Ist Ihre FRITZBOX noch sicher?
Die Anzahl möglicher Sicherheitslücken im Heimnetz steigt mit der Anzahl der Geräte. Sichern Sie Ihren Router, testen Sie Ihr Heimnetz auf Schwachstellen und teilen Sie es in zwei Zonen auf.
• Lücken in Routern, Smart-TVs & IP-Kameras
• So schützen Sie Router & Heimnetz vor Hackern
Dass PCs, Notebooks und Smartphones entsprechend gesichert sind, setzen wir voraus. Immer häufiger wird aber der Router zum Angriffsziel im Heimnetz. Deshalb erfahren Sie im ersten Teil unseres Artikels, worauf Sie bei der Konfiguration einer aktuellen Fritzbox, Deutschlands beliebtesten All-in-One-Router, besonders achten sollten. Tatsächlich stellt jedes beliebige Gerät, das per Kabel oder WLAN an Ihr Heimnetz angebunden ist, eine mögliches Angriffsziel dar. Und die Anzahl der netzwerkfähigen Geräte wächst.
Unsichere Heimnetzgeräte
Neben Router, Notebook, NAS oder Access Point sind inzwischen auch Multimediageräte wie Smart-TVs, IP-Kameras oder (Spiele-)Konsolen sowie diverse Smart-HomeInstallationen fester Bestandteil vieler Heimnetzwerke. Letztere sollen laut einer aktuellen Erhebung von Statista.de schon bald in jedem dritten Haushalt zum Einsatz kommen. Kunden sind dabei immer auf die Bereitschaft des Herstellers angewiesen, in die Produktsicherheit zu investieren – und zwar nicht nur in der Entwicklungsphase. Denn viele Sicherheitslücken kommen erst zum Vorschein, wenn die Geräte längst beim Kunden im Einsatz sind. Leider zeigt die Erfahrung, dass das Schließen von Sicherheitslücken von manchen Herstellern eher nachlässig betrieben wird. Verschiedene Diagnose- und Scan-Tools, auf die wir im mittleren Teil dieses Artikels eingehen, helfen Ihnen dabei, Geräte mit möglichen Schwachstellen ausfindig zu machen. Am Ende des Artikels beschreiben wir eine Möglichkeit, wie Sie Ihr Heimnetz mit wenig (oder gar keinem) Investitionsaufwand per Routerkaskade segmentieren. Damit lassen sich Geräte, die Sie besonders schützen wollen, in ein Subnetz verschieben, das durch die Firewall eines zweiten Routers von den Geräten im Hauptnetzwerk geschützt ist.
Grundlegende Sicherheitseinstellungen
Doch zunächst zu den grundlegenden Sicherheitseinstellungen. Jede Fritzbox kommt inzwischen mit einem voreingestellten Zugangspasswort und einem vorverschlüsselten WPA2-Passwort. Ersetzen Sie diese Vorgaben grundsätzlich durch eigene Passwörter. Denn inzwischen weiß jedes Kind (Eltern sollten diesen Hinweis übrigens wörtlich nehmen), dass die werksseitigen Zugangsdaten auf der Unterseite der Fritzbox abgedruckt sind. Und was den Zugang auf die Fritzbox-Oberfläche anbelangt: Stellen Sie diesen gleich unter System/Fritzbox-Benutzer/Anmeldung im Heimnetz auf die Option Anmeldung mit F ritzbox-Benutzernamen und Kennwort um. Nur so können Sie die sichere Zugriffsverwaltung der Fritzbox sinnvoll nützen. Denn wer zum Beispiel den Fernzugriff auf die Fritzbox nutzen möchte, sollte sich dafür einen speziellen Fritzbox-Benutzer mit einem abweichenden, besonders sicheren, Zugangskennwort anlegen. Falls Sie den Fernzugriff nur vorübergehend benötigen, beispielsweise im Urlaub, lässt sich das entsprechende Benutzerkonto bis zur nächsten Reise einfach deaktivieren. Ist der Fernzugriff aktiviert, sollten Sie sich per Push Service benachrichtigen lassen, wenn sich jemand an der Benutzeroberfläche der Fritzbox anmeldet. Die entsprechende Einstellung finden Sie unter System/Push Service/Push Services, wenn Sie unten in der Liste auf das Bearbeiten-Symbol von Änderungsnotiz klicken. Das klappt allerdings nur, wenn Sie zuvor den Push Service durch
ein gültiges Mailkonto aktiviert haben. Natürlich bekommen Sie dann auch immer eine Nachricht, wenn Sie sich gerade selbst bei der Fritzbox angemeldet haben.
HTTPS-Standardport ändern
Außerdem kann es durchaus sinnvoll sein, den HTTPS-Standardport 443 für den Fernzugriff auf die Fritzbox abzuändern, zum Beispiel auf einen Nicht-Standard-Port aus dem Bereich zwischen 1024 und 65535. Damit nehmen Sie die Fritzbox bereits für viele Angreifer aus der Schusslinie, wenn diese nur nach bestimmten Standardports scannen. Beachten Sie jedoch, dass Sie beim Fernzugriff über MyFritz (oder über einen alternativen DynDNS-Dienst) immer die geänderte Portnummer an die Webadresse der Fritzbox hängen müssen. Wer sowieso nie von außerhalb auf seine Fritzbox zugreift, lässt den Fernzugriff am besten bei jedem Benutzer deaktiviert. Wer den Fernzugriff grundsätzlich abschalten möchte, findet die entsprechende Einstellung unter Internet/Freigaben/FritzboxDienste, indem man beide Häkchen im Bereich Internetzugriff deaktiviert lässt. Darüber hinaus ist es ratsam, sich über den Push Service Fritzbox-Info mindestens wöchentlich eine Statistik zur Online-Zeit und ein Ereignisprotokoll senden zu lassen. Die darin enthaltenen Infos können wertvolle Hinweise liefern, wenn in Ihrem Heimnetz ungewöhnliche Dinge passieren.
Feinheiten: Client-bezogenes UPnP und Ping-Blocks
Spielekonsolen oder NAS-Geräte mit Streamingfunktionen nutzen häufig UPnP, um damit die Portfreigabe des Routers steuern zu können. In den Einstellungen der meisten Heimnetz-Router können Sie UPnP nur für alle Clients im Heimnetz freigeben. Das ist sicherheitstechnisch äußerst bedenklich, denn auch Malware könnte dann über UPnP einfach beliebige Ports in der Router-Firewall öffnen. Deshalb sollte man UPnP in solchen Routern unbedingt sperren. Im Gegensatz dazu bietet die Fritzbox bezüglich UPnP einen (Sicherheits-)Vorteil: Hier können Sie unter Heimnetz/Netzwerk/ Netzwerkverbindungen dem gewünschten Client explizit die Berechtigung für UPnP erteilen, so dass nur dieser Client die Firewall der Fritzbox anpassen darf. Dazu öffnen Sie die Einstellungen des Clients
und aktivieren die Option Selbstständige Portfreigaben für dieses Ger ät erlauben. Zudem können Sie die Fritzbox nun auch in einen Stealth-Modus versetzen, so dass der Router nicht mehr auf Anfragen oder Port-Scans aus dem Internet antwortet. Der Stealth-Modus lässt sich im Fritzbox-Menü unter Internet/Filter/Listen im Bereich Globale Filtereinstellungen aktivieren.
Online-Scanner und Diagnose-Tools
Der aktivierte Stealth-Modus hat auch gleich direkte (positive) Auswirkungen auf das Ergebnis diverser Online-Portscans, wie zum Beispiel beim ShieldsUP!- Scan der Gibson Resarch Corporation unter https:// www.grc.com. Hier testen Sie von einem beliebigen Client im Heimnetz aus, ob Ihr Router von außen durch geöffnete Ports „ansprechbar“ist. Der SG Security Scan unter https://speed guide.net/scan.php führt einen Scan auf 85 Ports durch, die häufig für Angriffe genutzt werden. Dazu gibt es einen ausführlichen (englischsprachigen) Scan-Report. Wer sich kostenlos registriert, kann seinen Router sogar auf mehr als 350 Ports prüfen lassen. Mit Hilfe des F-Secure Router-Checker unter https://tinyurl.com/yagrneqv prüft man, ob der DNS-Eintrag des Routers (oder des Client-Betriebssystems) geändert wurde, so dass alle Webseitenanfragen aus dem Heimnetz über den Server eines Angreifers laufen. Durch dieses so genannte DNSHijacking kann etwa der Kunde beim Aufruf seiner Online-Bank-Adresse auf die gefälschte Banking-Webseite des Angreifers geleitet werden. Lassen Sie sich dabei auch die Ergebnisse des Router-Checkers im Detail anzeigen. Der hier angezeigte DNSServer sollte normalerweise der Ihres Providers oder Netzbetreibers sein, sofern Sie nicht selbst diese Router-Einstellung geändert haben oder gerade über eine VPN-Verbindung mit einem VPN-Server im Ausland verbunden sind. Eine brandaktuelle Bedrohung für zahlreiche Router-Modelle geht von der Malware VPNFilter aus. Ausführliche Informationen zu Infektionswegen, einzelnen Bestandteilen und Funktionen des Schädlings samt einer aktuellen Liste mit (bisher bekannten) infektionsgefährdeten Router-Modellen liefert das Sicherheitsunternehmen Symantec unter https://tinyurl. com/y7qobvlb. Mit dem VPNFilter Check unter https://www.symantec.com/filtercheck untersucht man seinen Router per Klick auf eine VPNFilter-Infektion.
Achtung:
Die scheinbar einzige Möglichkeit, mit der man den Schädling VPNFilter wieder loswerden kann, ist ein vollständiger Reset des befallenen Routers auf Werkseinstellungen. Ein einfacher Neustart (Reboot) des Routers, mit der sich bisher bekannte Direktinfektionen relativ bequem entfernen ließen, reicht bei dem persistenten VPNFilter leider nicht mehr aus. Nach dem Komplett-Reset sollte unbedingt die aktuelle (VPNFilter-resistente!) Firmware aufgespielt werden, bevor man den Router wieder ins Netz hängt.
Netzwerk- und Security-Scanner für Smartphone und PC
Wer sich nur rasch einen Überblick verschaffen möchte, welche Geräte aktuell im Heimnetz angemeldet oder „online“sind, greift am PC auf einen schnellen, kostenlosen Netzwerk-Scanner zurück, wie zum Beispiel auf den Angry IP Scanner oder auf die letzte kostenlose Version 6.1.7 des inzwischen kostenpflichtigen Softperfect Network Scanner. Deutlich schneller funktionieren solche Netzwerk- oder (W)LANScans per App, da das Smartphone in der Regel immer griff- und einsatzbereit ist. Hier können wir unter anderem die Apps Fing, Net Analyzer oder Devolo Net Scanner empfehlen. Mit den genannten Apps lassen sich auch gleich vollständige Portscans auf einzelne Clients innerhalb des verbundenen Netzwerks durchführen. Teilweise werden geöffnete Ports auch gleich einem möglichen Schädling zugeordnet. Allerdings sollten Sie nicht immer gleich mit dem Schlimmsten rechnen. Ein offener Port 49000 im LAN-Netz einer Fritzbox ist kein Matahari-Broker oder Fraggle Rock trojan, sondern dient in der Fritzbox als
LAN-Schnittstelle für das TR-064-Protokoll. Darüber können dann beispielsweise berechtigte Benutzer mit der FritzApp Fon an der Fritzbox telefonieren. Eine speziell für das Scanning im Heimnetz optimierte App bietet TrendMicro mit HouseCall for Home Networks. Wer es noch etwas auführlicher mag, kann sein Heimnetz auch einem professionellen Network Vulnerability Test (NVT) unterziehen. Im Kasten auf der dritten Seite dieses Artikels beschreiben wir, wie Sie einen NVT mit der Open Source Lösung OpenVAS durchführen. Wer Geräte mit Schwachstellen in seinem Netzwerk ausfindig gemacht hat, kann diese Lücken eventuell durch Änderungen in den Geräteeinstellungen oder durch ein Firmware-Update des Herstellers beseitigen. Die Alternative besteht darin, dass Sie Ihr Heimnetz mit einem zusätzlichen, zweiten Router in verschiedene Zonen einteilen. Man spricht hierbei auch von einer sogenannten Router-Kaskade (siehe Grafik auf der vorhergehenden Seite oben).
Zonierung durch Router-Kaskade
Dabei wird der zweite Router (Router 2) über seinen WAN-Anschluss an das LAN des Haupt-Routers (Router 1) angeschlossen. Dieses „Hintereinanderschalten“von Routern wird auch als Router-Kaskade bezeichnet. Router 1 und 2 werden direkt per Netzwerkkabel verbunden, alternativ wäre auch eine Verbindung über Powerline- oder WLAN-Bridges möglich. Bevor Sie die Router miteinander verbinden, muss Router 2 vorab konfiguriert werden. Zum einen muss dieser seine externe IP-Adresse „dynamisch“über DHCP abrufen (also nicht vom Provider mittels PPPoE). Die entsprechende Option finden Sie in den Interneteinstellungen des Routers 2. Das Ziel dieser Einstellung ist, dass Router 2 später über den eigenen WLAN-Port seine öffentliche IP-Adresse vom übergeordneten Router 1 bezieht. Damit ist Router 2 zunächst einmal ein gewöhnlicher DHCPClient im Router-1-Hauptnetz (Netzwerk 1). Trotzdem setzt Router 2 das von Router 1 aufgespannte lokale Netzwerk 1 mit dem Internet gleich. Die Folge: Router 2 blockt alle Zugriffsversuche aus dem Netzwerk 1 durch seine integrierte Firewall ab und schützt damit alle an ihn angeschlossenen Clients im Netzwerk 2. Eine Verbindung von Netzwerk 2 in Netzwerk 1 (respektive Internet) ist jedoch problemlos möglich. Achten Sie beim Setup des Routers 2 darauf, dass sich dessen interne IP-Adresse („LAN-IP“) im dritten Zahlenblock von der internen IP-Adresse des Routers 1 unterscheidet. Falls Router 1 die interne IP-Adresse 192.168.178.1 besitzt, so darf Router 2 nicht dieselbe, interne IP-Adresse haben. Sind die LAN-IP-Adressen beider Router identisch, ändern Sie die LAN-IP-Adresse von Router 2 im dritten Zahlenblock ab, etwa in 192.168.10.1 oder 192.168.188.1. Die Netzwerk- oder Subnetzmaske belassen Sie auf 255.255.255.0. Sobald Sie diese Einstellungen vorgenommen haben, verbinden Sie Router 2 über dessen WAN-Port mit einem beliebigen LAN-Port des Routers 1. Alle Clients an Router 2 befinden sich nun in einem abgeschirmten Subnetz (Netzwerk 2) und können aus dem Hauptnetz von Router-1-Clients nicht erreicht oder angegriffen werden. Der Zugriff von einem Router-2-Client auf das übergeordnete Router-1-Netz (Hauptnetz) funktioniert hingegen schon. Besonders schützenswerte Ressourcen (Arbeits-PC/-NAS, „Home Office“) verschieben Sie in das Subnetz, während Smart-TV, Smart-Home, Play Station & Co. im Hauptnetz verbleiben.