Hi, wie kann ich meinen Router sichern, dass die Wahrscheinlichkeit des Reinhackens geringer wird? Angenommen, ein Router hat 4 Netzwerkanschlüsse. Kann ich z.B. sagen, dass nur der Rechner, der an dem Netzwerkanschluss A dranhängt, die Möglichkeit hat, Einstellungsänderungen vorzunehmen? Kennt jemand einen guten Link, wo man Informationen zum Sichermachen des Heimnetzwerks finden kann?
:
Verschoben durch Moderator
Schau auf der Webseite des Herstellers nach, was der empfiehlt. Schau, ob du die aktuelle Firmware drauf hast. Schalte die Konfigurationsmöglichkeiten übers Internet ab, oder willst du die Routereinstellungen von jedem Ort auf der Welt bedienen können? Ist doch in den seltenst Fällen notwendig. Schaue nach, ob dein Provider eine Fernwartungsmöglichkeit eingerichtet hat (wenn er den Router ausgeliefert hat) und schalte das ggf. ab. Wenn du eine Störung melden musst, dann musst du ebnen temporär dies wieder aktivieren. Verwende ordentliche Passwörter für den Zugang zur Konfiguration. Falls nicht notwendigigerweise WLAN immer gebraucht wird, schalte z.B. in der Schlafenszeit oder während der Bürozeiten dein WLAN ab. Bei dem jüngsten Hack der Fritzbox waren z.B. neue IP-Telefone eingerichtet, mit denen eine Hacker auf deine Kosten telefonieren konnte. Das kann man zumindest gelegentlich mal prüfen, ob das alles auf dem gewünschten Stand ist. Fraspa Haspa schrieb: > Kann ich z.B. sagen, > dass nur der Rechner, der an dem Netzwerkanschluss A dranhängt, die > Möglichkeit hat, Einstellungsänderungen vorzunehmen? Hängt sicher vom Router ab.
L. P. schrieb: > Um welchen handelt es sich denn? Fraspa Haspa schrieb: > meinen Router Also wohl um den Fraspa Haspa Router ... Gruß Jobst
Fraspa Haspa schrieb: > Zyxel Prestige 660HW-67 Vergiss es. Steinaltes Gerät, seit Ewigkeiten kein Support mehr, wer weiß wie viele ungepachtete Fehler. Kauf' was neues, der Kasten lohnt keine Minute Aufwand mehr. Weiterhin, auch wenn Du es vielleicht nicht hören willst: Wenn Du solche > wie kann ich meinen Router sichern, dass die Wahrscheinlichkeit des > Reinhackens geringer wird? Fragen stellst, spiele bitte nicht an Netzwerkgeräten rum! Die Fragestellung verrät, das schon die Grundlagen fehlen.
Dirk schrieb: > Kauf' was neues, der Kasten lohnt > keine Minute Aufwand mehr. Nachtrag: IIRC, müsste der Modem-Teil des Gerätes ganz brauchbar gewesen sein. Sollte einzeln nutzbar sein.
Dirk schrieb: > Vergiss es. Steinaltes Gerät, seit Ewigkeiten kein Support mehr, wer > weiß wie viele ungepachtete Fehler. Kauf' was neues, der Kasten lohnt > keine Minute Aufwand mehr. Gerade bei neueren Geräten sorgen die zunehmende Komplexität der implemetierten Funktionen und der Kostendruck dafür, dass mehr Angriffsmöglichkeiten vorhanden sind bzw. sogar bekannte Sicherheitslücken nicht oder nur sehr zögerlich repariert werden. Solange also keine allgemein bekannten Lücken vorhanden sind und die Funktionalität für den Benutzer ausreicht, gibt es keinen Grund dafür, ältere Geräte zu tauschen. Solche Allgemeinplätze sind gelinde gesagt Blödsinn. > Weiterhin, auch wenn Du es vielleicht nicht hören willst: Wenn Du solche > Fragen stellst, spiele bitte nicht an Netzwerkgeräten rum! Die > Fragestellung verrät, das schon die Grundlagen fehlen. Deinen Oberlehrerton solltest du dir ebenfalls verkneifen. Wenn jemand nach Sicherheitsaspekten fragt, ist das zumindest ein Zeichen dafür, dass er auch bereit ist, dafür etwas zu tun. Ich halte zwar nicht besonders viel von Kochrezepten, die ohne tieferes Verständnis für die Zusammenhänge eingesetzt werden, es gibt aber einige allgemein gültige Verfahren. * Aktuellste Firmawareversion downloaden und die Release Notes durchgehen * Suche im Web nach bekannten Lücken * Angebotene Dienste prüfen und ggfls. deaktivieren z.B. SNMP - hat zumeist default community strings und wird im privaten Umfeld kaum benötigt UPNP - Ist für ONU bequem, ich öffne mein NAT bzw. erstelle meine Filterregeln lieber manuell (T)FTP - wird nur für Firmwareupdates benötigt TR-069 - leider zunehmende Unsitte der Provider HTTP - Nur bei Bedarf über das CLI aktivieren besser ist HTTPS sofern vorhanden * Default-Einstellungen prüfen Sichere Kennworte für alle, also auch nicht offensichtliche Benutzer (root) bzw. Dienste Firewall-, Paketfilter- und Helper-Regeln Fernwartungszugang - üblicherweise unnötig * Auf offene Sockets prüfen (nicht nur die bekannten mit Port < 1024) LAN z.B. http://nmap.org/ WAN z.B. https://www.grc.com/x/ne.dll?bh0bkyd2 (<=1056) http://www.auditmypc.com/firewall-test.asp (nur mit [Wegwerf-] Mail benutzbar) Fraspa Haspa schrieb: > Angenommen, ein Router hat 4 Netzwerkanschlüsse. Kann ich z.B. sagen, > dass nur der Rechner, der an dem Netzwerkanschluss A dranhängt, die > Möglichkeit hat, Einstellungsänderungen vorzunehmen? Siehe Users Guide 37.2.2 Remote Management Limitations -> Secure Client IP. Ist nichts besonders sicher, aber besser als jedem den Zugang zu erlauben. > Kennt jemand einen guten Link, wo man Informationen zum Sichermachen des > Heimnetzwerks finden kann? Wie gesagt, Kochrezepte sind nicht besonders hilfreich. https://de.wikipedia.org/wiki/Penetrationstest_%28Informatik%29 und besonders die dort verlinkte Studie des BSI. Die ist zwar etwas holprig zu lesen und einige Aspekte sind für das private Umfeld nicht relevant, sie fördert meiner Meinung nach aber das Verständnis dafür, was der gerne zitierte Satz "Netzwerksicherheit ist ein Konzept" eigentlich sagen will. Zum Zyxel allgemein (abgesehen vom Hersteller) http://www.zyxeltech.de/p660hw.htm http://www.zyxeltech.de/SNotep660hw/index.htm
kopfkratz Das Gerät kenne ich nicht, wenn es über LAN und Webinterface konfiguriert wird in den Einstellungen nachsehen ob man da eine MAC eintragen kann. Die ist einmalig und hat nur die Netzwerkkarte von dem Rechner der damit berechtigt ist etwas aufzurufen. Gegen bekannte Hintertürchen hilft das allerdings nix. Wenn man da OpenWRT drauf bekommt, tue das. Ansonsten gibt es eine Möglichkeit Deinen Router sicher zu machen indem Du einfach einen selber baust. Hol Dir einen MiniPC mit zwei Netzwerkanschlüssen, installiere auf einen USB Stick OpenBSD und konfiguriere das als Gateway/Firewall ohne telnet/ssh usw. Dann passendes DSL/Kabel-Modem an einen Netzwerkanschluß und fertig.
wombat schrieb: > Gerade bei neueren Geräten sorgen die zunehmende Komplexität der > implemetierten Funktionen und der Kostendruck dafür, dass mehr > Angriffsmöglichkeiten vorhanden sind bzw. sogar bekannte > Sicherheitslücken nicht oder nur sehr zögerlich repariert werden. Das ist kein Problem neu/alt, sondern eine Frage der Sorgfalt und der Produktpflege der Hersteller. Alter Lancom gegen neue xyz - sag', wer gewinnt. > Solange also keine allgemein bekannten Lücken vorhanden sind Bitte? Auf dem o.g. Zyxel läuft 'nen Steinzeit-Kernel incl. dem "passenden" Zubehör. Exploits sind hinreichend bekannt. > Solche Allgemeinplätze sind gelinde gesagt Blödsinn. Nein, Kommentare wie deine sind Blödsinn, denn du hast nicht sinnentnehmend gelesen. Beachte das Qouting oder zeige mir den Allgemeinplatz. > Deinen Oberlehrerton solltest du dir ebenfalls verkneifen. Wenn jemand > nach Sicherheitsaspekten fragt, ist das zumindest ein Zeichen dafür, > dass er auch bereit ist, dafür etwas zu tun. Der gute Wille ist ja OK, er wird es aber nicht schaffen, denn hätte er auch nur ansatzweise passendes Wissen auf Lager, würde er nicht so fragen. Kommt jemand z.B. mit einer Frage zu einer speziellen Netfilter-Konfiguration ums Eck, sieht das schon ganz anders aus. Den anderen - nett gesagt - arg unpräzise formulierten Sermon kommentiere ich lieber nicht ausführlich. Nur so viel: Du wirfst dem offensichtlich unbedarften OP ein paar Fachbegriffe an den Kopf, verschweigst dabei essentielles und verlinkst schlussendlich noch auf Kasperbudenseiten wie grc. Setzen, sechs. @OP Für ~ EUR60 gibt es schon Geräte mit allem Schnick-Schnack, auf denen ohne Schmerzen und Verrenkungen z.B. Open-WRT läuft. Tu Dir selber den Gefallen, nimm den alten Zyxel so schnell es geht vom Netz.
Hallo, ich klemme mich hier mal mit dran, weil mich die Meldungen der vergangenen Monate in Bezug auf die Routersicherheit etwas nachdenklich gemacht haben. Die Firmen meinen es scheinbar überwiegend mit der Sicherheit nicht so richtig ernst, von daher würde mich eure Experten-Meinung zu Open-WRT und DD-WRT interessieren(also in Bezug auf Sicherheitslücken...gab es da gravierende und wie schnell wurden die beseitigt?)? Ich würde mich auch über konkrete Tips freuen, ob nun Open-WRT oder DD-WRT besser geeignet ist, und welcher günstige WLAN-Router(muss kein Modem haben, 4x100Mbit + N-WLAN reichen völlig) damit bestückt werden kann und damit stabil sowie sicher läuft? Eine Gast-WLAN-Funktion fände ich ganz nützlich... Herzliche Grüße, Jan
Open-Wrt / DD-Wrt setzen auf Linux und dessen Netfilter-Infrastruktur auf. Du hast eine Shell & Root-Zugriff. d.H: Wenn du willst, kannst du dich am Router einloggen, und per "iptables" nachsschauen, ob die Klicki-bunti erstellten Firewall-Regeln das tun, was du erwartest. Und wenn du den vorkompilierten Packages nicht traust: OpenWRT selber kompilieren ist garnicht so aufwendig und ein diff zwischen original "kernel.org"-Sources und den Open-WRT-Kernel-Sources auch möglich... Und falls du bei google auf die angeblich schwerwiegende und nicht schnell behobene "Sicherheitslücke" CVE-2012-0920 stößt, erst Auwirkungen verstehen: Wenn jemand (von Aussen) SSH-Zugriff hat (per default: Kein SSH von Aussen, keine authorized_keys) Aber gleichzeitig per Konfig seine SSH-Rechte auf ein bestimmtes Kommando beschränkt werden sollten, dann kann er das umgehen. d.H. das Betrifft ganz ganz wenige Sonderfälle, z.B. wenn du einen Halb-Anonymen GIT-over-SSH Server auf deinem Router laufen lassen willst, also Fremden Leuten einen Account auf deinem Router einrichtest...
:
Bearbeitet durch User
kopfkratzer schrieb: > Wenn man da OpenWRT drauf bekommt, tue das. Wie krieg ich OpenWRT auf den Router drauf? Ist das "einfach" eine bin-Datei, die wie ein neues Patch eingespielt wird?
> Wie krieg ich OpenWRT auf den Router drauf? Ist das "einfach" eine > bin-Datei, die wie ein neues Patch eingespielt wird? http://wiki.openwrt.org/doku.php?id=oldwiki:openwrtdocs:hardware:zyxel:prestige_660hw_61
...-. schrieb: > http://wiki.openwrt.org/doku.php?id=oldwiki:openwr... ok, und wenn ich das jetzt aufschraube, den Zugang lege und dann ein OpenWRT drauf tue, ist es dann sicherer? Ist es denn überhaupt groß genug, um da ein großes openWRT draufzukriegen?
wenn ich da dann das Modem aufmache und an die Anschlüsse eine Verbindung zum Computer erstelle und zw. serieller Schnittstelle am PC noch nen TTL-Pegelwandler hinschreibe, sehe ich dann etwas auf einer Konsole, nachdem das Modem eingeschaltet wurde? Das alte Zyxelmodem bietet - sofern nicht ausgeschaltet - noch die Möglichkeit via telnet-Sitzung drauf zuzugreifen. Sehe ich dann das gleiche, wenn ich an die Pins im Router eine serielle Verbindung zu einem PC aufbaue und dort drinnen das gleiche, was ich dann in der Telnetsitzung auch sehen kann? Bei der Telnetsitzung sehe ich auch das gleiche wie bei der Websitzung, aber ich kann bei der Telnetsitzung mehr Einstellungen vornehmen als bei der Websitzung im Webbrowser. Aber im Webbrowser kann ich abstellen, dass keine Telnetsitzung mehr geht. Und wie woher weis ich, wie schnell ich an dem seriellen Port Daten Senden -und Empfangen kann? Geht da eine Std-Einstellung, z.B. 300 Baud? Welche Werte muessen für Parität eingestellt werden, wie Xon/Xoff?
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.