Konfiguration, Port-Tests und Zonierung
Fritzbox sicher machen: Konfiguration, Tests und Kaskade
Die Anzahl möglicher Sicherheitslücken im Heimnetz steigt mit der Anzahl der Geräte. Sichern Sie Ihren Router, testen Sie Ihr Heimnetz auf Schwachstellen und teilen Sie es in zwei Zonen auf. Wir geben Tipps, wie Sie Ihre Fritzbox sicher machen.
- Fritzbox sicher machen: Konfiguration, Tests und Kaskade
- Netzwerk-Scanner: Tools für Web, Smartphone und PC
- Network Vulnerability Testing (NVT) mit OpenVAS - so geht's
- Router-Kaskade einrichten: So funktioniert die Zonierung
Dass PCs, Notebooks und Smartphones entsprechend gesichert sind, setzen wir voraus. Immer häufiger wird aber der Router zum Angriffsziel im Heimnetz. Deshalb erfahren Sie im ersten Teil unseres Artikels, worauf Sie bei der Konfiguration einer aktuellen Fritzbox, Deutschlands beliebtesten All-in-One-Router, besonders achten sollten. Tatsächlich stellt jedes beliebige Gerät, das per Kabel oder WLAN an Ihr Heimnetz angebunden ist, eine mögliches Angriffsziel dar. Und die Anzahl der netzwerkfähigen Geräte wächst.
Unsichere Heimnetzgeräte
Neben Router, Notebook, NAS oder Access Point sind inzwischen auch Multimediageräte wie Smart-TVs, IP-Kameras oder (Spiele-)Konsolen sowie diverse Smart-Home-Installationen fester Bestandteil vieler Heimnetzwerke. Letztere sollen laut einer aktuellen Erhebung von Statista.de schon bald in jedem dritten Haushalt zum Einsatz kommen.
Kunden sind dabei immer auf die Bereitschaft des Herstellers angewiesen, in die Produktsicherheit zu investieren – und zwar nicht nur in der Entwicklungsphase. Denn viele Sicherheitslücken kommen erst zum Vorschein, wenn die Geräte längst beim Kunden im Einsatz sind. Leider zeigt die Erfahrung, dass das Schließen von Sicherheitslücken von manchen Herstellern eher nachlässig betrieben wird. Verschiedene Diagnose- und Scan-Tools, auf die wir im mittleren Teil dieses Artikels eingehen, helfen Ihnen dabei, Geräte mit möglichen Schwachstellen ausfindig zu machen.
Am Ende des Artikels beschreiben wir eine Möglichkeit, wie Sie Ihr Heimnetz mit wenig (oder gar keinem) Investitionsaufwand per Routerkaskade segmentieren. Damit lassen sich Geräte, die Sie besonders schützen wollen, in ein Subnetz verschieben, das durch die Firewall eines zweiten Routersvon den Geräten im Hauptnetzwerk geschützt ist.
Grundlegende Sicherheitseinstellungen
Doch zunächst zu den grundlegenden Sicherheitseinstellungen. Jede Fritzbox kommt inzwischen mit einem voreingestellten Zugangspasswort und einem vorverschlüsselten WPA2-Passwort. Ersetzen Sie diese Vorgaben grundsätzlich durch eigene Passwörter. Denn inzwischen weiß jedes Kind (Eltern sollten diesen Hinweis übrigens wörtlich nehmen), dass die werksseitigen Zugangsdaten auf der Unterseite der Fritzbox abgedruckt sind.
Und was den Zugang auf die Fritzbox-Oberfläche anbelangt: Stellen Sie diesen gleich unter System/Fritzbox-Benutzer/Anmeldung im Heimnetz auf die Option Anmeldung mit Fritzbox-Benutzernamen und Kennwort um. Nur so können Sie die sichere Zugriffsverwaltung der Fritzbox sinnvoll nützen. Denn wer zum Beispiel den Fernzugriff auf die Fritzbox nutzen möchte, sollte sich dafür einen speziellen Fritzbox-Benutzer mit einem abweichenden, besonders sicheren, Zugangskennwort anlegen.
Falls Sie den Fernzugriff nur vorübergehend benötigen, beispielsweise im Urlaub, lässt sich das entsprechende Benutzerkonto bis zur nächsten Reise einfach deaktivieren. Ist der Fernzugriff aktiviert, sollten Sie sich per Push Service benachrichtigen lassen, wenn sich jemand an der Benutzeroberfläche der Fritzbox anmeldet. Die entsprechende Einstellung finden Sie unter System/Push Service/Push Services, wenn Sie unten in der Liste auf das Bearbeiten-Symbol von Änderungsnotiz klicken.
Das klappt allerdings nur, wenn Sie zuvor den Push Service durch ein gültiges Mailkonto aktiviert haben. Natürlich bekommen Sie dann auch immer eine Nachricht, wenn Sie sich gerade selbst bei der Fritzbox angemeldet haben.
HTTPS-Standardport ändern
Außerdem kann es durchaus sinnvoll sein, den HTTPS-Standardport 443 für den Fernzugriff auf die Fritzbox abzuändern, zum Beispiel auf einen Nicht-Standard-Port aus dem Bereich zwischen 1.024 und 65.535. Damit nehmen Sie die Fritzbox bereits für viele Angreifer aus der Schusslinie, wenn diese nur nach bestimmten Standardports scannen. Beachten Sie jedoch, dass Sie beim Fernzugriff über MyFritz (oder über einen alternativen DynDNS-Dienst) immer die geänderte Portnummer an die Webadresse der Fritzbox hängen müssen.
Wer sowieso nie von außerhalb auf seine Fritzbox zugreift, lässt den Fernzugriff am besten bei jedem Benutzer deaktiviert. Wer den Fernzugriff grundsätzlich abschalten möchte, findet die entsprechende Einstellung unter Internet/Freigaben/Fritzbox-Dienste, indem man beide Häkchen im Bereich Internetzugriff deaktiviert lässt.
Darüber hinaus ist es ratsam, sich über den Push Service Fritzbox-Info mindestens wöchentlich eine Statistik zur Online-Zeit und ein Ereignisprotokoll senden zu lassen. Die darin enthaltenen Infos können wertvolle Hinweise liefern, wenn in Ihrem Heimnetz ungewöhnliche Dinge passieren.
Feinheiten: Client-bezogenes UPnP und Ping-Blocks
Spielekonsolen oder NAS-Geräte mit Streamingfunktionen nutzen häufig UPnP, um damit die Portfreigabe des Routers steuern zu können. In den Einstellungen der meisten Heimnetz-Router können Sie UPnP nur für alle Clients im Heimnetz freigeben. Das ist sicherheitstechnisch äußerst bedenklich, denn auch Malware könnte dann über UPnP einfach beliebige Ports in der Router-Firewall öffnen. Deshalb sollte man UPnP in solchen Routern unbedingt sperren.
Im Gegensatz dazu bietet die Fritzbox bezüglich UPnP einen (Sicherheits-)Vorteil: Hier können Sie unter Heimnetz/Netzwerk/Netzwerkverbindungen dem gewünschten Client explizit die Berechtigung für UPnP erteilen, so dass nur dieser Client die Firewall der Fritzbox anpassen darf. Dazu öffnen Sie die Einstellungen des Clients und aktivieren die Option Selbstständige Portfreigaben für dieses Gerät erlauben.
Zudem können Sie die Fritzbox nun auch in einen Stealth-Modus versetzen, so dass der Router nicht mehr auf Anfragen oder Port-Scans aus dem Internet antwortet. Der Stealth-Modus lässt sich im Fritzbox-Menü unter Internet/Filter/Listen im Bereich Globale Filtereinstellungen aktivieren.
Fritzbox: Besondere Sicherheitsfunktionen
Inzwischen besitzt jeder aktuelle Heimnetz-Router ein Mindestmaß an Sicherheitsvor-kehrungen. Die folgenden Funktionen zeichnen insbesondere die Fritzbox aus.
- Sicherheitsrelevante Updates kann die Fritzbox inzwischen vollautomatisch durchführen, sobald diese auf dem AVM- Server bereit stehen. Der Anwender muss dazu nicht einmal ins Routermenü.
- Ein weiteres, wohl durchdachtes Sicherheitskonzept in der Fritzbox ist die Mög-lichkeit, verschiedene Benutzerkonten mit unterschiedlichen Berechtigungen einzurichten. So kann in der Familie trotzdem jeder die FritzApp Fon am Smartphone nutzen oder Smart-Home-Geräte steuern, ohne gleich Zugriff auf das Routermenü zu erhalten.
- Mit der Client-bezogenen UPnP-Freigabe wird die Gefahr herabgesetzt, dass beliebige Malware im Heimnetz über UPnP Ports in der Router-Firewall öffnet.
Weiterlesen: Auf der nächsten Seite erklären wir, mit welchen Gratis-Tools Sie Ihr Netzwerk auf Schwachstellen prüfen können.
