Viele WLAN-Router von Haus aus unsicher

Vor einigen Monaten las ich auf golem.de davon, dass T-Online und Vodafone Router ab Werk unsicher seien. Anhand der SSID, also des WLAN-Namens waren recht einfach Werte aus Standardpasswort oder/und MAC-Adresse erkennbar. Zwar nicht vollständig, aber immerhin gut 50%. Mit der MAC-Adresse wird der Router als eindeutiges Gerät im Netzwerk deklariert. Nun ist mir aufgefallen, dass nicht nur die Router-Typen Speedport von T-Online und Easybox von Vodafone betroffen sind, sondern unter anderem auch TP-Link Router. Diese geben mit den letzten sechs Zeichen die letzten Zeichen der MAC-Adresse des Routers an.

TP-Link Router Menu
TP-Link Router Menu

Wählt man dazu ein unsicheres Passwort und setzt die Einstellungen falsch, macht man es einem Angreifer von außen sehr leicht, in das eigene Netzwerk einzudringen. Dabei ist es ganz einfach die SSID und das Passwort zu ändern. Jeder Router lässt sich über eine IP via Browser ansteuern (meist 192.168.1.1 oder in der Bedienungsanleitung schauen). Im Router Menu angekommen, sucht man nun nach der SSID-Kennung und ändert diese am besten individuell ab. Hier einige Vorschläge zur Anregung:

  • WLAN_nomap (um auf Googles WLAN Landkarte nicht zu erscheinen)
  • TP-LINK_64F1E15 (die letzten Zeichen einfach beliebig ersetzen)
  • N3TW0RK (ein wenig hack0r Slang)

Bei der Wahl des Namens sind keine Grenzen gesetzt, solange die SSID keine Hinweise auf Persönlichkeit, MAC-Adresse und Passwort enthält. Danach ändert man das Passwort. Die Standardverschlüsselung sollte hier WPA2-PSK sein. Nun ein sicheres Passwort wählen, welches mindestens 16 Zeichen beinhaltet. Darunter sollten Klein- und Großbuchstaben und Zahlen sein. Wer einen Passwortmanager sein Eigen nennt, der kann auch ruhig solche Gebilde nutzen:

JRI2jG86uhDz6avkgaoikjtHPRtrBq39RCOJtwNcIv0Rq6w1jx16MZr6FuDfWzy

Das erhöht die Sicherheit schon stark. Nun muss man den Router noch richtig konfigurieren. Die Einstellungen können je nach Router unterschiedlich sein. Grundlegend ist aber anzuraten, dass eine kontrollierte Rechtekontrolle erfolgt. Sprich, dass beispielsweise bestimmte MAC-Adressen nur auf das Administrationspanel des Routers zugreifen können, das die interne IP an die MAC-Adresse gekoppelt wird (IP & MAC-Binding). Die Firewall des Routers sollte, falls vorhanden, unbedingt aktiviert werden und alle sonstigen Sicherheitsmechanismen, die angeboten werden.

Update Wie ich gestern erfahren habe, kann man mit den letzten 6 Zeichen in der Standard SSID die komplette MAC-Adresse herausbekommen. Da die ersten 6 Zeichen herstellerspezifisch sind. Diese kann man sich einfach googeln, wie zum Beispiel hier. Daher wäre die MAC-Adresse komplett bekannt. Zusätzlich sollten auch die Standard IP-Adressen geändert werden.


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

0 Kommentare

Du kannst diesen Artikel nicht mehr kommentieren.