Router so sicher wie möglich machen. Was noch unternehmen?

Murdoch

Murdoch

BIOS-Overclocker(in)
Router so sicher wie möglich machen. Was noch unternehmen?

Hey Leutz,

habe mir mal Gedanken gemacht, dass mein Router evtl. nicht optimal gegen Unbefugte gesichert ist.

Also was ich bislang alles eingestellt habe in meiner Fritzbox

- WPS ausgeschaltet
- Neueste Firmware
- WPA2 Verschlüsserlung (Noch der numerische Standartcode - lange Zahlenfolge)
- MAC Beschränkung auf die bekannten Geräte (Kann gafaked werden ich weiß)
- Nachts alle Verbindungen deaktiviert.

Die Tipps im Netz sind ja fast immer die Gleichen und ich dachte mir da muss noch mehr sein was man vielleicht machen kann.

Wo sind die Hacker unter uns? :D
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

Murdoch schrieb:
- WPA2 Verschlüsserlung (Noch der numerische Standartcode - lange Zahlenfolge)
Zum Vergrößern anklicken....
Genau da liegt der Fehler, würde min 20 Stellen aus Buchstaben und Ziffern (zufällig) nehmen.

Die nächste Stufe könnte man WPA 2 Enterprise mit Zertifikatsbasierter Authentifizierung nehmen, weiß nicht ob dies mit der Fritzbox geht, mit DD-WRT z.B. geht es.
Weiterhin wären IDS/IPS Systeme möglich.
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

Timsu schrieb:
Genau da liegt der Fehler, würde min 20 Stellen aus Buchstaben und Ziffern (zufällig) nehmen.

Die nächste Stufe könnte man WPA 2 Enterprise mit Zertifikatsbasierter Authentifizierung nehmen, weiß nicht ob dies mit der Fritzbox geht, mit DD-WRT z.B. geht es.
Weiterhin wären IDS/IPS Systeme möglich.
Zum Vergrößern anklicken....

Du meinst diese lange Zahlenfolge ist Anfällig gegen Bruteforce? Ich konnte keine weiteren Verschlüsselungsarten in der Fritzbox finden.

LIegt es also nur noch an der Verschlüsserlung? Gilt WPA2 nicht als nicht so einfach knackbar?
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

Also mit entsprechenden Wortlisten kannst du sicherlich auch per Bruteforce WPA2 relativ schnell knacken.
Ich nutze für die PWs zum Beispiel die Seite:

Passwort Generator

Dort kannst du auch einen WPA2 Schlüssel (63 Zeichen) auswählen.
Am besten du änderst dann noch ein, zwei Zeichen davon. Wer weiß, ob nicht vielleicht jemand schon die Seite gehackt hat :ugly:
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

Also nur Zahlen sind bedeutend unsicherer.
Ein 15 Stelliger WPA2 Code nur aus Zahlen bestehend ist nach knapp 2 Wochen mit einem sehr guten aktuellen Rechner geknackt, während es mit Buchstaben (klein und groß) schon mehrere tausend Jahre dauert.
Noch dazu kann man manchmal den Standardcode leichter ableiten, da es manchmal keine wirklichen Zufallszahlen sind, sondern aus der MAC-Addresse o.ä. abgeleitet wird.

WPA2 ist natürlich noch sehr sicher, aber Zertifikate sind nochmal sicherer als nur Passwörter.
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

WPA2 ist an sich schon ziemlich sicher.
Immer neuste Firmware draufladen, bei einer alten Firmware konnte man innerhalb von 3 Minuten das Passwort rausfinden ohne dass man dafür irgendwelche Programme brauchte, das ging einfach über den Quelltext der Login-Seite und die URL doch wer da rein will und Ahnung hat kommt immer irgenwie rein.
Soweit ich weis sollte es so sicher sein dass vermutlich keiner der zufällig auf das Netzwerk stößt da rein kommt oder deine Kinder die Kindersicherung entfernen ansonsten immer mal :google: und auf Youtube suchen wie du reinkommen kannst und gegenmasnahmen ergreifen, dass hat mir oft mehr geholfen als nach Sicherheitsmaßnahmen selbst zu suchen. Ansonsten so einstellen dass eine neue IP standartmäßig gespert wird falls jemand an den W-Lan Schlüssdel kommen sollte so benötigt er immer noch dass Password der Fritz Box um den PC, Laptop oder was auch immer nutzen zu können
was du geschrieben hast sieht sonst eigentlich ganz gut aus

PS:
http://extreme.pcgameshardware.de/user-news/258675-angriff-auf-die-gema-webseite-down.html da fängt der Monat doch gut an ;)
Dann noch viel Spaß
 
Zuletzt bearbeitet:
AW: Router so sicher wie möglich machen. Was noch unternehmen?

K3n$! schrieb:
Also mit entsprechenden Wortlisten kannst du sicherlich auch per Bruteforce WPA2 relativ schnell knacken.
Ich nutze für die PWs zum Beispiel die Seite:

Passwort Generator

Dort kannst du auch einen WPA2 Schlüssel (63 Zeichen) auswählen.
Am besten du änderst dann noch ein, zwei Zeichen davon. Wer weiß, ob nicht vielleicht jemand schon die Seite gehackt hat :ugly:
Zum Vergrößern anklicken....

OK, danke. 63 Zeichen sind aber für doch etwas oversized. :) Bis ich die in mein Handy eingegeben habe kommunizieren wir sicher schon über Telepathie. :D

Timsu schrieb:
Also nur Zahlen sind bedeutend unsicherer.
Ein 15 Stelliger WPA2 Code nur aus Zahlen bestehend ist nach knapp 2 Wochen mit einem sehr guten aktuellen Rechner geknackt, während es mit Buchstaben (klein und groß) schon mehrere tausend Jahre dauert.
Noch dazu kann man manchmal den Standardcode leichter ableiten, da es manchmal keine wirklichen Zufallszahlen sind, sondern aus der MAC-Addresse o.ä. abgeleitet wird.

WPA2 ist natürlich noch sehr sicher, aber Zertifikate sind nochmal sicherer als nur Passwörter.
Zum Vergrößern anklicken....

OK, macht Sinn. Werde demnächst mal meine Passwörter austauschen. Soweit ich weiß ist bei der FRitzbox aber die MAC Adresse nicht Teil des Schlüssels. Aber wie dem auch sei. Ich mach mir einfach eines mit Buchstaben. Macht man ja nur ein Mal.

Zertifikate weiß ich wie gesagt nicht ob und wie die FRitzbox das kann und wenn der gewöhnliche Hobbyhacker die Lust an meinem Router verliert reicht mir das schon. Ich glaube nicht dass meine 3 Computerspiele richtige Profihacker auf den Plan ruft.

Ich will halt nur missbräuchlichen Gebrauch meiner Internetleitung vorbeugen. Das hat nen Bekannter nämlich letztes Jahr gehabt.
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

OK, danke. 63 Zeichen sind aber für doch etwas oversized. :) Bis ich die in mein Handy eingegeben habe kommunizieren wir sicher schon über Telepathie. :D
Zum Vergrößern anklicken....

Ich nutz dafür immer WPS. Dann braucht man die Zeichen nicht einzugeben.
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

So, hab WPS ausgeschaltet.
Wenn ich dann mal wieder ein Gerät hinzufügen will, mach ich es kurz an und danach wieder aus.
Danke für die Info ;)
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

UPnP ausschalten ;)
Zum Vergrößern anklicken....

Meinst du das auf die "aktuelle" Sicherheitslücke bezogen oder allgemein ?
Ich hatte letztens bei Heise-Security meine Fritzbox scannen lassen und da hieß es,
dass alles sicher sei. Sollte man das trotzdem deaktivieren ? Ist doch gerade bei
manchen Spielen ganz praktisch (z.B. CoD) :)
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

K3n$! schrieb:
Meinst du das auf die "aktuelle" Sicherheitslücke bezogen oder allgemein ?
Zum Vergrößern anklicken....
Upnp an sich ist eine sicherheitslücke, da durch diese funktion die programme auf deinem rechner die box konfigurieren können. (z.b. ports in der firewall öffnen)
Murdoch schrieb:
Das hatte ich zum Glück noch nie an. Wüsste auch nicht was ich damit soll. :)
Zum Vergrößern anklicken....
Sicher? Bei den meisten routern ist es so, das du upnp explizit deaktivieren mußt damit es aus ist. (standardmäßig aktiviert) Bei teureren routern aus dem soho-bereich ist es dann standardmäßig aus.
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

Ja hatte ich zu Beginn deaktiviert, da ich die Funktion nicht brauchte. Was ich nicht nutze wird deaktiviert. :)
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

Aber muss ich mir dann trotzdem "Sorgen" machen, wenn AVM sagt, die haben diese Bibliothek (libupnp glaube ich)
noch nie verwendet und auch der Scan (LINK) sagt, dass alles in Ordnung ist ?
 
AW: Router so sicher wie möglich machen. Was noch unternehmen?

Hallo,

ich würde folgende Punkte vorschlagen, welche ich selber bei mir Zuhause eingerichtet habe:


Ändern des Standardlogins: Ändere das Passwort und ggf. auch den Benutzernamen in eine sinnlose Zeichenkombination, um ein Erraten auszuschließen, vor allem beim Benutzer wie z.B root, admin etc. Passwort sollte mindestens 8 Zeichen lang sein und bestehen auch Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.

Das IP Subnetz ändern: Meistens befinden sich alle Router auf dem Subnetz 192.168.1.0 oder 192.168.2.0, was ich aber nicht empfehle, eher sollte man sein Subnetz in ein "außergewöhnliches" Subnetz ändern. Es gibt neben 192.168.0.0 auch andere private Adressen, welche man Nutzen kann, als Beispiel könntest du von 192.168 zu 10.133.253.0 wechseln, deine PCs würden dann Adressen haben wie 10.133.253.5, 10.133.253.7 etc. Die Subnetzmaske sollte dabei aber auf 255.255.255.0 bzw. auf /24 bleiben

http://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche


DHCP deaktivieren: Wenn du keine 100 Rechner in deinem Netzwerk hast, würde ich auf DHCP verzichten und jedem PC eine statische IP Adresse vergeben, damit hast du auch eine bessere Übersicht, welche IP welcher Rechner hat.

WLAN: WPS nie dauerhaft aktiviert lassen, auf WPS allgemein verzichten, wenn es möglich ist solltest du auf WLAN verzichten und LAN verwenden ( also WLAN deaktivieren, z.B wenn dein Rechner nicht zu weit weg ist vom Router, oder du kein Smartphone an dein Router bindest ), WPA2-PSK verwenden, dabei solltest du ein 63 Zeichen langes Passwort verwenden mit Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen und dabei kannst du das WLAN Passwort z.B ausdrucken oder in einem Passwortmanager speichern lassen.

Das WLAN sollte immer deaktiviert sein, wenn du es nicht brauchst, z.B nachts, bei der Arbeit/Schule, bei längerer Abwesenheit.

Die SSID auszuschalten, ist sinnlos, da sie trotzdem "unsichtbar" noch mitgesendet wird und diese Option mehr Nachteile als Vorteile hat.
Die SSID sollte nicht das WLAN Modell deines Routers lauten, also Telekom Speedport xxxx ..... sondern eher sinnloses wie "g53bqnr".



Der Fernzugang zum Router konfigurieren über das Internet sollte ausgeschaltet sein, alle Ports und Portweiterleitungen sollten geschlossen werden, es sollten keine Server in deinem Netzwerk stehen, welche ins Internet Dienste anbieten ( z.B XAMPP, http-Server, Spiele Server ) -> unsicher für das Heimnezwerk und Einbruchstelle.

Du solltest regelmäßig prüfen ob es ein neues Firmware Update für deinen Router gibt.

MAC Filter bringen nur etwas bei pubertären Einbruchstreichen, nicht bei professionellen Einbruchsversuchen, man kann sie aktivieren, aber nicht zuviel Sicherheit davon erwarten.

Und am sichersten: Router komplett vom Stromnetz trennen, wenn du für eine Weile weg bist, wie oben genannt, in der Schule oder Arbeit
 
Zuletzt bearbeitet:
AW: Router so sicher wie möglich machen. Was noch unternehmen?

Das IP Subnetz ändern: Meistens befinden sich alle Router auf dem Subnetz 192.168.1.0 oder 192.168.2.0, was ich aber nicht empfehle, eher sollte man sein Subnetz in ein "außergewöhnliches" Subnetz ändern. Es gibt neben 192.168.0.0 auch andere private Adressen, welche man Nutzen kann, als Beispiel könntest du von 192.168 zu 10.133.253.0 wechseln, deine PCs würden dann Adressen haben wie 10.133.253.5, 10.133.253.7 etc. Die Subnetzmaske sollte dabei aber auf 255.255.255.0 bzw. auf /24 bleiben
Zum Vergrößern anklicken....

Was für Vorteile bei der Sicherheit bringt das ?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Majima
Blog Erfahrungsbericht: Google Pixel 8 Pro mit GrapheneOS
Antworten
5
Aufrufe
19K
Majima
Majima
F
PC-Bau mit GTX 1060 und i5-6500 Formfaktor: So klein wie möglich.
Antworten
5
Aufrufe
945
fishertiger
F
Painkiller
Fritz!OS 7.27 für AVM 7490, 7590, 7530AX, 5490, 5491, 6490, 6590, 6591, 6660 verfügbar & neue Labor-Versionen für 6890 LTE, 7530, 5530 Fiber, 4040, AVM Repeatern
Antworten
13
Aufrufe
7K
IsoldeMaduschen
IsoldeMaduschen
netheral
VoIP mit Router ohne Basisstation
Antworten
6
Aufrufe
2K
netheral
netheral
Ebrithil
L2TP/IPSec Keine Verbindung von Windows Client möglich.
Antworten
1
Aufrufe
3K
Eldiabolo
Eldiabolo
Oben Unten
Zurück