WLAN-Einstellungen beim Speedport Router?

[Tim1974]

Hallo,

macht es eigentlich Sinn bzw. wird offiziell dazu geraten den mitgelieferten bzw. voreingestellten WLAN-Schlüssel des Speedport Routers aus Sicherheitsgründen zu ändern, bzw. habt Ihr das gemacht?
Der ist wohl auf der Rückseite auf einem Aufkleber aufgedrückt, ich hab das WLAN aber sofort nach Kauf abgeschaltet und bisher nie genutzt.

Wie "gefährlich" ist eigentlich die WLAN Nutzung mit Werkseinstellungen des Speedports?
Kann sich da leicht jemand per WLAN ins Netzwerk einloggen bzw. den Schlüssel knacken oder ähnliches?

Wenn ich z.B. einen Tablet und Handy damit per WLAN verbinde, muß ich auf dem Gerät wohl den WLAN-Schlüssel eingeben und speichern, dann muß das Handy oder Tablet den Schlüssel ja sicherlich einmal zum Verbindungsaufbau per WLAN an den Router senden, damit dieser ihn rein läßt. Könnte nicht eben dabei der Schlüssel von jemand anderes abgefangen werden?

MfG.
Tim

 

[keinnick]

Den voreingestellten Schlüssel solltest Du auf jeden Fall so schnell wie möglich ändern, da es schon vorkam, dass die Algorithmen, mit denen die Schlüssel erstellt wurden nicht ausreichend "zufällig" waren: Vorkonfigurierte WPA-Schlüssel bei T-Online und Vodafone leicht erratbar | heise Security

Zusätzlich hast Du andernfalls auch das (theoretische) Problem, dass jeder, der mal in die Nähe Deines Routers kommt, Deinen Standardschlüssel notieren oder abfotografieren und somit anschließend nutzen kann.

Zu Deiner weiteren Frage: Der Verbindungsaufbau und damit die Übertragung des Passworts ist zusätzlich geschützt. Wie der Handshake genau abläuft steht hier: WLAN-Verschlüsselung | heise Netze (unter Key Handshake)

 

[goern]

Guten Morgen,
Also Sinn macht es schon das Passwort zu ändern. Du magst ja sicher nicht jeden in dein WLAN lassen der mal bei dir daheim ist.
Wie du bereits gesagt hast steht der Standardschlüssel auf der Rückseite des Routers.

Standardmäßig verfügen die Router (die aktuelleren Speedports) über die WPA2 Verschlüsselung, so zumindest die Router die ich eingerichtet hatte.
Etwas zusätzlichen Schutz neben der Passwortänderung wäre evtl das Verstecken des WLAN Netzes (SSID).

Ob man Schlüsseleingaben abfangen kann, hmm ich kenne mich in der Hinsicht nicht aus aber würde sagen, was ist denn heutzutage nicht möglich?

 

[Tim1974]

Ja, wegen all dieser Fragen und Unsicherheiten hab ich das WLAN ja bisher nie genutzt, sonst hätte ich den Schlüssel sicherlich auch schon geändert.
Die Meisten sind ja nicht solche Sicherheitsfanatiker wie ich und nutzen sicherlich den voreingestellten Schlüssel und passieren tut da vermutlich meist auch nicht viel. Aber wenn ich das WLAN nutze, will ichs auch mit höchstmöglicher Sicherheit tun.

 

[keinnick]

Die Gefahr, dass etwas "passiert" ist relativ gering wenn Du einige simple Vorkehrungen triffst. Spontan fallen mir für Deinen Einsatzbereich folgende ein:

- WPA2 nutzen
- Ausreichend langen Schlüssel aus zufälligen Zahlen- und Buchstabenkombinationen verwenden
- SSID verstecken oder zumindest ändern, damit sich der Router nicht mit seiner Modellbezeichnung meldet
- Mac-Filter aktivieren, so dass sich nur bekannte Geräte anmelden können

100%ig sicher ist das zwar auch nicht aber sie erschweren den Zugriff von außen und schaden auch nicht.

 

[aloha84]

@Tim

Ich habe auch einen Speedport, allerdings mit dem Unterschied, dass der Schlüssel nicht hinten drauf steht.
Der vorgegebene Schlüssel ist Glaube ich 10 Stellen lang, besteht aus Groß/Kleinschreibung + Zahlen......das ist schonmal nicht schlecht, ein eigenes Kennwort ist natürlich noch sicherer
ABER:
dieses sollte nicht lauten --> 123456, test, internet, "dein Name" etc.pp das hat Sicherheitstechnisch nämlich den umgekehrten Effekt.

 

[rabe08]

Der vorgegebene Schlüssel ist Glaube ich 10 Stellen lang, besteht aus Groß/Kleinschreibung + Zahlen......das ist schonmal nicht schlecht

Nein, der vorgegebene Schlüssel ist ganz schlecht und sollte n i e m a l s verwendet werden. Es ist nicht nur einmal vorgekommen, dass die vorgebenen Schlüssel trivial aus der MAC des Routers errechnet wurden. Die MAC kann jeder auslesen. Also Finger weg!

Zu anderen Kommentaren:
- SSID verstecken
wurde schon im letzten Jahrhundert nicht als Sicherheitsfeature angesehen. Es wird einfach ein Flag gesetzt, dass einem auswertenden Programm sagt "zeig mich nicht". Die SSID wird natürlich trotzdem in die Gegend getrötet. Jedes Tool zur Netzwerkanalyse ignoriert so ein Flag.
Dennoch sollte die SSID auf jeden Fall geändert werden. Mit Werks-SSID gibt man dem interessierten Hacker schon viele Informationen an die Hand, z.B. oft welcher Router da läuft. Werden Sicherheitsprobleme zu diesem Router bekannt, bist Du ein prädistiniertes Ziel
- Mac-Filter aktivieren
Hm, ja, ein Level besser als SSID verstecken. Allerdings könnte ich jedem Menschen, der Browser und Word rudimentär beherrscht in 5 Minuten beibringen, wie man ein MAC eines zugelassenen Clients ermittelt und dann spoofed.

Wichtig, wie schon vorher gesagt: ausreichend langes Passwort. Da reden wir über 13 oder mehr Zeichen. Das PW sollte einem Rainbowtable-Angriff standhalten, das heißt nicht in einem Lexikon oder Wörterbuch zu finden sein. Buchstaben gegen Zahlen austauschen nützt gar nichts, Sachen wie 3 statt e, 1 statt i, 4 statt h sind in jedem Hackingtool implementiert. Zur Wahl eines guten Passworts möchte ich Dir diesen Fachartikel empfehlen: xkcd: Password Strength

 

[aloha84]

Nein, der vorgegebene Schlüssel ist ganz schlecht und sollte n i e m a l s verwendet werden. Es ist nicht nur einmal vorgekommen, dass die vorgebenen Schlüssel trivial aus der MAC des Routers errechnet wurden. Die MAC kann jeder auslesen. Also Finger weg!

Es ging mir bei der Aussage nur um die Schreibweise des Passwortes, nicht um das Passwort an sich.

 

[keinnick]

@rabe08: Du hast mit allem Recht was Du schreibst und mir ist klar, dass "SSID verstecken" und Mac-Filterung nicht unüberwindbar sind bzw. gegen Profis wenig helfen. Beides schadet aber auch nicht und macht es dem Skriptkiddie Nachbarskind u. U. ein wenig schwerer.

 

[Tim1974]

Danke für die Tips, leider vertehe ich nicht alle davon!

Das mit dem WLAN-Schlüssel bzw. Passwort ist mir klar, ich verwende immer schwierige wild zusammengewürfelte Passwörter, egal ob Router oder Accounts in Internet usw..

Das mit den Mac-Filterung und SSID versteh ich hingegen nicht, hab noch nie etwas davon gehört bzw. gelesen.
Ist das im Speedport nicht werkseitig schon möglichst sicher eingestellt?

 

[keinnick]

Das mit den Mac-Filterung und SSID versteh ich hingegen nicht, hab noch nie etwas davon gehört bzw. gelesen.
Ist das im Speedport nicht werkseitig schon möglichst sicher eingestellt?

Die SSID ist die Kennung Deines WLAN die vom Router ausgesendet wird. Zum Beispiel "Speedport Modell XYZ". Diese kann im Auslieferungszustand jederman sehen aber Du kannst sie beliebig ändern oder auch abschalten. Ändern solltest Du sie auf jeden Fall, damit nicht jeder sieht welchen Router Du einsetzt. Sollten für Dein Routermodell Sicherheitslücken bekannt werden machst Du es dem Angreifer ansonsten nur unnötig einfach.

Die Mac-Filterung funktioniert wie folgt: Jedes Netzwerkgerät (PC, Smartphone, Tablet, Drucker) hat eine eindeutige Mac-Adresse. Du kannst die Mac-Adressen der angemeldeten Geräte im Speedport speichern, so dass sich Geräte mit abweichenden Mac-Adressen nicht anmelden können. Dies hat aber zur Folge, dass Du neue Geräte manuell hinzufügen musst, damit sie sich anmelden können. Diese Funktion ist im Auslieferungszustand auch nicht aktiv.

 

[aloha84]

@Tim
Der Speedport ist so eingestellt, dass "Mutti und Vati"so einfach wie möglich ins Internet kommen.
SSID verschlüsseln --> heißt nichts anderes, dass wenn du nach WLANs suchst --> deines NICHT angezeigt wird.
MAC Filterung --> sorgt dafür, dass nur Endgeräte dessen MAC-Adressen (Hardware Adresse) hinterlegt sind, das WLAN nutzen können.

//
keinnick war schneller^^

 

[Tim1974]

Gut danke!
Ich habe gestern auch die Bedienungsanleitung vom Speedport gefunden, da ist das auch auch ganz gut drinn erklärt.

Würdet Ihr denn sagen, daß ein abgesichertes WLAN, also SSID versteckt, Mac-Adressen für die Geräte eingetragen, WPA2-Personal für alle Geräte, ein WLAN-Schlüssel mit 24 Zeichen und ohne irgendeinen Zusammenhang (Buchstaben, Zeichen, Zahlen...), dann insgesamt gebenso sicher ist wie ein Kabelnetzwerk?

Dann ist ja noch die Frage was ein Eindringling machen könnte, wenn er ins WLAN gelangt?
Also die Zugangsdaten des ISPs ausspionieren dürfte ja eigentlich nicht gehen, oder?

 

[rabe08]

Das kannst Du so machen. Die einzige Sicherheit bietet dabei WPA2 mit einem guten Schlüssel. MAC-Filterung SSID verstecken bringen gar nichts, schaden aber auch nicht.

 

[Tim1974]

Wie lang sollte der Schlüssel denn sein damit er wirklich sehr sicher ist?

Warum bringt die versteckte SSID und MAC-Filterung nichts?
Eigentlich dachte ich das wäre ein enormer Sicherheitsgewinn, denn wenn niemand das Netzwerk "sehen" kann und zusätzlich noch nur Geräte rein dürfen, die ich direkt im Router angemeldet habe, müßte das eigentlich doch enorm sicher sein, wo ist das der Haken?

 

[Rapante_Rapante]

24 Zeichen, Sonderzeichen, Umlaute etc. pp.

Allerdings machst du dir da zu viele Gedanken, ein gutes Kennwort mit 16 Stellen tuts auch, z. B. die Anfangsbuchstaben eines Satzes und ne Zahl. "Ich hätte so gerne ein Vanilleeis, mit Schokosoße und Kirsche drauf." = Ihsg1V,mSuKd. Wer soll auf so ein Passwort kommen..

Solange du WPS nicht aktiv hast passiert da eigentlich nichts, auch ohne versteckte SSID und MAC Filter, das hält höchstens Kiddies auf. Wenn dir jemand wirklich was will findet der seine Wege.

Die SSID wird nur vor der normalen WLAN Einwahl versteckt, Vistumbler und co zeigen die trotzdem an. Die MAC Adresse lässt sich fälschen, also auch recht einfach umgehen.

Ein sicheres WLAN ist sehr simpel:
Passwort unter Kontrolle halten.
Besucher nur ins Gäste WLAN lassen, wenn Kinder im Haus Leben und deren Klassenkameraden zu Besuch kommen das gleiche.

 

[Tim1974]

Was sind denn WPS schon wieder?

Ich weiß echt nicht, was in meinem Speedport per default schon sicher eingestellt ist und wo ich überall noch was ändern muß.
Die Anleitung hat über 100 Seiten, ist zwar finde ich ganz gut beschrieben und das Gerät kann schon echt ne Menge, aber ich muß auch alles beherzigen bzw. darf nichts vergessen entsprechend sicher einzustellen.
Das mit dem Kennwort bzw. WLAN-Schlüssel ist mir absolut klar, das werd ich schon sicher einstellen, theoretisch könnte ich ja wohl bis über 60 Zeichen gehen, macht halt bloß keinen Spaß so ein Passwort dann in die WLAN-Geräte einzugeben.

Also ich fasse nochmal zusammen, ob ich alles richtig verstanden habe:

1.) WLAN-Schlüssel ändern und möglichst lang einstellen, über 24 Zeichen und wilde Buchstaben/Zahlenkombination auch mit Sonderzeichen.
2.) WP2-Personal einstellen.
3.) SSID verbergen.
4.) MAC-Adressen für die Geräte festlegen.
5.) Sicheres Routerzugangskennwort wählen, wobei ich das damals schon als erstes gemacht habe.

Wobei ich Punkt 3 und 4 eher vernachlässigen kann.

Darf denn der EasySupport anbleiben, sofern der bei mir noch an ist?
Darüber bekommt der Speedport wohl Updates automatisch geliefert.

 

[Rapante_Rapante]

WPS ermöglicht es Geräte per Knopfdruck anzumelden, ohne einen Schlüssel einzugeben.

Klar, kannst auch 60 Zeichen nehmen.^^

Hidden SSID und MAC Filter stören imo mehr als sie nützen und auch die Standard pws sind nicht so unsicher wie viele meinen. Millionen Leute nutzen die. Um da ran zu kommen muss man unten auf den Router schauen, dann kann der Bösewicht aber auch direkt ein Kabel einstecken.

Das sicherste WLAN ist eh ausgeschaltet.^^

 

[Tim1974]

Das sicherste WLAN ist eh ausgeschaltet.^^

Ist meines ja auch seit ich den Router gekauft habe, war das erste was ich gemacht habe, WLAN per Knopf abschalten und immer aus lassen, dann das Routerzugangskennwort ändern und ein sicheres wählen, dann das Einwahlkennwort ändern und fertig. Ich glaube mehr hab ich daran nicht eingestellt.
Darum frage ich mich auch, ob dieses WPS per default an- oder abgeschaltet ist, weiß das hier jemand?