Router: Sicherheitslücken am Beispiel der Telekom-Speedport-Router schließen

Ein Router ist in einem lokalen Netzwerk die entscheidende Komponente für die Verbindung ins Internet. Daher sind Router auch für die Sicherheit Ihres Netzwerks und Internet-Zugriffs von größter Bedeutung. Erfahren Sie hier, am Beispiel der bekannten und verbreiteten Speedport-Router der Telekom, mit welchen Einstellungen Sie Ihren Router perfekt gegen Schadsoftware und Datenpiraten absichern.

Router organisieren die Vernetzung und den Internet-Zugang

Ein Router ist eine selbstständige Vermittlungsvorrichtung in einem Kommunikationsnetzwerk, quasi ein spezialisierter "Kommunikationsrechner." Der Begriff leitet sich aus dem Englischen "route" (dt. = Route, Marschroute) ab. Ein Router leitet die Daten innerhalb eines Netzwerks oder bei einem Netzwerkübergang vom WAN (Wide Area Network) zu einem LAN (Local Area Network) über vorbestimmte Routen an die Zielrechner weiter. 

In einem kleinen Heim- oder Büronetzwerk mit Internet-Zugang übernimmt ein Router hauptsächlich die Funktion eines Verknüpfungsrechners zwischen WAN und LAN. Die in Ihrem LAN angeschlossenen Rechner können somit über das WAN Daten mit anderen Rechnern außerhalb Ihres LANs austauschen.

Der Router sorgt also dafür, dass genau immer der richtige PC die angeforderten Daten über das WAN an seine LAN-Adresse gesendet bekommt oder dass die von einem PC ins LAN nach außen gesendeten Daten ihr Ziel über das WAN erreichen. Aus diesem Grund sind alle Router auch ein entscheidender Schwachpunkt bei der Sicherung eines Netzwerks mit Internetzugang.

Am Beispiel des verbreiteten Router-Flaggschiffs "Speedport 921V" der Telekom, sind die folgenden Punkte bei der Routerkonfiguration für die Sicherheit im Router-Betrieb von größter Wichtigkeit. Auch, wenn Sie keinen Speedport-Router der Telekom einsetzen, sind die beschriebenen Tipps und Verfahren weitgehend auch bei anderen Routern sinngleich anwendbar.

eintippen.

Dort werden Sie aufgefordert, das Gerätepasswort einzugeben. Dieses befindet sich auf dem Typenschild-Aufkleber auf der Geräterückseite. Sofern auch Unbefugte in den Besitz des Gerätepassworts kommen können, sollten Sie ein individuelles Passwort benutzen. Dieses kann nur durch einen harten Reset des Geräts gelöscht werden, der allerdings auch die gesamte andere Konfiguration, inklusive der Internet-Zugangsdaten, löscht.

Insbesondere, wenn Sie Ihren Router auch für die Fernadministration über das Internet freigeben möchten, sollten Sie das Gerätepasswort unbedingt sofort gegen ein individuelles Passwort tauschen. Von vielen Routern sind Standard-Passwörter der Hersteller in der Szene so bekannt wie der sprichwörtliche "bunte Hund" und sollten daher unbedingt getauscht werden. Noch sicherer ist es, wenn Sie die Möglichkeit der Fernadministration abschalten, falls diese voreingestellt aktiv sein sollte.

Firmware-Aktualisierung gegen Fehler im Router-Betriebsprogramm

Auch eine mangelhafte Firmware (das interne Betriebsprogramm des Routers) kann Schadprogrammen und Angreifern Tür und Tor öffnen. Um die Firmware aktuell zu halten, haben die Speedport-Router der Telekom eine Funktion namens "Easy Support." Mittels aktiver Easy Support-Funktion wird der Router über die Internet-Verbindung automatisch upgedatet. Dieses Autoupdate ist bei allen Telekom-Routern ab Werk aktiv. Die Geschäftsbedingungen untersagen Telekom-Kunden, die einen Speedport-Router gemietet haben, sogar diese Funktion abzuschalten.

Setzen Sie keinen Speedport-Router ein oder haben den Telekom-Router gekauft, können Sie die Firmware-Update-Funktion problemlos abschalten. Dann allerdings sollten Sie gelegentlich selbst prüfen, ob eine neuere Firmware-Version angeboten wird und diese gegebenenfalls installieren. Firmware-Update, Handbücher und Begleitinfos erhalten Sie bei der Telekom auf den Supportwebseiten.

Liste der MAC-Adressen im Router anlegen

Die effizienteste Sicherheitsmethode bleibt, nur festgelegten Geräten die Nutzung Ihres Netzwerks zu erlauben. Dies geschieht mit Hilfe der MAC-Adresse (sprich: "MÄC-Adresse"), die jedes Netzwerkgerät unverwechselbar kennzeichnet, ganz gleich, ob es kabelgebunden oder per Funk die Daten überträgt. Bestimmen Sie über die Eingabe der MAC-Adressen (Media Access Control), welche Geräte in Ihrem WLAN arbeiten dürfen.

Bei den Speedport-Routern der Telekom rufen Sie dazu in der Konfigurationsoberfläche (Webinterface) HEIMNETZWERK auf. Dort benutzen Sie ÜBERSICHT DER GERÄTE IM HEIMNETZWERK und tragen in die Tabelle mittels GERÄT MANUELL HINZUFÜGEN alle betreffenden Geräte (PCs, Notebooks, Smartphones, Media-Receiver oder per Netzwerk eingebundene Drucker) in die Liste ein. Vergessen Sie nicht, abschließend auf SPEICHERN zu klicken.

Gültigkeitsdauer der DHCP-Adressenvergabe im Router sinnvoll anpassen

Eine zusätzliche Sicherheitsfunktion eröffnet sich durch die DHCP-Funktion (Dynamic Host Configuration Protocol). Mit dieser kann ein Router IP-Adressen (Internet-Adressen) den angeschlossenen Rechnern automatisch zuteilen. Diese Funktion ist standardmäßig aktiviert, da sie die LAN-Verwaltung sehr vereinfacht.

Wenn Sie das Sicherheitsniveau dieser Automatik erhöhen möchten, limitieren Sie die Zeitdauer der Gültigkeit der vergebenen IP-Adressen. Das geschieht beim Speedport-Router W 921 V, indem Sie HEIMNETZWERK (LAN) öffnen und dort im Abschnitt DHCP das Listenfeld GÜLTIGKEITSDAUER DER ADRESSEN (engl. "lease time") auf einen mittleren oder kleinen Wert einstellen.

Der DHCP-Server vergibt dann eine neue Adresse, wenn der Netzteilnehmer länger als die eingestellte Gültigkeitsdauer der Adressen benennt ausgeschaltet ist. Beachten Sie dabei, dass manche Netzwerkgeräte für den dauerhaften Betrieb im Netzwerk die Erreichbarkeit unter immer derselben IP-Adresse benötigen. Dies stellen Sie gegebenenfalls über eine Portregel für das betreffende Endgerät sicher, denn eine Portregel setzt die Gültigkeitsdauer auf unendlich.

Hinweis: In einem separaten experto-Beitrag zu den Telekom-Speedport-Routern erhalten Sie eine ausführliche Anleitung, wie Sie auch die lokalen Funk-Netzwerkverbindungen (WiFi/WLAN) vor Software- und Datenpiraten schützen.