Netzabsicherung
Security-Checkliste WLAN-Router
Mit Einrichtungsassistenten konfigurieren Sie WLAN-Router schnell, aber bei Sicherheitsfunktionen für das Heimnetz braucht es noch Feintuning, darunter auch die sicherheitskritische WLAN-Verschlüsselung, selbst wenn Ihr Router das aktuelle WPA3 beherrscht.
☑ Webinterface abdichten
Fast alle modernen Router lassen sich mittels Assistenten konfigurieren; sie fragen die wichtigsten Einstellungen ab und tragen diese an passender Stelle ein. Sie lassen aber Lücken. Ändern Sie zunächst das ab Werk eingestellte Konfigurationspasswort. Denn wenn es am Gehäuseboden angebracht ist, können Unbefugte es ablesen oder fotografieren und dann Ihren Router missbrauchen.
Falls vorhanden, aktivieren Sie das automatische Firmware-Update, damit sich der Router auch dann Sicherheits-Updates zieht, wenn Sie Dringenderes zu tun haben oder verreist sind.
☑ WLAN richtig verschlüsseln
Für die WLAN-Verschlüsselung empfiehlt sich der Mixed-Mode WPA2/WPA3. Andernfalls aktivieren Sie wenigstens den Schutz der Steuerpakete (PMF). Ändern Sie den Funknetznamen und das Passwort Ihres WLANs, besonders dann, wenn diese Einstellungen am Router angebracht sind. Aber auch generische WLAN-Zugangsdaten sind ein Einfallstor, weil sie in Bedienungsanleitungen stehen, die für jedermann zugänglich sind.
Beim veralteten WPA2 können spezielle Knackprogramme Passwörter mit Durchprobieren aufspüren (Brute-Force-Attacke). Dafür zeichnen Angreifer Ihren WLAN-Verkehr auf und füttern damit im geheimen Kämmerlein einen sehr leistungsfähigen PC. Ob er dann das Passwort schnell findet oder der Angreifer das Herumprobieren nach Tagen wegen Aussichtslosigkeit abbricht, hängt von der Länge Ihres WLAN-Passworts ab. Nutzen Sie 20 bis 30 Zeichen, wenn Sie wegen älterer Geräte auf WPA2 nicht verzichten können.
☑ Gastnetz einsetzen
Schützen Sie Ihr Netz, indem Sie Besuchern, Smart-Home- und IoT-Geräten das Gast-WLAN zuweisen. Nutzen Sie auch für das Gastnetz ein langes Passwort und ändern Sie es gelegentlich, denn manche Besucher geben WLAN-Passwörter ohne Rückfrage weiter. Schränken Sie das Gast-WLAN auf bestimmte Dienste ein, beispielsweise Surfen und Mailen, um unerwünschtes Filesharing zu unterbinden.
Wenn das Webinterface des Routers aus dem Internet erreichbar ist, sollte dieser Verkehr per HTTPS verschlüsselt werden. Falls Sie einen Server betreiben, auf den Sie von außen zugreifen wollen, richten Sie eine VPN-Verbindung ins Heimnetz ein; Port-Weiterleitungen funktionieren zwar ebenfalls, erfordern aber eine gute serverseitige Absicherung. Als VPN-Server eignen sich viele Router. Weitere Hinweise zum sicheren Betrieb von Servern finden Sie auf Seite 81.
☑ WPS nur bedarfsweise
Per WPS-Funktion lassen sich WLAN-Geräte über je einen Tastendruck am Router und am Client ins WLAN bringen. Das erleichtert es aber auch Unbefugten, Zugang zu Ihrem WLAN zu erlangen. Schalten Sie diese Funktion daher nur vorübergehend bei Bedarf ein.
Manche Hersteller nutzen die UPnP-Funktion von Routern, damit sich ihre Geräte selbsttätig eine Port-Weiterleitung im Router einrichten. Das spart zwar Zeit, aber wenn UPnP anhaltend aktiv ist, kann auch eingeschleppte Malware es nutzen, um die Firewall Ihres Routers von innen zu öffnen. Deaktivieren Sie diese Funktion nach Möglichkeit oder beschränken Sie sie auf einzelne Hosts, falls Ihr Router das ermöglicht.
Wenn alle Punkte abgehakt sind, exportieren Sie die Router-Konfiguration auf Ihren PC, damit Sie bei einem Router-Ausfall ein Ersatzgerät einfach durch Konfigurationsimport in Betrieb nehmen können. (dz@ct.de)