Sichere router So schützt Ihr Router das Netz
Vor wenigen Wochen hat ein neuer IoT-Wurm zugeschlagen und Wikipedia stundenlang lahmgelegt. War ein ungesichertes Gerät Ihres Heimnetzes ein Teil des Angriffs? – Wie testen, wie gut aktuelle Router Ihr Netz schützen.
Bereits im letzten Heft haben wir die Suche nach verwundbaren und gehackten Geräten mittels OpenVAS und Traffic-Analyse beschrieben. In diesem Artikel wollen wir uns ganz den Problemen typischer DSL-Router widmen, den Möglichkeiten, Router so abzusichern, dass die Gefahren fürs Heimnetz und für Dritte minimiert werden, aber auch aktuelle Router vorstellen, die Sicherheit groß schreiben.
Alten Router austauschen
Ist Ihr Router acht Jahre oder älter, oder liegt das letzte Sicherheits-Update schon länger zurück? Dann sollten Sie explizit nachforschen, ob Ihr Routermodell abgekündigt wurde und Sicherheitslücken vorliegen oder es noch in Sicherheitsbeurteilungen einbezogen wird. Leider haben viele Router, insbesondere solche mit günstigen Atheros-Chipsätzen, nicht schließbare Sicherheitslücken, die Konfigurationsänderungen vom lokalen Netz aus auch ohne Anmeldung möglich machen. Der Grund für die Lücke: Viele Router-Hersteller übernehmen von den Chipsatz-Herstellern ihre Software-Entwicklungskits mit allen ihren Fehlern und wandeln sie nur gering ab. Häufig findet OpenVAS derartige Router. Als Alternative zum Elektronikschrott kann in vielen Fällen die Installation von OpenWRT gelten.
Router absichern
Moderne Router lassen sich recht schnell absichern. Installieren Sie zunächst die aktuellste Firmware. Achten Sie darauf, dass keine Standard-Passwörter aktiv sind. Deaktivieren Sie unsichere Authentifizierungs-Methoden, und achten Sie darauf, dass eine Portfreigabe per UPnP inaktiv und das Webinterface des Routers nur aus dem lokalen Netz erreichbar ist. Prüfen Sie, ob Dateifreigaben möglicherweise ohne Passwort Zugriff auf sensible Dokumente geben.
Passive und aktive Sicherheit
Nachdem neue Router bei der passiven Sicherheit nicht mehr patzen, haben wir beschlossen, in dieser Übersicht die aktive Sicherheit, also den Schutz der Endgeräte, näher zu betrachten. Da es bislang keine einheitlichen Kriterien zur Bewertung der möglichen Maßnahmen gibt, verzichten wir auf eine Gewichtung und damit eine Rangfolge. Entnehmen Sie der Test-Tabelle die für Ihre Umgebung relevanten Features.
Netzwerk-Analyse durch den Router
Die Chipsätze von DSL-Routern sind in der Regel auf guten Netzwerkdurchsatz optimiert. Meist steht dem recht schwachen Prozessor eine dezidierte Network Processing Unit, also ein Co-Prozessor für die Paketverarbeitung, bereit. Dieser kann die Bildung von Prüfsummen oder die Paketfilterung unterstützen und so zu gutem Durchsatz und geringem Stromverbrauch beitragen. Bei Geräten mit Server- und NAS-Funktionen kommen mitunter ARMstatt MIPS-Kerne zum Einsatz. Allerdings
bewegen sich diese leistungsmäßig auch bei teuren Routern allenfalls im Bereich von Mittelklasse-Smartphones. Daher müssen Router-Hersteller, die zusätzliche Sicherheitsfunktionen anbieten, Nutzen und Prozessorlast gut abwägen, um keine Performance-Einbußen zu erleiden.
DNS-Filterung
Eine einfache und recht zuverlässige Möglichkeit, Internet-Verkehr zu filtern, ist die Manipulation von DNS-Einträgen. Hostnamen, die dafür bekannt sind, beispielsweise zum Nachladen von Scripten durch Würmer benutzt zu werden, können per Domain Name Service auf eine lokale IPAdresse (meist die des Routers) umgeleitet und so unschädlich gemacht werden. Da die Filterung bereits auf Ebene der Adressauflösung funktioniert, ist es letztlich egal, ob der Zugriffsversuch über unverschlüsselte Protokolle (HTTP, IRC, FTP) oder verschlüsselt (HTTPS, SMTP/SSL) erfolgt. Weil viele Würmer eigens eingerichtete Domains nutzen oder wenig frequentierte Blogs kapern, sind Kollateralschäden durch Overblocking eher die Ausnahme. Zudem führen die meisten Anbieter von Sperrlisten parallel weiße Listen, auf der Domains wie drive.google.com oder github.com verzeichnet sind.
Traffic-Filterung
Bei unverschlüsseltem Traffic kann eine Paketanalyse erfolgen. Hier spielt es zunächst keine Rolle, ob ein Paket zu einem HTTPoder IMAP-Datentransfer gehört. Tauchen beispielsweise URLS auf wie https://drive. google.com/pfad/zu/boeses_script.txt, kann der Router die Adresse austauschen, ohne dass davon andere Zugriffe auf drive.google. com betroffen wären. Da der Datenverkehr mittlerweile bei vielen Diensten nur noch verschlüsselt ist, verliert diese Methode zunehmend an Bedeutung als Präventionsmittel.
Statische Analyse von Endgeräten
Im letzten Heft haben wir die Analyse eines kompletten Netzwerkes mit OpenVAS beschrieben. Hier werden zunächst Endgeräte gesucht und auf angebotene Dienste abgeklopft. Im nächsten Schritt werden die Versionen von Diensten und Betriebssystem anhand ihres typischen Antwortverhaltens geprüft. Als letzter Schritt kann aktives Eindringen über Software-Lücken, Standard-Passwörter oder zu schwach gesetzte Nutzer-Passwörter versucht werden. Ein großer Vorteil, die statische Analyse auf einem Router durchzuführen, liegt darin, dass der Router über eine DHCP-Anfrage sofort mitbekommt, wenn ein neues Gerät im Netzwerk angemeldet wurde und dann die Prüfung starten kann.
Verhaltensbeobachtung
Eine weitere Möglichkeit, zu erkennen, ob ein Gerät gehackt wurde, ist die Analyse der aus- und eingehenden Verbindungen. Oft sagen bereits die Adressen und Ports
des Kommunikationspartners genügend aus, um einen begründeten Verdacht zu hegen. Eine Beobachtung via Protokollfunktion der Linux-Firewall kann dabei zunächst Statistiken erstellen und später Abweichungen zum Anlass für die Benachrichtigung nehmen. Ein gutes Beispiel hierfür ist eine Webcam, die regelmäßig zum Herstellers Verbindung aufnimmt und gelegentlich von außen per App kontaktiert wird. Hier würden bereits einzelne Zugriffe auf IRCPorts ausreichen, um aufzufallen. In vielen Fällen kann auch generell verdächtiges Verhalten ermittelt werden. So sind vielfache Verbindungsversuche zu scheinbar zufälligen IP-Adressen auf dem Telnet-Port immer ein Hinweis für einen IoT-Wurm.
Teure Pflege bei Netgear
Netgear liefert mit dem Nighthawk RS400 den einzigen Router mit komplettem Sicherheitspaket aus DNS-Filterung, Endgeräte-Analyse und verhaltensbasiertem Intrusion Detection System. Der Dienst wird beworben als Powered by BitDefender. Beim RS400 ist der Dienst für drei Jahre im Kaufpreis enthalten. Um Netgear Armor als vollwertigen Virenschutz bezeichnen zu können, enthält das Paket noch Lizenzen für die Bitdefender-Endgeräte-Software für Windows und Android (für „alle Geräte eines Haushaltes“). Nutzer einiger älterer Netgear Nighthawk- und Orbi-Geräte können nach Firmware-Updates Netgear Armor drei Monate lang kostenlos testen, anschließend sind 69 Euro pro Jahr fällig.
Kindersicherung bei Fritzbox
AVMs Fritzbox bietet mit der Kindersicherung eine mittlerweile sehr fein granulierte Möglichkeit, zumindest die Kommunikation verwundbarer Geräte nach außen zu unterbinden. Dafür lassen sich Blacklists oder Whitelists hinterlegen, die dann in Client-spezifischen Nameserver-Einstellungen münden. Durchaus komfortabel kann Whitelisting sein, wenn bei der oben erwähnten Webcam sichergestellt sein soll, dass sie auf Cloud und Update-Server des Herstellers zugreifen darf und sonst nichts. Schwieriger wird es bereits beim Smart TV: Meist sollen Amazon, Netflix, YouTube und die Mediatheken der großen Fernsehsender funktionieren. Ein immenser Aufwand. Schwarze Listen sind praktikabler, denn für deren Erstellung genügt meist zu ermitteln, was das Smart TV im Hintergrund tut, wenn man gerade nicht mit ihm fernsieht. Dennoch sind auch hier Netzwerkkenntnisse erforderlich, um unerwünschte Hosts und Domains erkennen zu können.
Handarbeit bei OpenWRT
Ein kleiner Lichtblick ist OpenWRT auf relativ aktueller Hardware mit genügend RAM. Dort können Sie die Pakete adblock oder simple-adblock installieren, die neben einem wirksamen Werbefilter auch bekannte Malware-Domains und CommandandControl Server enthalten. Sie tragen so effizient dazu bei, Malware sowohl die weitere Verbreitung als auch die Ausleitung von Daten zu erschweren oder zu verhindern. Simples Intrusion Detection bietet OpenWRT leider nicht. Das mittlerweile erhältliche SNORT hat einen enormen Speicherbedarf, daher ist der Einsatz auf einem einfachen Router nicht praktikabel.
Fazit, Ausblick und Wunsch
Bei der passiven Sicherheit haben wirklich alle Hersteller dazugelernt: Aktive Dienste
sind auf ein sinnvolles Maß reduziert; lediglich Standards bei der Medienbereitstellung per SMB könnten ein wenig restriktiver sein. Netgears Armor schafft ein interessantes Maß an zusätzlicher Sicherheit, allerdings zum Preis eines nicht ganz billigen Alles-oder-Nichts-Abos. Was wir uns von den Router-Herstellern für die Zukunft wünschen? Zunächst eine Unterstützung von DNS-basierten Blocklisten primär für Malware-Domains, aber auch als Adblocker; im Idealfall pro Endgerät festzulegen. Dass dies technisch leicht umzusetzen ist, zeigt OpenWRT. Unser zweiter Wunsch ist, dass mehr Router-Hersteller die Filter der Fritzbox kopieren und diese lernfähig machen; beispielsweise, indem man für ein neues Gerät einen Anlern-Modus aktivieren kann, der dann die Zugriffe nach außen über einige Tage aufzeichnet und daraus eine Whitelist erzeugt. Dass zumindest einfache statische Analysen auch auf schwacher Hardware möglich sind, zeigt Nmap auf OpenWRT. Wer eine voll umfassende Sicherheit fürs Netzwerk haben möchte, dem bleibt Selbstbau, beispielsweise mit einem Raspberry Pi mit Pi Hole und OpenVAS. Den Stand aktiver Router-Sicherheit werden wir dann 2020 erneut unter die Lupe nehmen.