Netzwerk

Router absichern: WLAN, WPS-PIN, Gastnetz

WLAN verstecken?

Der oft geäußerte Tipp, die ESSID (den Netzwerknamen) nicht per Broadcast Geräten in der Nähe mitzuteilen, hat kaum einen praktischen Nutzen: Der Geheimdienstler, der versucht, in Ihr WLAN einzudringen, muss nur ein wenig den Austausch zwischen Smartphone und Router mitschneiden, um die Hardware-Adresse des Routers oder Accesspoints zu kennen und über diese statt über den Netzwerknamen zuzugreifen. Andererseits wird eine Neuanbindung mobiler Endgeräte deutlich erschwert. Lassen Sie daher die Finger von diesem Tipp.

WPS: Push-Button, PIN und NFC

Ein angenehmes Komfortmerkmal vieler Router ist das Wireless Protected Setup, das das lästige Eingeben langer Schlüssel erspart. Von WPS existieren drei Varianten: Basis ist die PIN-Variante, welche jeder Router unterstützen muss, der WPS auf den Karton gedruckt haben möchte. Dabei kommt zumeist eine achtstellige PIN auf Accesspoint-Seite oder eine vierstellige PIN auf Client-Seite zum Einsatz. Beim Push-Button können sich nach Drücken des Knopfes für etwa zwei Minuten beliebige Geräte mit dem Accesspoint verbinden. Das erste Gerät, das in diesem Zeitfenster parat steht, bekommt den Pre-Shared Key (das WLAN-Passwort) übertragen. Relativ neu ist die NFC-Variante, bei der das an den DSL-Router gehaltene Tablet oder Smartphone den Schlüssel übertragen bekommt.

Eine massive Sicherheitslücke ist WPS PIN: Viele Router prüfen zunächst einen Viererblock und dann die folgenden drei Ziffern. Von einst 100 Millionen möglichen Kombinationen bleiben bei diesen Geräten gerade mal 11.000 übrig. Und die lassen sich in wenigen Stunden durchprobieren. Hinzu kommt, dass einige Hersteller von Chipsätzen die Standard-PIN aus der MAC-Adresse berechnen. Wer die Algorithmen kennt, kann binnen Sekunden die PIN auskundschaften und ein beliebiges Gerät verbinden. Die Push-Button-Methode dagegen kann angesichts des kurzen Zeitfensters weitgehend als sicher gelten, größtes Problem ist hier der physikalische Zugang zum DSL-Router durch Unbefugte - Gleiches gilt natürlich auch für die NFC-Variante.

Deaktivieren Sie daher auf jeden Fall WPS per PIN. Push-Button und NFC können aktiv bleiben. Leider interpretieren einige Hersteller die Mindestanforderung PIN dahingehend, dass die Methode Voraussetzung für alle anderen WPS-Methoden ist. Sollte das in Ihrem Router der Fall sein, deaktivieren Sie WPS komplett und schalten Sie es immer nur temporär an, wenn das Hinzufügen eines neuen Gerätes, etwa eines WLAN-fähigen Druckers, dies unbedingt erfordert.

MAC-Adressen beschränken?

Im Zusammenhang mit den Verschlüsselungsmodi und WLAN-Passwörtern kommt oft die Frage nach der Beschränkung des WLANs auf Geräte mit bestimmten MAC-Adressen. Der Sicherheitsgewinn durch diese Maßnahme ist nicht sehr groß, der Komfortnachteil dagegen spürbar. Jeder ernsthafte Angreifer würde den Netzwerkverkehr eine Weile beobachten, um die MAC-Adressen aktiver Geräte herauszufinden. Werden Geräte wie Smartphones inaktiv, weil sie außer Reichweite gelangen oder sich schlafen legen, kann der Angreifer deren MAC-Adresse kapern. MAC-Sperren erschweren Angreifern demnach nur die Arbeit, Einbrüche verhindern sie nicht.

FritzBox Administrator-Passwort

© SCreenshot WEKA / Connect

Vorbildlich: AVM fordert zum Setzen eines Administrator-Passwortes auf, bevor der Router mit dem Internet verbunden werden kann.

Gastnetz einrichten

Ein mögliches Sicherheitsplus im Heimnetzwerk ist die Fähigkeit einiger DSL-Router, WLAN-Geräte nicht miteinander kommunizieren zu lassen. Das mag Angriffe eines gehackten Smart-TVs auf das Notebook verhindern, sperrt aber im Gegenzug auch die Kommunikation zwischen Tablet und Wi-Fi-Drucker oder zwischen Fire TV und WiFi-NAS. Noch etwas weiter geht der Gastmodus vieler DSL-Router, der ein eigenes Netzwerk aufspannt, keine Kommunikation ins interne Netz (weder WLAN noch LAN) zulässt und Verkehr nur nach außen routet. Das Gastnetz kann in vielen Fällen dazu dienen, das mangels Firmware-Update unsicher gewordene Smart-TV mit Programminfos zu versorgen, ohne dass es ein Risiko fürs übrige Heimnetz darstellt.

Mehr lesen

Wer ist die Nummer eins? -

Mehr zum Thema

WLAN Gesetz
Tipps & Tricks

Wir zeigen, wie Sie Ihr WLAN verbessern und das Funknetz schnell, sicher und stabil am Laufen halten können.
Smartphone Datenschutz Sicherheit
Datensammler

Unternehmen wie Google, Facebook oder die Schufa speichern private Daten. Auskunft, Widerspruch, Löschung - diese Rechte haben Sie.
Diebstahl
Netzwerkfestplatte

Wir geben Tipps, wie Sie Ihre Netzwerkfestplatte (NAS) vor unberechtigtem Zugriff absichern.
Hotspots
Kostenlos ins Internet

Bei der Breitbandversorgung hinkt Deutschland hinterher, doch es gibt vielversprechende Ansätze.
WLAN-Router
Router frei wählen

Seit 1. August müssen Internet-Provider frei gekaufte Router an ihren Anschlüssen und für ihre Dienste unterstützen.
Alle Testberichte
Huawei P9 Plus
5,5-Zoll-Smartphone
88,0%
Huawei optimiert das P9 und heraus kommt ein echter Überflieger: Wir haben das Huawei P9 Plus getestet.
ZTE Nubia Z11 Mini
Mittelklasse Smartphone
79,8%
Das Design stimmt und auch technisch ist alles dabei. Doch der Test des ZTE Nubia Z11 Mini enthüllt Schwächen.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.