Konfiguration, Port-Tests und Zonierung

Fritzbox sicher machen: Konfiguration, Tests und Kaskade

Die Anzahl möglicher Sicherheitslücken im Heimnetz steigt mit der Anzahl der Geräte. Sichern Sie Ihren Router, testen Sie Ihr Heimnetz auf Schwachstellen und teilen Sie es in zwei Zonen auf. Wir geben Tipps, wie Sie Ihre Fritzbox sicher machen.

fritzbox sicher machen

© AVM

Unsere Tipps verraten, wie Sie Ihr Netzwerk samt Fritzbox sicher machen.

Dass PCs, Notebooks und Smartphones entsprechend gesichert sind, setzen wir voraus. Immer häufiger wird aber der Router zum Angriffsziel im Heimnetz. Deshalb erfahren Sie im ersten Teil unseres Artikels, worauf Sie bei der Konfiguration einer aktuellen Fritzbox, Deutschlands beliebtesten All-in-One-Router, besonders achten sollten. Tatsächlich stellt jedes beliebige Gerät, das per Kabel oder WLAN an Ihr Heimnetz angebunden ist, eine mögliches Angriffsziel dar. Und die Anzahl der netzwerkfähigen Geräte wächst.

Unsichere Heimnetzgeräte

Neben Router, Notebook, NAS oder Access Point sind inzwischen auch Multimediageräte wie Smart-TVs, IP-Kameras oder (Spiele-)Konsolen sowie diverse Smart-Home-Installationen fester Bestandteil vieler Heimnetzwerke. Letztere sollen laut einer aktuellen Erhebung von Statista.de schon bald in jedem dritten Haushalt zum Einsatz kommen.

Kunden sind dabei immer auf die Bereitschaft des Herstellers angewiesen, in die Produktsicherheit zu investieren – und zwar nicht nur in der Entwicklungsphase. Denn viele Sicherheitslücken kommen erst zum Vorschein, wenn die Geräte längst beim Kunden im Einsatz sind. Leider zeigt die Erfahrung, dass das Schließen von Sicherheitslücken von manchen Herstellern eher nachlässig betrieben wird. Verschiedene Diagnose- und Scan-Tools, auf die wir im mittleren Teil dieses Artikels eingehen, helfen Ihnen dabei, Geräte mit möglichen Schwachstellen ausfindig zu machen.

Am Ende des Artikels beschreiben wir eine Möglichkeit, wie Sie Ihr Heimnetz mit wenig (oder gar keinem) Investitionsaufwand per Routerkaskade segmentieren. Damit lassen sich Geräte, die Sie besonders schützen wollen, in ein Subnetz verschieben, das durch die Firewall eines zweiten Routersvon den Geräten im Hauptnetzwerk geschützt ist.

Grundlegende Sicherheitseinstellungen

Doch zunächst zu den grundlegenden Sicherheitseinstellungen. Jede Fritzbox kommt inzwischen mit einem voreingestellten Zugangspasswort und einem vorverschlüsselten WPA2-Passwort. Ersetzen Sie diese Vorgaben grundsätzlich durch eigene Passwörter. Denn inzwischen weiß jedes Kind (Eltern sollten diesen Hinweis übrigens wörtlich nehmen), dass die werksseitigen Zugangsdaten auf der Unterseite der Fritzbox abgedruckt sind.

fritzbox 2fa einrichten

© AVM / Screenshot: PC Magazin

Unter System/Fritzbox-Benutzer/Anmeldung im Heimnetz legt man fest, ob die Fritzbox bei sicherheitsrelevanten Einstellungsänderungen nach einer zusätzlichen Aktion oder Authentifikation verlangt.

Und was den Zugang auf die Fritzbox-Oberfläche anbelangt: Stellen Sie diesen gleich unter System/Fritzbox-Benutzer/Anmeldung im Heimnetz auf die Option Anmeldung mit Fritzbox-Benutzernamen und Kennwort um. Nur so können Sie die sichere Zugriffsverwaltung der Fritzbox sinnvoll nützen. Denn wer zum Beispiel den Fernzugriff auf die Fritzbox nutzen möchte, sollte sich dafür einen speziellen Fritzbox-Benutzer mit einem abweichenden, besonders sicheren, Zugangskennwort anlegen.

Falls Sie den Fernzugriff nur vorübergehend benötigen, beispielsweise im Urlaub, lässt sich das entsprechende Benutzerkonto bis zur nächsten Reise einfach deaktivieren. Ist der Fernzugriff aktiviert, sollten Sie sich per Push Service benachrichtigen lassen, wenn sich jemand an der Benutzeroberfläche der Fritzbox anmeldet. Die entsprechende Einstellung finden Sie unter System/Push Service/Push Services, wenn Sie unten in der Liste auf das Bearbeiten-Symbol von Änderungsnotiz klicken.

Das klappt allerdings nur, wenn Sie zuvor den Push Service durch ein gültiges Mailkonto aktiviert haben. Natürlich bekommen Sie dann auch immer eine Nachricht, wenn Sie sich gerade selbst bei der Fritzbox angemeldet haben.

fritzbox push service aenderungen

© AVM / Screenshot: PC Magazin

In den Details des Push Services Änderungsnotiz können Sie sich über jede erfolgte Anmeldung an der Fritzbox-Benutzeroberfläche per Mail benachrichtigen lassen.

HTTPS-Standardport ändern

Außerdem kann es durchaus sinnvoll sein, den HTTPS-Standardport 443 für den Fernzugriff auf die Fritzbox abzuändern, zum Beispiel auf einen Nicht-Standard-Port aus dem Bereich zwischen 1.024 und 65.535. Damit nehmen Sie die Fritzbox bereits für viele Angreifer aus der Schusslinie, wenn diese nur nach bestimmten Standardports scannen. Beachten Sie jedoch, dass Sie beim Fernzugriff über MyFritz (oder über einen alternativen DynDNS-Dienst) immer die geänderte Portnummer an die Webadresse der Fritzbox hängen müssen.

Wer sowieso nie von außerhalb auf seine Fritzbox zugreift, lässt den Fernzugriff am besten bei jedem Benutzer deaktiviert. Wer den Fernzugriff grundsätzlich abschalten möchte, findet die entsprechende Einstellung unter Internet/Freigaben/Fritzbox-Dienste, indem man beide Häkchen im Bereich Internetzugriff deaktiviert lässt.

Darüber hinaus ist es ratsam, sich über den Push Service Fritzbox-Info mindestens wöchentlich eine Statistik zur Online-Zeit und ein Ereignisprotokoll senden zu lassen. Die darin enthaltenen Infos können wertvolle Hinweise liefern, wenn in Ihrem Heimnetz ungewöhnliche Dinge passieren.

Mehr lesen

Router Sicher machen
WPS, Fernzugang und Co.

Die Sicherheit im Heimnetz hängt stark von der Konfiguration Ihres Routers ab. Mit unseren 10 Tipps sind Sie und Ihr Router auf der sicheren Seite.

Feinheiten: Client-bezogenes UPnP und Ping-Blocks

Spielekonsolen oder NAS-Geräte mit Streamingfunktionen nutzen häufig UPnP, um damit die Portfreigabe des Routers steuern zu können. In den Einstellungen der meisten Heimnetz-Router können Sie UPnP nur für alle Clients im Heimnetz freigeben. Das ist sicherheitstechnisch äußerst bedenklich, denn auch Malware könnte dann über UPnP einfach beliebige Ports in der Router-Firewall öffnen. Deshalb sollte man UPnP in solchen Routern unbedingt sperren.

Im Gegensatz dazu bietet die Fritzbox bezüglich UPnP einen (Sicherheits-)Vorteil: Hier können Sie unter Heimnetz/Netzwerk/Netzwerkverbindungen dem gewünschten Client explizit die Berechtigung für UPnP erteilen, so dass nur dieser Client die Firewall der Fritzbox anpassen darf. Dazu öffnen Sie die Einstellungen des Clients und aktivieren die Option Selbstständige Portfreigaben für dieses Gerät erlauben.

Zudem können Sie die Fritzbox nun auch in einen Stealth-Modus versetzen, so dass der Router nicht mehr auf Anfragen oder Port-Scans aus dem Internet antwortet. Der Stealth-Modus lässt sich im Fritzbox-Menü unter Internet/Filter/Listen im Bereich Globale Filtereinstellungen aktivieren.

fritzbox benutzer rechte

© AVM / Screenshot: PC Magazin

Dieser Benutzer erhält nur die Berechtigung zur telefonischen Nutzung der Fritzbox (FritzApp Fon, AB abhören ...), darf aber nicht ins Routermenü, keine Smart-Home-Funktionen nutzen und nicht auf die Inhalte der FritzNAS zugreifen.

Fritzbox: Besondere Sicherheitsfunktionen

Inzwischen besitzt jeder aktuelle Heimnetz-Router ein Mindestmaß an Sicherheitsvor-kehrungen. Die folgenden Funktionen zeichnen insbesondere die Fritzbox aus.

  • Sicherheitsrelevante Updates kann die Fritzbox inzwischen vollautomatisch durchführen, sobald diese auf dem AVM- Server bereit stehen. Der Anwender muss dazu nicht einmal ins Routermenü.
  • Ein weiteres, wohl durchdachtes Sicherheitskonzept in der Fritzbox ist die Mög-lichkeit, verschiedene Benutzerkonten mit unterschiedlichen Berechtigungen einzurichten. So kann in der Familie trotzdem jeder die FritzApp Fon am Smartphone nutzen oder Smart-Home-Geräte steuern, ohne gleich Zugriff auf das Routermenü zu erhalten.
  • Mit der Client-bezogenen UPnP-Freigabe wird die Gefahr herabgesetzt, dass beliebige Malware im Heimnetz über UPnP Ports in der Router-Firewall öffnet.

Weiterlesen: Auf der nächsten Seite erklären wir, mit welchen Gratis-Tools Sie Ihr Netzwerk auf Schwachstellen prüfen können.

Mehr zum Thema

Telekom und Powerline: Es gibt Neues zum Fritzbox-Hack, weitere Router sind betroffen.
Fritzbox-Hack

Die Sicherheitslücke rund um den Fritzbox-Hack ist auch in Telekom Speedport Routern und Powerline-Geräten vorhanden.
Fritzbox 7490 Update Fritzos 6.80
Neue Router-Firmware

Für die Fritzbox 7490 veröffentlicht AVM das Update auf FritzOS 6.80 - mit WLAN-Boost, besserem Gastzugang und mehr. Wir erklären alle Änderungen.
Fritzbox AVM Funkkanaleinstellungen
AVM-Router

Die AVM Fritzbox verfügt seit dem Update auf FritzOS 6.90 über noch mehr Funktionen. Wir geben Ihnen Tipps zum Router und der aktuellen Firmware.
fritzos 7 fritzbox update
Alle Infos zum Download

AVM rollt seine neue Router-Software Fritz OS 7 für weitere Fritzbox-Modelle aus. Das Update steht nun für die Fritzbox 4040, 7530 und 7560 bereit.
DSL-Router, AVM Fritz!Box 7490
Betriebssystem-Update für den Router

AVM stellt das Update auf Fritz OS 7 für die Fritzbox 7430 und 7590 bereit. Neuerungen gibt's für die Smart-Home-Unterstützung und das Mesh-WLAN.