Schon ganz dicht?
Router-Sicherheit: Lancom und Netgear im Check
- Nach Telekom-Angriff: Router im Sicherheits-Check
- Router-Sicherheit: Lancom und Netgear im Check
- Router-Sicherheit: TP-Link, AVM und Telekom + Fazit
Lancom 1781 VAW
Einziger Router mit einem proprietären System im Test ist Lancoms 1781VAW. Mit einem Preis von ca. 600 Euro richtet sich Lancoms Router vor allem an professionelle Nutzer, welche von der Netzvirtualisierung zur Trennung und Absicherung, von fünf gleichzeitigen IPSec-VPN-Kanälen oder der Nutzung als ISDN-VoIP-Gateway profitieren können. Von professionellen Nutzern erwartet Lancom auch die Lektüre des Benutzerhandbuches, bevor das Gerät ins Netzwerk übernommen wird, so sind neben dem Webinterface sowohl SSH als auch das veraltete Telnet ohne Passwort erreichbar und können dazu genutzt werden, den Router zu konfigurieren, heimlich VPN-Tunnel hinzuzufügen oder Portweiterleitungen einzurichten! Die Einrichtung sollte daher auf jeden Fall mit einer 1:1-Verbindung zwischen PC und Router erfolgen.
Prüfen Sie nach der Einrichtung, ob ein Telnet-Login ohne Passwort möglich ist. Haben Sie eines gesetzt, können Sie im Security Wizard gezielt festlegen, über welche Schnittstellen die Konfiguration erfolgen kann, beispielsweise können Sie die Konfiguration via WLAN komplett untersagen. Daneben erlaubt Lancom die Sperre der Konfiguration für einige Minuten nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche. Für Administratoren positiv: Mit der Möglichkeit, SSH Public Keys zu hinterlegen, kann Mitarbeitern Zugriff auf die Management-Konsole gegeben werden, ohne das Login-Passwort herausrücken zu müssen. Bis auf den werksseitig offenen Telnet-Zugang gibt es keine groben Schnitzer: Unnötige Dienste sind keine angeschaltet, nicht einmal WLAN ist aktiv. Allerdings richtet sich das Konfigurations-Frontend, das nach Protokollen statt nach Aufgaben gliedert, eindeutig an erfahrene Administratoren: Wer nicht täglich mit Netzwerken zu tun hat, übersieht leicht etwas, Updates müssen manuell installiert werden. Für Privatanwender ist Lancom daher nur sehr bedingt zu empfehlen.
Netgear AC1900 R7100 LG
Die LTE-Variante aus Netgears Nighthawk-Reihe versucht mit seiner schnellen USB-3.0-Schnittstelle und WLAN mit maximalen Bruttodatenraten bis 1.300 MBit/s als Medienzuspieler (unter anderem für Tivo und UPnP-fähige Fernseher) zu punkten. Zudem soll die angeschlossene Festplatte als Cloudspeicher (Readycloud) von außen zugreifbar sein (sinnvoller bei der Internetverbindung via Kabelmodem), und Netgear bietet Time-Machine-Kompatibilität und mit Readyshare Vault eine Backup-Lösung für Windows. Das Login am Router ist unter der IP-Adresse 192.168.1.1 mit dem Nutzernamen admin und dem Passwort passwort möglich. Immerhin: Passwörter werden per HTTP-Auth abgefragt und damit relativ sicher übertragen. Wegen der unsicheren Standardeinstellung sollte die Ersteinrichtung ebenfalls 1:1 stattfinden, dabei kann hier WLAN mit der auf dem Boden aufgedruckten SSID (wovon es wohl 100 verschiedene gibt, was in Umgebungen mit vielen Netzen hilft, das eigene zu finden) und einem kreativ erzeugten Pre Shared Key genutzt werden: Unserer lautete elegantbreeze370. Das Muster <Adjektiv><Substantiv><dreistellige Zahl> verspricht bereits bei 100 Adjektiven und 100 Substantiven (die man erst mal kennen muss) 10 Millionen Kombinationen – und noisyunicorn117 ist leichter zu merken als 25638971117.
Die Time-Machine-Unterstützung dürfte erklären, warum das Apple File Protocol vorhanden ist, nicht jedoch, dass es unmittelbar nach dem Start des Routers aktiv ist. Leider haben wir keine Möglichkeit gefunden, es abzuschalten. Gleiches gilt für das Internet Printing Protocol: Auch ohne angeschlossene Drucker ist es aktiv, ebenso UPnP Mediensharing. Einen groben Schnitzer leistet sich Netgear in der Konfiguration des Gast-WLANs mit dem Vorschlag, einen unverschlüsselten Accesspoint aufzusetzen. Ohne Einschränkungen hinsichtlich erlaubter Ports, beanspruchter Bandbreite und gleichzeitiger TCP-Verbindungen erhöht sie das Abmahnrisiko durch „Trittbrettsurfer“ enorm, zudem können nicht per zusätzlicher Verschlüsselung geschützte Daten leicht ausgelesen werden. Bei vorhandener Internetverbindung werden beim Login eventuell vorhandene Updates angezeigt.
