Router absichern: WLAN, WPS-PIN, Gastnetz

WLAN verstecken?

Der oft geäußerte Tipp, die ESSID (den Netzwerknamen) nicht per Broadcast Geräten in der Nähe mitzuteilen, hat kaum einen praktischen Nutzen: Der Geheimdienstler, der versucht, in Ihr WLAN einzudringen, muss nur ein wenig den Austausch zwischen Smartphone und Router mitschneiden, um die Hardware-Adresse des Routers oder Accesspoints zu kennen und über diese statt über den Netzwerknamen zuzugreifen. Andererseits wird eine Neuanbindung mobiler Endgeräte deutlich erschwert. Lassen Sie daher die Finger von diesem Tipp.

WPS: Push-Button, PIN und NFC

Ein angenehmes Komfortmerkmal vieler Router ist das Wireless Protected Setup, das das lästige Eingeben langer Schlüssel erspart. Von WPS existieren drei Varianten: Basis ist die PIN-Variante, welche jeder Router unterstützen muss, der WPS auf den Karton gedruckt haben möchte. Dabei kommt zumeist eine achtstellige PIN auf Accesspoint-Seite oder eine vierstellige PIN auf Client-Seite zum Einsatz. Beim Push-Button können sich nach Drücken des Knopfes für etwa zwei Minuten beliebige Geräte mit dem Accesspoint verbinden. Das erste Gerät, das in diesem Zeitfenster parat steht, bekommt den Pre-Shared Key (das WLAN-Passwort) übertragen. Relativ neu ist die NFC-Variante, bei der das an den DSL-Router gehaltene Tablet oder Smartphone den Schlüssel übertragen bekommt.

Eine massive Sicherheitslücke ist WPS PIN: Viele Router prüfen zunächst einen Viererblock und dann die folgenden drei Ziffern. Von einst 100 Millionen möglichen Kombinationen bleiben bei diesen Geräten gerade mal 11.000 übrig. Und die lassen sich in wenigen Stunden durchprobieren. Hinzu kommt, dass einige Hersteller von Chipsätzen die Standard-PIN aus der MAC-Adresse berechnen. Wer die Algorithmen kennt, kann binnen Sekunden die PIN auskundschaften und ein beliebiges Gerät verbinden. Die Push-Button-Methode dagegen kann angesichts des kurzen Zeitfensters weitgehend als sicher gelten, größtes Problem ist hier der physikalische Zugang zum DSL-Router durch Unbefugte - Gleiches gilt natürlich auch für die NFC-Variante.

Deaktivieren Sie daher auf jeden Fall WPS per PIN. Push-Button und NFC können aktiv bleiben. Leider interpretieren einige Hersteller die Mindestanforderung PIN dahingehend, dass die Methode Voraussetzung für alle anderen WPS-Methoden ist. Sollte das in Ihrem Router der Fall sein, deaktivieren Sie WPS komplett und schalten Sie es immer nur temporär an, wenn das Hinzufügen eines neuen Gerätes, etwa eines WLAN-fähigen Druckers, dies unbedingt erfordert.

MAC-Adressen beschränken?

Im Zusammenhang mit den Verschlüsselungsmodi und WLAN-Passwörtern kommt oft die Frage nach der Beschränkung des WLANs auf Geräte mit bestimmten MAC-Adressen. Der Sicherheitsgewinn durch diese Maßnahme ist nicht sehr groß, der Komfortnachteil dagegen spürbar. Jeder ernsthafte Angreifer würde den Netzwerkverkehr eine Weile beobachten, um die MAC-Adressen aktiver Geräte herauszufinden. Werden Geräte wie Smartphones inaktiv, weil sie außer Reichweite gelangen oder sich schlafen legen, kann der Angreifer deren MAC-Adresse kapern. MAC-Sperren erschweren Angreifern demnach nur die Arbeit, Einbrüche verhindern sie nicht.

Gastnetz einrichten

Ein mögliches Sicherheitsplus im Heimnetzwerk ist die Fähigkeit einiger DSL-Router, WLAN-Geräte nicht miteinander kommunizieren zu lassen. Das mag Angriffe eines gehackten Smart-TVs auf das Notebook verhindern, sperrt aber im Gegenzug auch die Kommunikation zwischen Tablet und Wi-Fi-Drucker oder zwischen Fire TV und WiFi-NAS. Noch etwas weiter geht der Gastmodus vieler DSL-Router, der ein eigenes Netzwerk aufspannt, keine Kommunikation ins interne Netz (weder WLAN noch LAN) zulässt und Verkehr nur nach außen routet. Das Gastnetz kann in vielen Fällen dazu dienen, das mangels Firmware-Update unsicher gewordene Smart-TV mit Programminfos zu versorgen, ohne dass es ein Risiko fürs übrige Heimnetz darstellt.