Ich habe kürzlich im Zuge eines Modemtausches von UPC einen neuen Technicolor TC7200.U WLAN-Router/Gateway bekommen. Jetzt stellt sich die Frage, wie das gute Stück sicher konfigurieren?
Fotocredit: Virtual Net
Mein neuer UPC Technicolor TC7200.U Wireless Voice Gateway.
Sind dir WLAN-Router und drahtlose Netze auch nicht ganz geheuer, wenn es um die Sicherheit geht? Vielen wird wohl noch das Desaster um WEP (Wired Equivalent Privacy) in Erinnerung sein, ein WiFi-Verschlüsselungs-Standard, der die Bezeichnung nicht verdient und bereits in Sekunden gehackt werden kann, da das grundlegende Design von WEP bereits fehlerhaft war (Related Key Attack, Traffic-Keys und 40-bit WEP-Keys zu klein, RC4-Verschlüsselung ungeeignet).
Nicht zu verwechseln ist WEP mit WPA (Wi-Fi Protected Access), dem Nachfolger von WEP bzw. WPA2, der derzeitige WLAN-Verschlüsselungs-Standard von 2004, der noch als relativ sicher gilt, wenn man einige Dinge beachtet, die ich im Folgenden zusammengefasst habe.
Am sichersten wäre natürlich WLAN komplett zu deaktivieren, aber wer will schon auf den Komfort von kabellosem Internet verzichten? Daher empfehle ich folgende Schritte zu beachten:
1. Default-Passwort des Router/Gateway ändern
Der erste Schritt ist, die Konfiguration des Routers abzusichern und das Default-Passwort (in meinem Fall admin/admin) zu ändern. Die meisten Router verfügen über ein Web-Interface, das man im Browser über die Adresse des Routers "192.168.0.1" (unverschlüsselt!) abrufen kann.
Screenshot des UPC Technicolor TC7200.U Web Interface.
Alle relevanten Einstellungen werden im Folgenden über das Web-Interface vorgenommen.
Ändert man das Passwort nicht, kann jeder, der Zugriff auf das interne Netz hat (zum Beispiel über WLAN), den Router manipulieren und auch sämtliche Security-Einstellungen außer Kraft setzen.
Zu beachten ist auch generell, ein sicheres Passwort zu verwenden.
Unsichere Passwörter
4711
mickymaus
LameDuck1
Sichere Passwörter
7mBISNJS9PWv
KDzgbarKCF1Lo
r4EXTa2EBISNJS
2. WLAN-Security auf WPA2 und AES einstellen
Der nächste Schritt ist, die WPA2-Verschlüsselung zu aktivieren. Um die Angriffsfläche so gering wie möglich zu halten, deaktivieren wir den Legacy-Support für WPA und TKIP und akzeptieren nur noch WPA2/AES-Verbindungen.
Zu beachten ist, dass das UPC-Gateway zwei Frequenzbänder (2.4 GHZ und 5 GHZ) unterstützt und die Einstellungen für das 5 GHZ-Modul separat vorzunehmen sind. In meinem Fall habe ich derzeit das 5 GHZ-Band deaktiviert, da es noch nicht alle Geräte unterstützen.
3. Sicheres WPA2-PSK Passwort wählen
Die Sicherheit von WPA2 steht und fällt mit dem geheimen WPA2-Passwort (Pre-shared Key). Wer den Key kennt oder herausfindet, hat Zugang zum WLAN. Punkt. Daher ist es besonders wichtig, ein sicheres WPA2-Passwort zu wählen und damit sorgsam umzugehen.
Unsichere WLAN-Passwörter
12345678
meinwlan
AngelinaJolie
Sicheres WLAN-Passwort (Beispiel)
quV0e0QGVrtPLphm6FgJX98fabN8dxEr
WPA2-Keys können bis zu 63 Zeichen lang sein und sind case-sensitive. Da die meisten Geräte den Schlüssel speichern, empfehle ich ein langes Passwort (ab 20 Zeichen) zu wählen. Ich weiß es ist mühsam, aber man braucht es zum Glück pro Gerät nur einmal eingeben.
Natürlich empfiehlt es sich auch, das Passwort ab und zu zu ändern.
4. SSID ändern
Da WPA2 neben dem geheimen Passwort (PSK) auch den Netzwerknamen (SSID) für die Generierung eines internen Schlüssels (Pairwise Master Key) heranzieht, empfiehlt es sich, einen eigenen Netzwerknamen für das WLAN-Netz zu definieren.
Was hingegen wenig bringt, ist das Netzwerk zu verstecken und den SSID-Broadcast zu deaktivieren. Hacker können den SSID trotzdem herausfinden. Ebenfalls keine zusätzliche Sicherheit bekommt man, indem man MAC-Adressen einzeln zulässt bzw. blockt, da diese Adressen leicht gespooft werden können. Der Aufwand ist es einfach nicht wert.
5. WPS deaktivieren
Wi-Fi Protected Setup (WPS) ist ein Standard, um Endgeräte einfacher in das WLAN-Netz aufzunehmen (durch das Drücken eines Knopfes oder der Eingabe einer PIN). Allerdings gilt WPS als unsicher und man sollte es daher deaktivieren.
6. Internet-(Un)Sicherheit nicht vergessen
Wir haben jetzt das eigene WLAN mit WPA2/AES und einem sicheren Passwort sicher konfiguriert, um es vor Abhörangriffen und Fremdzugriffen zu schützen. Das Internet bleibt aber natürlich ein unsicheres Medium, sobald die Daten das eigene Gateway verlassen. Eine weitere Verschlüsselung des Datenverkehrs (zum Beispiel mit ssh, https oder vpn) für sensible Daten ist daher ratsam.
Wie sicher WPA2 wirklich ist, wird sich in Zukunft zeigen. Möglich wäre, dass es noch weitere bis jetzt unentdeckte Sicherheitslücken gibt. Andererseits ist die Technolgie auch schon wieder fast 10 Jahre alt und hat sich bis jetzt bewährt.
Weitere Ressourcen
- SmallNetBuilder: How To Crack WPA / WPA2
- Wikipedia: Wi-Fi Protected Access
- Vorsicht vor Like-Button "Click-Betrügern"
15.05.2013 Virtual Net
Kommentare
ich habe das selbe Gerät und habe noch etwas zu Diskutieren/Ergänzen.
@4
wie soll der Hacker, der MACs spoofen will, wissen, welche Adressen zugelassen sind oder nicht? Wird dann jede Kombination gespoofed und getestet? Dauert das nicht ewig und drei Tage?
Ich rate trotzdem zum "verstecken" der SSID. Einen echten Hacker hält es vielleicht nicht auf, aber 90% der gelangweilten kiddies, die nichts besseres zu tun haben.
Ich hab bei meiner Wohnung geschaut, ich empfange gerade mal 2 weitere Netzwerke. Mein WLAN Netzwerk reicht kaum vor die Haustür (bin im Erdgeschoss). Die Chancen dass der Opa von neben an SSIDs scanned, die richtige Mac-Adresse spoofed, den WPA2 Schlüssel knackt und mein Router/Modem Passwort herausfindet sind 0,00000001%. Und auch wenn er das alles schafft, was hat er davon? Er kann meinen Internet Traffic abhören, als ob der Internetprovider und die DNS Server das nicht schon mitverfolgen würden... Auf meinen PC muss er ja auch mal kommen: also muss er entweder mein Windowspasswort bruteforcen oder eine Sicherheitslücke in Windows oder anderen Programmen ausnutzen, wobei zweiteres einfacher ist, wenn man eine 1 Stundensperre auf 5 fehlgeschlagene Logins setzt.
@5
WPS wurde duch ein kurzes Python/Perl (weiß nicht mehr genau welche Sprache) Script von einem Studenten gehackt, weil es maximal 11000 Versuche braucht, das Passwort zu erraten. (8 Stelliges Dezimal Passwort, bei ersten 4 Stellen gibt es einen Fehlercode zurück (10^4), letzte Stelle ist Prüfziffer, die drei Stellen dazwischen sind auch nur 10^3).
Die meisten Geräte-Hersteller haben eine automatische Ausschaltung eingebaut (z.B.: nach 2 Minuten). Sollte ihr WPS benötigt, dann schaltet es nur für einen kurzen Moment ein, lasst das Gerät sich über WPS anmelden und dreht es wieder ab.
Ich kann jedem empfehlen, die Punkte vom Blog zu befolgen, um es 99% der Hacker (Scriptkiddys, wanna-be's) zu erschweren. Wenn es dem Hacker schwierig gemacht wird und er dafür zu viel Aufwand betreiben muss, sucht er sich sowieso ein anderes Ziel, außer er hat was persönlich gegen euch.
LG, Martin
Danke fürs Feedback,
@4
Das Problem ist, sobald ein zugelassenes Gerät im WLAN ist, sendet es seine MAC-Adresse unverschlüsselt (!) im WLAN-Frame-Header mit und man kann diese dann ganz einfach spoofen.
Ähnlich verhält sich die Situation bei den versteckten SSIDs. Die SSID wird zwar nicht im Beacon-Frame gebroadcastet, aber an anderer Stelle (zum Beispiel im Association-Frame, wenn sich ein Gerät beim WLAN anmeldet) taucht sie wieder unverschlüsselt (!) auf. Daher kann diese mit den entsprechenden Tools auch leicht ausgelesen werden.
Die beiden Methoden fallen daher unter das Prinzip "Security by Obscurity" und bringen in diesem Fall leider nicht besonders viel.
Was hat ein Hacker davon? Zugang zu deinem internen Netz. Er kann dann deinen Traffic direkt abhören, Passwörter sniffen, vielleicht noch andere Sicherheitslücken bei dir ausnutzen und unter deiner Adresse im Internet surfen, Spam verschicken oder deine Verbindung für andere "pöse" Dinge missbrauchen. Gut, vielleicht ist das übertrieben, aber es schadet auch nicht, das WLAN abzusichern.
lg Viktor
was soll ich tun
Wie komme ich jetzt wieder in das Programm????
https://www.kabelbw.de/kabelbw/cms/downloads/kabel-bw-installationsanleitung-technicolor-tc7200-lang.pdf
wie kann ich bei diesem Modem Ports weiter leiten
danke
lg
reinhard
Wie schauen bei euch die Firewalleinstellungen aus? Was sollte man unter -> "Fortgeschritten (Advanced)" -> "Firewall" aktivieren um besser geschützt zu sein?
Danke!
LG,
Haunz
habe den Router von UPC bekommen. Warum ist die USB Funktion deaktiviert? Kann man diese aktivieren...oder hat UPC eine eigene, modifizierte Firmware? Gibts sowas wie einen unbranded clean restore?
Vielen Dank im Voraus und Liebe Grüße,
Flo
Kennt jemand diese Problematik? Egal ob Firefox oder IE 10 die Wirelessfunktion lässt sich nicht erreichen :(
Würde mich sehr über eine Antwort freuen.
Habe versucht mit zwei neue Blurayplayer per wlan ins Internet zu kommen.
Vergeblich !! Verbindung zu Reuter steht, aber Internet Verbindung klappt nicht. Bitte um Hilfe.
LG: Nik
Weder Kundennummer, noch E-Mail Adresse bringen mich weiter.
Weiß jemand woher man die Log in Daten bekommt, um sich beim Router einzuloggen und anschließend, die Passwörter und den Namen zu ändern?
Vielen Dank schon einmal.
der Drecksrouter TC7200 macht mich wahnsinnig, diverese uploads (zb Fotobuch) oder onlinespiele portals (steam, uplay) werden immer geblockt ! Wie kann ich das ausschalten ? Ich kann doch nicht für jede seite ports öffen!?!?
DAnke
VG
Tippe einfach mal 192.168.0.1 bei Deinem Webbrowser in der Befehlszeile ein - et voila!
Es funktioniert alles bis auf den Punkt, dass wenn ich im RouterMenu auf [ Wireless] gehe um das WLAN einzurichten mein Browser sagt " Seite konnte nicht gefunden werden." Alle anderen Funktionen (Bereiche) im Router kann ich ohne Probleme erreichen.
Gibt es dafür jetzt eine Lösung?
"Am sichersten wäre natürlich WLAN komplett zu deaktivieren"
Genau das habe ich gemacht!
TC7200.U WLAN komplett deaktiviert!
Einen zweiten Router (meiner ist ein WD Router) an den TC7200.U angeschlossen und diesen für Wlan aktiviert, verschlüsselt und eingestellt. Dadurch erhält man eine höhere Sicherheit.
Oder upc hat einen Filter der nicht auf dem privaten Login zu konfigurieren ist.
Erste bonding conf ... Drei Ethernet Karten .... Funkt
Zweite bonding conf .... Ein WLAN Adapter und eine Ethernet Karte ... Funkt nicht ...
Dh vom Internet erreichbar durch Port forwarding und bekommt eine lan ip
Aber der Browser auf der box sagt Google gibt's nicht!!!!!
Eindeutig ein Filter vom Provider ... Affen Bande der dümmsten Art die Techniker
Kommentieren