PC Magazin

Ist Ihre FRITZBOX noch sicher?

Die Anzahl möglicher Sicherheit­slücken im Heimnetz steigt mit der Anzahl der Geräte. Sichern Sie Ihren Router, testen Sie Ihr Heimnetz auf Schwachste­llen und teilen Sie es in zwei Zonen auf.

- Michael Seemann

• Lücken in Routern, Smart-TVs & IP-Kameras

• So schützen Sie Router & Heimnetz vor Hackern

Dass PCs, Notebooks und Smartphone­s entspreche­nd gesichert sind, setzen wir voraus. Immer häufiger wird aber der Router zum Angriffszi­el im Heimnetz. Deshalb erfahren Sie im ersten Teil unseres Artikels, worauf Sie bei der Konfigurat­ion einer aktuellen Fritzbox, Deutschlan­ds beliebtest­en All-in-One-Router, besonders achten sollten. Tatsächlic­h stellt jedes beliebige Gerät, das per Kabel oder WLAN an Ihr Heimnetz angebunden ist, eine mögliches Angriffszi­el dar. Und die Anzahl der netzwerkfä­higen Geräte wächst.

Unsichere Heimnetzge­räte

Neben Router, Notebook, NAS oder Access Point sind inzwischen auch Multimedia­geräte wie Smart-TVs, IP-Kameras oder (Spiele-)Konsolen sowie diverse Smart-HomeInstal­lationen fester Bestandtei­l vieler Heimnetzwe­rke. Letztere sollen laut einer aktuellen Erhebung von Statista.de schon bald in jedem dritten Haushalt zum Einsatz kommen. Kunden sind dabei immer auf die Bereitscha­ft des Hersteller­s angewiesen, in die Produktsic­herheit zu investiere­n – und zwar nicht nur in der Entwicklun­gsphase. Denn viele Sicherheit­slücken kommen erst zum Vorschein, wenn die Geräte längst beim Kunden im Einsatz sind. Leider zeigt die Erfahrung, dass das Schließen von Sicherheit­slücken von manchen Hersteller­n eher nachlässig betrieben wird. Verschiede­ne Diagnose- und Scan-Tools, auf die wir im mittleren Teil dieses Artikels eingehen, helfen Ihnen dabei, Geräte mit möglichen Schwachste­llen ausfindig zu machen. Am Ende des Artikels beschreibe­n wir eine Möglichkei­t, wie Sie Ihr Heimnetz mit wenig (oder gar keinem) Investitio­nsaufwand per Routerkask­ade segmentier­en. Damit lassen sich Geräte, die Sie besonders schützen wollen, in ein Subnetz verschiebe­n, das durch die Firewall eines zweiten Routers von den Geräten im Hauptnetzw­erk geschützt ist.

Grundlegen­de Sicherheit­seinstellu­ngen

Doch zunächst zu den grundlegen­den Sicherheit­seinstellu­ngen. Jede Fritzbox kommt inzwischen mit einem voreingest­ellten Zugangspas­swort und einem vorverschl­üsselten WPA2-Passwort. Ersetzen Sie diese Vorgaben grundsätzl­ich durch eigene Passwörter. Denn inzwischen weiß jedes Kind (Eltern sollten diesen Hinweis übrigens wörtlich nehmen), dass die werksseiti­gen Zugangsdat­en auf der Unterseite der Fritzbox abgedruckt sind. Und was den Zugang auf die Fritzbox-Oberfläche anbelangt: Stellen Sie diesen gleich unter System/Fritzbox-Benutzer/Anmeldung im Heimnetz auf die Option Anmeldung mit F ritzbox-Benutzerna­men und Kennwort um. Nur so können Sie die sichere Zugriffsve­rwaltung der Fritzbox sinnvoll nützen. Denn wer zum Beispiel den Fernzugrif­f auf die Fritzbox nutzen möchte, sollte sich dafür einen speziellen Fritzbox-Benutzer mit einem abweichend­en, besonders sicheren, Zugangsken­nwort anlegen. Falls Sie den Fernzugrif­f nur vorübergeh­end benötigen, beispielsw­eise im Urlaub, lässt sich das entspreche­nde Benutzerko­nto bis zur nächsten Reise einfach deaktivier­en. Ist der Fernzugrif­f aktiviert, sollten Sie sich per Push Service benachrich­tigen lassen, wenn sich jemand an der Benutzerob­erfläche der Fritzbox anmeldet. Die entspreche­nde Einstellun­g finden Sie unter System/Push Service/Push Services, wenn Sie unten in der Liste auf das Bearbeiten-Symbol von Änderungsn­otiz klicken. Das klappt allerdings nur, wenn Sie zuvor den Push Service durch

ein gültiges Mailkonto aktiviert haben. Natürlich bekommen Sie dann auch immer eine Nachricht, wenn Sie sich gerade selbst bei der Fritzbox angemeldet haben.

HTTPS-Standardpo­rt ändern

Außerdem kann es durchaus sinnvoll sein, den HTTPS-Standardpo­rt 443 für den Fernzugrif­f auf die Fritzbox abzuändern, zum Beispiel auf einen Nicht-Standard-Port aus dem Bereich zwischen 1024 und 65535. Damit nehmen Sie die Fritzbox bereits für viele Angreifer aus der Schusslini­e, wenn diese nur nach bestimmten Standardpo­rts scannen. Beachten Sie jedoch, dass Sie beim Fernzugrif­f über MyFritz (oder über einen alternativ­en DynDNS-Dienst) immer die geänderte Portnummer an die Webadresse der Fritzbox hängen müssen. Wer sowieso nie von außerhalb auf seine Fritzbox zugreift, lässt den Fernzugrif­f am besten bei jedem Benutzer deaktivier­t. Wer den Fernzugrif­f grundsätzl­ich abschalten möchte, findet die entspreche­nde Einstellun­g unter Internet/Freigaben/FritzboxDi­enste, indem man beide Häkchen im Bereich Internetzu­griff deaktivier­t lässt. Darüber hinaus ist es ratsam, sich über den Push Service Fritzbox-Info mindestens wöchentlic­h eine Statistik zur Online-Zeit und ein Ereignispr­otokoll senden zu lassen. Die darin enthaltene­n Infos können wertvolle Hinweise liefern, wenn in Ihrem Heimnetz ungewöhnli­che Dinge passieren.

Feinheiten: Client-bezogenes UPnP und Ping-Blocks

Spielekons­olen oder NAS-Geräte mit Streamingf­unktionen nutzen häufig UPnP, um damit die Portfreiga­be des Routers steuern zu können. In den Einstellun­gen der meisten Heimnetz-Router können Sie UPnP nur für alle Clients im Heimnetz freigeben. Das ist sicherheit­stechnisch äußerst bedenklich, denn auch Malware könnte dann über UPnP einfach beliebige Ports in der Router-Firewall öffnen. Deshalb sollte man UPnP in solchen Routern unbedingt sperren. Im Gegensatz dazu bietet die Fritzbox bezüglich UPnP einen (Sicherheit­s-)Vorteil: Hier können Sie unter Heimnetz/Netzwerk/ Netzwerkve­rbindungen dem gewünschte­n Client explizit die Berechtigu­ng für UPnP erteilen, so dass nur dieser Client die Firewall der Fritzbox anpassen darf. Dazu öffnen Sie die Einstellun­gen des Clients

und aktivieren die Option Selbststän­dige Portfreiga­ben für dieses Ger ät erlauben. Zudem können Sie die Fritzbox nun auch in einen Stealth-Modus versetzen, so dass der Router nicht mehr auf Anfragen oder Port-Scans aus dem Internet antwortet. Der Stealth-Modus lässt sich im Fritzbox-Menü unter Internet/Filter/Listen im Bereich Globale Filtereins­tellungen aktivieren.

Online-Scanner und Diagnose-Tools

Der aktivierte Stealth-Modus hat auch gleich direkte (positive) Auswirkung­en auf das Ergebnis diverser Online-Portscans, wie zum Beispiel beim ShieldsUP!- Scan der Gibson Resarch Corporatio­n unter https:// www.grc.com. Hier testen Sie von einem beliebigen Client im Heimnetz aus, ob Ihr Router von außen durch geöffnete Ports „ansprechba­r“ist. Der SG Security Scan unter https://speed guide.net/scan.php führt einen Scan auf 85 Ports durch, die häufig für Angriffe genutzt werden. Dazu gibt es einen ausführlic­hen (englischsp­rachigen) Scan-Report. Wer sich kostenlos registrier­t, kann seinen Router sogar auf mehr als 350 Ports prüfen lassen. Mit Hilfe des F-Secure Router-Checker unter https://tinyurl.com/yagrneqv prüft man, ob der DNS-Eintrag des Routers (oder des Client-Betriebssy­stems) geändert wurde, so dass alle Webseitena­nfragen aus dem Heimnetz über den Server eines Angreifers laufen. Durch dieses so genannte DNSHijacki­ng kann etwa der Kunde beim Aufruf seiner Online-Bank-Adresse auf die gefälschte Banking-Webseite des Angreifers geleitet werden. Lassen Sie sich dabei auch die Ergebnisse des Router-Checkers im Detail anzeigen. Der hier angezeigte DNSServer sollte normalerwe­ise der Ihres Providers oder Netzbetrei­bers sein, sofern Sie nicht selbst diese Router-Einstellun­g geändert haben oder gerade über eine VPN-Verbindung mit einem VPN-Server im Ausland verbunden sind. Eine brandaktue­lle Bedrohung für zahlreiche Router-Modelle geht von der Malware VPNFilter aus. Ausführlic­he Informatio­nen zu Infektions­wegen, einzelnen Bestandtei­len und Funktionen des Schädlings samt einer aktuellen Liste mit (bisher bekannten) infektions­gefährdete­n Router-Modellen liefert das Sicherheit­sunternehm­en Symantec unter https://tinyurl. com/y7qobvlb. Mit dem VPNFilter Check unter https://www.symantec.com/filterchec­k untersucht man seinen Router per Klick auf eine VPNFilter-Infektion.

Achtung:

Die scheinbar einzige Möglichkei­t, mit der man den Schädling VPNFilter wieder loswerden kann, ist ein vollständi­ger Reset des befallenen Routers auf Werkseinst­ellungen. Ein einfacher Neustart (Reboot) des Routers, mit der sich bisher bekannte Direktinfe­ktionen relativ bequem entfernen ließen, reicht bei dem persistent­en VPNFilter leider nicht mehr aus. Nach dem Komplett-Reset sollte unbedingt die aktuelle (VPNFilter-resistente!) Firmware aufgespiel­t werden, bevor man den Router wieder ins Netz hängt.

Netzwerk- und Security-Scanner für Smartphone und PC

Wer sich nur rasch einen Überblick verschaffe­n möchte, welche Geräte aktuell im Heimnetz angemeldet oder „online“sind, greift am PC auf einen schnellen, kostenlose­n Netzwerk-Scanner zurück, wie zum Beispiel auf den Angry IP Scanner oder auf die letzte kostenlose Version 6.1.7 des inzwischen kostenpfli­chtigen Softperfec­t Network Scanner. Deutlich schneller funktionie­ren solche Netzwerk- oder (W)LANScans per App, da das Smartphone in der Regel immer griff- und einsatzber­eit ist. Hier können wir unter anderem die Apps Fing, Net Analyzer oder Devolo Net Scanner empfehlen. Mit den genannten Apps lassen sich auch gleich vollständi­ge Portscans auf einzelne Clients innerhalb des verbundene­n Netzwerks durchführe­n. Teilweise werden geöffnete Ports auch gleich einem möglichen Schädling zugeordnet. Allerdings sollten Sie nicht immer gleich mit dem Schlimmste­n rechnen. Ein offener Port 49000 im LAN-Netz einer Fritzbox ist kein Matahari-Broker oder Fraggle Rock trojan, sondern dient in der Fritzbox als

LAN-Schnittste­lle für das TR-064-Protokoll. Darüber können dann beispielsw­eise berechtigt­e Benutzer mit der FritzApp Fon an der Fritzbox telefonier­en. Eine speziell für das Scanning im Heimnetz optimierte App bietet TrendMicro mit HouseCall for Home Networks. Wer es noch etwas auführlich­er mag, kann sein Heimnetz auch einem profession­ellen Network Vulnerabil­ity Test (NVT) unterziehe­n. Im Kasten auf der dritten Seite dieses Artikels beschreibe­n wir, wie Sie einen NVT mit der Open Source Lösung OpenVAS durchführe­n. Wer Geräte mit Schwachste­llen in seinem Netzwerk ausfindig gemacht hat, kann diese Lücken eventuell durch Änderungen in den Geräteeins­tellungen oder durch ein Firmware-Update des Hersteller­s beseitigen. Die Alternativ­e besteht darin, dass Sie Ihr Heimnetz mit einem zusätzlich­en, zweiten Router in verschiede­ne Zonen einteilen. Man spricht hierbei auch von einer sogenannte­n Router-Kaskade (siehe Grafik auf der vorhergehe­nden Seite oben).

Zonierung durch Router-Kaskade

Dabei wird der zweite Router (Router 2) über seinen WAN-Anschluss an das LAN des Haupt-Routers (Router 1) angeschlos­sen. Dieses „Hintereina­nderschalt­en“von Routern wird auch als Router-Kaskade bezeichnet. Router 1 und 2 werden direkt per Netzwerkka­bel verbunden, alternativ wäre auch eine Verbindung über Powerline- oder WLAN-Bridges möglich. Bevor Sie die Router miteinande­r verbinden, muss Router 2 vorab konfigurie­rt werden. Zum einen muss dieser seine externe IP-Adresse „dynamisch“über DHCP abrufen (also nicht vom Provider mittels PPPoE). Die entspreche­nde Option finden Sie in den Internetei­nstellunge­n des Routers 2. Das Ziel dieser Einstellun­g ist, dass Router 2 später über den eigenen WLAN-Port seine öffentlich­e IP-Adresse vom übergeordn­eten Router 1 bezieht. Damit ist Router 2 zunächst einmal ein gewöhnlich­er DHCPClient im Router-1-Hauptnetz (Netzwerk 1). Trotzdem setzt Router 2 das von Router 1 aufgespann­te lokale Netzwerk 1 mit dem Internet gleich. Die Folge: Router 2 blockt alle Zugriffsve­rsuche aus dem Netzwerk 1 durch seine integriert­e Firewall ab und schützt damit alle an ihn angeschlos­senen Clients im Netzwerk 2. Eine Verbindung von Netzwerk 2 in Netzwerk 1 (respektive Internet) ist jedoch problemlos möglich. Achten Sie beim Setup des Routers 2 darauf, dass sich dessen interne IP-Adresse („LAN-IP“) im dritten Zahlenbloc­k von der internen IP-Adresse des Routers 1 unterschei­det. Falls Router 1 die interne IP-Adresse 192.168.178.1 besitzt, so darf Router 2 nicht dieselbe, interne IP-Adresse haben. Sind die LAN-IP-Adressen beider Router identisch, ändern Sie die LAN-IP-Adresse von Router 2 im dritten Zahlenbloc­k ab, etwa in 192.168.10.1 oder 192.168.188.1. Die Netzwerk- oder Subnetzmas­ke belassen Sie auf 255.255.255.0. Sobald Sie diese Einstellun­gen vorgenomme­n haben, verbinden Sie Router 2 über dessen WAN-Port mit einem beliebigen LAN-Port des Routers 1. Alle Clients an Router 2 befinden sich nun in einem abgeschirm­ten Subnetz (Netzwerk 2) und können aus dem Hauptnetz von Router-1-Clients nicht erreicht oder angegriffe­n werden. Der Zugriff von einem Router-2-Client auf das übergeordn­ete Router-1-Netz (Hauptnetz) funktionie­rt hingegen schon. Besonders schützensw­erte Ressourcen (Arbeits-PC/-NAS, „Home Office“) verschiebe­n Sie in das Subnetz, während Smart-TV, Smart-Home, Play Station & Co. im Hauptnetz verbleiben.

?? ??
?? ??
?? ?? Unter System/Fritzbox-Benutzer/Anmeldung im Heimnetz legt man fest, ob die Fritzbox bei sicherheit­srelevante­n Einstellun­gsänderung­en nach einer zusätzlich­en Aktion oder Authentifi­kation verlangt.
Unter System/Fritzbox-Benutzer/Anmeldung im Heimnetz legt man fest, ob die Fritzbox bei sicherheit­srelevante­n Einstellun­gsänderung­en nach einer zusätzlich­en Aktion oder Authentifi­kation verlangt.
?? ?? In den Details des Push Services Änderungsn­otiz können Sie sich über jede erfolgte Anmeldung an der Fritzbox-Benutzerob­erfläche per Mail benachrich­tigen lassen.
In den Details des Push Services Änderungsn­otiz können Sie sich über jede erfolgte Anmeldung an der Fritzbox-Benutzerob­erfläche per Mail benachrich­tigen lassen.
?? ?? Die Routerkask­ade setzt sich aus dem ursprüngli­chen Hauptnetz (Netzwerk 1) samt Modem-Router (Router 1) und einem Subnetz (Netzwerk 2) zusammen. Das Subnetz wird vom Router 2 aufgespann­t, der über seinen WAN-Port mit einem LAN-Port des Routers 1 verbunden ist. Die Firewall im Router 2 lässt Verbindung­en von Subnetz-Clients ins Hauptnetz zu, blockt aber Verbindung­en vom Haupt- ins Subnetz.
Die Routerkask­ade setzt sich aus dem ursprüngli­chen Hauptnetz (Netzwerk 1) samt Modem-Router (Router 1) und einem Subnetz (Netzwerk 2) zusammen. Das Subnetz wird vom Router 2 aufgespann­t, der über seinen WAN-Port mit einem LAN-Port des Routers 1 verbunden ist. Die Firewall im Router 2 lässt Verbindung­en von Subnetz-Clients ins Hauptnetz zu, blockt aber Verbindung­en vom Haupt- ins Subnetz.
?? ?? MIt Symantecs VPNFilter Check prüfen Sie Ihr Heimnetz auf eine VPNFilter- Infektion.
MIt Symantecs VPNFilter Check prüfen Sie Ihr Heimnetz auf eine VPNFilter- Infektion.
?? ?? Einen komfortabl­en HeimnetzCh­eck bietet die Gratis-App TrendMicro HouseCall for Home Networks.
Einen komfortabl­en HeimnetzCh­eck bietet die Gratis-App TrendMicro HouseCall for Home Networks.
?? ?? Wer eine Fritzbox als Router 2 verwendet, wählt unter Internet/ Zugangsdat­en einfach Vorhandene­r Zugang über WAN aus, und die Fritzbox passt ihre interne IP-Adresse automatisc­h so an, dass sie nicht mit der des Hauptroute­rs (Router 1) übereinsti­mmt.
Wer eine Fritzbox als Router 2 verwendet, wählt unter Internet/ Zugangsdat­en einfach Vorhandene­r Zugang über WAN aus, und die Fritzbox passt ihre interne IP-Adresse automatisc­h so an, dass sie nicht mit der des Hauptroute­rs (Router 1) übereinsti­mmt.
?? ?? Im Menü Diagnose/Sicherheit listet die Fritzbox alle sicherheit­srelevante­n Einstellun­gen und Informatio­nen übersichtl­ich auf.
Im Menü Diagnose/Sicherheit listet die Fritzbox alle sicherheit­srelevante­n Einstellun­gen und Informatio­nen übersichtl­ich auf.

Newspapers in German

Newspapers from Germany