Router – meist vergessen und doch so wichtig

Dieser Beitrag befasst sich mit der Sicherheit und Konfiguration von Routern bei Privatpersonen und kleinen Unternehmen.

Wenn Sie an schnellerem WiFi interessiert sind, sollten Sie andere Beiträge suchen.

Router sind die kleinen Boxen, die meisten im Keller oder irgendwo im Haus ihr da sein fristen. Meist werden die Geräte vergessen. Nur wenn das W-LAN mal ausfällt, dann begibt man sich auf die Suche. In Deutschland sind sie unter dem Namen „Fritzbox“, „LanCom“ oder „Speedport“ bekannt.

Viele Benutzer sind wie Sie!

Sie kauften einen Router, er funktionierte gut und ignorierte ihn jahrelang. Nachdem jedoch einige große Routerschwachstellen, die Millionen von Routern betrafen, die Aufmerksamkeit der Benutzer erregte, fragten gehäuft Kunden bei uns an, wie Sie Ihren Router einrichten sollen. Da die Fragen wieder rückläufig sind, bringen wir das Thema erneut an die Oberfläche.

Viele vergessen oder verdrängen bedauerlicherweise, wie wichtig das Thema ist. Über den Router läuft ihr gesamter Netzwerkverkehr. Machen Sie sich bitte mit dem Thema vertraut.

Denn wenn ein Router mit Malware infiziert oder auf bösartige Weise umkonfiguriert wird, bekommen das die meisten Menschen nicht mit. Es gibt keine Antivirensoftware für Router.

Sicherlich, Routersicherheit mag ein langweiliges Thema sein, aber es ist wichtig, um die Sicherheit in Ihrem persönlichen und privaten Umfeld zu gewährleisten.

Es wird auch kein Google Analytics oder ein anderes Analysesystem von Drittanbietern verwendet. Tatsächlich verwendet sie in der Regel keine Skripte/Software von Dritten.

Denken Sie ebenso daran, dass es immer wieder sicherheitstechnische Lücken gibt und geben wird.

Sichere Router-Konfiguration – Wichtigsten Eckpunkte in Kürze

Diese kurze Liste von Konfigurationsänderungen kann die Sicherheit eines jeden Routers erheblich erhöhen.

  • Ändern Sie das Passwort, das für den Zugriff auf den Router verwendet wird. Alles außer der Standardeinstellung sollte in Ordnung sein, aber verwenden Sie kein Wort aus dem Wörterbuch.
  • Wenn Ihr(e) Wi-Fi-Netzwerk(e) das Standardpasswort verwenden, ändern Sie es, auch wenn es zufällig erscheint. Ein Wi-Fi-Passwort sollte mindestens 16 Zeichen lang sein.
  • Wenn Sie die Standard-SSID (Netzwerkname) verwenden, ändern Sie diese. Wenn Sie eine SSID wählen, sollten Sie sich nicht selbst identifizieren.
  • Die Wi-Fi-Verschlüsselung sollte WPA2 mit AES oder WPA3 sein.
  • Schalten Sie WPS aus.
  • Deaktivieren Sie UPnP.
  • Verwenden Sie wann immer möglich ein passwortgeschütztes Gastnetzwerk, nicht nur für Gäste, sondern auch für IoT-Geräte.
  • Wenn der Router über eine Weboberfläche verfügt, ist die Fernverwaltung wahrscheinlich ausgeschaltet, aber da dies sehr gefährlich ist, sollten Sie sich die Zeit nehmen, um zu überprüfen, ob sie wirklich deaktiviert ist.
  • Die Portweiterleitung ist eine offene Tür (technisch gesehen ein offener TCP/IP-Port). Schauen Sie sich in der Routerkonfiguration um, um sicherzustellen, dass keine Portweiterleitung aktiv ist. Es besteht eine geringe Chance, dass etwas in Ihrem Netzwerk einen Port zur Weiterleitung benötigt, aber jeder weitergeleitete Port ist ein Sicherheitsrisiko.
  • Jahrelang stand das Abschalten von IPv6 (IP-Version 6) auf der langen Liste unten, aber ab August 2021 gehört es meiner Meinung nach auch auf die kurze Liste. Nur sehr wenige Menschen brauchen es, und vor kurzem wurde bekannt, dass es ein mögliches Sicherheitsproblem damit gibt.
  • Prüfen Sie regelmäßig auf neue Firmware. Irgendwann werden Sie ein oder zwei Jahre oder länger ohne Updates auskommen müssen. Dann ist es an der Zeit für einen neuen Router.

Sichere Router-Konfiguration – Von Beginn an

Für die Technikfreaks unter uns ist die folgende Liste so umfassend wie möglich. Vielleicht wäre eine Spionageagentur die einzige, die alles auf der Liste umsetzen würde. Wählen Sie aus und implementieren Sie so viele, wie Sie können.

  • Wenn der Router neu ist, lesen Sie unsere Vorschläge für die Einrichtung eines neuen Routers. Grundlegender Plan: Nehmen Sie die offensichtlichsten Änderungen vor, während der Router offline ist, gehen Sie hinter einem anderen Router online, um die neueste Firmware zu erhalten, und nehmen Sie dann die restlichen Änderungen vor.
  • Ändern Sie das Kennwort für den Zugriff auf den Router (es handelt sich nicht um ein WiFi-Passwort). Verwenden Sie kein Wort aus dem Wörterbuch. Zwei Wörter und eine Zahl sollten genügen (7coldapples). Weitere Informationen finden Sie in meinem Ratgeber zum Router-Passwort. Dies ist oft der schwierigste Schritt, da Sie wissen müssen, wie Sie auf den Router zugreifen können.
  • Wenn der Router die Möglichkeit bietet, die Benutzerkennung zu ändern, mit der Sie sich beim Router anmelden, ändern Sie sie
  • Wenn eines Ihrer Wi-Fi-Netzwerke (ein Router kann mehr als eines erstellen) eine Standard-SSID (Netzwerkname) verwendet, ändern Sie diese. Wählen Sie keinen Namen, der offensichtlich macht, dass das Netzwerk Ihnen gehört. Mehr…
  • Verwenden Sie für die Wi-Fi-Verschlüsselung WPA2 mit AES oder WPA3. Wenn Sie die Wahl zwischen TKIP und AES haben, entscheiden Sie sich für AES. Möglicherweise gibt es auch die Option, sowohl TKIP als auch AES zu verwenden – verwenden Sie nur AES. Die Wi-Fi-Verschlüsselung wird sich mit WPA3 verbessern, aber WPA2 mit AES ist vollkommen sicher, solange das Passwort lang ist (nächstes Thema). Wenn Sie einen Verweis auf PSK sehen, bezieht sich das auf die gängigste Variante von WPA2, die ein einziges Passwort für das Netzwerk hat. WPA2 Enterprise ist die andere Variante und unterstützt mehrere Benutzer eines einzigen Netzwerks mit jeweils eigenem Passwort.
  • Wi-Fi-Passwörter: Verwenden Sie niemals das Standard-Wi-Fi-Passwort, auch wenn es lang und zufällig ist. Ändern Sie immer das/die Wi-Fi-Passwort(e). WPA2-Passwörter müssen lang genug sein, um Brute-Force-Angriffe abzuwehren. Bei WPA3 ist dies kein Problem. Meiner Einschätzung nach sollten 16 Zeichen ausreichen, aber die deutsche Regierung empfiehlt 20. Außerdem sollten Sie auf keinen Fall ein Passwort verwenden, das schon einmal jemand anderes benutzt hat. Weitere Informationen zu Wi-Fi-Passwörtern… Hinweis: Der Ubiquiti AmpliFi Mesh-Router verwendet standardmäßig dasselbe Passwort für Wi-Fi und die Verwaltung des Routers. Tun Sie dies niemals, jede Funktion sollte ihr eigenes Passwort haben.
  • Prüfen Sie auf neue Firmware. Hier gibt es keine Standards, jeder Router hat ein anderes Verfahren. Bei den meisten Routern ist dies eine ständige manuelle Überprüfung, einige können sich jedoch selbst aktualisieren. Seien Sie sich des Risikos bewusst: Wenn etwas schief geht, können Sie den Internetzugang verlieren. Am besten führen Sie die Aktualisierung zu einem Zeitpunkt durch, zu dem die Büros Ihres Internetanbieters geöffnet sind, damit die Box gegebenenfalls ausgetauscht werden kann. Weitere Informationen finden Sie auf der Seite Firmware-Updates. Viele Router erhalten keine Firmware-/Software-Updates mehr. Wenn das letzte Update für Ihren Router schon ein paar Jahre her ist, ist es Zeit für einen neuen Router.
  • WPS ausschalten.
  • Deaktivieren Sie UPnP.
  • Verwenden Sie für den Zugang zum Router nicht dasselbe Kennwort, welches für den WiFi Zugang gilt.
  • UPnP ist ein Protokoll, mit dem Geräte in einem LAN Löcher in die Firewall des Routers stanzen können. Dadurch sind diese Geräte dem Internet insgesamt ausgesetzt, wo sie, wenn sie anfällig sind, gehackt werden können. Technisch gesehen ermöglicht UPnP die Portweiterleitung, ohne dass der Router-Besitzer überhaupt weiß, was Portweiterleitung ist. Sie sind sicherer, wenn UPnP deaktiviert ist. Um zu sehen, ob Ihr Router eine Portweiterleitung durchführt, können Sie sich beim Router anmelden. Keine Weiterleitung von Ports ist der sichere, geschützte Zustand. Es besteht jedoch die Möglichkeit, dass die Deaktivierung von UPnP die Netzwerkkommunikation eines Geräts in Ihrem Netzwerk unterbricht, höchstwahrscheinlich eines IoT-Geräts. Aus diesem Grund ist UPnP bei allen Routern für Privatanwender standardmäßig aktiviert, um die Anzahl der Anrufe beim technischen Support zu verringern.
  • Aber das ist nur die halbe Wahrheit.

Wir müssen uns auch um UPnP auf der WAN-/Internetseite des Routers kümmern. UPnP sollte eigentlich nur auf der LAN-Seite eines Routers funktionieren, aber einige Router sind so schlecht konfiguriert, dass sie UPnP auch auf der WAN-/Internetseite zulassen. Das ist ein riesiger Fehler, vergleichbar mit einem Chirurgen, der das falsche Bein amputiert. Glücklicherweise gibt es einen Online-Test von Steve Gibson, der die öffentliche Seite eines Routers auf das Vorhandensein von UPnP im Internet überprüft.

  • Gastnetzwerke sind Ihr bester Freund. Verwenden Sie sie nicht nur für Besucher, sondern auch für IoT-Geräte. Sie sollten passwortgeschützt sein. Gastnetzwerke sind normalerweise, aber nicht immer, vom Hauptnetzwerk isoliert. Überprüfen Sie alle Konfigurationsoptionen, die Ihr Router für das Gastnetzwerk bietet, um sicherzustellen, dass sie isoliert sind. Auf der Seite Sicherheitscheckliste finden Sie eine Liste der Optionen, die Sie finden können.
  • Netzwerkisolierung/-segmentierung: Gastnetzwerke sind nur eine Vorspeise, die Verwendung von VLANs zur Netzwerkisolierung ist das Hauptgericht. Geräte, die nur einen Internetzugang benötigen, sollten daran gehindert werden, andere Geräte im LAN zu sehen und von ihnen gesehen zu werden. Dadurch wird verhindert, dass ein einzelnes gehacktes Gerät anderen Geräten in Ihrem Netzwerk Schaden zufügt. Weitere Informationen finden Sie auf der Seite VLAN.
  • Ursprünglich wurden Router über eine Weboberfläche und einen Computer in Ihrem Haus/Büro verwaltet. Heute bieten viele Router eine Fernverwaltung über einen Cloud-Dienst und eine Smartphone-App an. Die Verwaltung über eine mobile App kann besonders gefährlich sein, da sie wahrscheinlich von überall aus funktioniert. Testen Sie dies, wenn Sie nicht zu Hause sind, oder indem Sie Ihr mobiles Gerät mit dem 4G/LTE-Netzwerk Ihres Mobilfunkanbieters verbinden. Wenn eine App auf Ihrem Mobiltelefon aus der Ferne auf den Router zugreifen kann (wenn der Router nicht mit einem Wi-Fi-Netzwerk verbunden ist), dann vertrauen Sie darauf, dass die Mitarbeiter des Routeranbieters Sie nicht ausspionieren. Deaktivieren Sie dies, wenn Sie können. Für mich ist das ein so großes Problem, dass ich einen Router möglicherweise austausche, wenn der Remote-Zugriff auf Clouds und Anwendungen nicht deaktiviert werden kann. Mein bevorzugter Router-Anbieter, Peplink, verfügt über ein Cloud-basiertes Verwaltungssystem namens InControl2, das sich jedoch leicht deaktivieren lässt, sodass der Router vollständig lokal verwaltet werden kann.
  • Wenn der Router über eine Weboberfläche verfügt, deaktivieren Sie die Fernverwaltung (auch bekannt als Remote Management, Remote GUI oder Web Access from WAN). Normalerweise ist sie standardmäßig ausgeschaltet, aber nehmen Sie sich die Zeit, dies zu überprüfen. Wenn Sie die Fernverwaltung benötigen, gibt es eine Reihe von Möglichkeiten, sie sicherer zu machen, z. B. die Verwendung von HTTPS an einem nicht standardmäßigen Port und die Einschränkung der Quell-IP-Adresse. Auf der Seite Sicherheitscheckliste finden Sie weitere Informationen dazu.
  • Das Deaktivieren von Funktionen, die Sie nicht verwenden, verringert Ihre Angriffsfläche. Zu den Funktionen, die wahrscheinlich deaktiviert werden sollten, gehören SNMP, NAT-PMP, IPv6, Telnet-Zugang zum Router und Application Layer Gateways (ALG).
  • Ändern Sie die LAN-seitige IP-Adresse des Routers. Noch besser ist es, das gesamte LAN-seitige Subnetz zu ändern. Weitere Informationen finden Sie auf der Seite über IP-Adressen. Damit lassen sich viele Routerangriffe verhindern. Und wenn Sie schon dabei sind, richten Sie DHCP ein, um einige statische IP-Adressen zu erhalten.
  • Ändern Sie die DNS-Server, die Ihr Router an angeschlossene Geräte weitergibt. Die vom Internetanbieter zugewiesenen DNS-Server sind in der Regel die Standardoption und die schlechteste. Warum sich die Mühe machen? Um ein Unternehmen zu beauftragen, das sich auf DNS spezialisiert hat, um zusätzliche Sicherheit zu erhalten und um leicht zu merkende DNS-IP-Adressen zu haben. Zwei empfohlene DNS-Server sind 9.9.9.9 (von Quad 9, gesichert durch 149.112.112.112) und 1.1.1.1 (von Cloudflare, gesichert durch 1.0.0.1). Ich mag auch OpenDNS unter 208.67.222.222 und 208.67.220.220. Eine weitere Option ist 8.8.8.8 (von Google, gesichert durch 8.8.4.4). Einige Unternehmen bieten kinderfreundliche DNS-Server an. Nachdem Sie Ihre bevorzugten DNS-Server konfiguriert haben, testen Sie, ob sie tatsächlich verwendet werden. Denken Sie aber auch daran, dass die DNS Provider die Daten ihrer Internetbewegungen speichern, wie im Falle von beispielsweise Google.
  • Schreiben Sie die wichtigsten Informationen auf ein Blatt Papier und kleben Sie es mit der Vorderseite nach unten an den Router. Geben Sie die Wi-Fi-Netzwerknamen (SSIDs) und Passwörter, die Router-Benutzerkennung und das Router-Passwort sowie die IP-Adresse des Routers an.
  • Bei Routern mit einer Webschnittstelle sollten Sie den Zugriff auf den Router von der LAN-Seite aus sperren. Die Seite Sicherheitscheckliste bietet ein Dutzend möglicher Optionen (siehe das Thema Lokale Verwaltung), z. B. das Ändern der Portnummer(n) und die Beschränkung des Zugriffs nach IP- oder MAC-Adresse. Bei Routern, die eine mobile App für die Verwaltung verwenden, sollten Sie darüber nachdenken, den Zugriff auf die mobile App zu sperren (dazu muss man sich möglicherweise abmelden).
  • Deaktivieren Sie die Ping-Antwort. Leider verwenden die verschiedenen Router unterschiedliche Bezeichnungen für diese Funktion. Um dies zu testen, lassen Sie jemanden Ihre öffentliche IP-Adresse von außerhalb Ihres Netzwerks anpingen. Der Dienst ShieldsUP! von Steve Gibson testet dies ebenfalls.
  • Schalten Sie drahtlose Netzwerke aus, wenn sie nicht benutzt werden. Bei einigen Routern können Sie dies planen, andere verfügen über eine physische Wi-Fi-Ein/Aus-Taste, wieder andere über eine mobile App. Im schlimmsten Fall müssen Sie sich in die Webschnittstelle des Routers einloggen, um das WLAN zu deaktivieren. In diesem Fall kann ein Browser-Lesezeichen für Erleichterung sorgen.
  • Testen Sie, ob Ihr Router HNAP unterstützt. Wenn ja, sollte er ausgetauscht werden.
  • Auch Ihr Modem ist ein Computer. Ihr Router kann möglicherweise den Zugriff auf das Modem für alle Geräte im LAN sperren. Ich habe darüber gebloggt. Siehe Teil 1 und Teil 2.
  • Wenn Ihr Router ausgehende Firewall-Regeln unterstützt, blockieren Sie die von der Windows-Dateifreigabe verwendeten Ports. Möglicherweise möchten Sie auch verhindern, dass Netzwerkdrucker ausgehende Verbindungen herstellen. Wenn ein Drucker gehackt wird, kann er auf diese Weise nicht nach Hause telefonieren.
  • Wenn der Router beim Auftreten bestimmter Fehler eine E-Mail senden kann, sollten Sie diese Funktion konfigurieren.
  • Versuchen Sie zu verhindern, dass Ihr Router Sie ausspioniert. Wenn Sie einen Netgear-Router besitzen, sollten Sie wissen, dass mit den Firmware-Updates vom April 2017 „Analytics“ hinzugefügt wurde. Wenn Sie nicht möchten, dass Netgear Ihr Netzwerk überwacht, müssen Sie sich am Router anmelden und diese Analysefunktionen deaktivieren. Weitere Informationen hierzu finden Sie auf der Fehlerseite für Juli 2017. Auch Asus und andere Router enthalten Anti-Malware-Software, die Sie möglicherweise ebenfalls überwacht. Weitere Informationen zu Asus und seiner Partnerschaft mit Trend Micro finden Sie auf der Fehlerseite vom Mai 2017, und suchen Sie nach „Privacy issues with Trend Micro software in Asus routers“ Trend Micro-Software ist auch in anderen Routern enthalten, und andere Antiviren-Unternehmen arbeiten ebenfalls mit Router-Anbietern zusammen.
  • Auf der Seite Testen Sie Ihren Router“ finden Sie viele Möglichkeiten, Ihren Router auf Herz und Nieren zu prüfen. Eine Sache, auf die Sie achten sollten, sind offene Ports. Auf der ShieldsUP!-Seite von Steve Gibson (klicken Sie auf die graue Schaltfläche Proceed) beginnen Sie mit dem Test der Common Ports und achten Sie besonders auf die SSH- (22) und Telnet-Ports (23), da diese Dienste häufig von bösen Jungs missbraucht werden. Der einzige gute Status für jeden Port ist Stealth (vorausgesetzt, die Fernverwaltung ist deaktiviert). Führen Sie als Nächstes den Test für alle Dienste-Ports und schließlich den UPnP-Soforttest durch (orangefarbene Schaltfläche).
  • Testen Sie Ihren Router mit meiner Seite Shodan Query My Router. Sie generiert eine Shodan-Abfrage, eine Censys.io-Abfrage und neun weitere Abfragen Ihrer öffentlichen IP-Adresse. Wenn Ihr Router etwas Schlimmes angestellt hat, wird dies hoffentlich von einer der abgefragten Seiten entdeckt.
  • Die oben erwähnten Router-Tests sind nur eine Teillösung. Den gründlichsten Test führen Sie durch, indem Sie den WAN-Port eines zu testenden Routers (interner Router) mit einem LAN-Port eines anderen Routers (externer Router) verbinden. Scannen Sie dann von einem Computer, der mit dem externen Router verbunden ist, die WAN-Seite des internen Routers mit NMAP auf offene Ports. Auf diese Weise können Sie alle 65.535 TCP-Ports und alle 65.535 UDP-Ports testen. Es sollten keine Ports offen sein. Für die Fernverwaltung ist ein offener Port erforderlich, der jedoch normalerweise deaktiviert sein sollte.
  • Apropos nmap: Es ist auch nützlich, es auf der LAN-Seite des Routers laufen zu lassen. Es sollte ein Port für die lokale Verwaltung offen sein, vorausgesetzt, der Router verfügt über eine Webschnittstelle. Die Schwierigkeit besteht darin, den Routerhersteller dazu zu bringen, alle anderen offenen Ports zu erklären. Ein Grund, warum ich Peplink mag, ist, dass es einfach ist, eine Antwort auf diese Art von Fragen zu erhalten. Als jemand den offenen Port 8183 auf der LAN-Seite fand, erklärte das Unternehmen, warum. Im Jahr 2019 habe ich über einen Netgear-Router gebloggt, der selbst bei deaktiviertem UPnP noch einigermaßen funktionsfähig war. Die rauchende Waffe waren zwei offene LAN-seitige Ports. (hinzugefügt am 8. September 2020)
  • MAC-Adressfilterung: Eine MAC-Adresse ist eine eindeutige Kennung, die jeder Netzwerkschnittstelle zugewiesen wird. Ein Router hat in der Regel drei: eine für den WAN-/Internet-Anschluss, eine für das LAN-Ethernet und eine weitere für Wi-Fi. Ein Laptop-Computer hat eine MAC-Adresse für Wi-Fi und, falls er über einen Ethernet-Anschluss verfügt, eine andere MAC-Adresse für Ethernet. Diese Option kann verwendet werden, um die Geräte einzuschränken, die eine Verbindung zu einem Wi-Fi-Netzwerk herstellen können (oder vielleicht alle Wi-Fi-Netzwerke, je nach Router). Sie können entweder eine INCLUDE-Liste mit erlaubten MAC-Adressen oder eine EXCLUDE-Liste mit verbotenen MAC-Adressen einrichten. Die Buchführung, die mit der Pflege dieser Listen verbunden ist, kann sehr mühsam sein. Der vielleicht interessanteste Aspekt dabei ist, wie viel man über jemanden erfährt, der eine Empfehlung ausspricht. Menschen, die die Technologie nicht verstehen, empfehlen sie, ohne sich eines Fehlers bewusst zu sein. Leute, die genau wissen, wie sie funktioniert, raten wegen der Schwachstelle davon ab, sie zu verwenden. MAC-Adressen werden immer unverschlüsselt übertragen, so dass ein Bösewicht die erlaubten Adressen sehen und kopieren kann. Sollten Sie es verwenden? Das kommt darauf an. Die Sicherheit ist zwar bei weitem nicht perfekt, aber sie sollte einfache Angreifer abwehren, selbst wenn diese das Wi-Fi-Passwort kennen. Und wenn Sie nur eine kleine Anzahl von Wi-Fi-Geräten haben, ist die Buchführung nicht so schlimm. Aber es kann schwierig sein, die MAC-Adresse eines Wi-Fi-Geräts zu erfahren, insbesondere eines IoT-Geräts oder eines Geräts, das ein Betriebssystem verwendet, das zufällige private MAC-Adressen erstellt. Die Welt verändert sich. (hinzugefügt April 26, 2021)
  • Deaktivieren Sie in einem Heimnetzwerk DHCP, aktivieren Sie die MAC-Adressfilterung, senden Sie die SSID nicht, verwenden Sie nur 5-GHz-Wi-Fi und verringern Sie die Wi-Fi-Signalstärke. Wie in meinem Blog vom September 2020, Ein zweiter Router kann das Arbeiten von zu Hause aus viel sicherer machen, sind diese Maßnahmen sinnvoll, wenn ein Netzwerk nur für eine kleine Anzahl von Geräten bestimmt ist, die von einem Mitarbeiter zu Hause verwendet werden. Wenn Ihr Router nur ein oder zwei Netzwerke erstellen kann, ist keine dieser Maßnahmen eine Option. Wenn ein Router jedoch mehr Netzwerke erstellen kann oder wenn ein Router VLANs unterstützt, dann ist es sinnvoll, ein Netzwerk für die Geräte zu reservieren, die von einem Mitarbeiter, der von zu Hause aus arbeitet, benötigt werden. Wenn ein Angestellter zu Hause beispielsweise nur seinen Computer und einen Drucker benutzt, dann sollte er ein Netzwerk nur für diese beiden Geräte einrichten. Keine dieser Funktionen ist eine perfekte Einstiegshürde, aber da dies niemand tut, sollten Bösewichte ohne gute technische Kenntnisse aufgeschreckt werden.
  • Bei vielen Routern können Sie die WAN-MAC-Adresse ändern. Wenn Sie das können, sollten Sie das tun. Dies gilt nur, wenn Sie einen eigenständigen Router haben; bei einer Kombination aus Modem und Router sollten Sie dies nicht tun. Eine MAC-Adresse ist 6 Bytes lang, wobei die ersten 3 Bytes das Unternehmen identifizieren, das die Hardware hergestellt hat. Wenn Sie einen Router von Firma A so aussehen lassen, als wäre er von Firma B hergestellt worden, können Sie sich gegen einen böswilligen ISP schützen. Gültige MAC-Adressen finden Sie im Internet. Es wäre schön, wenn wir die WiFi-MAC-Adresse(n) ändern könnten, aber ich habe diese Option bei keinem Router gesehen.
  • Ihr Router ist möglicherweise nicht das einzige Gerät, das ein drahtloses Netzwerk erstellt. Viele HP-Drucker (und wahrscheinlich auch andere Hersteller, aber ich sehe das eher bei HP) erstellen ihr eigenes Wi-Fi-Netzwerk mit einer Funktion namens Wi-Fi Direct, die es drahtlosen Geräten ermöglicht, sich direkt mit dem Drucker zu verbinden, ohne über den Router zu gehen. Die Sicherheit von Wi-Fi Direct ist mangelhaft, daher sollten Sie entweder einen Drucker mit Ihrem Netzwerk verbinden – oder Wi-Fi Direct verwenden. Verwenden Sie nicht beides.
  • Router, die über eine Webschnittstelle verfügen, lassen sich am besten mit einer reinen Webbrowser-Sitzung verwalten. Starten Sie also einen Browser, arbeiten Sie mit dem Router, melden Sie sich dann vom Router ab und schließen Sie den Browser. Noch besser ist es, den privaten Browsermodus zu verwenden, wenn Sie mit dem Router arbeiten. Noch besser ist es, einen Browser zu verwenden, der keine (oder nur sehr wenige) Erweiterungen oder Plug-ins installiert hat.
  • Böse Nachbarn können ein Wi-Fi-Netzwerk, das sie nicht sehen, nicht angreifen. Um das Wi-Fi-Signal zu schwächen, das von Ihrem Haus ausgeht, drehen Sie die Sendeleistung des Routers herunter. Es gibt noch einige andere Hindernisse, die zwar nicht narrensicher sind, aber dennoch überwunden werden können. Nicht jeder Nachbar meint es mit Ihnen nett.
  • Verwenden Sie DNS over HTTPS, wenn es Ihr Provider unterstützt.
  • Essen Sie Ihr Gemüse 🙂

Letzte Schritte

Wenn Sie alle Konfigurationsänderungen an einem Router vorgenommen haben, sollten Sie eine Sicherungskopie der aktuellen Einstellungen erstellen. Auf diese Weise können Sie, falls Sie den Router einmal zurücksetzen müssen, den zuletzt gesicherten Zustand einfach importieren/wiederherstellen. Viele Router können die aktuellen Einstellungen in eine Datei exportieren. Manche Mesh-Router können die aktuellen Konfigurationseinstellungen nicht in eine Datei exportieren. Wenn das bei Ihnen der Fall ist, sollten Sie Fotos von den Konfigurationsbildschirmen machen.

Ein Grund, warum Sie die aktuellen Konfigurationseinstellungen neu installieren müssen, ist, wenn jemand den Router zurücksetzt. Alle Router sind mit einer Rücksetzfunktion ausgestattet. Eine böswillige Person, die den Router physisch berühren kann, könnte den Router einfach auf die Werkseinstellungen zurücksetzen, um die Sicherheitsvorkehrungen zu umgehen. Ein Unternehmen kann versuchen, den Zugang zum Router physisch zu beschränken, aber zu Hause ist dies wahrscheinlich nicht möglich. Um die beste Wi-Fi-Leistung zu bieten, muss ein Router offen zugänglich sein, was ihn anfällig für ein Zurücksetzen macht.

Moderne, technisch orientierte Router verfügen über eine Vielzahl von Funktionen. Nachdem Sie die oben genannten Änderungen vorgenommen haben, ist es wahrscheinlich am besten, eine Weile mit dem Router zu leben, bevor Sie einige der obskureren Einstellungen ändern. Sobald Sie eine Leistungsbasis haben, sollten Sie Funktionen wie die Erkennung und Verhinderung von Denial-of-Service-Angriffen (DoS) oder SYN-Flood-Angriffen aktivieren. Peplink bietet zum Beispiel Intrusion Detection und DoS Prevention, die vor 9 Arten von Angriffen schützen. DrayTek-Router bieten Schutz vor über 15 Arten von Angriffen.

Wenn Sie kein VPN verwenden, können Sie die VPN-Passthrough-Optionen deaktivieren.

Und immer daran denken. Führen Sie regelmäßig Softwareupdates (auch Firmwareupdates genannt) durch.

Post by Digitales Erbe

Comments are closed.