Immer mehr Hersteller nehmen Ihnen beim Einrichten und Sichern des Routers die Arbeit ab: Die Geräte sind ab Werk verschlüsselt und/oder besitzen Assistenten, die Sie Schritt für Schritt durch die Einstellungen führen. Dennoch sollten Sie sich auch bei den Sicherheitsoptionen des Routers auskennen, denn nicht immer sind die Herstellervorgaben optimal.

Das WLAN optimal absichern

So heißt die Einstellung: Verschlüsselung / WLAN-Sicherheit / WPA, WPA2-Personal, WPA2-Enterprise

Das bewirkt sie: Hier legen Sie fest, wie stark die WLAN-Verbindung gesichert ist. WPA2 ist besser und schneller als WPA: Allerdings unterstützen ältere WLAN-Komponenten häufig nur WPA, das auch als WPA-TKIP bezeichnet wird. WPA2 nutzt dagegen auf jeden Fall das Verschlüsselungsverfahren AES. Das eigentliche Verschlüsselungsprotokoll heißt CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) – diese Bezeichnung finden Sie zum Beispiel bei den Fritzboxen von AVM. Da in vielen WLAN-Routern spezielle Hardware für AES sitzt, können sie die WPA2-Verschlüsselung schneller verarbeiten als WPA-TKIP.

Viele Router bieten Ihnen außerdem die Auswahl zwischen WPA2-Personal oder WPA2-PSK sowie WPA2-Enterprise oder Radius. Bei WPA2-Personal muss jedes WLAN-Gerät das gemeinsame Passwort kennen, den sogenannten Pre-Shared-Key (PSK), den Sie im Router festlegen und in jedem Client eingeben müssen, der sich verbinden will. Bei WPA2-Enterprise übernimmt ein zentraler Server diese Aufgabe: Er besitzt eine Zugangsliste für den Router, die entscheidet, ob sich eine Station mit dem Router verbinden darf. Dieses aufwändige Verfahren lohnt sich nur für Unternehmens-WLANs.

Das sollten Sie tun: Sichern Sie Ihren Router auf jeden Fall mit WPA2-Personal und wählen Sie ein möglichst komplexes Passwort, das in keinem Wörterbuch vorkommt. Wenn Sie WLAN-Komponenten verwenden, die nur WPA beherrschen, sollten Sie sie am besten durch aktuellere ersetzen. Wenn Sie das nicht wollen, müssen Sie bei der WLAN-Verschlüsselung das Verfahren WPA+WPA2 wählen: Der Router nutzt dann für jede Komponente das bestmögliche Verfahren.

WLAN-Geräte voneinander abschotten

So heißt die Einstellung: Die angezeigten WLAN-Geräte dürfen untereinander kommunizieren / Wireless Isolation / Client Isolation

Das bewirkt sie:Wenn Sie diese Option abgeschaltet beziehungsweise im Fall der „Wireless Isolation“ aktiviert haben, erreichen WLAN-Geräte über den Router zwar das Internet, können sich aber nicht mit dem lokalen Netzwerk verbinden. In den meisten Fällen bezieht sich das auch auf das Browser-Menü des Routers. Auf diese Weise können Sie andere WLAN-Geräte ins Funknetzwerk lassen, ohne befürchten zu müssen, dass sie andere Netzwerk-Geräte oder –Freigaben ausspionieren.

Das sollten Sie tun:Sie sollten diese Funktion nicht nutzen. Bequemer isolieren Sie fremde WLAN-Geräte über ein Gast-Netzwerk – diese Funktion bieten die meisten aktuellen Router. Besucher können sich dann in ein WLAN mit eigener Netzwerkkennung und eigenem Passwortschutz einwählen. Bei der Client Isolation müssen den anderen WLAN-Geräten dagegen die SSID und das Passwort Ihres Funknetzwerkes mitteilen.

WPS: WLAN automatisch absichern

So heißt die Einstellung: WPS-PBC / WPS-PIN

Das bewirkt sie: WPS (Wi-Fi Protected Setup) erlaubt, eine sichere WLAN-Verbindung zu einem neuen Gerät aufzubauen, ohne das Password eingeben zu müssen. Dafür gibt es zwei Verfahren: Bei WPS-PBC (Push Button Configuration) werden Sie beim Einrichten des Client-Geräts aufgefordert, eine spezielle Taste am Router zu drücken. Er überträgt dann das Passwort an den Client, damit sich dieser sicher verbinden kann. Bei der PIN-Methode präsentiert entweder der Client eine achtstellige Ziffernfolge, die Sie im entsprechenden Menü des Routers eingeben müssen. Oder Sie rufen im Router-Menü eine PIN ab, die Sie im Treiber des Client eingeben.

Das sollten Sie tun:Aktivieren Sie nur WPS-PBC und schalten Sie WPS-PIN aus, wenn möglich. Bei vielen Routern lassen sich die unterschiedlichen WPS-Methoden allerdings nicht getrennt, sondern nur zusammen ein- oder ausschalten. Der Hintergrund: Mit einer Brute-Force-Attacke könnte ein WLAN-Eindringling die PIN erraten und sich ins Netzwerk einklinken. Einige Router schützen sich davor, indem sie nach einer bestimmten Anzahl von fehlgeschlagenen PIN-Verbindungen diese Funktion abschalten: Bietet Ihr Router diese Möglichkeit, können Sie auch die PIN-Methode verwenden.

Internes Netzwerk-Gerät per Internet erreichen

So heißt die Einstellung: Exposed Host / DMZ-Server

Das bewirkt sie: Damit Sie von unterwegs per Internet auf Ihr heimisches Netzwerk zugreifen können, muss der Router diese Verbindung akzeptieren und an das gewünschte Gerät im LAN weiterleiten. Das kann eine NAS sein, die als Server für Bilder, Filme oder Musik dient oder ein PC, auf dem ein FTP- oder Mail-Server läuft. Soll der Zugriff nur auf ein einziges Netzwerk-Gerät erfolgen, lässt sich dieses als Exposed Host einrichten, der das Ziel für alle Zugriffe aus dem Internet ist.

Der Exposed Host wird damit zum offenen Scheunentor im LAN: Es ist deswegen unbedingt notwendig, ihn durch eine lokale Firewall vom Rest des internen Netzwerks abzuschotten. In vielen Router-Menüs finden Sie auch den Begriff DMZ (Demilitarized Zone): Dieser Begriff stimmt nicht, denn eine DMZ bezeichnet ein eigenes Subnetz, in das beispielsweise Dienste für Web-, FTP- und Mail-Server ausgelagert sind und das durch eine oder mehrere Firewalls vom internen Netzwerk getrennt ist.

Das sollten Sie tun: Im Heimnetzwerk sollten Sie den Exposed Host oder DMZ nicht nutzen. Richten Sie lieber Port-Weiterleitungen für genau die Dienste ein, die Sie übers Internet im eigenen LAN erreichen wollen.

Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation PC-Welt. (mhr)