Netzwerksicherheit

Hacker-Angriffe auf Routern entdecken und verhindern

28.08.2015 von Thomas Joos
Kleine Unternehmen nutzen häufig Router statt professionelle Firewalls für ihre Internetanbindung. Hier lauern große Gefahren.

Wenn im Unternehmen keine professionelle und besonders geschützte Firewall im Einsatz ist, wird die Internetverbindung meistens über einen Router durchgeführt, der direkt mit dem Internet verbunden ist. Vor allem in kleinen Unternehmen und Niederlassungen, aber auch zu Hause entsteht so einiges Gefahrenpotenzial, das es zu verhindern gilt. Beim Einsatz vieler Hardwarehersteller kann Etliches optimiert werden. Verbreitete Hardware, wie AVM-Fritz!Boxen, bieten dafür viele native Sicherheitsvorkehrungen, die auch Netzwerklaien sehr guten Schutz bieten. Darüber hinaus sind für Spezialisten noch detailliertere Einstellungen möglich, um Netzwerke noch sicherer zu gestalten

Hacker auf Router
Router absichern
Router die mit dem Internet verbunden sind, sollten möglichst immer über die aktuellste Firmware verfügen.
Router absichern
Unnötige Weiterleitungen und Portfreigaben sollten deaktiviert werden. Notwendige sollten überprüft und optimal konfiguriert werden.
Router absichern
Private-Cloud-Funktionen sollten möglichst deaktiviert werden. Diese stellen oft unnötige Sicherheitsgefahren für Router dar.
Router absichern
Für Router sollten Sie den Standardbenutzer und sein Kennwort abändern, damit kein unbefugter Anwender auf die Oberfläche zugreifen kann.
Router absichern
In den Einstellungen von Routern können Sie häufig auch erweiterte Sicherheitseinstellungen anpassen, Ports ändern und Zertifikate für den Zugriff installieren.
Router absichern
Router können oft Selbstdiagnosen durchführen.
Router absichern
Fritz!Boxen bieten einen umfassenden Analysebericht.
Router absichern
In den Ereignisanzeigen entdecken Sie oft verdächtige Aktionen, wie das fehlerhafte Zustellen von E-Mails.
Router absichern
Den Netzwerkverkehr auf Fritz!Boxen können Sie mitschneiden.
Router absichern
Mit der kostenlosen Live-DVD Kali scannen Sie Ihre Router und Rechner auf Sicherheitslücken.
Router absichern
Die registrierten Telefoniegeräte sollten auch regelmäßig überprüft werden. Hier nisten sich oft Angreifer ein.

Hacker im Netzwerk erkennen

Haben Sie den Verdacht, dass Hacker in das Netzwerk eingedrungen sind, sollten Sie zunächst in aller Ruhe eine Analyse durchführen. Bereits vorher sollten Sie im Netzwerk ständig überprüfen, ob es Probleme bezüglich der Arbeitsstationen gibt. Wenn Netzwerke gehackt werden, dann oft über den Weg der Client-Computer.

In den meisten DSL-Routern gibt es eine Weboberfläche, über die Sie die Datenleitung überwachen können. Wenn der Datenverkehr in das Internet ständig ausgelastet ist, auch ohne dass Sie oder andere Anwender im Internet surfen, muss jemand diesen Verkehr verursachen, vielleicht ein Hacker oder Trojaner. Geben Sie in der Eingabeaufforderung den Befehl netstat -o ein. Wollen Sie die Ausgabe in eine Textdatei umleiten, geben Sie den Befehl netstat -o >C:\netstat.txt ein. Hier sehen Sie alle Datenverbindungen eines Rechners. Achten Sie vor allem auf die Remote-Adresse und prüfen Sie, woher diese kommt. Zusätzlich können Sie hier die Tools SmartSniff und CurrPorts nutzen. Beide zeigen an, welche internen Prozesse eine Verbindung ins Internet aufbauen.

Das sind die größten Gefahren für Router

Die größten Gefahren, die von Angreifern auf Router ausgehen, haben im Grunde genommen fünf Quellen:

1. Veraltete Firmware

2. Zu viele geöffnete Ports

3. Unsichere Private-Cloud-Funktionen

4. Fehlerhaft gesetzte Sicherheitseinstellungen, zum Beispiel ein unsicheres Administratorkennwort

5. Verwaltungs-Tools über das Internet erreichbar

Neue Firmware installieren

Um einen Router zunächst so sicher zu machen, müssen zunächst diese Lücken behoben werden. Der erste Schritt besteht immer darin, im Internet zu überprüfen, ob es eine neue Firmware des Herstellers gibt. Wenn Sicherheitslücken bekannt werden, dann schließen die Hersteller diese zwar oft, aber leider installieren viele Administratoren oder Benutzer die Aktualisierung nicht. Viele Hersteller, wie auch AVM, bieten in der Weboberfläche oft die Möglichkeit, direkt eine Aktualisierung durchzuführen. Ist das nicht der Fall, dann lassen sich Update-Dateien meistens aus dem Internet herunterladen und in der Weboberfläche installieren

Router, die mit dem Internet verbunden sind, sollten möglichst immer über die aktuellste Firmware verfügen.

Geöffnete Ports und Freigaben überprüfen

Auf vielen Routern gibt es Freigaben, die den Internetverkehr auf interne IP-Adressen umleiten. Diese Freigaben sind häufig entweder falsch konfiguriert oder schlicht und ergreifend unnötig. Es bietet sich daher an, regelmäßig zu überprüfen, welche Freigaben es gibt, und diese unter Umständen zu löschen

Unnötige Weiterleitungen und Portfreigaben sollten deaktiviert, notwendige überprüft und optimal konfiguriert werden.

Vor allem Optionen wie UPnP, also die Veränderungen der Einstellungen eines Routers über das Netzwerk, sollten Sie deaktivieren. Denn auf diesem Weg können Viren und Trojaner im internen Netzwerk auch Schaden auf dem Router anrichten. Viele Skripte nutzen UPnP (Universal Plug and Play) als Protokoll, um Informationen aus der Fritzbox einzulesen oder Aktionen zu starten. Damit das funktioniert, muss die UPnP-Schnittstelle auf der Fritzbox aber aktiviert sein. Die Einstellungen dazu sind im Bereich Heimnetz\Netzwerk auf der Registerkarte Netzwerkeinstellungen zu finden. Hier muss die Option Statusinformationen über UPnP übertragen aktiviert sein, damit Daten ausgelesen werden können. Nutzen Sie diese Funktionen nicht, dann deaktivieren Sie diese Funktion. Wichtig ist auch die Deaktivierung der UPnP-Steuerungsfunktion über Internet\Freigaben.

Unsichere Zusatzfunktionen deaktivieren

Auf vielen Routern, auch in Unternehmen, gibt es mittlerweile zahlreiche Funktionen für das Private-Cloud-Computing. Nutzen Sie diese Funktionen nicht, dann sollten Sie darauf achten, dass sie ausgeschaltet sind. Wird die Funktion genutzt, sollte das Kennwort optimal gesetzt sein. Außerdem sollten Sie die Sicherheitseinstellungen korrekt setzen.

Private-Cloud-Funktionen sollten möglichst deaktiviert werden. Diese stellen oft unnötige Sicherheitsgefahren für Router dar.

Auch Zusatzdienste wie Mediaserver oder DynamicDNS lassen oft die Leistung von Routern einbrechen und stellen Sicherheitsgefahren dar. Nur wenn es unbedingt sein muss, ist es sinnvoll, diese Funktionen zu nutzen. Die Einstellungen dazu sind häufig im Bereich der Netzwerk- oder Interneteinstellungen zu finden.

Sicherheitsfunktionen optimal setzen

Das Erste, was Sie auf Routern durchführen sollten, ist, das Standardkennwort für den Zugriff zu ändern. Verwenden Sie ein sicheres Kennwort, am besten eine Kombination aus Benutzernamen und Kennwort.

Für Router sollten Sie den Standardbenutzer und sein Kennwort abändern, damit kein unbefugter Anwender auf die Oberfläche zugreifen kann.

Die Anmeldung an der Weboberfläche sollte nur über SSL möglich sein. Außerdem ist es ratsam, ein eigenes Zertifikat zu installieren oder das Zertifikat einer öffentlichen Zertifizierungsstelle zu verwenden. Auch Heimgeräte, wie die Fritz!box unterstützen diese Sicherheitsfunktionen. Sie können im Bereich Internet\Freigaben\Fritz!Box-Dienste den Port für den SSL-Zugriff abändern und Zertifikate hinterlegen. Verwenden Sie einen anderen Port für SSL als den Standard-Port, dann können unbefugte Anwender weniger wahrscheinlich auf die Weboberfläche zugreifen.

In den Einstellungen von Routern können Sie häufig auch erweiterte Sicherheitseinstellungen anpassen, Ports ändern und Zertifikate für den Zugriff installieren
Zusatzinformationen über den Status der einzelnen Router-Komponenten.

Viele Geräte, darunter auch die Fritzboxen, bieten Diagnosefunktionen, die bei Problemen helfen und Sicherheitsgefahren aufdecken. Auch wenn dies keine optimale Absicherung darstellt, sollte eine Diagnose doch regelmäßig durchgeführt werden.

Router können oft Selbstdiagnosen durchführen

In den Sicherheitsinformationen eines Routers erhalten Sie außerdem in den meisten Fällen noch zusätzliche Informationen und können Sicherheitsgefahren frühzeitig erkennen.

Fritzboxen bieten einen umfassenden Analysebericht.

Die meisten Router verfügen darüber hinaus über eine umfangreiche Protokollierung und zeigen Ereignisse in Echtzeit an. Überprüfen Sie, ob es hier ungenehmigte Aktionen und verdächtige Ereignisse gibt. Auch das Datenvolumen sollten Sie kontrollieren. Viele Router bieten hier eine Auflistung des übertragenen und empfangen Volumens über einen bestimmten Zeitraum. Gibt es hier deutliche Ausreißer nach oben, sollten Sie möglichst schnell handeln. AVM-Fritzboxen bieten dazu den Online-Zähler in der Oberfläche.

In den Ereignisanzeigen entdecken Sie oft verdächtige Aktionen, wie das fehlerhafte Zustellen von E-Mails.

Netzwerkverkehr mitschneiden (Sniffern)

Den Netzwerkverkehr auf vielen Routern können Sie mitschneiden, zum Beispiel auch auf Fritzboxen. Dazu gehen Sie folgendermaßen vor:

1. Geben Sie die Adresse: http://fritz.box/html/capture.html in einem Browser ein und melden Sie sich an der Fritzbox an. Nur auf diesem Weg lässt sich die Überwachungsseite öffnen.

2. Öffnet sich nicht die Fritzbox-Seite, geben Sie die IP-Adresse der Fritzbox anstelle des Namens fritz.box ein. Die Adresse sehen Sie am schnellsten, wenn Sie eine Befehlszeile auf einem Rechner öffnen und ipconfig eingeben. Die IP-Adresse der Fritzbox finden Sie bei der Zeile Standardgateway.

3. Anschließend öffnet sich die Seite mit der Sniffer-Oberfläche. Klicken Sie auf Start für die Internetverbindung oder eine beliebige Netzwerkschnittstelle, um einen Vorgang zu starten. Wählen Sie einen Speicherort für die Sniffer-Datei aus. Solange Sie nicht Stop klicken, speichert die Fritzbox die Daten in dieser Datei.

4. Den Inhalt der Datei lesen Sie mit dem kostenlosen Tool Wireshark. Installieren Sie das Programm und öffnen Sie die erstellte *.eth-Datei. Für einen schnellen Überblick können Sie die Datei auch mit dem normalen Windows-Editor öffnen. Sie sehen in der Datei zum Beispiel die IP-Adressen der besuchten Internetseiten und mit etwas Übung auch Kennwörter, wenn diese nicht verschlüsselt übertragen wurden.

Den Netzwerkverkehr auf Fritzboxen können Sie mitschneiden.

Router über das Internet verwalten

Einige Router lassen den Verwaltungszugriff über das Internet oder von unsicheren Netzwerken aus zu. Das sollten Sie in jedem Fall verhindern. Deaktivieren Sie alle Optionen, die es ermöglichen, über das Internet auf den Router zuzugreifen. Es ist in den seltensten Fällen sinnvoll, dass Administratoren oder Anwender über das Internet auf die Verwaltungsoberfläche eines Routers zugreifen können.

Penetrationstest mit Kali-Live-DVD

Mit der kostenlosen Live-DVD Kali scannen Sie Ihre Router und Rechner auf Sicherheitslücken.

Die Sicherheit im Netzwerk und die Ihrer Routen können Sie auch mit kostenlosen Live-CDs testen. Ein prominentes Beispiel dafür ist Kali (https://www.kali.org/). Booten Sie einen Rechner mit der CD und analysieren Sie Ihre Router. Über das Menü Applications\Kali Linux finden Sie die dazu notwendigen Tools. Um mit Kali das Netzwerk zu scannen, öffnen Sie das Tool Zenmap über die Eingabe von zenmap in der Konsole. Geben Sie hier die Daten der Rechner und Router ein, die Sie scannen wollen.

Eines der bekanntesten Sicherheits-Tools in Kali ist OpenVAS. Es wird über Applications\Kali Linux\Vulnerability Analysis gestartet. Mit dem Werkzeug scannen Sie Ihr Netzwerk auf Schwachstellen.

Auch VoIP ist angreifbar

Wenn Sie auf dem Router auch VoIP-Funktionen aktiviert haben, sollten Sie regelmäßig in den registrierten Telefoniegeräten sicherstellen, dass kein unbefugter Benutzer eingetragen ist. Viele Router mit VoIP-Funktion akzeptieren Steuerungen über Tastenkürzel bei Telefonen. Außerdem gibt es zahlreiche Sicherheitslücken, die Angreifern gestatten, auf die Telefoniefunktion zuzugreifen.

Auch die registrierten Telefoniegeräte sollten regelmäßig überprüft werden. Hier nisten sich oft Angreifer ein.

Achten Sie ferner darauf, die Sicherheitseinstellungen für VoIP möglichst sicher zu konfigurieren, die Authentifizierungsdaten möglichst kompliziert zu gestalten und die Verbindungen zu verschlüsseln. Überprüfen Sie auch die Anrufliste und stellen Sie sicher, dass hier keine unerlaubten Anrufe getätigt wurden. Sichern Sie notfalls die Liste und überprüfen Sie die Anrufe. (hal)