Seite 2: Router sichern

Inhaltsverzeichnis

Router sichern

Die ersten Einstellungen, die man ändern sollte, haben nicht direkt mit dem Internet-Zugang zu tun, sondern betreffen die Sicherheit des Routers selbst. Denn das Gerät ist ein lohnendes Angriffsziel für Hacker; schließlich enthält es die Provider-Daten, die ein böswilliger Angreifer benutzen kann, um auf Ihre Rechnung zu surfen. Außerdem kann er im angegriffenen LAN erheblichen Schaden anrichten, wenn er erst den Router unter seiner Kontrolle hat.

Zwei sehr verbreitete Konfigurationsfehler öffnen bösen Buben Tür und Tor: ein triviales oder fehlendes Konfigurationspasswort und die Fernkonfiguration aus dem Internet. Sie ist bei einigen Routern in der Grundkonfiguration eingeschaltet, um Service-Technikern den Zugang zu erleichtern. Wer den Fernwartungszugang nicht dringend braucht, sollte ihn sofort abschalten. Die dazu erforderlichen Schritte unterscheiden sich von Gerät zu Gerät stark, bitte ziehen Sie das Handbuch zu Rate. Generell beschränkt man alle angebotenen Konfigurationsmethoden auf das lokale Netzwerk. Die nicht genutzten   beispielsweise SNMP   deaktiviert man sicherheitshalber ganz.

Die Fernkonfiguration kann man als Sicherheitslücke gar nicht überschätzen: So kamen beispielsweise bei einigen besonders häufig installierten Routern von Draytek (und einem anderen Modell der inzwischen abgewickelten Firma ELSA) ein Fehler in der Firmware, die das Provider-Passwort im Klartext anzeigt, und die Nachlässigkeit der Systembetreuer zusammen, die die Fernkonfiguration ohne Passwort aktiviert lassen. Diese fatale Kombination erlaubt es, aus hunderten von Geräten vollautomatisch per Skript die Providerdaten zu "ernten". Und das, obwohl sowohl c't als auch die Hersteller und die Importeure seit Jahren bei jeder Gelegenheit auf das Problem hinweisen und der Fehler in aktuellen Firmware-Versionen längst behoben ist.

Egal, ob die Fernwartung aktiviert ist oder nicht, die Konfiguration muss mit einem sicheren Passwort geschützt werden. Dabei gelten die üblichen Regeln: Mindestens acht Ziffern und Zeichen aus dem englischen Alphabet, die in dieser Kombination in keinem Wörterbuch stehen. Auf Satz- und Sonderzeichen sollte man allerdings bei der Browser-Konfiguration verzichten, da die Web-Interfaces mancher Router sie nicht korrekt interpretieren.

Ein letzter Sicherheitshinweis: Nach der Konfiguration sollte man den Browser komplett beenden, beim Internet Explorer also alle Fenster schließen. Denn nach der Eingabe des Passworts bleibt man bei vielen Routern angemeldet, solange das Programm läuft. Das können Hackerseiten im Internet ausnutzen, um das Gerät umzukonfigurieren. Besonders verführerisch sind Links auf ihre eigenen Internet-Seiten, die viele Hersteller in das Web-Interface ihrer Router einbauen. Wer diese Seiten besuchen will, sollte einen etwas umständlichen, aber sicheren Weg gehen: Rechtsklick auf den Link und "Linkadresse kopieren", den Browser komplett beenden und neu starten. In die Adresszeile des frischen Fensters fügt man nun die zuvor kopierte Adresse ein.

Eine weitere Sicherheitslücke ist Universal Plug & Play (UPnP). Über dieses Protokoll können Programme den Status der Internetverbindung beim Router abfragen, aber auch Port-Weiterleitungen (Virtuelle Server) einrichten   ohne Passwortabfrage oder irgendeine andere Sicherung. Das ist bei Online-Spielen und manchen Voice-over-IP-Programmen recht nützlich, weil es einige Handarbeit spart. Doch im Prinzip kann jedes Programm sich auf diesem Wege als Server global verfügbar machen, auch ein Virus auf einem der PCs im LAN. Bislang sind zwar noch keine solchen Schädlinge aufgetreten, aber dennoch sollte man UPnP nur notfalls aktiviert lassen, wenn also zum Beispiel ein Spiel einfach nicht ohne UPnP zum Funktionieren zu bekommen ist. In den Internet-Foren und FAQ-Seiten der Spielehersteller finden sich allerdings fast immer Hinweise, wie der Router zu konfigurieren ist, damit die Programme auch ohne UPnP laufen.

Grundkonfiguration

Die meisten aktuellen Router fragen die nötigen Grunddaten in der Art eines Assistenten ab und machen dabei sinnvolle Vorgaben. Einige betreffen das lokale Netzwerk, etwa die Router-Adresse und die Netzmaske, die ruhig unverändert bleiben können. Den DHCP-Server schaltet nur ab, wer einen anderen in seinem LAN betreibt. Bei den DHCP-Einstellungen findet sich in der Regel auch ein Eingabefeld für den DNS-Server, den der DHCP-Server den Clients mitteilen soll. Auch wenn oft ein anderer Hinweis daneben steht, sollte man dieses Feld leer lassen, denn der Router erfährt die richtige DNS-Adresse später automatisch vom Einwahl-Server des Providers. Sofern der Router eine Einstellung für die Network Address Translation (NAT) anbietet, schaltet man sie auf jeden Fall ein, damit die Rechner des LAN über den Router aufs Internet zugreifen können.

Unabhängig von der Zugangstechnik muss der Router das Einwahl-Passwort und den Benutzernamen zur Einwahl beim Provider kennen. Sie lauten genau so wie bei einer Verbindung zu demselben Provider über eine Netzwerkverbindung unter Windows. Bei T-Online setzt sich der Benutzername für DSL aus drei Angaben zusammen: Zum Beispiel ergeben die Anschlusskennung 111111111111, die T-Online-Nummer 2222222222 und die Mitbenutzernummer den Benutzernamen 1111111111112222222222#0001@t-online.de.

Auch bei anderen Providern ist zu den bekannten Zugangsdaten in der Regel ein ähnlicher Anhang wie hier "@t-online.de" erforderlich. Wie er lautet, lässt sich auf den FAQ-Seiten nachlesen oder bei der Hotline erfragen.

In der Regel wählen die Router automatischzwischen den beiden Authentisierungs-Protokollen PAP und CHAP aus. Wenn das Gerät jedoch auf einer Vorgabe für das Verfahren besteht, gibt man für T-Online PAP vor. Bei anderen Providern muss man sich bei der Hotline nach dem eingesetzten Verfahren erkundigen oder es durch Probieren herausfinden, üblich ist CHAP.