Router einrichten
15.07.2016, 14:05 Uhr
20 Tipps zur sicheren Router-Konfiguration
Einen modernen Router bringen Sie mit wenigen Handgriffen ins Internet. Doch die Standardeinstellungen öffnen Lauschangriffen und Hackern oft Tür und Tor. Mit unseren Tipps sichern Sie Ihren Router.
Router in Betrieb nehmen: Auf der Rückseite vieler aktueller Routermodelle stehen die wichtigsten Informationen, um den Router in Betrieb zu nehmen und um WLAN-Endgeräte anzuschliessen. Hier als Beispiel sehen Sie die Rückseite eines Speedport 724 der Telekom.
Doch viele Nutzer beschäftigen sich viel zu wenig mit ihrem Router. Ist das WLAN sicher konfiguriert? Ist ein Fernzugriff aktiviert? Kann Ihr Provider per TR-069 ohne Ihre Zustimmung die Firmware Ihres Routers ändern? In zwanzig Tipps beantwortet der Artikel diese Fragen und erklärt die wichtigsten Schritte bei der Einrichtung Ihres Routers.
Router aufstellen und konfigurieren
So nehmen Sie Ihren Router in Betrieb und richten ein neues Passwort ein.
1. Router aufstellen
Als Aufstellort wenig geeignet sind Orte, an denen die Funkwellen durch bauliche Gegebenheiten blockiert oder behindert werden. Dazu gehören Zimmerecken, ein Abstellraum und auch ein freier Platz unter dem Schreibtisch. Glasflächen in der Nähe sollten Sie ebenfalls meiden, weil dadurch Überlagerungen entstehen, die das Funksignal verschlechtern können.
2. Konfiguration aufrufen
Konfiguration aufrufen: Praktisch alle modernen Router lassen sich ohne die Eingabe einer IP-Adresse konfigurieren. D-Link-Router erreichen Sie zum Beispiel, indem Sie dlinkrouter eintippen.
Öffnen Sie dann ein Browserfenster und tippen Sie die Adresse Ihres Routers ein. Bei der Fritzbox ist das fritz.box. Speedport-Router sind in der Regel über speedport.ip zu erreichen, Netgear-Router über www.routerlogin.net und Modelle von D-Link über dlinkrouter. Häufig sind die Geräte auch über die IP-Adressen 192.168.0.1, 192.168.1.1 oder 192.168.2.1 erreichbar.
3. Routerpasswort ändern
Bei vielen aktuellen Routern steht das Zugangspasswort auf der Rückseite des Geräts. Diese Passwörter müssen Sie in der Regel nicht ändern. Ein WLAN-Hacker auf der Strasse vor dem Haus hat ja keine Möglichkeit, den Router umzudrehen und das Passwort abzulesen.
Je nach Modell werden Sie bei der Erstkonfiguration aufgefordert, ein Passwort zu vergeben, oder Sie müssen selbst die entsprechende Option aufrufen. Bei einem Speedport-Router finden Sie diese beispielsweise unter „Einstellungen, Gerätepasswort ändern“.
Internetzugang, DHCP & Firmware-Update
So bringen Sie die Router-Firmware auf den neuesten Stand und konfigurieren die IP-Adressen.
4. Internetzugangsdaten eintragen
Wenn Sie den Router von Ihrem Provider erhalten haben, dann ist er vermutlich schon vorkonfiguriert geliefert worden. In diesem Fall können Sie diesen Abschnitt überspringen. Wenn der Router nicht vorkonfiguriert wurde oder wenn Sie sich selbst einen Router gekauft haben, dann tragen Sie nun Ihre DSL-Zugangsdaten ein. Bei einer Fritzbox finden Sie alle benötigten Optionen unter „Internet, Zugangsdaten“.
5. DHCP einrichten
DHCP einrichten: Aktivieren Sie den DHCP-Server in Ihrem Router. Dann erhalten alle Geräte in Ihrem Heimnetz automatisch eine IP-Adresse und Zugriff auf das Internet.
In der Regel ist in Routern ein DHCP-Server enthalten. Das erhöht den Komfort: Nach der einmaligen Eingabe der Internetzugangsdaten erhalten alle angeschlossen Geräte und auch per Live-CD gestartete PCs automatisch Zugriff auf das Internet. Besitzer einer Fritzbox aktivieren den DHCP-Server unter „Heimnetz, Netzwerk“. Wählen Sie den Reiter „Netzwerkeinstellungen“ aus und klicken Sie dann auf „IPv4-Adressen“.
Tragen Sie hinter „IPv4-Adresse“ dann zum Beispiel 192.168.178.1 ein. Das ist die IP-Adresse, die Ihr Router bekommt. Als „Subnetzmaske“ geben Sie 255.255.255.0 ein. Dadurch stehen Ihnen in Ihrem Heimnetz IP-Adressen von 192.168.178.2 bis 192.168.178.255 zur Verfügung. Setzen Sie ein Häkchen vor „DHCP-Server aktivieren“ und tragen Sie hinter „von“ 192.168.178.2 und hinter „bis“ 192.168.178.255 ein.
Analog gehen Sie bei Routern anderer Hersteller vor. Bei einem Speedport-Router finden Sie die DHCP-Einstellungen zum Beispiel unter „Heimnetzwerk, DHCP“. Bei Linksys-Routern von Cisco sind dieDHCP-Einstellungen unter „Konnektivität, Lokales Netzwerk“ zu finden.
6. Firmware aktualisieren
Firmware aktualisieren: Nur die neueste Firmware schützt Sie vor Sicherheitslücken.
So berichtet die Zeitschrift c’t in Ausgabe 21/2013 von einem Bot-Netz, bei dem Hacker eine seit vier Jahren bekannte und eigentlich seit Langem gepatchte Sicherheitslücke in Routern mit dem Betriebssystem DD-WRT ausgenutzt und ein Spionageprogramm installiert haben. Dieses schneidet Zugangsdaten und Passwörter mit, die über den Router laufen.
Der Anwender bekommt davon nichts mit. Je nach Routermodell ist die Update-Funktion an unterschiedlichen Stellen im Konfigurationsmenü untergebracht. Bei Speedport-Routern finden Sie das Update unter „Einstellungen, Firmware-Update“. Fritzbox-Router aktualisieren Sie über „System, Firmware-Update“.
Gelegentlich kommt es sogar vor, dass Hersteller absichtlich Hintertüren einbauen. Bei manchen D-Link-Routern lässt sich zum Beispiel der Passwortschutz der Fernwartung umgehen, wenn man den User-Agent des Browsers auf xmlset_roodkcableoj28840ybtide ändert. Das hat das Unternehmen Tactical Network Solutions herausgefunden. Diese Hintertür soll durch ein Update geschlossen werden, das D-Link für Ende 2013 angekündigt hat.
WLAN einrichten und optimieren
Ändern Sie den vorgegebenen WLAN-Name, denn er lässt oft Rückschlüsse auf Ihr Routermodell zu.
7. SSID und Passwort
So geht’s: Die wesentlichen Grundeinstellungen aller WLAN-Router sind identisch. Manche Verwaltungsoberflächen, hier die eines D-Link AC1750, lassen sich allerdings nicht auf Deutsch umstellen.
Wählen Sie eine Kombination aus mehreren unverfänglichen Begriffen beziehungsweise eine Folge von Buchstaben und Ziffern, die keine Rückschlüsse auf Ihre Person oder Ihre Adresse erlauben, also nicht „MeyerFriedrichstrasse10“. Die SSID darf maximal 32 Zeichen lang sein.
Legen Sie dann einen sicheren WLAN-Schlüssel fest. Er sollte mindestens zehn Zeichen lang sein und Gross- und Kleinbuchstaben sowie Ziffern enthalten. Theoretisch darf er sogar bis zu 63 Zeichen lang sein. In der Praxis ist das aber meist nicht nötig.
8. Kanal wählen
Kanal wählen: Prüfen Sie den voreingestellten Funkkanal. Hier hat eine Fritzbox 7330 ausgerechnet den Kanal ausgewählt, der bereits am stärksten belegt ist.
9. Frequenz wählen
Praktisch alle aktuellen WLAN-Router funken mit den Standards 802.11g mit theoretisch maximal 54 MBit/s Geschwindigkeit und 802.11n mit einer – ebenfalls theoretischen – maximalen Datenübertragungsrate von 450 MBit/s.
Der Standard 802.11g sendet nur im 2,4-GHz-Band. Das schnellere 802.11n funkt sowohl im 2,4- als auch im 5-GHz-Band – wenn das Ihr Router schon unterstützt. Viele WLAN-Endgeräte wie Internetradios senden allerdings nur im 2,4-GHz-Band.
Nur wenn alle Ihre WLAN-Geräte 5 GHz unterstützen, sollten Sie in diesen Bereich wechseln. Hier gibt es immer noch deutlich weniger Funknetze, sodass es auch weniger Störungen gibt. Ausserdem nutzen viele andere Geräte, etwa schnurlose DECT-Telefone, den 2,4-GHz-Bereich.
Manche Router wie der Speedport 724 der Telekom funken auf Wunsch gleichzeitig in beiden Frequenzbändern. Das ist aber nur dann sinnvoll, wenn Sie überhaupt 5-GHz-fähige Endgeräte haben. Rufen Sie den Eintrag „WLAN Assistant“ auf und klicken Sie dann auf „Ich möchte die Einstellungen ändern“.
Anschliessend können Sie die Frequenzeinstellungen Ihres Speedport-Routers anpassen.
Fritzbox-Nutzer finden alle Optionen unter „WLAN, Funkkanal“. Markieren Sie „Funkkanal-Einstellungen anpassen“ und wählen Sie dann hinter „WLAN-Standard“ den gewünschten Standard aus. Dadurch ändert sich darunter automatisch das „Frequenzband“.
Fritzbox-Nutzer finden alle Optionen unter „WLAN, Funkkanal“. Markieren Sie „Funkkanal-Einstellungen anpassen“ und wählen Sie dann hinter „WLAN-Standard“ den gewünschten Standard aus. Dadurch ändert sich darunter automatisch das „Frequenzband“.
Sichere WLAN-Verschlüsselung wählen
Aktivieren Sie im Router die sichere Verschlüsselung Ihres WLAN-Funknetzes mit WPA2.
10. WLAN mit WPA2 verschlüsseln
Unsicheres WEP: Tests in der com!-Redaktion zeigten, dass sich eine WEP-Verschlüsselung in nur sechs Sekunden knacken lässt.
Die Standards WEP und WPA gelten als nicht mehr sicher und sollten deshalb nicht mehr verwendet werden. Bei Tests in der com!-Redaktion wurden WEP-Passwörter teils in nur sechs Sekunden geknackt. WPA2 basiert dagegen auf dem Advanced Encryption Standard (AES). Er gilt bislang als unknackbar.
WPA2 lässt sich nur durch das Ausprobieren aller erdenklichen WLAN-Passwörter knacken. Man spricht von einem Brute-Force-Angriff, also einem Angriff mit roher Gewalt durch kontinuierliches Durchtesten aller möglichen Passwortkombinationen. Das macht deutlich, wie wichtig es auch bei WPA2 ist, ein mindestens zehn Zeichen langes Passwort zu wählen, das am besten nicht in einem Wörterbuch steht.
In der Konfiguration des Routers und der Endgeräte lässt sich bei WPA2 zwischen den Verschlüsselungsprotokollen TKIP, das steht für Temporary Key Integrity Protocol, und CCMP – Counter-Mode/CBC-MAC Protocol – wählen. Wenn alle Geräte CCMP unterstützen, dann sollten Sie dieses Verschlüsselungsprotokoll wählen, andernfalls wählen Sie TKIP.
Wenn Ihnen Ihr Router die Wahl zwischen „WPA-Personal“ und „WPA-Enterprise“ bietet, nehmen Sie Ersteres. „WPA-Enterprise“ ist für grössere WLANs mit zentraler Nutzerverwaltung gedacht.
11. Wie sicher ist WPS?
Risiko WPS: Manche Easybox-Router von Vodafone enthielten eine Sicherheitslücke, dank der sich Angreifer per WPS in das WLAN einschleichen konnten.
Bei der Tastenmethode aktivieren Sie WPS zunächst am Router. Das geht entweder über die Bedienoberfläche des Routers oder über eine Taste am Gerät. Wenn WPS aktiviert ist, dann haben Sie zwei Minuten Zeit, um ein neues Endgerät am Router anzumelden.
Dazu drücken Sie die WPS-Taste am Endgerät. Sind die zwei Minuten vorüber, akzeptiert der Router keine WPS-Endgeräte mehr. Alternativ legen Sie in den Einstellungen des Routers eine PIN fest, die Sie dann auf dem WPS-fähigen Endgerät eingeben, um dieses zum WLAN hinzuzufügen.
Beide Methoden bieten zwar mehr Komfort, sind aber auch weniger sicher als das klassische Einbinden eines WLAN-Endgeräts per Eingabe eines vernünftig gewählten WPA2-Schlüssels. In Easybox-Routern der Baureihen 600 bis 602 und 800 bis 803 von Vodafone wurde sogar eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht hat, die WPS-PIN auszulesen.
Die Angreifer haben dadurch unerlaubt Zugriff auf betroffene Funknetze erhalten. Weitere Informationen stellt Vodafone unter der Adresse http://blog.vodafone.de/2013/easybox-sicherheitsluecke bereit. Betroffene Anwender sollten automatisch einen Patch erhalten haben. Ausserdem rät ihnen Vodafone, sowohl die WPS-PIN als auch das WLAN-Passwort zu ändern.
Router-Fernkonfiguration und -Zeitsteuerung
Nach der Grundkonfiguration ist Ihr WLAN bereits sehr sicher eingerichtet. Nun geht es darum, die Router-Fernkonfiguration und TR-069 abzuschalten sowie eine WLAN-Zeitsteuerung einzurichten.
12. Fernkonfiguration abschalten
Fernkonfiguration abschalten: Wenn das Häkchen vor „Internetzugriff auf (…)“ nicht gesetzt ist, ist auch kein Fernzugriff über das Internet auf Ihre Fritzbox möglich.
Bei der Fritzbox 7330 etwa ist die Funktion gut versteckt: Rufen Sie „Internet, Freigaben“ auf und klicken Sie auf „FRITZ!Box-Dienste“. Entfernen Sie dann das Häkchen vor „Internetzugriff auf die FRITZ!Box über HTTPS aktiviert“.
Bei Speedport-Routern nennt sich die Funktion „EasySupport“. Sie lässt sich unter „Einstellungen, EasySupport“ deaktivieren – allerdings nur, wenn Sie den Router nicht von der Telekom gemietet haben.
13. TR-069 abschalten
Technical Report 69, abgekürzt TR-069, ist ein Standard, um Endgeräte aus der Ferne zu konfigurieren und um sie automatisch zu aktualisieren. Der Anwender profitiert von einer vereinfachten Einrichtung, weil sein Router alle benötigten Konfigurationsdaten selbstständig herunterlädt. Ausserdem bleibt das Gerät auf dem aktuellsten Stand, ohne dass er sich selbst darum kümmern muss.
Andererseits verliert er aber auch die Kontrolle über das Gerät. Sein Provider kann beispielsweise Funktionen hinzufügen oder abschalten – ohne die Zustimmung des Anwenders einzuholen. Abschalten lässt sich TR-069 in der Verwaltungsoberfläche Ihres Routers – wenn Ihr Provider das Abschalten zulässt.
Bei der Fritzbox etwa findet sich die Option unter „System, Netzwerkeinstellungen“. Entfernen Sie die Häkchen vor „Automatische Einrichtung durch den Dienstanbieter zulassen“ und vor „Automatische Updates zulassen“. Bei Speedport-Routern findet sich die Option unter „Verwaltung, Hilfsmittel“. Setzen Sie dort die „Automatische Konfiguration“ auf „Aus“. Je nach installierter Firmware-Version können die Bezeichnungen der Menüpunkte variieren.
14. Zeitsteuerung
Zeitsteuerung: Manche Router erlauben es, detaillierte Zeitpläne zu erstellen. Nur während der blau markierten Zeiten ist das WLAN hier aktiviert.
Jeder Router bietet eine Möglichkeit, das WLAN über das Konfigurationsmenü oder über einen Schalter am Gerät auszuschalten. Praktisch alle aktuellen Router ermöglichen es zudem, das WLAN jede Nacht für einen bestimmten Zeitraum abzuschalten. Mitunter lassen sich sogar detaillierte Zeitpläne festlegen, wenn Sie das Funknetz etwa auch tagsüber nicht benötigen.
Gastzugänge und Port-Weiterleitungen einrichten
Richten Sie für Gäste ein eigenes WLAN ein und nutzen Sie Port-Weiterleitungen für NAS-Dienste.
15. Gastzugänge
Gastzugänge: So können Besucher für 90 Minuten im Internet surfen, erhalten dabei aber keinen Zugriff auf Ihr Heimnetz.
Moderne Router erlauben es, ein separates WLAN mit einem eigenen WLAN-Schlüssel zu aktivieren, sodass Sie niemandem das Passwort zu Ihrem eigenen WLAN geben müssen. Angemeldete Computer und Smartphones in diesem Gäste-WLAN befinden sich in einem separaten Netzwerksegment und haben keinen Zugang zu den in Ihrem Heimnetz freigegebenen Ordnern.
Bei der Fritzbox finden Sie den Gastzugang zum Beispiel unter „WLAN, Gastzugang“. Hier können Sie einen Namen und ein Passwort für das Gäste-Netz vergeben und einstellen, wie lange es aktiv sein soll, oder ob es sich erst dann deaktiviert, wenn sich der letzte Gast abgemeldet hat.
16. Port-Weiterleitung
Das Weiterleiten von Ports benötigen Sie, wenn Sie über das Internet etwa auf Ihr NAS zugreifen wollen. Der Router leitet dann alle Anfragen, die eine Port-Angabe enthalten, an eine vorher festgelegte IP-Adresse weiter.
Das Weiterleiten ist bei einer dynamischen Adressvergabe per DHCP aber nicht ganz unproblematisch. Wenn der Router die IP-Adressen neu verteilt, landen die weitergeleiteten Pakete eventuell beim falschen Gerät. Eine Alternative ist, statische IP-Adressen zu nutzen. Dabei erhält jedes Gerät im lokalen Netz eine fixe IP-Adresse, unter der es immer zu erreichen ist. Das hat den Nachteil, dass dann etwa Live-CDs keine Verbindung mehr zum Internet bekommen.
Besser ist eine semidynamische Adressvergabe. Dabei legen Sie fest, welche Geräte im LAN eine feste IP-Adresse bekommen, für die dann auch Port-Weiterleitungen eingerichtet werden können. Live-CDs und Besucher erhalten dagegen dynamische IP-Adressen.
Wie Sie ermitteln, welche Ports auf Ihrem Router geöffnet sind, lesen Sie im Abschnitt „20. Externer Check“.
17. SSID verbergen oder nicht?
Zusatzinfo: Fritzbox-Nutzer finden zusätzliche Informationen in den Router-Handbüchern. AVM bietet alle Fritzbox-Handbücher zum kostenlosen Download an.
Wenn Sie nicht wollen, dass Ihr Funknetz von anderen Personen in der näheren Umgebung gesehen werden kann, dann verbergen Sie die SSID. Die Massnahme schützt aber nicht davor, dass Ihr WLAN gehackt werden könnte. Dagegen helfen nur eine sichere Verschlüsselung mit WPA2 und ein sicheres Passwort.
Das Verbergen der SSID kann sogar Nachteile mit sich bringen. So müssen Sie neue WLAN-Verbindungen manuell konfigurieren, wenn die SSID versteckt ist. Auch kann es bei XP-PCs und manchen Smartphones zu Netzwerkproblemen kommen, wenn diese sich statt in Ihr verborgenes WLAN in andere Funknetze einbuchen wollen.
In den meisten Fällen ist es deswegen nicht sinnvoll, eine SSID zu verbergen – zumal WLAN-Scanner das Funknetz trotzdem problemlos entdecken.
18. MAC-Adressenfilter
Praktisch alle WLAN-Router bringen die Option mit, nur Geräte mit bekannten MAC-Adressen ins heimische Funknetz zu lassen. Eine MAC-Adresse ist eine weltweit einmalige Adresse, die jedes netzwerkfähige Gerät erhält.
Ein MAC-Adressenfilter funktioniert so: Zunächst deaktivieren Sie den Filter und melden Ihre Geräte am WLAN-Router an. Danach aktivieren Sie den Filter, sodass der Router keine neuen Geräte mehr akzeptiert – auch dann nicht, wenn dabei das korrekte WLAN-Passwort eingegeben wird. Weil sich MAC-Adressen auf einem PC aber leicht per Software fälschen lassen, bietet ein MAC-Adressenfilter keinen hundertprozentigen Schutz.
Router prüfen mit internen & externen Checks
Zuletzt scannen Sie Ihr eigenes WLAN mit einem Windows-Tool oder mit Ihrem Smartphone und ermitteln so, welche Informationen es anzeigt.
19. Interne Checks
Mit einem internen Check finden Sie heraus, welche Informationen Ihr WLAN preisgibt. Dazu benötigen Sie entweder ein WLAN-fähiges Notebook oder Ihr Smartphone.
Inssider Home: Das Programm listet WLANs in der näheren Umgebung auf und zeigt öffentlich einsehbare Informationen, etwa die verwendete Verschlüsselungsmethode.
Starten Sie die Installation mit einem Doppelklick auf die Datei „inSSIDer-installer.exe“. Klicken Sie auf „Next“ und setzen Sie ein Häkchen vor „I accept the terms in the License Agreement“. Klicken Sie danach noch dreimal auf „Next“.
Im Dialog „User Experience Improvement Program“ entfernen Sie das Häkchen vor „Yes, I am willing to participate (Recommended)“, wenn das Programm keine anonymisierten Informationen über seine Nutzung sammeln soll. Führen Sie das eigentliche Setup mit „Next, Install“ durch. Schliessen Sie die Installation danach mit „Finish“ ab.
Starten Sie das Tool per Doppelklick auf das Desktop-Symbol „inSSIDer 3“. Klicken Sie dann oben links auf „NETWORKS“. Das Programm beginnt sofort damit, alle Funknetze in der näheren Umgebung aufzuspüren. Klicken Sie auf Ihr Netz, um im rechten Feld alle Infos anzuzeigen, die auch ein Fremder auf der Strasse sehen kann.
WLAN prüfen mit dem Smartphone: Die Android-App Wifi Analyzer 3.6.2 zeigt, welchen Funkkanal Ihr WLAN und welche Kanäle die anderen Funknetze in der Nähe belegen.
20. Externer Check
Ein externer Router-Check zeigt, ob Ports offen sind, über die sich Würmer und Trojaner einschleichen können.
Rufen Sie die Seite www.grc.com auf und klicken Sie auf „Services, Shields UP!“. Starten Sie den Test dann mit „Proceed, All Service Ports“. Grüne und blaue Kästchen bedeuten, dass die Ports gesichert sind. Rote Kästchen weisen dagegen auf geöffnete Ports hin. Schliessen Sie alle nicht benötigten Ports mit Hilfe der Konfigurationsoberfläche Ihres Routers.
