandene Updates angezeigt.

Mehr zum Thema

Fritzbox 7590 im Test
Fritz im schicken Frack

89,0%
AVM verpasst seinem neuen Flaggschiff, der Fritzbox 7590, ein modernes Outfit. Auch die inneren Werte des Routers können…
Fritzbox 7560: Release & Preis
WLAN-Router Update

Das Fritz OS 6.90 Update für die Fritzbox 7560 und 7580 bereit. AVM-Updates für Fritzbox 7590 und 7490 folgen später im September. Das bringt's!
KRACK WPA2 Attacke WLAN Unsicher
Verschlüsselung geknackt

Forscher haben eine Schwachstelle in der WLAN-Verschlüsselung WPA2 entdeckt. Die KRACK getaufte Sicherheitslücke betrifft alle WLAN-Geräte.
KRACK Attacke WPA2
WLAN-Verschlüsselung geknackt

Microsoft hat WPA2 in Windows bereits gepatcht, andere ziehen nach: Wir beantworten die wichtigsten Fragen zur WLAN-Sicherheitslücke KRACK.
KRACK Update AVM FRITZPowerline 1260E FRITZWLANRepeater1750E
Neue Firmware für Repeater 1750E und Powerline…

AVM rollt für für WLAN-Repeater und Powerline-WLAN-Produkte erste Firmware-Updates gegen die WPA2-Schwachstelle KRACK aus. Hier alle Infos.