Sicherheit im Netzwerk - Routerkonfiguration

Status
Für weitere Antworten geschlossen.

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Ich würde gerne einmal sammeln, was man hinsichtlich seines (WLAN-) Routers sicherheitsmäßig so alles tun kann und auch tun sollte.

Als Beispiel sollte ein Szenario gelten, wo man mit seinem Router ins Internet geht und eine IP-Adresse alle 24 Stunden zugeteilt bekommt. Desweiteren gibt es einen DDNS-Domainnamen irgendwo für die IP-Adresses des Routers. Und ja, last but not least, der Router kann auch WLAN und ein Windows-PC, ein Mac, ein Android-Handy, ein iPad und ein IP-fähiger Mediaclient sind auch zu versorgen ...

Mir fällt als erstes ein, dass man das Kennwort des Routers (Routerverwaltung) ändern und den Zugriff vom Internet aus auf den Router unterbinden sollte.

Jetzt seid ihr dran ...

Itari
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Bei WLAN Routern auf WPA2 AES umstellen
 

effmue

Benutzer
Mitglied seit
23. Feb 2010
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Guude,

-wenn schon WLAN, dann per WPA2 verschlüsselt (ok....bereits gesagt)
-wenn machbar, ggf. Zugangs-Filterung auf MAC-Adressebene (WLAN/LAN) zusätzlich aktivieren und ungenutzte LAN-Ports deaktivieren.
-wenn, keine direkten ständigen Portfreigaben für ungesicherte Ports oder gar ganze Portranges.
-je nach Routerhersteller: wenn Fernwartungsmöglichkeit per dyndns o.ä., dann mit ausreichend gesicherter Kombination aus Useraccount und starkem Passwort und falls möglich mit eingestellter abweichender Portadresse.
-je nach Routerhersteller:wenn UPnP fähig, dann unterbinden, dass darüber sicherheitsrelevante Einstellungen, wie z.B. u.a. Portfreigaben durch Programme direkt eingestellt werden
-je nach Routerhersteller: neueste Firmware des Routers nutzen
 
Zuletzt bearbeitet:

CaptainKrunch

Benutzer
Mitglied seit
08. Jan 2012
Beiträge
226
Punkte für Reaktionen
0
Punkte
0
Aus aktuellem Anlass:sofern möglich, WPS am Router deaktivieren.
 

Binomico

Benutzer
Mitglied seit
01. Jun 2010
Beiträge
573
Punkte für Reaktionen
0
Punkte
0
Moinsen!

Also ich geh normal wie folgt vor (einzelne Punkte wurden bereits genannt):

1. Anmeldekennung für Router-ACP ändern (Anmeldename, falls möglich, von admin/administrator auf "irgendetwas" und das Standardpasswort in ein sicheres Passwort)
2. Router-Firewall aktivieren, falls nicht standardmäßig schon aktiv
3. WLAN-Einstellungen:
-- WLAN-Kennung SSID abschalten
-- bestmögliche Verschlüsselung aktivieren
-- sicheres Passwort vergeben
-- DHCP deaktivieren
---- allen Clients feste IP-Adressen vergeben
4. Portfreigaben auf ein absolutes Minimum beschränken
5. "Erlaube UPnP-Änderungen", falls vorhanden, deaktivieren
6. Falschanmeldungen im ACP, falls möglich, auf 5 beschränken (Zeitsperre aktivieren)
7. Clientanzahl auf tatsächlich vorhandene beschränken / evtl. MAC-Filter aktivieren

Gibt sicher noch mehr ...

Cheers
 

CaptainKrunch

Benutzer
Mitglied seit
08. Jan 2012
Beiträge
226
Punkte für Reaktionen
0
Punkte
0
Noch so'n Gedanke, immerhin dürften hier alle Beteiligten eine Synology-Kiste rumstehen haben: RADIUS-Server darauf einrichten, und Anmeldung am WLAN nur noch per WPA2 Enterprise (zertifikatsbasiert) zulassen. Ist halt für ca. 95% der Fälle mit Kanonen auf Spatzen geschossen. Sicherlich aber interessant z.B. für Arztpraxen oder kleinere Firmen.
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
... weil das schon mal diskutiert wurde, möchte ich anmerken:

- WLAN-SSID abschalten, scheint die Sicherheit nicht zu erhöhen
- MAC-Filterung scheint die Sicherheit nicht zu erhöhen

und Fragen:

- kann man DHCP für WLAN deaktivieren, aber gleichzeitig fürs Kabel-LAN aktiviert haben? Kennt jemand einen solchen Router?
- welche Router-Logfile-Auswertungen macht ihr so? Wo fängt bei euch der 'rote'-Bereich an?

Itari
 

Binomico

Benutzer
Mitglied seit
01. Jun 2010
Beiträge
573
Punkte für Reaktionen
0
Punkte
0
... weil das schon mal diskutiert wurde, möchte ich anmerken:

- WLAN-SSID abschalten, scheint die Sicherheit nicht zu erhöhen
- MAC-Filterung scheint die Sicherheit nicht zu erhöhen
... jau, nur rudimentär, so gesehen ist das alpha und omega eine gute Verschlüsselung und ein starkes Passwort, ansonsten kommst du mit aircr*** und kis*** überall rein ;-)

- kann man DHCP für WLAN deaktivieren, aber gleichzeitig fürs Kabel-LAN aktiviert haben? Kennt jemand einen solchen Router?
Mir ist keiner Bekannt.
- welche Router-Logfile-Auswertungen macht ihr so? Wo fängt bei euch der 'rote'-Bereich an?
Fgw. gar keine.

Grüße
 

Struppix

Benutzer
Mitglied seit
10. Apr 2009
Beiträge
845
Punkte für Reaktionen
152
Punkte
63
... MAC-Filterung scheint die Sicherheit nicht zu erhöhen ...

Sehe ich ehrlich gesagt nicht so.

Weiterhin würde ich die "Administration per WLAN" deaktivieren :)

Struppix
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

thedude

Benutzer
Mitglied seit
30. Nov 2009
Beiträge
2.244
Punkte für Reaktionen
2
Punkte
84
es ist eben nur eine Scheinsicherheit, weil sich die MAC Adresse eines via WLAN verbundenen Client recht schnell ermitteln und faken lässt

Zudem geht mit beiden Funktionen (SSID nicht senden und MAC Filter aktivieren) ein Komfortverlust daher der von der Scheinsicherheit nicht aufgewogen wird. Beide Funktionen sollten aus den Firmwares der Router gestrichen werden - denn sie bringen NICHTS. Dafür sollte WPA2 mit AES immer an sein. Per default. Das würde die WLAN Sicherheit mancherort ziemlich weit nach vorne bringen.

Und da Itari nach Sicherheit gefragt hat, würde ich beide Funktionen auch nicht erwähnen.

gruss
dude
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
würde ich beide Funktionen auch nicht erwähnen.

die Diskussion darüber ist wichtig, deswegen ja auch der Thread ...

Ich komme noch einmal auf die Logfiles zu sprechen ... eure Erfahrungen ... oder sagt bloß, ihr schaut euch die Logfiles nicht an???

Itari
 

effmue

Benutzer
Mitglied seit
23. Feb 2010
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Guude,
[.....]... oder sagt bloß, ihr schaut euch die Logfiles nicht an???
...doch sicherlich, aber je nach Hersteller/Firmware ist deren direkte Aussagekraft doch recht interpretativ ;)
Denn eigentlich interessieren mich ja fehlgeschlagene WLAN-Anmeldeversuche allerlei verbindungshungriger Smartphones/Tablets nicht wirklich :cool:
Generell: In der Regel wird im SoHo-Segment weniger protokolliert, um den Endanwender nicht allzusehr ohne Grund zu verunsichern.
 

syntec

Benutzer
Mitglied seit
08. Apr 2009
Beiträge
120
Punkte für Reaktionen
0
Punkte
16
Wenn ich die Logfiles meiner Fritzbox noch nach Wichtigkeit sortieren könnte, dann würde ich vielleicht reinsehen.

So sehe ich aber immer nur, dass sich das Android Smartphone versucht hat anzumelden, abmeldet, Energiesparoptionen
aktiviert werden oder mal eine Anmeldung des Smartphones fehlschlägt - jede Menge unwichtiges Zeug also.

Achja, vielleicht noch ein Sicherheitsaspekt: Das WLAN nur dann laufen lassen wenn wirklich jemand es benötigt. Durch
die Kurzwahlfunktion kann man das WLAN der FBox sehr schnell per Telefon ein/ausschalten.
 

Capu

Benutzer
Mitglied seit
30. Mrz 2011
Beiträge
253
Punkte für Reaktionen
0
Punkte
0
...oder sagt bloß, ihr schaut euch die Logfiles nicht an???
Nicht wirklich... Warum auch?
Wie auch schon bei anderen Sicherheitsthemen gilt beim (WLAN-) Router: Immer schön die Kirche im Dorf lassen. Ein paar Tips hier sind sinnvoll, ander nicht.
Bevor man irgendwas in Betrieb nimmt, umstellt, oder neu konfiguriert, sollte man sich als erstes Gedanken machen, was man braucht und was man will.

- Router GUI Passwort unbedingt ändern! (Sicheres, ausreichend langes PW mit Zahlen und Sonderzeichen)
- Welche WLAN Verschlüsselung? WPA2!! Volle Schlüssellänge (64-bit), am besten durch eine Tool generieren lassen!!
- WPS sofern nicht mit der Push-Button-Methode deaktivieren!
- Konfiguration über UPnP abschalten!
- Muss ich eine Portweiterleitung haben? Nein? Gut, weglassen... - Ja? Nur die Ports freigeben die man wirklich benötigt.
- Brauche ich eine Firewall auf dem Router? Für was bei einem NAT Router? Kann aber oft eh nicht deaktiviert werden, von daher egal.
- Muss ich meinen Router auf von der WAN Seite (Internet) konfigurieren können? In 95% der Homeuser NEIN! Also abschalten!
- SSID abschalten? Warum? Pseudosicherheit!
- MAC Adressfilter? Pseudosicherheit! Es ist schneller eine MAC Adresse gefaked als ein WEP Schlüssel dekodiert (und das geht schnell!).
- WLAN abschalten wenn man es nicht benötigt? Warum? Man benötigt kein daueraktives WLAN im einen unsicheren Schlüssel entschlüsseln zu können.
- Ungenutzte Ports deaktivieren? Was soll das bringen?
- DHCP deaktivieren? Für was? Wenn man schon im Netz ist und Pakete mitlesen kann, kann ich mir auch ne passende IP besorgen.

Wie man sieht ist einiges übertrieben, einiges was oft als Tip angepriesen wird bringt keine Sicherheit und wieder anderes ist sinnvoll! Und wie überall gilt (und das ist in meinen Augen mit das Wichtigste): Man muss wissen was man tut!
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Und wie überall gilt (und das ist in meinen Augen mit das Wichtigste): Man muss wissen was man tut!

Deswegen diskutieren wir das ja hier auch, damit ein Wissens- und Erfahrungsaustausch stattfinden kann. Wo auf der Welt, wenn nicht in diesem Forum hier, würde man sonst in einfachen Worten die ganze Wahrheit erfahren können.

Itari

PS. Ich persönlich finde, dass man auch regelmäßig einen Blick auf sein Router-Logfile werfen sollte (auch auf eventuelle Statistiken) - ich finde das immer sehr spannend zu lesen, welche Geräte ich alle Netz habe (oder mal hatte) ... ist wie die Telefoneinzelabrechnung regelmäßig zu lesen. Vielleicht sollte man bei (billigen) Routern auch als Kaufargument die Qualtät der Logfiles mit einbeziehen ...
 

JoGi65

Benutzer
Mitglied seit
03. Dez 2011
Beiträge
643
Punkte für Reaktionen
4
Punkte
44
Frage zur MAC Adresse.
Wenn ich jetzt das Passwort der Verschlüsselung knake, brauche ich bei MAC Adresse ja noch eine Karte mit einstellbarer Adresse um ins Netz zu kommen, oder? Geht das bei jedem Rechner so einfach, oder über eine SW?
Das die beim Router zum einstellen ist wußte ich, aber beim PC? Sagt bloß, ich hab mir die Übung umsonst angetan.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
wenn es mich nicht täuscht brauchst nichtmal das PW zu knacken um MAC Adressen eines Netzwerks zu erhalten. Einfach genügend lange Pakete mitschneiden. MAC Adressen sind nicht verschlüsselt
 

Capu

Benutzer
Mitglied seit
30. Mrz 2011
Beiträge
253
Punkte für Reaktionen
0
Punkte
0
@JoGi
Bei Netzwerkkarten kannst das einfach in der Windows Registrierung ändern... Bei WLAN Karten geht es unter Windows nicht, aber bei Linux funktioniert das sowohl für Netzwerk- als auch für WLAN Karten... Wie gesagt, das ist sehr schnell gemacht!

@Itari
So war das nicht gemeint Itari. Wollte damit nur ausdrücken das es nichts bringt "mal eben" den Tip aus einer schlauen Computer Zeitung zu befolgen und die SSID zu verstecken, weil das angeblich Sicherheit bringt und sich dann beruhigt zurücklehnen. Oder an einer stelle was umstellen und dadurch an einer andere Stelle riesen Löcher reissen weil man den Zusammenhang nicht versteht... Wie z.B. Portweiterleitung & Firewall... Die 2 Konfigurationen können Kontraproduktiv sein!
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
So war das nicht gemeint Itari.

Wie war denn meine Bemerkung gemeint? Alle unsere Diskussionen und Anleitungen sollten so abgefasst sein, dass man sie nachvollziehen kann und dann weiß, was man tut. Und wenn sie irgendwo nicht so verstanden werden, dann sollten wir nachlegen und mit aller notwendigen Geduld erklären. Es gibt nichts, was man nicht verstehen kann. Dass es manchmal komplexe Geschichten gibt, ist uns allen klar ... aber da müssen wir halt ran.

Itari
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat