Alarmierender Fraunhofer-Test: Viele Home-Router unsicher
Die Sicherheit von Home-Routern hat in den vergangenen Jahren wenig Fortschritte gemacht. Nach wie vor lassen Hersteller nötige Sicherheitsupdates für ihre Geräte schleifen, was dazu führt, dass viele Router Schwachstellen haben, die seit langem bekannt sind. Auch leidige Probleme mit voreingestellten Hersteller-Passwörtern, die unsicher sind und sich oft nicht ändern lassen, betreffen nach wie vor viele Geräte. In einem automatisierten Test von 127 Firmware-Images verschiedener Router von von sieben Herstellern fanden Sicherheitsforscher des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in jedem der getesteten Images das eine oder andere Problem.
127 Router von sieben Herstellern, Huawei außen vor
Getestet wurden Geräte der Hersteller Asus, AVM, D-Link, Linksys, Netgear, TP-Link und Zyxel. Alle getesteten Geräte wurden laut der Forscher zum Zeitpunkt der Tests aktiv von den Herstellern beworben, können also also als neu genug betrachtet werden, um aktiv mit Updates unterstützt zu werden. Die AVM-Router schnitten bei dem Text mit Abstand am besten ab, ASUS und Netgear konnten ebenfalls ein paar lobende Worte der Tester verbuchen. Am kritischsten sehen die Fraunhofer-Forscher Geräte von D-Link, Linksys, TP-Link und Zyxel. Geräte von Huawei wurden nicht getestet, da der Hersteller seine Firmware nicht öffentlich bereitstellt – ob man überhaupt ein Gerät mit einer derart intransparenten Update-Politik bei sich zu Hause stehen haben möchte, sei dahingestellt.
Nicht alle Ergebnisse der Forscher lassen sich direkt auf die im Markt auch wirklich im Einsatz befindlichen Geräte übertragen. Das liegt daran, dass viele Geräte, die bei Kunden von Internet-Providern zu Hause stehen, vom Provider mit eigenem Branding versehen sind und zum Teil eigene Firmware-Versionen im Einsatz haben. Diese stimmen meist nicht genau mit der Firmware überein, die der entsprechende Hersteller für das Grundgerät auf seiner Webseite bereitstellt.
Die fünf untersuchten Schwachstellen-Kriterien
Um Sicherheitslücken in den 127 getesteten Routermodellen zu finden, mussten die Mitarbeiter des FKIE die Geräte nicht mal mühsam einzeln von Hand untersuchen. Sie verwendeten das vom FKIE entwickelte Open-Source-Werkzeug Firmware Analysis and Comparison Tool (FACT) und eine Liste mit 127 hierzulande viel verkauften Router-Modellen mit der entsprechenden vom Hersteller als aktuell angegebenen Firmware-Version. Mittels FACT luden sie die Firmware-Images herunter, extrahierten das Router-Betriebssystem – welches bei den meisten getesteten Geräten auf Linux aufsetzt – und prüften die Software auf fünf verschiedene Sicherheitsaspekte. Diese fünf Test-Kriterien waren: Zeit seit dem letzten Firmware-Release für das Gerät, Version des unterliegenden Betriebssystem-Kernels, Vorhandensein von Exploitschutz-Maßnahmen, Vorhandensein von privaten Kryptoschlüsseln im System und voreingestellte Passwörter.
Anhand der ersten zwei von den Forschern untersuchten Kriterien lässt sich feststellen, ob die Router-Firmware Schwachstellen enthält, die auf das zugrundeliegende Betriebssystem zurückzuführen sind. Das bedeutet nicht zwingend, dass sich mit diesen Schwachstellen auch wirklich der Router angreifen lässt, deutet aber stark auf Sicherheitsprobleme hin. Je älter der eingesetzte Kernel, desto wahrscheinlicher ist es, dass eine schwerwiegende Schwachstelle ungepatcht blieb. Das fehlen von bekannten Exploitschutz-Maßnahmen macht es dann noch mal wahrscheinlicher, dass Lücken irgendwo im Betriebssystem auch wirklich von außen angreifbar sind und gegebenenfalls sogar dazu missbraucht werden können, das Gerät zu kapern. Sind hingegen private Kryptoschlüssel vorhanden, ist es denkbar, dass Angreifer diese ebenfalls aus dem Firmware-Download auslesen und somit die Verschlüsselung knacken können, die das Router-Betriebssystem verwendet um – vermutliche geheime – Daten zu schützen. Auch hier sind Angriffe denkbar.
Der fünfte und letzte Punkt, werksseitig voreingestellte Passwörter, sind besonders kritisch. Obwohl eigentlich alle Hardware-Hersteller wissen müssten, wie fatal so etwas ist (besonders bei Routern), kommt diese Art von Sicherheitslücke doch immer wieder vor. Sollte der Besitzer des betreffenden Routers solche voreingestellten Passwörter nicht ändern, kann jeder, der sich die Mühe macht diese Passwörter nachzuschlagen oder per automatisierter Firmware-Analyse herauszufinden, die betroffenen Geräte meist ohne weiteres komplett übernehmen. Diese Schwachstelle ist besonders kritisch, wenn die Passwörter fest eingestellt sind und sich nicht ändern lassen. Selbst wenn diese Passwörter, und damit die Hintertür im Router, nirgendwo dokumentiert ist, so werden diese Lücken doch regelmäßig entdeckt – wie die Fraunhofer-Forscher wieder einmal eindrucksvoll beweisen – und können dann missbraucht werden.
Veralteter Code, schlechter Schutz, private Kryptoschlüssel verbaut
Die Ergebnisse des FKIE-Berichts sind verheerend. Ganze 22 der getesteten 127 Geräte wurden innerhalb der vergangenen zwei Jahre gar nicht mit Firmware-Updates versorgt. Mehr als ein Drittel der Geräte basiert auf Linux-Kernelversionen, die seit mindestens 9 Jahren keine Sicherheitsupdates mehr bekommen. Die Firmware eines Linksys-Gerätes basierte gar auf einem knapp 18 Jahre alten Linux-Kernel. AVM sticht als einziger Hersteller hervor, der durchweg neuere Linux-Versionen einsetzt. Natürlich schließen diese Ergebnisse nicht aus, dass die Hersteller eigene Kernel-Patches für ihre Geräte bereitstellen. Trotzdem ist die Anzahl bekannter Sicherheitslücken im Linux-Unterbau der meisten getesteten Router mit aller Wahrscheinlichkeit beträchtlich. Das Bild verfestigt sich bei den für den Firmware-Code im Einsatz befindlichen Exploitschutz-Maßnahmen wie gesetzte NX-Bits, positionsunabhängiger Code oder Code-Hardening mit RELRO: Auch hier hat AVM die Nase vorn, aber laut der FKIE-Forscher könnten alle Hersteller viel mehr tun, um ihre Router sicherer zu machen.
Die Forscher fanden im Durchschnitt knapp fünf private Kryptoschlüssel pro untersuchtem Firmware-Image. AVM war der einzige Hersteller, der keinen einzigen privaten Schlüssel in seiner Firmware veröffentlicht hat. Aus der automatischen Analyse der FACT-Software scheint nicht unbedingt hervorzugehen, wofür diese Schlüssel im Einzelfall auf dem Gerät im Einsatz sind, ein gutes Zeichen für die Sicherheit ist das Vorhandensein private Kryptoschlüssel in frei zum Download stehenden Firmware-Images aber wohl auf keinen Fall.
Mirai lässt grüßen
Dass fest eingestellte Passwörter, die man nicht ändern kann, ein Sicherheitsrisiko darstellen, weiß mittlerweile fast jedes Kind. Dass so etwas auf öffentlich aus dem Netz erreichbaren Home-Routern eine Katastrophe ist, sollte sich seit den massiven Attacken des Mirai-Botnetzes, die 2016 große Teile des Internets und hunderttausende Router der Deutschen Telekom lahmlegten, eigentlich auch herumgesprochen haben. Vor allem bei den großen Router-Herstellern. Trotzdem fand das FKIE in 50 der 127 getesteten Firmware-Images voreingestellte Passwörter. In 16 Routern waren diese trivial einfach zu knacken. Allerdings haben die Forscher keine Erkenntnisse dazu, wie viele dieser Passwörter sich wirklich aus der Ferne für Angriffe ausnutzen lassen und somit valide Hintertüren darstellen. Asus ist der einzige Hersteller, der keine voreingestellten Passwörter verwendet.
Trotz der recht oberflächlichen Analyse der Fraunhofer-Forscher deuten viele der Ergebnisse auf zum Teil gravierende Sicherheitsmängel bei den getesteten Home-Routern hin. Obwohl sich bei genauerem Hinsehen einige Lücken als nicht angreifbar herausstellen könnten, kann man wohl getrost davon ausgehen, dass andere Hinweise auf handfeste Sicherheitsmängel hindeuten. Unserer Erfahrungen mit Router-Sicherheit decken sich mit den Erkenntnissen der FKIE-Mitarbeiter: Updates kommen meist viel zu spät oder gar nicht und viele Hersteller legen viel zu wenig Wert darauf, ihre Geräte sicher zu machen. Bei vielen ist es seit Jahren fast unmöglich, neu entdeckte Sicherheitslücken zu melden oder Details dazu zu bekommen, wann eine bestimmte Schwachstelle in der Firmware eines Geräts geschlossen werden soll. Zwar bestreiten die betroffenen Firmen dies regelmäßig, aber die Erfahrungsberichte unabhängiger Sicherheitsforscher, die Sicherheitslücken in Produkten melden wollen, sprechen Bände. Und dabei werden dank automatisierter Methoden, wie sie etwa die FKIE-Forscher mit ihrem Open-Source-Tool bereitstellen, in Zukunft wohl eher mehr als weniger Sicherheitslücken in Router-Firmware gefunden werden.
(fab)
WLAN-Repeater: Vorteile, Einrichtung & Sicherheit
Der perfekte Standort für den WLAN-Repeater
Eins steht fest: Der Platz für den Repeater sollte gut ausgewählt sein. Denn wenn sich das Gerät zu weit weg vom Router befindet oder durch andere Geräte, wie Mikrowellen oder Heizkörper, gestört wird, kann das Signal nicht sauber weitergeleitet werden. Handelt es sich um einen Repeater zum Aufstellen, sollte dieser möglichst freistehen und nicht in einer Ecke platziert werden. Beachte, dass auch Gegenstände aus Metall oder Wasser die Funkverbindung beeinträchtigen können. Ganz grob gilt: Die ideale Position für den WLAN-Verstärker liegt etwa auf halber Strecke zwischen dem Router und deinem Endgerät.
Am besten testest du den Repeater an verschiedenen Steckdosen und überprüfst mithilfe eines Smartphones, Tablets oder Laptops, wie gut die WLAN-Abdeckung in deinem Zuhause ist. Ist der Verstärker zu nah am Router, kann er nicht seinen vollen Nutzen entfalten. Ist er hingegen zu weit entfernt, kommt das Signal nur schwach an und schränkt die Funktion des Repeaters ein. Die meisten Verstärker geben dir für den perfekten Standort eine praktische Hilfestellung: Sie zeigen anhand von LED-Lampen an, wie gut die Verbindung zum Router ist.
Wie sichere ich mein eigenes WLAN ab?
Der Bundesgerichtshof (BGH) hat entschieden: Wer sein WLAN nicht schützt, kann für illegale Downloads anderer Nutzer über das eigene WLAN-Netz haftbar gemacht werden! Aber auch die eigenen Daten sind von Diebstahl bedroht! Ganz schnell ist es passiert: Sie schützen Ihr eigenes WLAN nicht ausreichend und am nächsten Tag flattert ein Mahnbescheid wegen des illegalen Downloads von Musikstücken, Videos oder Computerspielen ins Haus. Dann beginnt der Ärger und wenn Ihr WLAN nicht ausreichend gesichert war, müssen Sie in der Regel zahlen - den Ärger haben Sie auf jeden Fall! Noch schlimmer wenn die Kriminalpolizei wegen Kinder-Pornographie oder anderen hässlichen Dingen bei Ihr vor der Haustür steht, weil jemand über Ihr WLAN seine perversen Neigungen ausgelebt hat. Sichern Sie sich lieber dagegen ab! Firmen droht der Einbruch und der Verlust von sensiblen Daten über offene WLANs. Und auch Computerviren und Trojaner können über schlecht oder nicht gesicherte WLANs mutwillig in ein System eingespeist werden. Handeln Sie lieber gleich!
Ein WLAN besteht in der Regel grob gesagt immer aus 2 Teilen: dem WLAN-Sender (dem Router) und den WLAN-Nutzern (den Clients). Der Client, z.B. ein Notebook oder ein Tablet-PC, verbindet sich zum Router und dieser stellt dem Client die Internetverbindung zur Verfügung. Oder 2 Clients verbinden sich zum Router und tauschen untereinander Daten aus (z.B. ein Notebook, von dem man über WLAN eine Datei auf den heimischen PC kopiert). Auf beiden Seiten muss man Absicherungen vornehmen. Die meisten Punkte betreffen in der Regel den Router, aber auch auf jedem Computer, der sich ins WLAN verbindet, kann man Vorsichtsmaßnahmen treffen.
Was nun kommt ist leider etwas Theorie, auch wenn wir versucht haben, es so einfach wie möglich zu beschreiben. Das Problem: an jedem Router sieht es etwas anders aus und funktioniert die Einstellung auch etwas anders. Daher können wir leider keine Schritt für Schritt Anleitung geben, wie Sie vorgehen müssen, sondern nur allgemein sagen, auf was Sie achten müssen. Vieles mag auf den ersten Blick wie Fachchinesisch klingen, aber in der Regel finden Sie die unten aufgeführten Einstellungen auch alle in der einen oder anderen Form in der Verwaltung Ihres Routers. Wir hoffen, dies hilft weiter! Was Sie auf jeden Fall als erstes machen müssen: Loggen Sie sich in die Konfiguration Ihres Routers ein. In der Regel macht man dies von einem PC aus, der möglichst per Netzwerkkabel an den Router angeschlossen ist. Meistens muss man ein normales Internetprogramm verwenden und dort eine spezielle Internetadresse (z.B. http://speedport.ip/ oder http://192.168.0.1/) eingeben, um die Konfiguration des Routers zu starten. Oftmals verrät ein Aufkleber auf dem Router die genaue Adresse. Auf jeden Fall findet sie sich im beigelegten Handbuch. Manchmal ist auch eine CD mit einer Software dem Router beigelegt, mit der man die Einstellungen ändern kann. Sobald Sie den Zugang zu den Einstellungen Ihres Routers gefunden haben, heißt es suchen. Im folgenden finden Sie die Punkte, die Sie allesamt genauer unter die Lupe nehmen sollten:
Auch um auf die Konfiguration des Routers selbst zuzugreifen, wird ein Passwort benötigt. Im Lieferzustand erhalten Sie hier in der Regel ein Standard-Passwort. Loggen Sie sich umgehend in die Konfiguration des Routers ein und ändern Sie dort dieses Passwort. Achtung! Dies ist nicht das Passwort für die Verschlüsselung sondern das Passwort für den Zugriff auf den Router selbst.
Manche Router erlauben es auch von extern, also aus dem Internet auf die Konfiguration zuzugreifen und diese zu ändern. Deaktivieren Sie diese Möglichkeit, da sie ein potentielles Sicherheitsrisiko bedeutet und Ihnen in der Regel auch keine Vorteile bringt.
Jetzt wird es wieder deutlich einfacher: In manchen Routern lässt sich einstellen, ob man die Konfiguration nur über Kabel oder auch über WLAN durchführen kann. Wenn es diese Option gibt, deaktivieren Sie dass die Konfiguration über WLAN bearbeitet werden kann. Dies stellt sicher, dass überhaupt nur Rechner, die mit einem Kabel zum Router verbunden sind, die Einstellungen ändern können.
WPS ist ein vereinfachtes Verfahren, mit dem sich ein neues Gerät im WLAN anmelden kann. Manchmal reicht es an Router und Gerät einen speziellen Knopf zu drücken, manchmal muss man statt dem echten Passwort nur noch eine PIN eingeben. Klingt einfach, ist es in der Regel auch. Leider weisst dieses Verfahren einige grundlegende Schwachstellen auf, so dass Experten schon lange empfehlen, dieses Anmeldeverfahren im Router grundsätzlich abzuschalten und stattdessen neue Geräte "konventionell" im WLAN zu registrieren.
In der Regel können Sie bis zu 64 Buchstaben als Kennwort für die Verschlüsselung verwenden: tun Sie es auch! Und wählen Sie ein völliges Zufallspasswort, z.B. Adsf+vb657fvhCDe&-dsfg.gu&vcv....., das auch Sonderzeichen und Zahlen enthält. Nur ein solches Zufallspasswort bietet größtmöglichen Schutz.
Die älteren WEP und WAP-Verschlüsselungen sind leider sehr leicht zu knacken. Verwenden Sie immer die aktuelle WPA2-Verschlüsselung, manchmal auch WPA2-AES genannt. Wenn Ihr Router nur die alten Verschlüsselungen unterstützt, sollten Sie ernsthaft überlegen, in ein neues Gerät zu investieren.
Aktivieren Sie in Ihrem Router unbedingt die Verschlüsselung für Ihr WLAN - ohne Verschlüsselung kann jeder (!) Ihr WLAN nutzen und mit Ihrem Internetzugang surfen. Außerdem ist so von Außen der Zugriff auf Ihre Daten unter Umständen sehr einfach. Ein WLAN ohne aktivierte Verschlüsselung zu betreiben, ist grob fahrlässig!
Ändern Sie den Namens Ihres Funknetzwerkes (SSID) Ändern Sie den Namens Ihres Funknetzwerkes (SSID) Oftmals senden WLAN-Netze standardmässig als eigene Kennung einen Namen - die sogenannte SSID, über den Typ/Hersteller des WLAN-Routers erkennbar ist. Das ist insofern schlecht, dass hierdurch für einen Hacker schon erkennbar ist, welche Hardware und Software Ihr Router verwendet. Dadurch kann er gezielt(er) versuchen, bekannte Sicherheitslücken auszunutzen, und so Ihr WLAN-Netz unter Umständen einfacher knacken. Verwenden Sie als Name Ihres Funknetzwerkes lieber eine völlig nichts sagende Bezeichnung wie "Mein WLAN".
Verbergen Sie den Namen des Funknetzwerks (SSID) Verbergen Sie den Namen des Funknetzwerks (SSID) Das Verstecken des Namens eines WLAN-Netzes (das ist die sogenannte SSID) verhindert, dass der Name eines WLAN bei einem Rechner, der nach WLANs sucht, überhaupt zum Verbinden angezeigt wird. Dies hilft leider nur gegen Amateur-Hacker und ist überhaupt kein verlässlicher Schutz. Das WLAN kann trotzdem mit wenigen Hilfsmitteln gefunden werden. Aber gegen freche Jungs in der Nachbarschaft hilft es allemal und sollte daher trotzdem durchgeführt werden.
Aktivieren Sie die MAC-Filterung für Ihr WLAN Aktivieren Sie die MAC-Filterung für Ihr WLAN Jetzt wird es schwieriger: jedes Gerät weltweit, das sich in ein Netzwerk oder WLAN verbinden kann, besitzt eine weltweit eindeutige Kennung, die sogenannte MAC-Adresse (und nein, eine MAC-Adresse hat nichts mit Mac-Computern zu tun, also mit Apple-Produkten, sondern ist die Abkürzung für Media-Access-Control-Adresse).
In vielen Routern können Sie die sogenannte MAC-Filterung aktivieren, d.h. Sie können genau bestimmen, welches Gerät sich überhaupt mit Ihrem Router verbinden darf. Dafür müssen Sie aber erst einmal die MAC-Adresse derjenigen Geräte kennen, denen Sie Zugriff zum WLAN erlauben möchten. Die MAC-Adresse hat folgende Form: z.B. 00-80-41-ae-fd-7e - also 6mal 2 Zahlen bzw. die Buchstabden a-f können ebenfalls erscheinen. Auf Tablets, Notebooks etc. findet sich die MAC-Adresse oft im Handbuch oder auf einem Aufkleber auf dem Gerät. Manchmal wird statt dem Begriff MAC-Adresse auch der Begriff "Physikalische Adresse" verwendet. Unter Windows finden sie die MAC-Adresse, wenn Sie auf der Kommandozeile den Befehl "ipconfig /all" eingeben. Einmal die MAC-Filterung aktiviert und schon können nur noch ausgesuchte Geräte in Ihr WLAN. Auch das ist leider kein hundertprozentiger Schutz: MAC-Adressen lassen sich prinzipiell auch fälschen - aber eine aktivierte MAC-Filterung macht es noch einmal sehr viel schwieriger, Ihr WLAN zu mißbrauchen.
Verwenden Sie nicht die Standard-IP-Adressen Verwenden Sie nicht die Standard-IP-Adressen Jetzt wird es heikel. Wenn Sie noch nie von IP-Adressen gehört haben oder eine Grundahnung haben, lassen Sie diesen Schritt aus. Er ist zwar auch empfehlenswert aber nicht grundlegend "lebenswichtig" für ein sicheres WLAN und mit falschen Einstellungen kann man hier leider sehr viel kaputt machen. Für alle anderen Experten hier in Kürze der Tipp: in der Regel haben Router voreingestellt eine Standard-IP-Adresse, oftmals 192.168.0.1 - dadurch, dass meistens immer diese Adresse verwendet wird, hat jeder potentielle Eindringlich schon einmal einen Anhaltspunkt, wo er mit seinen Angriffsversuchen beginnen muss. In vielen Routern lässt sich diese Adresse ändern. Ändern Sie hierfür die beiden letzten Stellen der IP-Adressen (auf keinen Fall die beiden ersten, sonst haben Sie keinen Zugriff in Ihr WLAN mehr!) in eine beliebige Zahl zwischen 0 und 255. Aber Achtung - auch an allen Geräten, die das WLAN verwenden muss eine passende Anpassung vorgenommen werden. Nehmen Sie diese Maßnahme also wirklich nur vor, wenn Sie wissen, was Sie tun! Ansonsten kommen Sie unter Umständen nicht einmal mehr in die Konfiguration Ihres Routers! Auch dies ist eine Maßnahme, die nicht wirklich direkt Sicherheit schafft, aber einen Einbruchsversuch in Ihr WLAN erschwert.
Verwenden Sie feste IP-Adressen statt DHCP im WLAN Verwenden Sie feste IP-Adressen statt DHCP im WLAN Auch ein Tipp eher für Profis, daher nur in aller Kürze: deaktivieren Sie den DHCP Server im WLAN-Router und verwenden Sie stattdessen statische IP-Adressen auf allen angeschlossenen Geräten. Das ist nicht nur schneller sondern auch sicherer. Allen Geräten, die das WLAN verwenden, muss dann von Hand eine IP-Adresse, Subnetz und Gateway zugewiesen werden. Eine einfache, schnelle Anleitung gibt es hier leider definitiv nicht.
