Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Router-Angriffen vorbeugen

Seite 4: Netz-Labyrinth

Inhaltsverzeichnis

Landet einfach gestrickte Schadsoftware in einer Umgebung, in der sie sich nicht auskennt, wird sie eher scheitern, das gilt insbesondere für Angriffe über untergeschobene Links (CSRF). Als Gegenmaßnahme ändern Sie vier Standardeinstellungen des Routers: Die Such-Domain, den Routernamen, das IP-Netz und die IP-Adresse des Routers selbst. Das klappt bei vielen Routern, jedoch nicht bei allen. So antworten Fritzboxen selbst dann beharrlich auf Anfragen nach fritz.box, wenn man ihnen einen anderen Hostnamen verpasst hat. Außerdem dient sie auch als DNS- und DHCP-Server: Das heißt, wenn ein Client um eine IP-Adresse bittet, trägt sie sich bei ihm gleich als DNS-Server ein und gibt die Such-Domain vor. Die einzige praktikable Maßnahme dagegen ist, einen anderen DNS- und DHCP-Server einzurichten. Auch hier können NAS-Boxen und Mini-Rechner helfen. Auch das alternative Router-Betriebssystem OpenWRT hat beide Server an Bord.

Damit CSRF-Angreifer sich nicht auf voreingestellte Adressen verlassen können, sollten Sie sowohl das verwendete IP-Netzwerk als auch die Adresse des Routers ändern. Ausgewachsene Malware lässt sich mit dieser Verschleierungstaktik leider nicht aufhalten. Ab Werk benutzen viele Router die IPv4-Netze 192.168.0.x und 192.168.1.x; aktuelle Fritzboxen sind auf 192.168.178.x voreingestellt. Es reicht, wenn Sie hier das dritte Byte in der Routeradresse, im DHCP-Server und auf allen fest eingestellten Geräten gleichlautend ändern, also zum Beispiel auf 192.168.77.x. Wenn Sie sich gelegentlich mit einem Firmen-VPN verbinden, fragen Sie Ihren Admin nach einem freien Netz, um Kollisionen mit den Adressen zu vermeiden, die er intern verwendet.

Mit Portscannern wie Nmap oder dem Heise-Routertest lassen sich unerwünschtermaßen aktivierte Dienste, Service-Zugänge und Hintertüren schnell aufspüren.

Ab Werk findet man den Router am Anfang oder Ende dieses Netzwerks, im Beispiel also auf 192.168.77.1 oder 192.168.77.254. Irgendwo dazwischen, zum Beispiel auf 192.168.77.10, wird er von den internen Netzwerkteilnehmern ebenso gut gefunden, aber die simpelsten Attacken laufen ins Leere. Sie müssen nur darauf achten, dass die neue Adresse nicht in dem Bereich liegt, den der DHCP-Server als seinen Adresspool ansieht.

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Router & Firewalls

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten