DSL und Kabelinternet

Heißes Eisen: UPnP

23.3.2016 von Mattias Schlenker

ca. 2:05 Min
Ratgeber
VG Wort Pixel
  1. WLAN-Router absichern - so geht's
  2. Firmware-Updates: immer frisch!
  3. Router: Standard-Login ändern
  4. WLAN-Passwort ändern
  5. WLAN verstecken?
  6. WPS: Knopf, PIN und NFC
  7. MAC-Adressen beschränken?
  8. Wer darf mit wem?
  9. Heißes Eisen: UPnP
  10. Einstellungen regelmäßig prüfen
  11. WLAN-Router absichern: Checkliste
  12. Netzwerk physikalisch absichern
  13. Kein Firmware-Upgrade erhältlich?

Viele Dinge, die das Leben vereinfachen sollen, stellen sich im Nachhinein oft als Fehler epischen Ausmaßes heraus. Ganz oben in der Liste des Autors steht UPnP (Universal Plug and Play). Dabei handelt es sich nicht um ein einziges Protokoll, sondern um ein Bündel von Protokollen, das verschiedenste Ports, Multicast-Adressen und skurille Protokolle wie HTTP over UDP umfasst. Entsprechend schwer ist UPnP per Firewall beizukommen.

Im Heimnetz hat UPnP mehrere Funktionen: Multifunktionsgeräte und Drucker annoncieren über UPnP ihre Dienste und liefern Hinweise zum Treiberdownload, was die Einrichtung deutlich erleichtert. UPnP bringt Medienserver (beispielsweise Fritzbox), Medienabspielgerät (Smart TV oder Settop-Box) und Control Point (beispielsweise eine Tablet-App) zusammen - auch das ist positiv.

Lesetipp: Fritzbox – UPNP-Server aktivieren

Ein gewaltiges Sicherheitsrisiko ist jedoch die Möglichkeit, Änderungen an der Routerkonfiguration durch UPnP vorzunehmen. Die Liste an Geräten und Programmen, die sich auf diese Weise aus dem Internet erreichbar machen wollen, ist lang: Bei Chat- oder Filesharing-Programmen ist es nachvollziehbar, doch so manche IP-Webcam möchte ihren HTTP-Port freigeben. Uns sind auch schon PVR-Applikationen (Videorecorder) untergekommen, die ihre Aufnahmen per Portfreigabe Smartphone-Apps bereitstellen. Und so mancher Druckerhersteller macht nicht ganz uneigennützig Foto-Tintenstrahler übers Internet erreichbar, damit man das neueste Selfie dem Liebsten nicht per Mail schicken muss, sondern direkt auf dem Drucker im Home-Office ausdrucken kann.

Screenshot WPA2/PSK
Stellen Sie die WLAN-Verschlüsselung auf WPA2/PSK, sind ältere Geräte im Netz: WPA/WPA2 Mixed Mode.
© Weka/ Archiv

Bei der Änderungsmöglichkeit per UPnP gibt es zwei Probleme: Zum einen kann ein Dienst oder Endgerät falsch konfiguriert sein oder eine Sicherheitslücke enthalten. Das war der Fall bei besagten Maginon-Webcams bei Aldi, die mit der ausgelieferten Standard-Firmware die UPnP-Portweiterleitung auch zuließen, wenn kein Passwort gesetzt war. Zum anderen ist ein zweites Problem der direkte Missbrauch durch Schadsoftware: Stellen Sie sich einfach einen Spambot vor, der einen bestimmten Port nach außen öffnet, über den er Adresslisten und Nachrichteninhalte entgegennimmt. Was für eine großartige Arbeitserleichterung für Spammer, die so nicht auf (verwundbare) Master-Knoten angewiesen sind, die schnell aus dem Netz verschwinden können! Stellen Sie daher sicher, dass UPnP nur zur Statusabfrage benutzt werden kann, lassen Sie jedoch nicht zu, Ports über dieses Protokoll zu öffnen. Dies garantiert, dass zwar legitime Anwendungen von außen erreichbar sind, aber keine böswillige oder versehentliche Öffnung von Ports erfolgt.

Lesetipp: WLAN schneller machen – so geht’s

Ein wenig besser als bei UPnP sieht es mit NAT-PMP (Network Adress Translation Port Mapping Protocol) und dessen Nachfolger PCP (Port Control Protocol) aus: Diese verwenden den UDP-Port 5351. Wer auf automatisches Portmapping durch einige Endgeräte oder Programme angewiesen ist, kann bei Routern mit fein granulierter Firewall-Konfiguration PCP generell verbieten, aber für einzelne Rechner öffnen.

Mehr lesen

Chronologische Liste und Netflix-Links

Marvel-Filme- und -Serien: Das ist die richtige Reihenfolge

Neuerscheinungen in der Übersicht

Netflix: Neue Filme und Serien

Vorschau auf Film- und Serien-Highlights

Amazon Prime Video: Neuheiten

Weiter zur Startseite  

Mehr zum Thema

AVM FRITZBox Fon WLAN 7390

Sicherheit im Heimnetzwerk

UPnP: Router auf Sicherheitslücken testen

UPnP (Universal Plug and Play) kann in vielen Routern zur Sicherheitslücke werden. So prüfen Sie Ihren Router auf potenzielle Lecks.

AVM FRITZBox - MWC 2016

MWC 2016

AVM stellt neue Fritzbox-Router mit VDSL-Technologie vor

AVM präsentiert auf dem MWC 2016 neue Fritzbox-Router. Diese sollen zum Release für den kommenden Sprung auf VDSL gerüstet sein.

Fritzbox 7490 Update Fritzos 6.80

Neue Router-Firmware

Fritzbox 7490 Update: FritzOS 6.80 bringt neue Features

Für die Fritzbox 7490 veröffentlicht AVM das Update auf FritzOS 6.80 - mit WLAN-Boost, besserem Gastzugang und mehr. Wir erklären alle Änderungen.

Fritzbox 7560: Release & Preis

WLAN-Router Update

Fritzbox 7560 und 7580: Fritz OS 6.90 bringt Mesh-WLAN und…

Das Fritz OS 6.90 Update für die Fritzbox 7560 und 7580 bereit. AVM-Updates für Fritzbox 7590 und 7490 folgen später im September. Das bringt's!

fritzos 7 fritzbox update

Alle Infos zum Download

Fritz OS 7: Update ist für weitere Fritzbox-Router verfügbar

AVM rollt seine neue Router-Software Fritz OS 7 für weitere Fritzbox-Modelle aus. Das Update steht nun für die Fritzbox 4040, 7530 und 7560 bereit.