[Diese Geschichte wurde ursprünglich im Juli 2014 veröffentlicht und seitdem mit neuen Informationen aktualisiert.]

Die meisten von Privatkunden verwendeten Gateway-Router sind zutiefst nicht sicher. Einige Router sind so anfällig für Angriffe, dass sie weggeworfen werden sollten, sagte ein Sicherheitsexperte auf der HOPE X-Hacker-Konferenz in New York.

  • Beste WLAN-Router für Ihr Zuhause oder kleines Büro
  • Das bestes Antivirus Software, um Ihren PC sauber zu halten
  • Modem vs. Router: Wie sie sich unterscheiden und was sie tun

"Wenn ein Router bei [einer bekannten Elektronikkette im Einzelhandel] verkauft wird, möchten Sie ihn nicht kaufen", sagte der unabhängige Computerberater Michael Horowitz in einer Präsentation.

"Wenn Ihnen Ihr Router von Ihrem Internetdienstanbieter [ISP] zur Verfügung gestellt wird, möchten Sie ihn auch nicht verwenden. weil sie Millionen von ihnen verschenken, und das macht sie zu einem Hauptziel sowohl für Spionageagenturen als auch für schlechte Jungs."

Horowitz empfahl sicherheitsbewussten Verbrauchern, stattdessen auf kommerzielle Router für kleine Unternehmen zu aktualisieren oder zumindest ihre Modems und Router in zwei separate Geräte aufzuteilen. (Viele "Gateway" -Einheiten, die häufig von ISPs bereitgestellt werden, fungieren als beide.) Wenn eine dieser Optionen fehlschlägt, gibt Horowitz eine Liste der Vorsichtsmaßnahmen an, die Benutzer treffen können.

  • EIN Router VPN ist der beste Weg, um Ihr WLAN zu Hause zu sichern

Probleme mit Consumer-Routern

Router sind die wesentlichen, aber nicht angekündigten Arbeitspferde moderner Computernetzwerke, aber nur wenige Heimanwender erkennen, dass es sich tatsächlich um vollwertige Computer mit eigenen Betriebssystemen, Software und Software handelt Schwachstellen.

"Ein kompromittierter Router kann Sie ausspionieren", erklärte Horowitz, dass ein Router unter der Kontrolle eines Angreifers a inszenieren kann Man-in-the-Middle-Angriff, unverschlüsselte Daten ändern oder den Benutzer an "böse Zwillings" -Websites senden, die sich als häufig verwendete Webmail- oder Online-Banking-Portale tarnen.

Viele Home-Gateway-Geräte für Endverbraucher können Benutzer nicht benachrichtigen, wenn Firmware-Updates verfügbar sind, obwohl diese Updates für das Patchen von Sicherheitslücken unerlässlich sind, so Horowitz. Einige andere Geräte akzeptieren keine Kennwörter mit mehr als 16 Zeichen.

Millionen von Routern auf der ganzen Welt verfügen über das UPnP-Netzwerkprotokoll (Universal Plug and Play), das an mit dem Internet verbundenen Ports aktiviert ist und sie externen Angriffen aussetzt.

"UPnP wurde für LANs (lokale Netzwerke) entwickelt und hat daher keine Sicherheit. An und für sich ist es keine so große Sache ", sagte Horowitz. Aber er fügte hinzu: "UPnP im Internet ist wie eine Operation und die Arbeit des Arztes am falschen Bein."

Ein weiteres Problem ist das Home Network Administration Protocol (HNAP), ein Verwaltungstool, das auf einigen älteren Routern für Endverbraucher verfügbar ist und vertrauliche Informationen über den Router über das Web unter überträgt http://[router IP-Adresse] / HNAP1 / und gewährt Remotebenutzern, die administrative Benutzernamen und Kennwörter angeben (die viele Benutzer gegenüber den werkseitigen Standardeinstellungen nie ändern), die volle Kontrolle.

Im Jahr 2014, ein Router-Wurm namens TheMoon verwendete das HNAP-Protokoll, um anfällige Router der Marke Linksys zu identifizieren, auf die es sich ausbreiten könnte. (Linksys veröffentlichte schnell einen Firmware-Patch.)

"Sobald Sie nach Hause kommen, möchten Sie dies mit all Ihren Routern tun", sagte Horowitz der technisch versierten Menge. "Gehen Sie zu / HNAP1 /, und hoffentlich erhalten Sie keine Antwort zurück, wenn das das einzig Gute ist. Ehrlich gesagt, wenn Sie eine Antwort zurückbekommen, würde ich den Router rauswerfen. "

Die WPS-Bedrohung

Am schlimmsten ist das Wi-Fi Protected Setup (WPS), eine benutzerfreundliche Funktion, mit der Benutzer das Netzwerk umgehen können Passwort und verbinden Sie Geräte mit einem Wi-Fi-Netzwerk, indem Sie einfach eine achtstellige PIN eingeben, die auf dem Router selbst aufgedruckt ist. Auch wenn das Netzwerkkennwort oder der Netzwerkname geändert wird, bleibt die PIN gültig.

"Dies ist ein riesiges, explizit gelöschtes Sicherheitsproblem", sagte Horowitz. "Diese achtstellige Nummer bringt Sie in den [Router], egal was passiert. Also kommt ein Klempner zu Ihnen nach Hause, dreht den Router um, macht ein Bild von der Unterseite und kann jetzt für immer in Ihr Netzwerk gelangen. "

Diese achtstellige PIN ist nicht einmal wirklich achtstellig, erklärte Horowitz. Es sind eigentlich sieben Ziffern plus eine letzte Prüfsummenziffer. Die ersten vier Ziffern werden als eine Sequenz und die letzten drei als eine andere validiert, was zu nur 11.000 möglichen Codes anstelle von 10 Millionen führt.

"Wenn WPS aktiv ist, können Sie in den Router einsteigen", sagte Horowitz. "Sie müssen nur 11.000 Vermutungen anstellen" - eine triviale Aufgabe für die meisten modernen Computer und Smartphones.

Dann gibt es den Netzwerkport 32764, von dem der französische Sicherheitsforscher Eloi Vanderbeken 2013 herausgefunden hat, dass er auf Gateway-Routern, die von mehreren großen Marken verkauft werden, stillschweigend offen gelassen wurde. Über Port 32764 kann jeder in einem lokalen Netzwerk - zu dem auch der ISP eines Benutzers gehört - die vollständige administrative Kontrolle über einen Router übernehmen und sogar einen Werksreset ohne Kennwort durchführen.

Der Hafen wurde auf den meisten betroffenen Geräten nach Vanderbekens Angaben geschlossen, aber er fand später heraus dass es leicht mit einem speziell entworfenen Datenpaket wieder geöffnet werden könnte, das von einem gesendet werden könnte ISP.

"Das wird so offensichtlich von einer Spionageagentur gemacht, es ist erstaunlich", sagte Horowitz. "Es war absichtlich, kein Zweifel."

  • Weiterlesen: Das bestes Dubai VPN kann die drakonischen Internetgesetze der VAE umgehen

So sperren Sie Ihren Heimrouter

Der erste Schritt zur Sicherheit von Heimroutern besteht laut Horowitz darin, sicherzustellen, dass Router und Kabelmodem kein einziges Gerät sind. Viele ISPs vermieten solche Geräte an Kunden, haben jedoch nur wenig Kontrolle über ihre eigenen Netzwerke. (Wenn Sie ein eigenes Modem benötigen, lesen Sie unsere Empfehlungen für das bestes Kabelmodem.)

"Wenn Sie eine einzelne Box erhalten hätten, die die meisten Leute, wie ich glaube, als Gateway bezeichnen", sagte er, "sollten Sie in der Lage sein, den ISP zu kontaktieren und sie die Box dumm stellen zu lassen, damit sie nur als Modem fungiert." Dann können Sie Ihren eigenen Router hinzufügen. "

Als nächstes empfahl Horowitz den Kunden, einen kommerziellen Low-End-WLAN- / Ethernet-Router wie den zu kaufen Pepwave Surf SOHO, der für etwa 200 US-Dollar im Einzelhandel erhältlich ist (obwohl Vorsicht geboten ist), anstatt für einen verbraucherfreundlichen Router, der nur 20 US-Dollar kosten kann.

Bei kommerziellen Routern ist es unwahrscheinlich, dass UPnP oder WPS aktiviert sind. Horowitz bemerkte, dass der Pepwave zusätzliche Funktionen bietet, wie z. B. Firmware-Rollbacks für den Fall, dass ein Firmware-Update fehlschlägt.

Unabhängig davon, ob ein Router kommerziell oder für Endverbraucher geeignet ist, gibt es verschiedene Unterschiede Von einfach bis schwierig, die Heimnetzwerkadministratoren tun können, um sicherzustellen, dass ihre Router mehr sind sichern:

Einfache Korrekturen

Ändern Sie die Administratoranmeldeinformationen vom Standardbenutzernamen und -kennwort. Sie sind die ersten Dinge, die ein Angreifer versuchen wird. Die Bedienungsanleitung Ihres Routers sollte Ihnen zeigen, wie das geht. Wenn nicht, dann Google es.

Machen Sie das Passwort lang, sicher und eindeutig und machen Sie nichts, was dem normalen Passwort für den Zugriff auf das Wi-Fi-Netzwerk ähnelt.

Ändern Sie den Netzwerknamen oder die SSID, von "Netgear", "Linksys" oder was auch immer die Standardeinstellung ist, zu etwas Einzigartigem - aber geben Sie ihm keinen Namen, der Sie identifiziert.

"Wenn Sie in einem Wohnhaus in Wohnung 3G wohnen, nennen Sie Ihre SSID nicht 'Wohnung 3G'", witzelte Horowitz. "Nennen wir es 'Apartment 5F'."

Aktivieren Sie automatische Firmware-Updates wenn sie verfügbar sind. Neuere Router, einschließlich der meisten Mesh-Router, aktualisieren die Router-Firmware automatisch.

Aktivieren Sie WPA2 Wireless Verschlüsselung Damit nur autorisierte Benutzer in Ihr Netzwerk springen können. Wenn Ihr Router nur den alten WEP-Standard unterstützen kann, ist es Zeit für einen neuen Router.

Aktivieren Sie den neuen WPA3-Verschlüsselungsstandard wenn der Router dies unterstützt. Ab Mitte 2020 gibt es jedoch nur wenige Router und Client-Geräte (PCs, mobile Geräte, Smart-Home-Geräte).

Deaktivieren Sie das Wi-Fi Protected Setup, wenn Ihr Router es zulässt.

Richten Sie ein Gast-WLAN-Netzwerk ein und bieten Sie den Besuchern die Verwendung an, wenn Ihr Router über eine solche Funktion verfügt. Wenn möglich, stellen Sie das Gastnetzwerk so ein, dass es sich nach einer festgelegten Zeitspanne selbst ausschaltet.

"Sie können Ihr Gastnetzwerk einschalten und einen Timer einstellen. Drei Stunden später schaltet es sich selbst aus", sagte Horowitz. "Das ist eine wirklich schöne Sicherheitsfunktion."

Wenn Sie viel Smart-Home haben oder Geräte für das Internet der DingeDie Chancen stehen gut, dass viele von ihnen nicht besonders sicher sind. Verbinden Sie sie mit Ihrem Gast-WLAN-Netzwerk anstelle Ihres primären Netzwerks, um den Schaden zu minimieren, der durch einen möglichen Kompromiss eines IoT-Geräts entsteht.

Verwenden Sie keine Cloud-basierte Router-Verwaltung wenn der Hersteller Ihres Routers dies anbietet. Stellen Sie stattdessen fest, ob Sie diese Funktion deaktivieren können.

"Das ist eine wirklich schlechte Idee", sagte Horowitz. "Wenn Ihr Router das anbietet, würde ich es nicht tun, weil Sie jetzt einer anderen Person zwischen Ihnen und Ihrem Router vertrauen."

Viele "Mesh Router" -Systeme, wie z Google Wifi und Eero, sind vollständig Cloud-abhängig und können nur über Cloud-basierte Smartphone-Apps mit dem Benutzer kommunizieren.

Während diese Modelle Sicherheitsverbesserungen in anderen Bereichen bieten, z. B. bei automatischen Firmware-Updates, Es könnte sich lohnen, nach einem Router im Mesh-Stil zu suchen, der lokalen Administratorzugriff ermöglicht, z Netgear Orbi.

Mäßig schwierig

Installieren Sie eine neue Firmware Wenn es verfügbar ist, installieren Routerhersteller auf diese Weise Sicherheitspatches. Melden Sie sich regelmäßig bei der Verwaltungsoberfläche Ihres Routers an, um dies zu überprüfen.

Bei einigen Marken müssen Sie möglicherweise auf der Website des Herstellers nach Firmware-Upgrades suchen. Halten Sie jedoch einen Backup-Router bereit, wenn etwas schief geht. Bei einigen Routern können Sie auch die aktuelle Firmware sichern, bevor Sie ein Update installieren.

Stellen Sie Ihren Router so ein, dass er das 5-GHz-Band verwendet wenn möglich für Wi-Fi anstelle des Standard-2,4-GHz-Bandes - und wenn alle Ihre Geräte kompatibel sind.

"Das 5-GHz-Band reicht nicht bis zum 2,4-GHz-Band", sagte Horowitz. "Wenn sich also ein oder zwei Blocks entfernt ein Bösewicht in Ihrer Nachbarschaft befindet, sieht er möglicherweise Ihr 2,4-GHz-Netzwerk, aber möglicherweise nicht Ihr 5-GHz-Netzwerk."

Deaktivieren Sie den Remote-Administratorzugriff, und Deaktivieren Sie den Administratorzugriff über WLAN. Administratoren sollten nur über kabelgebundenes Ethernet eine Verbindung zu Routern herstellen. (Auch dies ist mit vielen Mesh-Routern nicht möglich.)

Erweiterte Tipps für technisch versierte Benutzer

Ändern Sie die Einstellungen für die administrative Weboberfläche, wenn Ihr Router dies zulässt. Im Idealfall sollte die Schnittstelle eine sichere HTTPS-Verbindung über einen nicht standardmäßigen Port erzwingen, sodass die URL für den Administratorzugriff ungefähr so ​​lautet, wie in Horowitz 'Beispiel. " https://192.168.1.1:82" anstelle des Standard " http://192.168.1.1", die standardmäßig den Internet-Standard-Port 80 verwendet.
Verwenden Sie den Inkognito-Modus oder den privaten Modus eines Browsers beim Zugriff auf die Verwaltungsoberfläche, damit Ihre neue URL nicht im Browserverlauf gespeichert wird.

Deaktivieren Sie PING, Telnet, SSH, UPnP und HNAP, wenn möglich. All dies sind RAS-Protokolle. Anstatt ihre relevanten Ports auf "geschlossen" zu setzen, setzen Sie sie auf "Stealth", damit keine Antwort auf unerwünschte externe Kommunikation erfolgt, die von Angreifern stammen kann, die Ihr Netzwerk untersuchen.

"Jeder einzelne Router hat die Option, nicht auf PING-Befehle zu reagieren", sagte Horowitz. "Es ist absolut etwas, das Sie einschalten möchten - eine großartige Sicherheitsfunktion. Es hilft dir, dich zu verstecken. Natürlich wirst du dich nicht vor deinem ISP verstecken, aber du wirst dich vor einem Typen in Russland oder China verstecken. "

Ändern Sie das Domain Name System (DNS) des Routers. Server vom ISP-eigenen Server zu einem von OpenDNS (208.67.220.220, 208.67.222.222), Google Public DNS (8.8.8.8, 8.8.4.4) oder Cloudflare (1.1.1.1, 1.0.0.1) verwalteten Server.

Wenn Sie IPv6 verwenden, lauten die entsprechenden OpenDNS-Adressen 2620: 0: ccc:: 2 und 2620: 0: ccd:: 2, die von Google 2001: 4860: 4860:: 8888 und 2001: 4860: 4860:: 8844, und die Cloudflare-Versionen sind 2606: 4700: 4700:: 1111 und 2606:4700:4700::1001.

Verwenden ein virtuelles privates Netzwerk (VPN) Router um Ihren vorhandenen Router zu ergänzen oder zu ersetzen und Ihren gesamten Netzwerkverkehr zu verschlüsseln.

"Wenn ich VPN-Router sage, meine ich einen Router, der ein VPN-Client sein kann", sagte Horowitz. "Dann melden Sie sich bei einer VPN-Firma an und alles, was Sie über diesen Router senden, geht über deren Netzwerk. Dies ist eine großartige Möglichkeit, um zu verbergen, was Sie vor Ihrem Internetdienstanbieter tun. "

Viele Heim-WLAN-Router können "geflasht" werden, um Open-Source-Firmware wie die auszuführen DD-WRT-Firmware, was wiederum das OpenVPN-Protokoll nativ unterstützt. Die meisten von den bestes VPN Dienste unterstützen auch OpenVPN und bieten Anweisungen zum Einrichten von Open-Source-Routern für deren Verwendung.

Schließlich, Verwenden Sie Shields Up von Gibson Research Corp. Port-Scan-Service bei https://www.grc.com/shieldsup. Es testet Ihren Router auf Hunderte von häufigen Sicherheitslücken, von denen die meisten vom Administrator des Routers behoben werden können.

  • Sind kostenlose VPNs das Risiko wert? Experten sagen nein
  • Was ist ein Mesh-Router und benötigen Sie einen?
  • Beste Wi-Fi Extender