Check von außen
Schritt 1 - Broadcast-Pakete und SSID
Damit Der (WLAN-)Router nicht zum Einfallstor wird, ist es wichtig, ihn einigen Checks zu unterziehen und abzusichern. Testen Sie deshalb, was Ihr Router über sich und das Netzwerk preisgibt. Von außen, ohne Teilnehmer im Netzwerk zu sein, sowie von innen aus dem eigenen (W)LAN. Beginnen Sie mit den Broadcast-Datenpakete ("Beacons"): Sie informieren alle Geräte in Reichweite über Geschwindigkeit, MAC-Adresse des Routers, Kanal und Verschlüsselung.
Der Router schickt diese Pakete etwa zehnmal pro Sekunde heraus. Um das Netzwerk sicherer zu machen, greifen viele Nutzer immer noch auf einen alten Trick zurück: Die SSID, also der Netzwerkname, wird im Router abgeschaltet und das WLAN damit vermeintlich unsichtbar. Abgesehen von einem höheren Konfigurationsaufwand bringt dieser Schritt aber nichts. Denn eine versteckte SSID verhindert nur, dass der Router in den Broadcast-Paketen den Netzwerknamen öffentlich bekannt macht, die Pakete werden jedoch trotzdem verschickt und identifizieren das WLAN. Das Tool Inssider zeigt verfügbare WLANs in der Umgebung an, egal ob die SSID aktiviert ist oder nicht. Bei der SSID ist lediglich darauf zu achten, dass damit keine internen Infos über das Routermodell oder das Kennwort preisgegeben werden.
Schritt 2 - MAC-Adresse entschlüsseln
Eine weitere Info, die der Router in den Broadcast-Paketen mitteilt, ist die eigene MAC-Adresse. Sie steht auch bei WLANs, die über eine Verschlüsselung verfügen, im Klartext in den Netzwerkpaketen und wird hier auch BSSID genannt. Diese Adresse ist für jedes Gerät einmalig und enthält in den ersten sechs Stellen den Herstellernamen des Routers oder des Netzwerkchips. Die MAC-Adresse des Routers lässt sich auch mit Inssider anzeigen. In der Übersicht der Netzwerke klicken Sie zu diesem Zweck mithilfe der rechten Maustaste die Tabellenüberschrift an und wählen im Anschluss daran im Menü "Vendor". Auf eigene Faust können Sie die MAC-Adresse eines Geräts auf der englischsprachigen Webseite www.coffer.com/mac_find entschlüsseln.
Schritt 3 - Sicherheitslücken in der Router-Firmware
Die Kombination aus MAC und den verfügbaren WLAN-Standards (a/b/g/n) ist immer ein Hinweis auf das Router-Modell. Eine übersehene Gefahr sind die Router selbst. Hier schlummern in der Firmware oft Sicherheitslücken, die nie durch Hersteller-Updates behoben wurden. Eine umfangreiche, recht aktuelle Datenbank mit bekannten Schwachstellen bietet die englischsprachige Open Source Vulnerability Database unter http://osvdb.org. Hier können Sie im Feld "General Search" mit einer Volltextsuche nach Sicherheitslücken von Routern forschen - etwa, indem Sie den Herstellernamen eingeben.
Schritt 4 - Tückische WPS-Lücke
Ein hartnäckiges Problem ist die oft unsichere Implementierung von WPS (Wi-Fi Protected Setup) in Routern. WPS möchte die Konfiguration der WLAN-Clients über ein PIN-Verfahren vereinfachen. Seit Anfang 2012 sind aber bereits Sicherheitslücken bekannt: Oft lässt sich die PIN von WPS einfach per Ausprobieren knacken. Durch die verräterischen Antworten vieler Router reichen bereits 11.000 Anmeldeversuche aus, um eine PIN zu erraten und darüber ins WLAN zu kommen. Bei den meisten Routern ist WPS außerdem standardmäßig eingeschaltet. Das Ausnutzen dieser Sicherheitslücke ist derzeit noch versierten Linux-Anwendern vorbehalten, denn das dazu nötige Tool Reaver-WPS lässt sich nur unter Linux kompilieren. Mit dem Live-System Kali Linux (Download der ISO-Datei unter www.kali.org, englischsprachig, 2,3 GB) kann man sich den Aufwand sparen, denn hier ist Reaver bereits einsatzfertig vorinstalliert. Bevor Reaver-WPS in Aktion treten kann, müssen Sie allerdings noch den WLAN-Chip in den Monitormodus umschalten. Dies gelingt am einfachsten mit dem Programm Aircrackng. In Kali Linux schalten Sie in einem Terminal-Fenster mit dem Kommando
airmon-ng start wlan0 |
die Netzwerkkarte um. Anschließend steht die WLAN-Schnittstelle unter einer neuen Kennung bereit, in den meisten Fällen lautet diese mon0. Wenn Sie den Namen der eigenen WLAN-Schnittstelle und die MAC-Adresse des Routers haben, können Sie Reaver-WPS nach folgendem Schema einsetzen:
reaver -i mon0 -b [Router-MAC] -vv |
Da es sich hierbei jedoch um einen Brute-Force-Angriff handelt, kann der Check bis zu mehreren Stunden dauern. Für den Fall, dass der Angriff gelingt, erhalten Sie im Terminal die Ausgabe mit dem gefundenen WPA-Schlüssel. Auch wenn der Angriff für Sie wegen mangelndem Linux-Know-how nicht in Frage kommen sollte: Schalten Sie die WPS-Funktionalität im Router vorsichtshalber ab, wenn Sie sich nicht absolut sicher sind, dass der Hersteller diese weit verbreitete Sicherheitslücke behoben hat. Anwender, die AVM-Geräte im Einsatz haben, können dagegen beruhigt sein, denn die Fritzbox ist nicht verwundbar.
Check von innen
Schritt 1 - IP-Adresse herausfinden
Wenn Sie mit dem Netzwerk verbunden sind , gibt der Router bereitwillig Auskunft über seine interne Netzwerkadresse, Ports, Dienste und eventuell sogar seine Konfiguration. Die Suche nach Sicherheitslücken beginnt ab hier, im eigenen Netzwerk. Besonders wichtig ist dieser Punkt, wenn Sie ein öffentliches WLAN anbieten oder viele Nutzer haben.
Im lokalen Netzwerk ist die IP-Adresse des Routers gleichzeitig die Gateway-Adresse, an die der Netzwerkverkehr für die Internet-verbindung geht. Außerdem ist dies bei den meisten Routern mit integriertem DNS-Server auch die Adresse für DNS-Anfragen aus dem eigenen Netzwerk. Bei der Verbindungsaufnahme im LAN/WLAN erhält jeder Netzwerkteilnehmer über DHCP automatisch die Adresse des Routers für DNS und Gateway ins Internet. Um die Router-Adresse unter Windows herauszufinden, öffnen Sie nun ein Fenster der Eingabeaufforderung und geben dort den Befehl ipconfig ein. Die Ausgabe zeigt dann die Verbindungsinformationen aller Netzwerkschnittstellen. Interessant ist jedoch nur die aktive Schnittstelle, die mit dem Router verbunden ist. Hier erscheint die IP-Adresse des Routers in der Zeile "Standardgateway". Typische IP-Adressen von Routern sind 192.168.0.254 oder 192.168.1.254 in einem privaten C-Klasse-Subnetz. Einige Router verwenden gemäß Herstellereinstellungen ein A-Klasse-Netz nach dem Schema 10.0.0.0 bis 10.255.255.255. Die übliche Router-Adresse ist dann 10.0.0.138.
Schritt 2 - Portscan auf den Router ansetzen
Welche Dienste der Router im lokalen Netzwerk anbietet, lässt sich mit einem Portscanner herausfinden. Die mit Abstand bekannteste Anwendung für diesen Zweck ist der "Portscanner Network Mapper", auch kurz Nmap. Das Programm steht unter GNU Public License für eine Vielzahl verschiedener Plattformen bereit und bringt für Windows das grafische Frontend Zenmap mit. Nmap lässt sich damit nicht nur von der Kommandozeile aus starten, sondern auch einfacher mit einer grafischen Bedienoberfläche. Nmap mit Zenmap laden Sie als Bundle in Form einer Setup-Datei von der Website http://nmap.org/download.html herunter.
In Zenmap geben Sie als Ziel die IP-Adresse des Routers ein. Wählen Sie im Auswahlmenü hinter Profil die gewünschte Scan-Methode, beispielsweise "Intense Scan", was für die gängigsten TCP-Ports ausreichen sollte. Unter "Nmap-Ausgabe" sehen Sie die detaillierten Ergebnisse des Scans. Auf der Seite "Ports/Rechner" sind die offenen Ports auf der untersuchten IP-Adresse aufgelistet.
Auch für Smartphones und Tablet-PCs gibt es entsprechende Portscan-Apps, mit denen sich ein umfassender Scan durchführen lässt.
Wichtiger, rechtlicher Hinweis: Scannen Sie nur eigene PCs und Netzwerke. Das Scannen fremder PCs oder Netzwerke kann eine Straftat sein und erheblichen Ärger mit den Adminis-tratoren einbringen.
Schritt 3 - Auf das Webfrontend zugreifen
Wenn ein Portscan auf dem Router einen Webserver gefunden hat, etwa auf dem Port 80 (http) oder auf dem Port 443 (https), können Sie versuchen, sich mit dem Browser einfach mal zu verbinden. Geben Sie dazu die Adresse http://[IP des Routers]:80 oder https://[IP des Routers]:443 im Adressfeld des Browsers ein. Meldet sich eine Anmeldemaske zur Eingabe von Login und Passwort, ist dies eine Einladung, hier sämtliche bekannte Standard-Anmeldeinformationen verschiedener Hersteller auszuprobieren. Die meisten Router haben in den Standardeinstellungen recht einfache Logins. Üblicherweise melden sich Router hier auch gleich mit der kompletten Typenbezeichnung. Diese können Sie dazu verwenden, um im Handbuch des Routers, das Sie zumeist über die Hersteller-Webseite bekommen, nach den Standard-Logins zu suchen.
Einige Router bieten im Bedienmenü auch sehr einfach zu findende Sicherheitslücken. So erlaubt zum Beispiel der verbreitete Router 3COM Office Connect den Zugriff auf das interne Script SaveCfgFile.cgi ganz ohne Anmeldung, um die komplette Konfiguration mit unverschlüsselten Passwörtern im Browser anzuzeigen.
Schritt 4 - Telnet-Hintertür zum Router prüfen
Einige Router erlauben den Zugang für deren Konfiguration nicht nur über ein Web-frontend, sondern auch über Telnet. Dies ist ein altes Protokoll zum Aufbauen einer Terminal-basierten Verbindung zu einem Host, um eine dort bereitgestellte Befehlszeile über das Netzwerk zu nutzen. Der Telnet-Port ist üblicherweise 23, es lohnt sich aber, auch andere Portnummern offener Ports auszuprobieren, um zu sehen, ob der Router dort antwortet. Unter Windows nutzen Sie Telnet in der Eingabeaufforderung mit dem Befehl telnet [IP-Nummer]. Es erfolgt üblicherweise auch hier die Abfrage von Anmeldeinformationen, und es lohnt sich, die Standard-Logins der Werkseinstellungen des Routers auszuprobieren. Geräte für den professionellen Einsatz, etwa von Cisco, bieten auch einen Zugang über SSH auf dem Port 22 an. Um sich unter Windows mit dem SSH-Server des Routers zu verbinden, reichen die Bordmittel jedoch nicht aus. Sie brauchen einen SSH-Client wie Putty.
Schritt 5 - Brute-Force-Angriffe auf Router-Code
Auch wenn der Router sich keine Blöße gibt, lässt sich noch eine Methode einsetzen, um den Router anzugreifen: Man kann Router mittels Brute-Force, also durch Ausprobieren, auf schwache Passwörter hin überprüfen. Eines der mächtigsten Hilfsprogramme dafür ist das Open-Source-Programm THC-Hydra. Das Tool stammt aus der Linux-Ecke und steht im Quellcode unter www.thc.org/thc-hydra zum kostenlosen Download. Es ist auch im bereits erwähnten Live-System Kali Linux vorinstalliert und direkt startklar.
THC-Hydra wird über die Befehlszeile bedient und spielt seine Stärke mit Regular Expressions aus, um Login-Dialoge und Formulare auf Webseiten mit Anmeldeversuchen zu bombardieren. Es unterstützt GET-und POST-Requests sowie mehrere Threads und ist daher auch bei langsamer Netzwerkverbindung noch flott. Logins und Passwörter übergeben Sie dem Tool als Textdateien. Sie können eine laufende Überprüfung darüber hinaus unterbrechen und später fortsetzen, falls das Tool mehrere Stunden lang zugange sein sollte. Allerdings darf hier wiederum der rechtliche Hinweis nicht fehlen: Setzen Sie THC-Hydra ausschließlich im eigenen Netzwerk ein.
(PC-Welt)