Security-Checkliste für WLAN-Router So machen Sie Ihr Heimnetz sicher

Auch wenn das WLAN schon läuft, bleiben ein paar Dinge zu tun, um Router und Netzwerk ­optimal abzusichern. Die WLAN-Ver­schlüs­selung verlangt dabei besondere Aufmerksamkeit.
Von "c't"-Redakteur Dusan Zivadinovic
Gilt auch für WLAN-Router: Ein sicheres Passwort ist der beste Schutz

Gilt auch für WLAN-Router: Ein sicheres Passwort ist der beste Schutz

Foto: Andreas Martini / c’t

Webinterface abdichten

Fast jeder moderne Router bringt einen Assistenten mit, der einige der wichtigsten Einstellungen abfragt und in einem Rutsch konfiguriert. Je nach Hersteller lassen die Assistenten aber unterschiedliche Lücken. Stellen Sie zunächst sicher, dass das ab Werk eingestellte Konfigurationspasswort geändert wurde. Üblicherweise bringen es die Hersteller mitsamt der WLAN-Einstellungen am Gehäuseboden an, wo es Unbefugte leicht abfotografieren können.

Doch wer die Zugangsdaten zu Ihrem Router kennt, kann nach Belieben schalten und walten - WLAN-Passwort und VPN-­Zugang missbrauchen, Internet-Zugangsbeschränkungen manipulieren und dergleichen mehr.

Aktivieren Sie nach Möglichkeit das automatische Firmware-Update. So nutzt der Router auch dann die neueste Firmware, wenn Sie mal für längere Zeit verreist sind.

WLAN-Vorkehrungen

Aktivieren Sie wenn möglich den Schutz für Steuerpakete (PMF). Ändern Sie dann den Funknetznamen sowie den Schlüssel Ihres WLANs (WLAN-Passwort). Das empfiehlt sich auch dann, wenn der Hersteller seine Geräte mit individuellen Einstellungen ausliefert, denn diese sind meistens auf dem Router angebracht, sodass sie jeder auslesen und missbrauchen kann, der physischen Zugang zum Router hat - beispielsweise weinselige Partybesucher.

Wenn das  veraltete WPA2 eingeschaltet bleiben muss, gilt für die Sicherheit des WLAN-Passworts: Länge ist wichtiger als irgendwelche Sonderzeichenregeln.

Wenn das  veraltete WPA2 eingeschaltet bleiben muss, gilt für die Sicherheit des WLAN-Passworts: Länge ist wichtiger als irgendwelche Sonderzeichenregeln.

Foto: c't

Bei WLAN-Routern, die nur das veraltete WPA2 verwenden, lässt sich die Verschlüsselung per Brute-Force-Attacke knacken. Dafür zeichnen Angreifer den WLAN-Verkehr eine Weile lang auf und nehmen die Daten dann zu einem PC mit viel Rechenleistung mit. Ob das Knacken dann schnell gelingt oder nach Tagen wegen Aussichtslosigkeit abgebrochen wird, hängt von der Länge Ihres WLAN-Passworts ab. Nutzen Sie 20 bis 30 Zeichen, wenn Sie in Ihrem WLAN WPA2 wegen älterer Geräte verwenden müssen. Falls alle Ihre Geräte schon WPA3 beherrschen, schalten Sie WPA2 ab, sofern Ihr Router das ermöglicht.

Gastnetz einsetzen

Trennen Sie Ihre vertrauenswürdigen Geräte von denen, die Besucher mitbringen, und auch von Smart-Home- und IoT-Geräten, indem Sie diesen Gruppen das Gast-WLAN zuweisen. Setzen Sie auch  für das Gastnetz ein langes WPA2-Passwort, und ändern Sie es ab und zu, weil manche Besucher dazu neigen, WLAN-Passwörter weiterzugeben.

Schränken Sie das Gast-WLAN auf bestimmte Dienste ein, beispielsweise Surfen und Mailen, um Ärger wegen unerwünschtem Filesharing vorzubeugen.

Nicht ohne TLS

Falls Sie einen aus dem Internet erreichbaren Server betreiben, stellen Sie sicher, dass er nur über TLS-verschlüsselte Protokolle kommuniziert. Weil bei manchen Routern auch deren Webinterface aus dem Internet erreichbar ist, sollte der zugehörige Verkehr ebenfalls verschlüsselt werden (HTTPS). Falls ausschließlich Sie auf den Server von außen zugreifen, dann nutzen Sie besser eine verschlüsselte VPN-Verbindung ins Heimnetz. Als VPN-Server eignen sich viele Router.

WPS nur bedarfsweise

Die WPS-Funktion erleichtert das Koppeln neuer WLAN-Clients enorm, weil man dafür nur die zugehörigen Tasten am Router und Client drücken muss. Schalten Sie diese Funktion aber immer nur bei Bedarf ein. Andernfalls können sich Dritte ohne Ihr Wissen Zugang zu Ihrem Netz verschaffen, wenn sie physischen Zugriff zum Router erhalten.

Manche Hersteller nutzen die UPnP-­Funktion, um mittels ihrer Geräte eine Port-Weiterleitung von innen automatisch einzurichten. Das spart zwar Zeit, aber wenn die UPnP-Funktion dauerhaft aktiviert ist, kann auch eingeschleppte Malware UPnP nutzen, um Löcher in die Firewall Ihres Routers zu bohren. Deaktivieren Sie diese Funktion nach Möglichkeit oder beschränken Sie sie auf einzelne Hosts, falls Ihr Router das ermöglicht.

Wenn alle Schritte erledigt sind, exportieren Sie die Router-Konfiguration, damit Sie bei einem Router-Ausfall ohne Neueinrichtung mit einem Ersatzgerät fortfahren können.

Die Wiedergabe wurde unterbrochen.