So schützen Sie Ihren DSL-Zugang vor Hackern
Ende 2014 dienten unzählige gekaperte Router mit veralteter Firmware als Werkzeuge, um Sonys PSN und Microsofts Xbox Live lahm zu legen. Wir zeigen, wie Sie sich mit einer alternativen Firmware für ältere Geräte schützen können.
Kurz vor Weihnachten 2014 hat die Hackergruppe Lizard Squad mit einer DDoS-Attacke die Netzwerke von Sonys Playstation und Microsofts Xbox lahmgelegt. Anfang Januar fand der Sicherheitsforscher Brien Krebs heraus, dass die enorme Bandbreite dadurch ermöglicht wurde, dass die Hacker DSL-Router m...
Kurz vor Weihnachten 2014 hat die Hackergruppe Lizard Squad mit einer DDoS-Attacke die Netzwerke von Sonys Playstation und Microsofts Xbox lahmgelegt. Anfang Januar fand der Sicherheitsforscher Brien Krebs heraus, dass die enorme Bandbreite dadurch ermöglicht wurde, dass die Hacker DSL-Router mit veralteter Firmware oder Standardpasswörtern direkt kaperten. Offenbar sollte die Attacke nur dazu dienen, Werbung für das "Lizard Stresser" getaufte Hacker-Tool machen.
Eigentlich müssten DSL-Router die volle Aufmerksamkeit von Nutzern und Herstellern genießen, trennt dieses Gerät doch das übersichtliche Heimnetzwerk von der großen bösen Welt des Internet. Die schnelle Reaktion auf Sicherheitslücken und Automatismen zur Aktualisierung der Firmware sollten selbstverständlich sein. Doch bei den meisten Herstellern ist das Gegenteil der Fall: Um die Preise zu drücken wird der Lebenszyklus eines DSL-Routers nicht über den Verkaufszeitraum hinausgedacht. Die Folge ist, dass gerade bei günstigen Restpostenangeboten der DSL-Router ab Inbetriebnahme ein Sicherheitsrisiko darstellt. Auch die von vielen Providern gratis bereitgestellten DSL-Router sind aufgrund des starken Preisdrucks und der geöffneten Fernkonfigurationsports meist kein Positivbeispiel für Sicherheit.
Erschwerend kommt hinzu, dass Router Druckerserver bereitstellen und USB-Laufwerke als Windows-Share oder per UPnP-Streaming freigeben. Oft genügen manipulierte Webseiten, die per iFrame versuchen, mit Standard-Passwörtern auf Standard-IPs gängiger Router zuzugreifen.
Router selbst prüfen
Kein Weg zurück?
Das erste naheliegende Szenario ist, zu prüfen, ob der eigene Router möglicherweise bereits gehackt wurde. Das ist nicht einfach, denn sinnvoll ist lediglich die Analyse mit einem Netzwerk-Schwachstellen-Scanner wie OpenVAS. Dies ist Teil des freien und kostenlosen Sicherheits- und Rettungs-Linuxes LessLinux Search and Rescue. Des Weiteren gibt zumeist die Google-Suche nach "<Hersteller> <Modell> vulnerability" Hinweise auf mögliche Schwachstellen. Ein weiterer Ansatzpunkt ist der Stand der Firmware: Prüfen Sie anhand der Version im Webinterface des Geräts, wie alt diese ist und ob neue Versionen bereitstehen. Liegt die letzte Aktualisierung über ein Jahr zurück (eine Reihe von Sicherheitslücken machte im ersten Quartal 2014 bei praktisch allen Herstellern Aktualisierungen erforderlich) sollte der Router zunächst nicht weiter eingesetzt werden. Liegt eine zeitnah aktualisierte Firmware vor, installieren Sie diese bitte.
Aber: Jedes Gerät mit veralteter Firmware sollte als gehackt betrachtet werden. Viele Angriffe betreffen die Konfiguration, sind deshalb perfiderweise über ein Firmware-Update hinweg persistent. Setzen Sie den Router auf Werkseinstellungen zurück und legen neue WAP-Schlüssel an.
Nun haben Sie einen DSL-Router, der leider abgekündigt wurde und daher ein Sicherheitsrisiko darstellt - für Sie, Ihr Heimnetz, das gesamte Internet und mich, dessen Router oder Server möglicherweise das Angriffsziel von Attacken ist, die über Ihren Router geführt werden oder dessen Mailserver Spam aussortieren muss, der über Ihren Router verschickt wird. Die logische Konsequenz lautet, den alten Router zunächst vom Netz zu nehmen, ihn abzuschalten, Ersatz zu beschaffen. Den Ersatz gibt es möglicherweise vom Provider gratis, gelegentlich aber nur gegen eine Vertragsverlängerung von 12 oder 24 Monaten.
Lesetipp: Die besten AC-WLAN-Router
Möglicherweise ist der Weg zum örtlichen Elektronikmarkt eher von Erfolg gekrönt - wer die Augen aufmacht und sich kundig macht, findet möglicherweise bereits ab 20 Euro einen brauchbaren und hinreichend langlebigen Ersatz.
Bester Ausweg: Freie Firmware
Bei OpenWRT und DD-WRT handelt es sich um zwei verwandte und sich rege untereinander austauschende Linux-Projekte zur Erstellung freier Firmware für DSL-Router. Initialzündung für das Entstehen beider war Linksys' Router WRT54G, der im Jahr 2003 auf den Markt kam und eine Linux-basierte Firmware verwendete, jedoch ohne den Bedingungen der Open Source Lizenz GPL Genüge zu tun. Auf etwas öffentlichen Druck hin veröffentlichte Linksys die Quellen, und einige unerschrockene Programmierer machten sich daran, eine erste freie Firmware zu entwickeln.
Heute lasst sich in 99 Prozent der Fälle eine freie Firmware der beiden großen Projekte OpenWRT und DD-WRT auf explizit unterstützten Geräten problemlos installieren, ein Restrisiko bleibt jedoch. Auch kann nicht immer ein stabiler Betrieb der WLAN-Schnittstelle garantiert werden. Schuld daran sind nicht die jeweiligen Programmierer der Firmware, sondern im Regelfall die Hardwarehersteller, die keine eigenen freien Treiber bereitstellen und sich mit der Dokumentation der Chipsätze zurückhalten. Mit dem verstärkten Aufkommen kommerzieller Firmware, welche die freien Projekte als Basis verwenden, steigt jedoch die Bereitschaft der Hardwarehersteller, ihre Chips zusammen mit freien und gut dokumentierten Treibern auszuliefern.
Zweitrouter für den Notfall
Bevor Sie Experimente mit freier Firmware starten, sollten Sie einen zweiten Router für den Notfall bereitlegen. Der Autor hat - um die Gefahr zu minimieren, das gesamte Büronetz vom Internet abzuklemmen - kurzerhand einen TP-Link TL-WR841N(D) für rund 20 Euro erstanden. Grundsätzlich sollten Sie Ihre Entscheidung, ob der alte Router primäres oder sekundäres Gerät wird, von den Hardware-Eigenschaften und natürlich den eigenen Einsatzszenarien abhängig machen: Geräte mit 5-GHz-Funk, zwei USB-Ports, Gigabit-LAN wie den TP-Link TL-WDR3600 gibt es bereits für unter 50 Euro. Noch wichtiger als die teils fantastischen WLAN-Übertragungsraten ist jedoch der Speicherausbau: 4 MByte Flash und 32 MByte RAM (wie beim TL-WR841N(D)) gelten derzeit als das Minimum für den sinnvollen Betrieb mit DD-WRT und OpenWRT: Mit diesem Ausbau kann ein Webfrontend bereitgehalten werden, und es ist in Grenzen möglich, ein Gast-WLAN oder VPN zu nutzen.
Geräte mit 8 MByte Flash und 128 MByte RAM (bspw. TP-Link TL-WDR3600) haben genügend Ressourcen, um neben VPN und Gastnetzen auch Druckerspooler, Windows-Freigaben oder Medienstreaming (UPnP oder Chromecast) auch Spielereien wie die Hausautomation zu unterstützen. USB-Ports erlauben hierfür den Anschluss zusätzlicher Hardware wie DVB-T-Sticks zur Nutzung als Videorekorder und ermöglichen die Erweiterung des Speichers per USB-Stick- oder Platte. Wer möchte, kann bis zu 250 Euro für einen DD-WRT- oder OpenWRT-kompatiblen Router ausgeben und erhält dafür bis zu 128 MByte Flash und 512 MByte RAM, mehrere USB-Ports und oft sogar GPIO-Ports (General Purpose Input Output) für den Anschluss von Hardware zur Messdatenerfassung oder von Funkmodulen zur Hausautomation - da sind lange Bastelabende garantiert.
Doch auch schwächere Geräte müssen nicht immer entsorgt werden: Mit 4 MByte Flash und 16 MByte RAM ist meist ein stabiler Betrieb mit OpenWRT ohne Webinterface möglich. Wer bereits über etwas Linux-Erfahrung verfügt, wird sich nach SSH-Login in OpenWRT schnell zurechtfinden. So kann ein mit Original-Firmware unsicherer Router mit recht schnellem 802.11ng-WLAN immer noch als Accesspoint weitergenutzt werden. Beim Neukauf ist der Preis alleine keine Garantie für ausreichenden Speicher: Linksys verkauft noch immer den WRT54GL mit Pinguin auf dem Karton und dem Versprechen, eine freie Firmware verwenden zu können. Doch das ist nur die halbe Wahrheit: Ein Blick ins OpenWRT Wiki zeigt, dass dieser Router mit 4 MByte Flash und 16 MByte RAM in die Kategorie fällt, bei denen kein stabiler Betrieb mit aktiviertem Webfrontend möglich ist.
Einige Hersteller wie Asus oder Buffalo setzen bei manchen Produktreihen auf die explizite Kooperation mit den Entwicklern von OpenWRT und DD-WRT und liefern Router teils mit DD-WRT basierter Firmware aus. Bei derartigen Geräten ist der Umstieg auf eine komplett freie Firmware meist leichter möglich. Generell kann keine Empfehlung für oder gegen einen bestimmten Hersteller ausgesprochen werden - im Zweifel halten die Wikis und Foren von DD-WRT und OpenWRT Hinweise auf Eignung und mögliche Probleme bereit.
WRT auf dem Router
Bevor Sie OpenWRT oder DD-WRT auf den eigenen Router flashen, sollten Sie den Zweitrouter einrichten und sicherstellen, dass neben den DSL-Zugangsdaten auch DHCP- und WLAN-Einstellungen so gesetzt sind, dass alle Clients im Netz mit wenig Aufwand aufs Internet zugreifen können, sollten Probleme beim Flashen auftauchen.Die Entscheidung, ob OpenWRT oder DD-WRT, ist weitgehend Ihnen überlassen. Für OpenWRT spricht das schnelle Entwicklungstempo und die hohe Modularität der Software, sowie das sehr übersichtliche Webinterface LuCI. Gegen OpenWRT spricht, dass die Einrichtung recht detaillierte Netzwerkkenntnisse voraussetzt - auch ein erfahrener Nutzer verbringt unter Umständen eine halbe Stunde damit, bis Ethernet, WLAN als Brücke ins Ethernet und der DHCP-Server konfiguriert sind.
Für DD-WRT sprechen die für viele Fälle sinnvoll gesetzten Standardeinstellungen, die insgesamt einfachere Bedienung und der etwas komfortablere Zugriff auf USB-Geräte.Für das Flashen empfehlen wir einen minimalen Systemaufbau, der nur aus Notebook und Router besteht, verbunden über ein Ethernetkabel. Dem PC sollten Sie dabei eine IP-Adresse aus dem Adressbereich des Routers zuweisen, beispielsweise 192.168.2.5 wenn der Router die 192.168.2.1 hat. Wenn Sie die IP-Adresse des Routers nicht wissen, öffnen Sie in Windows eine Command-Shell cmd, und geben Sie dort den Befehl
"ipconfig /all"
ein. Unter Standardgateway steht die IP des Routers. Wichtig ist die gleiche Netzmaske, meist ist dies 255.255.255.0. Als Gateway und erster Nameserver ist ebenfalls die IP-Adresse des Routers einzutragen.
Nun können Sie den Download des Images starten: Bei OpenWRT finden Sie die Links zu den aktuellen Barrier-Breaker-Images auf den jeweiligen Geräteseiten des Hardwarewiki. Ist dort kein Link hinterlegt, notieren Sie sich im Hardwarewiki die Architektur Ihres Routers, beispielsweise ar71xx-generic und suchen dann die exakt passende Firmware im Download-Ordner. Achten Sie auf die passende Hardwarerevision! Eine Firmware für Hardware v3 auf v2 installiert führt mit ziemlicher Sicherheit zu Netzwerkproblemen. Zu beachten ist, dass beim ersten Flashen ein Image mit factory im Namen zu wählen, bei Upgrades von einer OpenWRT Release auf die nächste jedoch sysupgrade zu verwenden ist.
Ähnlich sieht es bei DD-WRT aus, suchen Sie nach Ihrem Modell, bei Redaktionsschluss wurden bei den meisten Geräten als stabile Version Images von März oder April 2013 angeboten. Merken Sie sich die Modellbezeichnung am Anfang des Firmware-Namens, beispielsweise tl-wdr3600, und klicken Sie auf Other downloads. Hier können Sie sich nach Jahr und Tag des letzten Builds durchklicken - bei Redaktionsschluss war dies der 22. Dezember 2014.
Im Verzeichnis Ihres Routers finden Sie meist zwei Images factory-to-ddwrt.bin für das erste Flashen aus dem Original-Webinterface und eine Datei <Routername>-webflash.bin um von älteren auf neuere DD-WRT-Versionen zu aktualisieren. Rufen Sie nun das Webinterface des Routers im Browser auf und steuern Sie die Seite zum Firmware-Upgrade an. Hier laden Sie die eben heruntergeladene OpenWRT- oder DD-WRT-Firmware hoch.
Sollte das Interface über eine Option verfügen, um nach dem Upgrade alle Einstellungen zurückzusetzen, aktivieren Sie diese Option, es kann sonst vorkommen, dass gleichnamige Variablen im NVRAM (einem nicht-volatilen Variablenspeicher) den reibungslosen Betrieb verhindern. Nach Upgrade und Neustart dürfte der DSL-Router in den meisten Fällen nicht erreichbar sein. Das liegt daran, dass sowohl OpenWRT als auch DD-WRT als Standard-Netzwerkeinstellungen des Routers die IP-Adresse 192.168.1.1 mit Maske 255.255.255.0 verwenden - die statischen IP-Einstellungen des zur Konfiguration verwendeten PCs müssen also erneut angepasst werden. Erst wenn die finale IP-Adresse des DSL-Routers gesetzt und der DHCP-Server aktiviert ist, kann der Windows-PC wieder auf automatische Adressvergabe umgestellt werden.
Fazit
Es klingt ein wenig wie ein Traum, aus 50-Euro-Routerhardware die Features dreimal so teurer Geräte heraus zu kitzeln - einzig durch die Installation freier Software. In der Realität funktionieren die typischen Routerfunktionen, schnelles WLAN, VPN und die Verwendung als NAS, schnell und stabil - dank aktueller Firmware zudem sehr sicher.
Wer jedoch ausgetretene Pfade verlässt und beispielsweise den DVB-T-Videorekorder TVheadend auf USB installiert, sollte sich auf den einen oder anderen Bastelabend einlassen. Zu verlieren gibt es dabei nichts: Eine fehlgeschlagene Installation ist schnell vom Stick getilgt.
