Wenn im Unternehmen keine professionelle und besonders geschützte Firewall im Einsatz ist, wird die Internetverbindung meistens über einen Router durchgeführt, der direkt mit dem Internet verbunden ist. Vor allem in kleinen Unternehmen und Niederlassungen, aber auch zu Hause entsteht so einiges Gefahrenpotenzial, das es zu verhindern gilt. Beim Einsatz vieler Hardwarehersteller kann Etliches optimiert werden. Verbreitete Hardware, wie AVM-Fritz!Boxen, bieten dafür viele native Sicherheitsvorkehrungen, die auch Netzwerklaien sehr guten Schutz bieten. Darüber hinaus sind für Spezialisten noch detailliertere Einstellungen möglich, um Netzwerke noch sicherer zu gestalten
Hacker im Netzwerk erkennen
Haben Sie den Verdacht, dass Hacker in das Netzwerk eingedrungen sind, sollten Sie zunächst in aller Ruhe eine Analyse durchführen. Bereits vorher sollten Sie im Netzwerk ständig überprüfen, ob es Probleme bezüglich der Arbeitsstationen gibt. Wenn Netzwerke gehackt werden, dann oft über den Weg der Client-Computer.
In den meisten DSL-Routern gibt es eine Weboberfläche, über die Sie die Datenleitung überwachen können. Wenn der Datenverkehr in das Internet ständig ausgelastet ist, auch ohne dass Sie oder andere Anwender im Internet surfen, muss jemand diesen Verkehr verursachen, vielleicht ein Hacker oder Trojaner. Geben Sie in der Eingabeaufforderung den Befehl netstat -o ein. Wollen Sie die Ausgabe in eine Textdatei umleiten, geben Sie den Befehl netstat -o >C:\netstat.txt ein. Hier sehen Sie alle Datenverbindungen eines Rechners. Achten Sie vor allem auf die Remote-Adresse und prüfen Sie, woher diese kommt. Zusätzlich können Sie hier die Tools SmartSniff und CurrPorts nutzen. Beide zeigen an, welche internen Prozesse eine Verbindung ins Internet aufbauen.
Das sind die größten Gefahren für Router
Die größten Gefahren, die von Angreifern auf Router ausgehen, haben im Grunde genommen fünf Quellen:
1. Veraltete Firmware
2. Zu viele geöffnete Ports
3. Unsichere Private-Cloud-Funktionen
4. Fehlerhaft gesetzte Sicherheitseinstellungen, zum Beispiel ein unsicheres Administratorkennwort
5. Verwaltungs-Tools über das Internet erreichbar
Neue Firmware installieren
Um einen Router zunächst so sicher zu machen, müssen zunächst diese Lücken behoben werden. Der erste Schritt besteht immer darin, im Internet zu überprüfen, ob es eine neue Firmware des Herstellers gibt. Wenn Sicherheitslücken bekannt werden, dann schließen die Hersteller diese zwar oft, aber leider installieren viele Administratoren oder Benutzer die Aktualisierung nicht. Viele Hersteller, wie auch AVM, bieten in der Weboberfläche oft die Möglichkeit, direkt eine Aktualisierung durchzuführen. Ist das nicht der Fall, dann lassen sich Update-Dateien meistens aus dem Internet herunterladen und in der Weboberfläche installieren
Geöffnete Ports und Freigaben überprüfen
Auf vielen Routern gibt es Freigaben, die den Internetverkehr auf interne IP-Adressen umleiten. Diese Freigaben sind häufig entweder falsch konfiguriert oder schlicht und ergreifend unnötig. Es bietet sich daher an, regelmäßig zu überprüfen, welche Freigaben es gibt, und diese unter Umständen zu löschen
Vor allem Optionen wie UPnP, also die Veränderungen der Einstellungen eines Routers über das Netzwerk, sollten Sie deaktivieren. Denn auf diesem Weg können Viren und Trojaner im internen Netzwerk auch Schaden auf dem Router anrichten. Viele Skripte nutzen UPnP (Universal Plug and Play) als Protokoll, um Informationen aus der Fritzbox einzulesen oder Aktionen zu starten. Damit das funktioniert, muss die UPnP-Schnittstelle auf der Fritzbox aber aktiviert sein. Die Einstellungen dazu sind im Bereich Heimnetz\Netzwerk auf der Registerkarte Netzwerkeinstellungen zu finden. Hier muss die Option Statusinformationen über UPnP übertragen aktiviert sein, damit Daten ausgelesen werden können. Nutzen Sie diese Funktionen nicht, dann deaktivieren Sie diese Funktion. Wichtig ist auch die Deaktivierung der UPnP-Steuerungsfunktion über Internet\Freigaben.
Unsichere Zusatzfunktionen deaktivieren
Auf vielen Routern, auch in Unternehmen, gibt es mittlerweile zahlreiche Funktionen für das Private-Cloud-Computing. Nutzen Sie diese Funktionen nicht, dann sollten Sie darauf achten, dass sie ausgeschaltet sind. Wird die Funktion genutzt, sollte das Kennwort optimal gesetzt sein. Außerdem sollten Sie die Sicherheitseinstellungen korrekt setzen.
Auch Zusatzdienste wie Mediaserver oder DynamicDNS lassen oft die Leistung von Routern einbrechen und stellen Sicherheitsgefahren dar. Nur wenn es unbedingt sein muss, ist es sinnvoll, diese Funktionen zu nutzen. Die Einstellungen dazu sind häufig im Bereich der Netzwerk- oder Interneteinstellungen zu finden.
Sicherheitsfunktionen optimal setzen
Das Erste, was Sie auf Routern durchführen sollten, ist, das Standardkennwort für den Zugriff zu ändern. Verwenden Sie ein sicheres Kennwort, am besten eine Kombination aus Benutzernamen und Kennwort.
Die Anmeldung an der Weboberfläche sollte nur über SSL möglich sein. Außerdem ist es ratsam, ein eigenes Zertifikat zu installieren oder das Zertifikat einer öffentlichen Zertifizierungsstelle zu verwenden. Auch Heimgeräte, wie die Fritz!box unterstützen diese Sicherheitsfunktionen. Sie können im Bereich Internet\Freigaben\Fritz!Box-Dienste den Port für den SSL-Zugriff abändern und Zertifikate hinterlegen. Verwenden Sie einen anderen Port für SSL als den Standard-Port, dann können unbefugte Anwender weniger wahrscheinlich auf die Weboberfläche zugreifen.
Viele Geräte, darunter auch die Fritzboxen, bieten Diagnosefunktionen, die bei Problemen helfen und Sicherheitsgefahren aufdecken. Auch wenn dies keine optimale Absicherung darstellt, sollte eine Diagnose doch regelmäßig durchgeführt werden.
Router können oft Selbstdiagnosen durchführen
In den Sicherheitsinformationen eines Routers erhalten Sie außerdem in den meisten Fällen noch zusätzliche Informationen und können Sicherheitsgefahren frühzeitig erkennen.
Die meisten Router verfügen darüber hinaus über eine umfangreiche Protokollierung und zeigen Ereignisse in Echtzeit an. Überprüfen Sie, ob es hier ungenehmigte Aktionen und verdächtige Ereignisse gibt. Auch das Datenvolumen sollten Sie kontrollieren. Viele Router bieten hier eine Auflistung des übertragenen und empfangen Volumens über einen bestimmten Zeitraum. Gibt es hier deutliche Ausreißer nach oben, sollten Sie möglichst schnell handeln. AVM-Fritzboxen bieten dazu den Online-Zähler in der Oberfläche.
Netzwerkverkehr mitschneiden (Sniffern)
Den Netzwerkverkehr auf vielen Routern können Sie mitschneiden, zum Beispiel auch auf Fritzboxen. Dazu gehen Sie folgendermaßen vor:
1. Geben Sie die Adresse: http://fritz.box/html/capture.html in einem Browser ein und melden Sie sich an der Fritzbox an. Nur auf diesem Weg lässt sich die Überwachungsseite öffnen.
2. Öffnet sich nicht die Fritzbox-Seite, geben Sie die IP-Adresse der Fritzbox anstelle des Namens fritz.box ein. Die Adresse sehen Sie am schnellsten, wenn Sie eine Befehlszeile auf einem Rechner öffnen und ipconfig eingeben. Die IP-Adresse der Fritzbox finden Sie bei der Zeile Standardgateway.
3. Anschließend öffnet sich die Seite mit der Sniffer-Oberfläche. Klicken Sie auf Start für die Internetverbindung oder eine beliebige Netzwerkschnittstelle, um einen Vorgang zu starten. Wählen Sie einen Speicherort für die Sniffer-Datei aus. Solange Sie nicht Stop klicken, speichert die Fritzbox die Daten in dieser Datei.
4. Den Inhalt der Datei lesen Sie mit dem kostenlosen Tool Wireshark. Installieren Sie das Programm und öffnen Sie die erstellte *.eth-Datei. Für einen schnellen Überblick können Sie die Datei auch mit dem normalen Windows-Editor öffnen. Sie sehen in der Datei zum Beispiel die IP-Adressen der besuchten Internetseiten und mit etwas Übung auch Kennwörter, wenn diese nicht verschlüsselt übertragen wurden.
Router über das Internet verwalten
Einige Router lassen den Verwaltungszugriff über das Internet oder von unsicheren Netzwerken aus zu. Das sollten Sie in jedem Fall verhindern. Deaktivieren Sie alle Optionen, die es ermöglichen, über das Internet auf den Router zuzugreifen. Es ist in den seltensten Fällen sinnvoll, dass Administratoren oder Anwender über das Internet auf die Verwaltungsoberfläche eines Routers zugreifen können.
Penetrationstest mit Kali-Live-DVD
Die Sicherheit im Netzwerk und die Ihrer Routen können Sie auch mit kostenlosen Live-CDs testen. Ein prominentes Beispiel dafür ist Kali (https://www.kali.org/). Booten Sie einen Rechner mit der CD und analysieren Sie Ihre Router. Über das Menü Applications\Kali Linux finden Sie die dazu notwendigen Tools. Um mit Kali das Netzwerk zu scannen, öffnen Sie das Tool Zenmap über die Eingabe von zenmap in der Konsole. Geben Sie hier die Daten der Rechner und Router ein, die Sie scannen wollen.
Eines der bekanntesten Sicherheits-Tools in Kali ist OpenVAS. Es wird über Applications\Kali Linux\Vulnerability Analysis gestartet. Mit dem Werkzeug scannen Sie Ihr Netzwerk auf Schwachstellen.
Auch VoIP ist angreifbar
Wenn Sie auf dem Router auch VoIP-Funktionen aktiviert haben, sollten Sie regelmäßig in den registrierten Telefoniegeräten sicherstellen, dass kein unbefugter Benutzer eingetragen ist. Viele Router mit VoIP-Funktion akzeptieren Steuerungen über Tastenkürzel bei Telefonen. Außerdem gibt es zahlreiche Sicherheitslücken, die Angreifern gestatten, auf die Telefoniefunktion zuzugreifen.
Achten Sie ferner darauf, die Sicherheitseinstellungen für VoIP möglichst sicher zu konfigurieren, die Authentifizierungsdaten möglichst kompliziert zu gestalten und die Verbindungen zu verschlüsseln. Überprüfen Sie auch die Anrufliste und stellen Sie sicher, dass hier keine unerlaubten Anrufe getätigt wurden. Sichern Sie notfalls die Liste und überprüfen Sie die Anrufe. (hal)