Categories
Virtual Log

6 Schritte, um einen WLAN-Router sicherer zu machen

Ich habe kürzlich im Zuge eines Modemtausches von UPC einen neuen Technicolor TC7200.U WLAN-Router/Gateway bekommen. Jetzt stellt sich die Frage, wie das gute Stück sicher konfigurieren?

Fotocredit: Virtual Net

UPC Technicolor TC7200.U WLAN Router Wireless Voice Gateway

Mein neuer UPC Technicolor TC7200.U Wireless Voice Gateway.

Sind dir WLAN-Router und drahtlose Netze auch nicht ganz geheuer, wenn es um die Sicherheit geht? Vielen wird wohl noch das Desaster um WEP (Wired Equivalent Privacy) in Erinnerung sein, ein WiFi-Verschlüsselungs-Standard, der die Bezeichnung nicht verdient und bereits in Sekunden gehackt werden kann, da das grundlegende Design von WEP bereits fehlerhaft war (Related Key Attack, Traffic-Keys und 40-bit WEP-Keys zu klein, RC4-Verschlüsselung ungeeignet).

Nicht zu verwechseln ist WEP mit WPA (Wi-Fi Protected Access), dem Nachfolger von WEP bzw. WPA2, der derzeitige WLAN-Verschlüsselungs-Standard von 2004, der noch als relativ sicher gilt, wenn man einige Dinge beachtet, die ich im Folgenden zusammengefasst habe.

Am sichersten wäre natürlich WLAN komplett zu deaktivieren, aber wer will schon auf den Komfort von kabellosem Internet verzichten? Daher empfehle ich folgende Schritte zu beachten:

1. Default-Passwort des Router/Gateway ändern

Der erste Schritt ist, die Konfiguration des Routers abzusichern und das Default-Passwort (in meinem Fall admin/admin) zu ändern. Die meisten Router verfügen über ein Web-Interface, das man im Browser über die Adresse des Routers "192.168.0.1" (unverschlüsselt!) abrufen kann.

UPC Technicolor TC7200.U Web Interface Login

Screenshot des UPC Technicolor TC7200.U Web Interface.

Alle relevanten Einstellungen werden im Folgenden über das Web-Interface vorgenommen.

Ändert man das Passwort nicht, kann jeder, der Zugriff auf das interne Netz hat (zum Beispiel über WLAN), den Router manipulieren und auch sämtliche Security-Einstellungen außer Kraft setzen.

Zu beachten ist auch generell, ein sicheres Passwort zu verwenden.

Unsichere Passwörter

4711
mickymaus
LameDuck1

Sichere Passwörter

7mBISNJS9PWv
KDzgbarKCF1Lo
r4EXTa2EBISNJS

2. WLAN-Security auf WPA2 und AES einstellen

Der nächste Schritt ist, die WPA2-Verschlüsselung zu aktivieren. Um die Angriffsfläche so gering wie möglich zu halten, deaktivieren wir den Legacy-Support für WPA und TKIP und akzeptieren nur noch WPA2/AES-Verbindungen.

UPC Technicolor TC7200.U Web Interface Wireless (WLAN) Security Einstellungen

Zu beachten ist, dass das UPC-Gateway zwei Frequenzbänder (2.4 GHZ und 5 GHZ) unterstützt und die Einstellungen für das 5 GHZ-Modul separat vorzunehmen sind. In meinem Fall habe ich derzeit das 5 GHZ-Band deaktiviert, da es noch nicht alle Geräte unterstützen.

3. Sicheres WPA2-PSK Passwort wählen

Die Sicherheit von WPA2 steht und fällt mit dem geheimen WPA2-Passwort (Pre-shared Key). Wer den Key kennt oder herausfindet, hat Zugang zum WLAN. Punkt. Daher ist es besonders wichtig, ein sicheres WPA2-Passwort zu wählen und damit sorgsam umzugehen.

Unsichere WLAN-Passwörter

12345678
meinwlan
AngelinaJolie

Sicheres WLAN-Passwort (Beispiel)

quV0e0QGVrtPLphm6FgJX98fabN8dxEr

WPA2-Keys können bis zu 63 Zeichen lang sein und sind case-sensitive. Da die meisten Geräte den Schlüssel speichern, empfehle ich ein langes Passwort (ab 20 Zeichen) zu wählen. Ich weiß es ist mühsam, aber man braucht es zum Glück pro Gerät nur einmal eingeben.

Natürlich empfiehlt es sich auch, das Passwort ab und zu zu ändern.

4. SSID ändern

Da WPA2 neben dem geheimen Passwort (PSK) auch den Netzwerknamen (SSID) für die Generierung eines internen Schlüssels (Pairwise Master Key) heranzieht, empfiehlt es sich, einen eigenen Netzwerknamen für das WLAN-Netz zu definieren.

Was hingegen wenig bringt, ist das Netzwerk zu verstecken und den SSID-Broadcast zu deaktivieren. Hacker können den SSID trotzdem herausfinden. Ebenfalls keine zusätzliche Sicherheit bekommt man, indem man MAC-Adressen einzeln zulässt bzw. blockt, da diese Adressen leicht gespooft werden können. Der Aufwand ist es einfach nicht wert.

5. WPS deaktivieren

Wi-Fi Protected Setup (WPS) ist ein Standard, um Endgeräte einfacher in das WLAN-Netz aufzunehmen (durch das Drücken eines Knopfes oder der Eingabe einer PIN). Allerdings gilt WPS als unsicher und man sollte es daher deaktivieren.

UPC Technicolor TC7200.U Web Interface Wireless WPS Setup

6. Internet-(Un)Sicherheit nicht vergessen

Wir haben jetzt das eigene WLAN mit WPA2/AES und einem sicheren Passwort sicher konfiguriert, um es vor Abhörangriffen und Fremdzugriffen zu schützen. Das Internet bleibt aber natürlich ein unsicheres Medium, sobald die Daten das eigene Gateway verlassen. Eine weitere Verschlüsselung des Datenverkehrs (zum Beispiel mit ssh, https oder vpn) für sensible Daten ist daher ratsam.

Wie sicher WPA2 wirklich ist, wird sich in Zukunft zeigen. Möglich wäre, dass es noch weitere bis jetzt unentdeckte Sicherheitslücken gibt. Andererseits ist die Technolgie auch schon wieder fast 10 Jahre alt und hat sich bis jetzt bewährt.

Weitere Ressourcen

15.05.2013 Virtual Net

Kommentare

Martin
Eintragungsdatum: 23.05.2013 15:42:03
Hallo,

ich habe das selbe Gerät und habe noch etwas zu Diskutieren/Ergänzen.

@4
wie soll der Hacker, der MACs spoofen will, wissen, welche Adressen zugelassen sind oder nicht? Wird dann jede Kombination gespoofed und getestet? Dauert das nicht ewig und drei Tage?

Ich rate trotzdem zum "verstecken" der SSID. Einen echten Hacker hält es vielleicht nicht auf, aber 90% der gelangweilten kiddies, die nichts besseres zu tun haben.
Ich hab bei meiner Wohnung geschaut, ich empfange gerade mal 2 weitere Netzwerke. Mein WLAN Netzwerk reicht kaum vor die Haustür (bin im Erdgeschoss). Die Chancen dass der Opa von neben an SSIDs scanned, die richtige Mac-Adresse spoofed, den WPA2 Schlüssel knackt und mein Router/Modem Passwort herausfindet sind 0,00000001%. Und auch wenn er das alles schafft, was hat er davon? Er kann meinen Internet Traffic abhören, als ob der Internetprovider und die DNS Server das nicht schon mitverfolgen würden... Auf meinen PC muss er ja auch mal kommen: also muss er entweder mein Windowspasswort bruteforcen oder eine Sicherheitslücke in Windows oder anderen Programmen ausnutzen, wobei zweiteres einfacher ist, wenn man eine 1 Stundensperre auf 5 fehlgeschlagene Logins setzt.

@5
WPS wurde duch ein kurzes Python/Perl (weiß nicht mehr genau welche Sprache) Script von einem Studenten gehackt, weil es maximal 11000 Versuche braucht, das Passwort zu erraten. (8 Stelliges Dezimal Passwort, bei ersten 4 Stellen gibt es einen Fehlercode zurück (10^4), letzte Stelle ist Prüfziffer, die drei Stellen dazwischen sind auch nur 10^3).
Die meisten Geräte-Hersteller haben eine automatische Ausschaltung eingebaut (z.B.: nach 2 Minuten). Sollte ihr WPS benötigt, dann schaltet es nur für einen kurzen Moment ein, lasst das Gerät sich über WPS anmelden und dreht es wieder ab.


Ich kann jedem empfehlen, die Punkte vom Blog zu befolgen, um es 99% der Hacker (Scriptkiddys, wanna-be's) zu erschweren. Wenn es dem Hacker schwierig gemacht wird und er dafür zu viel Aufwand betreiben muss, sucht er sich sowieso ein anderes Ziel, außer er hat was persönlich gegen euch.

LG, Martin
Eintragungsdatum: 24.05.2013 00:22:27
Hallo Martin,

Danke fürs Feedback,

@4
Das Problem ist, sobald ein zugelassenes Gerät im WLAN ist, sendet es seine MAC-Adresse unverschlüsselt (!) im WLAN-Frame-Header mit und man kann diese dann ganz einfach spoofen.

Ähnlich verhält sich die Situation bei den versteckten SSIDs. Die SSID wird zwar nicht im Beacon-Frame gebroadcastet, aber an anderer Stelle (zum Beispiel im Association-Frame, wenn sich ein Gerät beim WLAN anmeldet) taucht sie wieder unverschlüsselt (!) auf. Daher kann diese mit den entsprechenden Tools auch leicht ausgelesen werden.

Die beiden Methoden fallen daher unter das Prinzip "Security by Obscurity" und bringen in diesem Fall leider nicht besonders viel.

Was hat ein Hacker davon? Zugang zu deinem internen Netz. Er kann dann deinen Traffic direkt abhören, Passwörter sniffen, vielleicht noch andere Sicherheitslücken bei dir ausnutzen und unter deiner Adresse im Internet surfen, Spam verschicken oder deine Verbindung für andere "pöse" Dinge missbrauchen. Gut, vielleicht ist das übertrieben, aber es schadet auch nicht, das WLAN abzusichern.

lg Viktor
kann nicht konfigurieren
Eintragungsdatum: 24.07.2013 22:06:13
hallo ich habe jetzt auch so ein ruter kann aber nicht auf im zugreifen, ich habe die zugangs daten nicht bekommen

was soll ich tun
Eintragungsdatum: 25.07.2013 17:43:18
Zugangsdaten zum Router hängen vom Router-Modell ab. Für den Technicolor TC7200U findest du die Anleitung im Artikel.
Bensberg
Eintragungsdatum: 08.08.2013 20:47:06
Ich hab mich an die obige "Bedienungsanleitung" gehalten und alles gespeichert. Aber der Router funktioniert nicht im 5 Ghz-Bereich. Wenn ich auf das Programm zurück will um meine Einstellungen zu kontrollieren, wird immer "Ein Anwender ist bereits eingeloggt..." angezeigt, da ich mich nicht ordnungsgemäß ausgeloggt habe.

Wie komme ich jetzt wieder in das Programm????
Eintragungsdatum: 09.08.2013 16:49:37
@Bensberg: 5-GHZ-WLan hab ich leider noch nicht ausprobiert. Hab das Problem auch gehabt, dass ich mich nicht mehr einloggen konnte. Ich glaube, es gibt ein Time-Out, nachdem es wieder geht oder man muss den Router einfach neu starten.
sarah nikolin
Eintragungsdatum: 10.08.2013 02:27:35
hallo ich karn mich nicht ein lorgen wies nicht warum das nicht geht ?
Germany
Eintragungsdatum: 13.08.2013 10:24:12
https://www.kabelbw.de/kabelbw/cms/downloads/kabel-bw-installationsanleitung-technicolor-tc7200-kurz.pdf

https://www.kabelbw.de/kabelbw/cms/downloads/kabel-bw-installationsanleitung-technicolor-tc7200-lang.pdf
reiniii
Eintragungsdatum: 16.08.2013 14:16:35
Hallo
wie kann ich bei diesem Modem Ports weiter leiten

danke
lg
reinhard
Rudi
Eintragungsdatum: 16.09.2013 17:36:04
Hallo, wie kann ich den Namen im wireless-netz ändern. Habe aus Versehen meine SSID reingeschrieben und so taucht es im Netz auf! Ich weiss! Mist gemacht! Habe leider einen TC 7200 Router.
haunz
Eintragungsdatum: 22.09.2013 23:04:11
Fortgeschritten (Advanced) -> Firewall

Wie schauen bei euch die Firewalleinstellungen aus? Was sollte man unter -> "Fortgeschritten (Advanced)" -> "Firewall" aktivieren um besser geschützt zu sein?

Danke!

LG,
Haunz
vladik
Eintragungsdatum: 23.09.2013 17:48:27
hallo ich habe eine frage habe die anleitung gelesen komme aber nicht weiter der rooter läst mich nicht rein. ich habe das tc7200u
Eintragungsdatum: 03.10.2013 16:29:46
Hallo,

habe den Router von UPC bekommen. Warum ist die USB Funktion deaktiviert? Kann man diese aktivieren...oder hat UPC eine eigene, modifizierte Firmware? Gibts sowas wie einen unbranded clean restore?

Vielen Dank im Voraus und Liebe Grüße,
Flo
moerry
Eintragungsdatum: 09.10.2013 20:24:26
Servus, Freundin hat seit gestern die 2 Play 100 MBIT Leitung von KabelBW mit genau diesem TC 7200 Router, ich bin am Einrichten und soweit funktioniert auch alles bis auf den Punkt das wenn ich im RouterMenu auf [ Wireless] gehe um das WLAN einzurichten mich mein Browser sagt " Seite konnte nicht gefunden werden." Alle anderen Funktionen (Bereiche) im Router kann ich ohne Probleme erreichen.

Kennt jemand diese Problematik? Egal ob Firefox oder IE 10 die Wirelessfunktion lässt sich nicht erreichen :(

Würde mich sehr über eine Antwort freuen.
G.Nik
Eintragungsdatum: 13.10.2013 12:03:36
Ich habe auch eine Technicolor TC7200 von unitymedia.
Habe versucht mit zwei neue Blurayplayer per wlan ins Internet zu kommen.
Vergeblich !! Verbindung zu Reuter steht, aber Internet Verbindung klappt nicht. Bitte um Hilfe.
LG: Nik
BruderC
Eintragungsdatum: 25.10.2013 23:19:39
Woher bekomme ich meinen Benutzernamen und Passwort heraus. Ich kann mich nicht anmelden. ;-(
Weder Kundennummer, noch E-Mail Adresse bringen mich weiter.
Weiß jemand woher man die Log in Daten bekommt, um sich beim Router einzuloggen und anschließend, die Passwörter und den Namen zu ändern?


Vielen Dank schon einmal.
Rene
Eintragungsdatum: 08.12.2013 18:34:05
Hallo,

der Drecksrouter TC7200 macht mich wahnsinnig, diverese uploads (zb Fotobuch) oder onlinespiele portals (steam, uplay) werden immer geblockt ! Wie kann ich das ausschalten ? Ich kann doch nicht für jede seite ports öffen!?!?

DAnke
VG
Erik
Eintragungsdatum: 05.01.2014 21:03:59
Hey, ich habe keine Probleme bis auf die konfguration wie im Schritt 1 beschrieben. Statt in meine Einstellungen des Routers zu gelangen, bin ich in den Einstellungen eines Nachbarn und könnte bei ihm alles ändern. Ich will aber meinen Router konfigurieren. Wieso geht das nicht?
Kevin.
Eintragungsdatum: 19.02.2014 21:40:45
Hey, ich möchte eig. nur wissen wie ich auf der log-in seite komme...
Dan
Eintragungsdatum: 11.03.2014 21:47:22
Hallo Kevin

Tippe einfach mal 192.168.0.1 bei Deinem Webbrowser in der Befehlszeile ein - et voila!
murat
Eintragungsdatum: 14.05.2014 18:38:54
hi,,,gleiche modem aber kann netzwerkschlüssel genannt passwort nicht wechseln,,,das gerät akzeptiert es nicht,,,kann mir jemand helfen,,,,bitte
hartmut
Eintragungsdatum: 04.12.2014 17:19:46
Hi, ich habe dasselbe Problem wie moerry vom 9.10.2013.
Es funktioniert alles bis auf den Punkt, dass wenn ich im RouterMenu auf [ Wireless] gehe um das WLAN einzurichten mein Browser sagt " Seite konnte nicht gefunden werden." Alle anderen Funktionen (Bereiche) im Router kann ich ohne Probleme erreichen.
Gibt es dafür jetzt eine Lösung?
Anita
Eintragungsdatum: 06.12.2014 20:39:35
Hatte das Problem auch mal, habe dann bei unitymedia angerufen. Die hatten das WLAN nicht freigeschaltet.
rs
Eintragungsdatum: 31.12.2014 12:43:58
Hallo,

"Am sichersten wäre natürlich WLAN komplett zu deaktivieren"

Genau das habe ich gemacht!

TC7200.U WLAN komplett deaktiviert!

Einen zweiten Router (meiner ist ein WD Router) an den TC7200.U angeschlossen und diesen für Wlan aktiviert, verschlüsselt und eingestellt. Dadurch erhält man eine höhere Sicherheit.
Eintragungsdatum: 18.11.2015 13:41:28
bei mir geht nicht das wlan bitte ein schalten
Sonar
Eintragungsdatum: 10.12.2015 20:45:04
Mir scheint der Router kann nicht mit einer bonding Kombination zurecht kommen
Oder upc hat einen Filter der nicht auf dem privaten Login zu konfigurieren ist.

Erste bonding conf ... Drei Ethernet Karten .... Funkt
Zweite bonding conf .... Ein WLAN Adapter und eine Ethernet Karte ... Funkt nicht ...
Dh vom Internet erreichbar durch Port forwarding und bekommt eine lan ip

Aber der Browser auf der box sagt Google gibt's nicht!!!!!

Eindeutig ein Filter vom Provider ... Affen Bande der dümmsten Art die Techniker

Kommentieren

Name
E-Mail (wird nicht veröffentlicht)
Homepage (optional)