20 Tipps zur sicheren Router-Konfiguration
Sichere WLAN-Verschlüsselung wählen
von Andreas Fischer - 21.03.2014
Aktivieren Sie im Router die sichere Verschlüsselung Ihres WLAN-Funknetzes mit WPA2.
10. WLAN mit WPA2 verschlüsseln
Unsicheres WEP: Tests in der com!-Redaktion zeigten, dass sich eine WEP-Verschlüsselung in nur sechs Sekunden knacken lässt.
Die Standards WEP und WPA gelten als nicht mehr sicher und sollten deshalb nicht mehr verwendet werden. Bei Tests in der com!-Redaktion wurden WEP-Passwörter teils in nur sechs Sekunden geknackt. WPA2 basiert dagegen auf dem Advanced Encryption Standard (AES). Er gilt bislang als unknackbar.
WPA2 lässt sich nur durch das Ausprobieren aller erdenklichen WLAN-Passwörter knacken. Man spricht von einem Brute-Force-Angriff, also einem Angriff mit roher Gewalt durch kontinuierliches Durchtesten aller möglichen Passwortkombinationen. Das macht deutlich, wie wichtig es auch bei WPA2 ist, ein mindestens zehn Zeichen langes Passwort zu wählen, das am besten nicht in einem Wörterbuch steht.
In der Konfiguration des Routers und der Endgeräte lässt sich bei WPA2 zwischen den Verschlüsselungsprotokollen TKIP, das steht für Temporary Key Integrity Protocol, und CCMP – Counter-Mode/CBC-MAC Protocol – wählen. Wenn alle Geräte CCMP unterstützen, dann sollten Sie dieses Verschlüsselungsprotokoll wählen, andernfalls wählen Sie TKIP.
Wenn Ihnen Ihr Router die Wahl zwischen „WPA-Personal“ und „WPA-Enterprise“ bietet, nehmen Sie Ersteres. „WPA-Enterprise“ ist für größere WLANs mit zentraler Nutzerverwaltung gedacht.
11. Wie sicher ist WPS?
Risiko WPS: Manche Easybox-Router von Vodafone enthielten eine Sicherheitslücke, dank der sich Angreifer per WPS in das WLAN einschleichen konnten.
Bei der Tastenmethode aktivieren Sie WPS zunächst am Router. Das geht entweder über die Bedienoberfläche des Routers oder über eine Taste am Gerät. Wenn WPS aktiviert ist, dann haben Sie zwei Minuten Zeit, um ein neues Endgerät am Router anzumelden.
Dazu drücken Sie die WPS-Taste am Endgerät. Sind die zwei Minuten vorüber, akzeptiert der Router keine WPS-Endgeräte mehr. Alternativ legen Sie in den Einstellungen des Routers eine PIN fest, die Sie dann auf dem WPS-fähigen Endgerät eingeben, um dieses zum WLAN hinzuzufügen.
Beide Methoden bieten zwar mehr Komfort, sind aber auch weniger sicher als das klassische Einbinden eines WLAN-Endgeräts per Eingabe eines vernünftig gewählten WPA2-Schlüssels. In Easybox-Routern der Baureihen 600 bis 602 und 800 bis 803 von Vodafone wurde sogar eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht hat, die WPS-PIN auszulesen.
Die Angreifer haben dadurch unerlaubt Zugriff auf betroffene Funknetze erhalten. Weitere Informationen stellt Vodafone unter der Adresse http://blog.vodafone.de/2013/easybox-sicherheitsluecke bereit. Betroffene Anwender sollten automatisch einen Patch erhalten haben. Außerdem rät ihnen Vodafone, sowohl die WPS-PIN als auch das WLAN-Passwort zu ändern.