Netzwerk

Router absichern: WLAN, WPS-PIN, Gastnetz

WLAN verstecken?

Der oft geäußerte Tipp, die ESSID (den Netzwerknamen) nicht per Broadcast Geräten in der Nähe mitzuteilen, hat kaum einen praktischen Nutzen: Der Geheimdienstler, der versucht, in Ihr WLAN einzudringen, muss nur ein wenig den Austausch zwischen Smartphone und Router mitschneiden, um die Hardware-Adresse des Routers oder Accesspoints zu kennen und über diese statt über den Netzwerknamen zuzugreifen. Andererseits wird eine Neuanbindung mobiler Endgeräte deutlich erschwert. Lassen Sie daher die Finger von diesem Tipp.

WPS: Push-Button, PIN und NFC

Ein angenehmes Komfortmerkmal vieler Router ist das Wireless Protected Setup, das das lästige Eingeben langer Schlüssel erspart. Von WPS existieren drei Varianten: Basis ist die PIN-Variante, welche jeder Router unterstützen muss, der WPS auf den Karton gedruckt haben möchte. Dabei kommt zumeist eine achtstellige PIN auf Accesspoint-Seite oder eine vierstellige PIN auf Client-Seite zum Einsatz. Beim Push-Button können sich nach Drücken des Knopfes für etwa zwei Minuten beliebige Geräte mit dem Accesspoint verbinden. Das erste Gerät, das in diesem Zeitfenster parat steht, bekommt den Pre-Shared Key (das WLAN-Passwort) übertragen. Relativ neu ist die NFC-Variante, bei der das an den DSL-Router gehaltene Tablet oder Smartphone den Schlüssel übertragen bekommt.

Eine massive Sicherheitslücke ist WPS PIN: Viele Router prüfen zunächst einen Viererblock und dann die folgenden drei Ziffern. Von einst 100 Millionen möglichen Kombinationen bleiben bei diesen Geräten gerade mal 11.000 übrig. Und die lassen sich in wenigen Stunden durchprobieren. Hinzu kommt, dass einige Hersteller von Chipsätzen die Standard-PIN aus der MAC-Adresse berechnen. Wer die Algorithmen kennt, kann binnen Sekunden die PIN auskundschaften und ein beliebiges Gerät verbinden. Die Push-Button-Methode dagegen kann angesichts des kurzen Zeitfensters weitgehend als sicher gelten, größtes Problem ist hier der physikalische Zugang zum DSL-Router durch Unbefugte - Gleiches gilt natürlich auch für die NFC-Variante.

Deaktivieren Sie daher auf jeden Fall WPS per PIN. Push-Button und NFC können aktiv bleiben. Leider interpretieren einige Hersteller die Mindestanforderung PIN dahingehend, dass die Methode Voraussetzung für alle anderen WPS-Methoden ist. Sollte das in Ihrem Router der Fall sein, deaktivieren Sie WPS komplett und schalten Sie es immer nur temporär an, wenn das Hinzufügen eines neuen Gerätes, etwa eines WLAN-fähigen Druckers, dies unbedingt erfordert.

MAC-Adressen beschränken?

Im Zusammenhang mit den Verschlüsselungsmodi und WLAN-Passwörtern kommt oft die Frage nach der Beschränkung des WLANs auf Geräte mit bestimmten MAC-Adressen. Der Sicherheitsgewinn durch diese Maßnahme ist nicht sehr groß, der Komfortnachteil dagegen spürbar. Jeder ernsthafte Angreifer würde den Netzwerkverkehr eine Weile beobachten, um die MAC-Adressen aktiver Geräte herauszufinden. Werden Geräte wie Smartphones inaktiv, weil sie außer Reichweite gelangen oder sich schlafen legen, kann der Angreifer deren MAC-Adresse kapern. MAC-Sperren erschweren Angreifern demnach nur die Arbeit, Einbrüche verhindern sie nicht.

FritzBox Administrator-Passwort

© SCreenshot WEKA / Connect

Vorbildlich: AVM fordert zum Setzen eines Administrator-Passwortes auf, bevor der Router mit dem Internet verbunden werden kann.

Gastnetz einrichten

Ein mögliches Sicherheitsplus im Heimnetzwerk ist die Fähigkeit einiger DSL-Router, WLAN-Geräte nicht miteinander kommunizieren zu lassen. Das mag Angriffe eines gehackten Smart-TVs auf das Notebook verhindern, sperrt aber im Gegenzug auch die Kommunikation zwischen Tablet und Wi-Fi-Drucker oder zwischen Fire TV und WiFi-NAS. Noch etwas weiter geht der Gastmodus vieler DSL-Router, der ein eigenes Netzwerk aufspannt, keine Kommunikation ins interne Netz (weder WLAN noch LAN) zulässt und Verkehr nur nach außen routet. Das Gastnetz kann in vielen Fällen dazu dienen, das mangels Firmware-Update unsicher gewordene Smart-TV mit Programminfos zu versorgen, ohne dass es ein Risiko fürs übrige Heimnetz darstellt.

Mehr zum Thema

Hotspots
Kostenlos ins Internet

Bei der Breitbandversorgung hinkt Deutschland hinterher, doch es gibt vielversprechende Ansätze.
VPN Datentunnel
VPN-Grundlagen

Wir verraten, wie Sie über virtuelle private Netzwerke WLAN-Hotspots und andere öffentliche Internetzugänge sicher nutzen können.
AVM Fritzbox 7490
Tipps zur Routersicherheit

Die Sicherheit des Routers optimieren klingt kompliziert. Tatsächlich können Sie Ihre Daten aber schon mit wenigen Klicks vor Angriffen schützen.
Cybermobbing
Mobbing im Internet-Zeitalter

Cybermobbing ist ein Problem, das vor allem Kinder und Jugendliche trifft. Was hat es mit Mobbing im Cyberspace auf sich und was können Sie dagegen…
Alle Testberichte
Samsung Galaxy Note 8 Front
Alles zu Preis, Verkaufsstart und Features
Das Samsung Galaxy Note 8 ist ein Smartphone der Superlative. Hier unser erster Test und alle Infos zu Preis, Verkaufsstart und Features.
Festnetztest Ewe Logo
connect Festnetztest 2017
Trotz Schwächen vor allem in der Sprachkategorie schneidet der Regionalanbieter EWE im Festnetztest 2017 gut ab. Lesen Sie hier das Testurteil.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.