So kapern Angreifer Ihren Router mit einem Weblink
Viele Router sind anfällig für Cross Site Request Forgery (CSRF): Bei dieser Methode bettet der Angreifer ein gefährliches Javascriptprogramm oder einen Link auf einer Webseite ein. Ruft der Nutzer diese per Browser von einem Heimnetz-PC auf, versucht das Programm, das Routermenü zu starten. Dazu nutzt es die standardmäßige interne IP-Adresse des Routers und die Zugangsdaten für dessen Webmenü. Haben Sie diese Werte auf Werkseinstellungen belassen, bekommt der Angreifer Zugriff, denn für den Router sieht diese Anfrage so aus, als käme sie erlaubterweise von einem Rechner im internen Netz. Auf diese Weise lassen sich Befehle ausführen, die zum Beispiel die Einträge für den DNS-Server ändern, um Browseranfragen aus dem internen Netzwerk auf manipulierte Webseiten oder einen Proxyserver des Angreifers umzuleiten. gibt. Sonst kann es vorkommen, dass im Heimnetz eine IP-Adresse doppelt vergeben ist.
DNS-Einträge prüfen: Werden Ihre Daten umgeleitet?
Auf welcher Seite Sie landen, wenn Sie im Browser eine Webadresse eingeben, bestimmt der DNS-Server. Er übersetzt eine Anfrage wie www.pcwelt.de in die dazugehörige IP-Adresse, die Netzwerkgeräte benötigen, um zu wissen, wohin sie die Datenpakete schicken müssen. Wenn Angreifer dem Router einen manipulierten DNS-Server unterschieben, können sie eine eingegebene Adresse auf eine beliebige Webseite umleiten. So funktioniert der Angriff: Ist ein Router anfällig für eine CSRF-Attacke, genügt schon ein Klick auf eine manipulierte Webseite, damit ein Angreifer Zugriff auf das Routermenü hat. Dort trägt er einen DNS-Server ein, der unter seiner Kontrolle steht. Wenn Sie nun von einem Heimnetzrechner etwa die Webseite Ihrer Bank aufrufen, wird der Browser auf eine Phishing-Seite umgeleitet, um Kennwörter abzugreifen. Oder alle Internetanfragen aus dem Heimnetz werden über einen Proxyserver geschleust, um den Datenverkehr mitzuschneiden. Das können Sie dagegen tun: Prüfen Sie, an welchen DNS-Server die Heimnetzgeräte ihre Anfragen stellen. Öffnen Sie dazu die Eingabeaufforderung, und geben Sie den Befehl ipconfig/all ein. In der Zeile DNS-Server sollte die IP-Adresse des Routers stehen. Dieser reicht im Netzwerk üblicherweise den DNSServer, den er vom Provider zugewiesen bekommt, an die Heimnetzgeräte weiter. Anschließend kontrollieren Sie im Routermenü, welcher DNS-Server dort eingetragen ist. Die Information finden Sie meist in einer Statusübersicht: bei der Fritzbox im Menü „Internet
Online-Monitor Genutzte DNS-Server“. Die angegebene IP-Adresse können Sie über eine Internetdatenbank prüfen lassen, etwa http:// whois.syndicat.com. Als Inhaber der IP-Adresse sollte Ihr Internetprovider genannt sein.
Kein Zugang von außen: Fernzugriff am besten abschalten
Ein Router lässt sich nicht nur per LAN verwalten. Die meisten Geräte bieten auch die Möglichkeit, das Browsermenü übers Internet zu erreichen und dort Änderungen vorzunehmen. So funktioniert der Angriff: Viele Sicherheitslücken eines Routers lassen sich nur ausnutzen, wenn der Angreifer aus dem Heimnetz zugreift. Ist allerdings der Fernzugriff aus dem Internet ungeschützt, lässt sich die Attacke auch außerhalb des LANs starten. Router von D-Link und Trendnet wiesen letztes Jahr beispielsweise eine Lücke auf, die es ermöglichte, ohne Kenntnis des Menüpassworts Dateien auf das Gerät zu laden. Bestimmte Netgear-Modelle schalteten die Passwortabfrage aus, wenn eine bestimmte URL mehrmals aufgerufen wird. Bei einem ungesicherten Fernzugriff benötigt der Angreifer also keine zusätzlichen Informationen, um den Router zu übernehmen. Das können Sie dagegen tun: Wenn Sie den Fernzugriff nicht benötigen, sollten Sie ihn