ComputersHowto
Die Sicherung eines WLAN-Routers ist seit den ersten Tagen von WiFi ein ständiger Kampf.
Es gab zahlreiche Verschlüsselungstypen und Protokollaktualisierungen, bei denen ständig Fehler festgestellt wurden, die ausgenutzt werden können.
Damit sind die Router viel sicherer geworden und können mit der richtigen Einrichtung sehr sichere Geräte sein.
Beste Sicherheitseinstellungen für einen Router
Nicht alle diese Optionen sind für alle möglich. Dies ist einfach eine Liste der bestmöglichen Einstellungen für die Sicherung eines Routers.
- Schalten Sie WPS (WiFi Protected Setup) aus.
- Deaktivieren Sie nach Möglichkeit die 2,4-GHz-Frequenz
- Stellen Sie nur mit einem Gerät (Smartphone, Tablet, Laptop), das ein 802.11ac-Gerät ist, eine Verbindung zu einem Router her.
- Aktivieren Sie die WPA2 / WPA3-Verschlüsselung und geben Sie ein langes Passwort ein.
- Schwächen Sie das WiFi-Signal, wenn möglich.
- Geben Sie niemals Passwörter oder Benutzernamen in ein Popup ein. Gehen Sie immer direkt zu einer Router-Administrationsseite, um Benutzernamen und Passwörter einzugeben.
- Ändern Sie den Standardbenutzernamen / das Kennwort für die Anmeldung auf der Administratorseite des Routers.
- Aktualisieren Sie die Firmware des Routers
- Ändern Sie den SSID-Broadcast-Namen.
WEP-, WPA-, WPA 2-, WPA 3-Verschlüsselung
Jeder Router sollte über eine grundlegende Verschlüsselungskonfiguration verfügen. Wie fast jeder weiß, bittet ein offenes WiFi-Signal um Probleme.
WEP ist notorisch leicht zu hacken und wurde seit 2003, als eine Sicherheitslücke darin gefunden wurde, nicht mehr viel verwendet.
Router-Verschlüsselungsstandards
| Verschlüsselung | Jahr | Sicherheit |
| WEP | 1999 | Schlecht |
| WPA | 2003 | Arm |
| WPA 2 TKIP | 2004 | Arm |
| WPA 2 AES | 2004 | Mittel |
| WPA 3 | 2019 | Gut |
Das ursprüngliche WPA weist auch unzählige Sicherheitslücken auf und ist nicht mehr sehr sicher.
WPA2 AES oder das neue WPA3 sollten für WiFi und mit einem langen Passwort / einer langen Paraphrase aktiviert sein.
Es gibt Hacks für WPA2 AES, aber es ist viel schwieriger zu hacken als die älteren Verschlüsselungsstandards.
WPA3 ist ein neuer Standard, der veröffentlicht wird und viele Sicherheitsfunktionen hinzufügt, die älteren Protokollen fehlen.
Router mit dem neuen WiFi 6 AX zusammen mit WPA3 werden langsam eingeführt.
WPS
WPS (WiFi Protected Setup) ist eine Methode, die viele Router für Geräte verwenden, um einfach eine drahtlose Verbindung zu einem Router herzustellen.
In WPS wurde 2012 ein Fehler festgestellt, der es ermöglicht, die Pins anzugreifen, wodurch jegliche Sicherheit wie WPA / WPA2 umgangen wird.
Viele neue Router haben einen Weg gefunden, dies zu umgehen, indem sie eine WPS-Taste gedrückt haben, die WPS nur für kurze Zeit aktiviert, bevor sie deaktiviert werden.
Dies ist jedoch nicht bei allen Routern der Fall, und bei einigen ist WPS standardmäßig aktiviert.
Beliebte Programme wie Reaver, die in Kali Linux integriert sind, können die WPS-Pins in 2-10 Stunden knacken. Pixiewps-Angriffe können dies auf einigen Routern viel schneller ausführen.
Wenn auf Ihrem Router WPS aktiviert ist, deaktiviere es Andernfalls ist es offen für den oben genannten populären Angriff.
5 GHz / 2,4 GHz Frequenzen und 802.11ac-Protokoll
Bis 2013, 2,4 GHz war der einzige Frequenzrouter, der für WiFi verwendet wurde.
Da 2,4 GHz überfüllt sind, wurde der 5-GHz-Bereich eingeführt.
Diese Routertypen werden als Dualband-Router bezeichnet, da sie sowohl 2,4 GHz als auch 5 GHz für ein WiFi-Signal verwenden können.
Für diejenigen, die nicht wissen, dass keine WLAN-Karte verwendet werden kann, um einen Router anzugreifen.
Es müssen spezielle USB-Dongles / Adapter mit dem richtigen Chipsatz verwendet werden.
Es gibt eine Fülle von USB-Adaptern, die einen Router auf der 2,4-GHz-Seite hacken können.
Derzeit gibt es einen Mangel an USB-Adaptern, die die 5-GHz-Frequenz eines Routers hacken können.
Es gibt einige USB-Adapter, die dies jedoch nur mit begrenztem Erfolg können.
Der Grund für die begrenzte Erfolgsrate ist das 802.11ac-Protokoll.
WiFi-Hacking-Tools wurden einfach noch nicht aktualisiert, um dieses neue Protokoll anzugreifen.
Nur 52.11n- und 802.11ac-Protokolle arbeiten im 5-GHz-Bereich. 802.11n ist schon eine Weile her und funktioniert sowohl mit 2,4 GHz als auch mit 5 GHz.
802.11ac funktioniert nur im 5-GHz-Bereich.
802.11n wird für ältere Geräte verwendet, die eine Verbindung zu einem Router herstellen müssen, ist jedoch ein bekanntes Protokoll, das mit vielen WiFi-Cracking-Tools gehackt werden kann.
Derzeit ist ein Router, der so eingerichtet ist, dass er nur WLAN im 5-GHz-Bereich mit dem 802.11ac-Protokoll überträgt, mit den aktuellen WLAN-Hacking-Tools kaum zu hacken.
Jedes an einen Router angeschlossene Gerät muss auch das 802.11ac-Protokoll verwenden können, da jedes Setup nur so gut ist wie sein schwächstes Glied.
Beachten Sie, dass sich dies jederzeit ändern kann, da sich Hacking-Software und -Hardware ständig weiterentwickeln.
Derzeit ist es fast unmöglich, einen Router mit ausgeschalteter 2,4-GHz-Seite und ausgeschalteter WPS-Unterstützung mit WPA2-Verschlüsselung und nur mit 5-GHz-Frequenz und 802.11ac-Protokoll zu hacken.
Nichts ist jemals völlig unknackbar, aber es würde einen sehr fortgeschrittenen böswilligen Angreifer erfordern, um diese Art von Setup zu knacken.
Ein Skript-Kiddie-Neuling-Hacker wäre nicht in der Lage, die Vielzahl von WiFi-Hacking-YouTube-Videos anzusehen und ein solches Setup derzeit zu knacken.
Man-In-The-Middle-Attack
Man-In-The-Middle-Angriffe mit der Bezeichnung MitM treten auf, wenn sich ein Hacker zwischen einem Router und einem mit ihm verbundenen Gerät befindet.
Ein böswilliger Hacker, der einen MitM-Angriff ausführt, kann ein Routersignal auslösen, das die Person zwingt, eine Verbindung zu ihrem Computer herzustellen, wodurch das Opfer wieder online gehen kann.
Die meisten Benutzer sind sich dessen nicht bewusst und surfen weiterhin online. Der Angreifer kann alle Daten anzeigen, während sie auf seinem Computer Passwörter oder andere Daten erfassen, die angezeigt werden.
MitM-Router-Angriffe gibt es in vielen Formen. Beliebte sind Popups, die einem Benutzer eine gefälschte Router-Anmeldeseite anzeigen, die legitim aussieht.
Wenn ein Benutzer seinen Benutzernamen und sein Kennwort auf einer gefälschten MitM-Angriffsseite eingibt, kann er weiterhin glauben, das Problem behoben zu haben.
In der Zwischenzeit hat ein böswilliger Angreifer seine Informationen erhalten.
Um dieser Art von Angriff entgegenzuwirken, geben Sie die Kennwortinformationen für den Benutzernamen nicht einfach blind ein.
Wissen Sie, wo sich die Informationen zu den Anmeldeeinstellungen auf einem Laptop, Tablet oder Smartphone befinden, und geben Sie nur dort Informationen ein.
Ein Router sollte niemals ein Popup geben, in dem er nach Informationen fragt. Wenn dies manuell bei einem Router mit Kabelverbindung der Fall ist, überprüfen Sie die Einstellungen.
Ändern der Anmeldeinformationen einer Standard-Administratorseite für Router
Alle Router haben einen Standardbenutzernamen und ein Standardkennwort, um sich auf der Administrationsseite anzumelden.
Oft etwas so Einfaches wie Benutzername: Administrator, Passwort: Administrator
Dies sollte in etwas Sicheres geändert werden, da es für jemanden, der sich im selben Netzwerk befindet und die IP-Adresse Ihres Routers eingibt, eine einfache Möglichkeit ist, darauf zuzugreifen.
Ändern Sie den Standard-SSID-Broadcast-Namen
Alle Router werden mit einem Standard-Broadcast-Namen geliefert, z. B. einem Linksys- oder Dlink-Router, der den Namen Linksys oder Dlink als WiFi-AP-Verbindungsnamen sendet.
Durch Ändern des Broadcast-Namens erhält ein Angreifer weniger Informationen über die Sicherheitslücken des Routers.
Ein Linksys-Router weist andere Schwachstellen auf als ein Dlink-Router usw..
Anstatt dem Router einen eindeutigen Kosenamen zu geben, ändere ich ihn in einen anderen Herstellernamen des Routers.
Wenn es sich beispielsweise um einen Linksys-Router handelt, ändern Sie die SSID in Dlink und umgekehrt.
Dies kann einen Angreifer verwirren, da er glaubt, einen bestimmten Router mit bekannten Schwachstellen anzugreifen, wenn es sich um etwas ganz anderes handelt.
WiFi Range Entfernung
Entfernung kann bei WiFi wichtig sein, aber einen Router für Angriffe offen lassen.
Alle Angriffe auf WLAN-Router benötigen ein gutes WLAN-Signal, um ihre Arbeit zu erledigen, wenn sie kein gutes Signal erhalten können, als dies nicht möglich ist.
Angreifer verwenden Signalverstärker, um ein schwaches Signal zu verstärken, so dass oft nicht viel dagegen unternommen werden kann.
Wenn Sie jedoch keine starke Schwächung des Funksignals benötigen, kann dies dazu beitragen, einen Angriff zu verhindern.
Viele Router haben eine Einstellung zum Anpassen der WLAN-Signalstärke, die nach unten oder oben eingestellt werden kann.
Router Unterschiede
Wenn es um Routerhersteller geht, haben sie alle unterschiedliche Schnittstellen und Optionen.
Es ist unmöglich, in einem Beitrag aufzulisten, wo sich die Einstellungen für die vielen verkauften Router befinden.
Die meisten Optionen sind universell, wie z. B. WEP-, WPA- und WPA2-Verschlüsselung. Die Art und Weise, wie die Optionen aktiviert werden, hängt jedoch von Router zu Router ab.
Die Schnittstellenoptionen eines Routers können immer gegoogelt oder das Handbuch gefunden und auf seine Einstellungen überprüft werden.
Das Wichtigste, was Sie über die Sicherung eines Routers wissen sollten, sind die universellen Sicherheitsoptionen, über die die meisten Router verfügen.
Zusammenfassung
Jeder Router ist für Angriffe immer akzeptabel, aber wenn Sie einfache Dinge wie die oben genannten ausführen, wird Ihr Risiko erheblich reduziert.
Oft wechseln WiFi-Angreifer zu einem einfacheren Ziel (da es viele gibt), anstatt Stunden, wenn nicht Tage damit zu verschwenden, auf ein schwieriges Setup zu zielen.
