Ethernet Sicherheit-Netzwerk-Wissensdatenbank

So erhöhen Sie die Sicherheit des eigenen Routers

Die Schaltzentrale im heimischen Netzwerk ist auch für die Sicherheit von entscheidender Bedeutung. Gewissenhafte Einrichtung und aktuelle Updates sind deswegen ein Muss.

Immer mehr Geräte bevölkern unsere Netzwerke. Laut dem Digitalverband Bitkom nutzen heute vier von zehn Verbrauchern heute Smart-Home-Anwendungen, wie Lichtsysteme, digitale Thermostate, Grill-Gadgets oder Alarmsysteme in ihren eigenen vier Wänden. Das schafft nicht nur Komfort, sondern auch potenzielle Sicherheitsprobleme. Denn alles, was aus der Ferne gesteuert oder überwacht werden kann, kann auch ein Cyberkrimineller kapern. Dabei ist es entscheidend nicht nur Smart-Home-Geräte zu schützen, sondern auch dessen Schaltzentrale im Heimnetzwerks: Der Router. Dieser wird häufig einmal gekauft, eingerichtet und verrichtet dann unverändert viele Jahre seinen Dienst. Wir zeigen, wie das eigene Heimnetzwerk mit wenig Aufwand zu einem Bollwerk werden kann.

Router-Sicherheit wird oft vernachlässigt

Ein sicheres und vor allem performantes Netzwerk steht und fällt mit dem Router. Er ist die Schaltzentrale für das Netzwerk und die Verbindung zum Internet. Der Sicherheit dieses Torwächters kommt dabei eine besondere Bedeutung zu. Denn ist er kompromittiert, dann sind alle Geräte im Netzwerk in Gefahr. Viele Router-Modelle schützen den Zugang zur Administrationsoberfläche standardmäßig mit einem Passwort. Dem vergebenen Kennwort kommt somit eine Schlüsselrolle zu. Viele Anwender vernachlässigen diesen Aspekt und verwenden das Standardpasswort, das werkseitig eingestellt ist. Auch wenn dieses Kennwort auf dem ersten Blick bei einigen Modellen noch so komplex erscheint, ist nicht sichergestellt, ob es nicht doch leicht herauszubekommen ist. Beispielsweise kann schlicht eine fortlaufende Nummer am Ende oder ähnliches bei der Erstellung benutzt worden sein.

Dennoch setzen viele Privatanwender weiterhin auf sehr einfache Passwörter bei ihren Routern. Aktuelle Statistiken der ESET Heimnetzwerk-Schwachstellen-Scanner zeigen, dass mehrere Tausend, der über 100.000 gescannten Geräte, Standard-Passwörter benutzen. Diese Kennwörter sind definitiv nicht komplex. Ein potenzieller Angreifer bräuchte zum Knacken des Zugangs nicht einmal Sekunden.

Das ist die Top-10 der beliebtesten schwachen Router-Passwörter:

Bei dem oftmals laschen Umgang von Anwendern mit der Passwort-Sicherheit wundert es nicht, dass Angriffe zunehmen.

Wie sieht das sichere Router-Passwort aus?

In sieben von zehn Fällen ist der unbefugte Zugriff auf Geräte auf schwache Passwörter oder Datendiebstahl zurückzuführen. Beim Passwort sollte man daher nicht kleckern, sondern klotzen.

Es sollte keinesfalls das Kennwort genutzt werden, das der Hersteller mit dem Gerät ausgeliefert hat. Ein gutes Router-Passwort sollte mindestens 8 bis 12 Zeichen lang sein. Anwender sollten sich einen Satz überlegen, der mindestens eine Zahl enthält, und sich gut merken lässt. Zum Beispiel: „Am liebsten esse ich Pizza mit vier Zutaten und extra Käse!“. Nimmt man nun den ersten Buchstaben eines jeden Wortes ergibt dies: „AleiPm4Z+eK!“. So erhält man schnell ein sicheres Passwort.

Wer sich Passwörter schlecht merken kann, oder davon sehr viele hat, sollte unbedingt über die Nutzung eines Passwort-Managers nachdenken.

Und auf was sollten Anwender darüber hinaus achten?

Wichtige Funktionen bei einem Router

Moderne Router verfügen über eine Funktion zur Trennung von Geräten im Heimnetzwerk. Diese sollte zum Einsatz kommen, um eigene und fremde Geräte zu separieren und damit eine höhere Sicherheit zu erzielen. Wichtige SmartHome-Geräte, wie die Steuerung der Wohnungseingangstür, oder die eigenen Computer im Haushalt sollte man von den Geräten von Besuchern mit einem speziellen Gastzugang trennen.

Einige Router-Modelle bieten auch die Möglichkeit eine Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Anwender sollten diese Option nutzen, wenn sie verfügbar ist. 2FA schafft neben den Zugangsdaten eine weitere Schutzebene. Werden Änderungen auf dem Gerät vorgenommen, müssen Anwender dann zum Bestätigen beispielsweise eine bestimmte Taste drücken oder bei angeschlossenen Telefonen einen bestimmten Code eingeben. Der zusätzliche Sicherheitsschutz ist insbesondere dann eine gute Maßnahme, wenn etwa öfters aus bestimmten Gründen von extern auf den Router zugegriffen wird.

Updates, Updates, Updates….

Auch bei Routern ist eine aktuelle Firmware von entscheidender Bedeutung für die Sicherheit. Immer wieder werden Sicherheitslücken bei Routern öffentlich. Erst kürzlich haben ESET Forscher mehrere Analysen zu einer WLAN-Sicherheitslücke, die sie Kr00k getauft haben, veröffentlicht. Rund eine Milliarde WLAN-fähiger Geräte waren oder sind von dieser Schwachstelle betroffen. Die Lücke (CVE-2019-15126) betraf WLAN-Chips der Hersteller Broadcom, Qualcomm und Cypress. Nahezu alle Geräte wie Smartphones, Tablets, Router, Access Points und auch Smart-Home-Geräte waren oder sind von dieser Lücke betroffen. Gerade Router stellen hier eine besondere Gefahr dar, weil selbst gepatchte Client-Geräte weiter anfällig bleiben. Über diesen Sicherheitslücke ist es Hackern möglich, eigentlich verschlüsselt übertragene Informationen auszuspionieren oder sogar eigene Datenpakete einzuschleusen. Bereits rund zwei Jahre zuvor hat ein Sicherheitsforscher mit „Krack“ eine ähnliche Sicherheitslücke entdeckt. Auch hier ließ sich die WLAN-Verschlüsselung umgehen. Beide Lücken unterstreichen, dass ein Router, ähnlich wie andere Hard- oder Software, stets auf dem neusten Stand gehalten werden sollte. Häufig besteht hier aber weiterhin Nachholbedarf.

Viele moderne Router aktualisieren sich von selbst. Anwender sollten dies aber bei der Neuinstallation ihres Routers prüfen und bei älteren Geräten, die nicht automatische Updates bekommen, regelmäßig überprüfen. Meist geht dies komfortabel über die Administrationsoberfläche des Geräts.

Und jetzt ist alles gut?

Ist nun alles gut? Anwender sollten die hier vorgestellten Tipps unbedingt beherzigen, denn der Router bildet einen zentralen Baustein im privaten Heimnetzwerk und ganz besonders im smarten Zuhause. Mit einer umfassenden und modernen Sicherheitslösung sollten Anwender nicht nur den Sicherheitsstatus auf dem Endgerät checken können, sondern sollten auch die Möglichkeit haben das Heimnetzwerk im Blick zu behalten.

Tipps zum Schutz des heimischen Routers:

Sicheres Router-Passwort vergeben: Voreingestellte Passwörter sollten sofort geändert und durch ein starkes Passwort ersetzt werden.

Voreingestellte Passwörter sollten sofort geändert und durch ein starkes Passwort ersetzt werden. WLAN-Passwort ändern: Die beste Verschlüsselungsmethode ist nutzlos, wenn das dazugehörige Passwort leicht zu erraten ist. Insbesondere bei den Standard-Passwörtern, die werksseitig festgelegt sind, besteht die Gefahr, dass Hacker mittels spezieller Programme bekannte Passwörter automatisch durchtesten.

Die beste Verschlüsselungsmethode ist nutzlos, wenn das dazugehörige Passwort leicht zu erraten ist. Insbesondere bei den Standard-Passwörtern, die werksseitig festgelegt sind, besteht die Gefahr, dass Hacker mittels spezieller Programme bekannte Passwörter automatisch durchtesten. Router-Firmware aktuell halten: Aktualisierungen bringen in vielen Fällen neue Funktionen und schließen Sicherheitslücken. Wenn möglich, sollten automatische Updates im Menü des Routers aktiviert oder regelmäßig nach Aktualisierungen gesucht werden.

Aktualisierungen bringen in vielen Fällen neue Funktionen und schließen Sicherheitslücken. Wenn möglich, sollten automatische Updates im Menü des Routers aktiviert oder regelmäßig nach Aktualisierungen gesucht werden. Zwei-Faktor-Authentifizierung (2FA) aktivieren: Moderne Router bieten die Möglichkeit, 2FA zu aktivieren. Werden Einstellungen verändert, müssen diese durch eine weitere Quelle verifiziert werden. Diese Bestätigung kann mit dem Drücken einer bestimmten Taste am Gerät oder mit dem Telefon erfolgen.

Moderne Router bieten die Möglichkeit, 2FA zu aktivieren. Werden Einstellungen verändert, müssen diese durch eine weitere Quelle verifiziert werden. Diese Bestätigung kann mit dem Drücken einer bestimmten Taste am Gerät oder mit dem Telefon erfolgen. Gastzugang aktivieren: Moderne Router besitzen eine Funktion, die Berechtigungen für die Steuerung von Geräten im Heimnetzwerk vergibt. Das heißt: Für Gäste gibt es einen speziellen Gastzugang, bei besonders heiklen Schnittstellen wie eben zum Beispiel der Wohnungseingangstür dürfen keine anderen Anwendungen auf diese zugreifen. Diese Funktion sollte stets aktiviert sein und Besuchern dieser Zugang bereitgestellt werden.

Moderne Router besitzen eine Funktion, die Berechtigungen für die Steuerung von Geräten im Heimnetzwerk vergibt. Das heißt: Für Gäste gibt es einen speziellen Gastzugang, bei besonders heiklen Schnittstellen wie eben zum Beispiel der Wohnungseingangstür dürfen keine anderen Anwendungen auf diese zugreifen. Diese Funktion sollte stets aktiviert sein und Besuchern dieser Zugang bereitgestellt werden. Fernzugriff deaktivieren: Mit dem Fernzugriff öffnen Anwender Ports auf ihrem Gerät. Zwar bringt diese Funktion zahlreiche Vorteile, doch Hacker erhalten dadurch auch einen weiteren Angriffspunkt. Der Fernzugriff sollte daher deaktiviert bleiben. Sollte er doch nötig sein, dann einen Router auswählen, der 2FA besitzt.

Mit dem Fernzugriff öffnen Anwender Ports auf ihrem Gerät. Zwar bringt diese Funktion zahlreiche Vorteile, doch Hacker erhalten dadurch auch einen weiteren Angriffspunkt. Der Fernzugriff sollte daher deaktiviert bleiben. Sollte er doch nötig sein, dann einen Router auswählen, der 2FA besitzt. WPS-PIN abschalten: “Wi-Fi Protected Setup” (WPS) ist ein Standard zum schnellen Aufbau eines verschlüsselten WLAN-Netzwerks. Anwender benötigen hierzu lediglich eine PIN, die auf dem Gerät abzulesen ist. Diese Funktion sollte deaktiviert werden, da sie leicht zu knacken ist.

“Wi-Fi Protected Setup” (WPS) ist ein Standard zum schnellen Aufbau eines verschlüsselten WLAN-Netzwerks. Anwender benötigen hierzu lediglich eine PIN, die auf dem Gerät abzulesen ist. Diese Funktion sollte deaktiviert werden, da sie leicht zu knacken ist. Netzwerknamen ändern: Nutzer sollten ihrem WLAN einen neuen Namen (SSID) geben. Der voreingestellte enthält oft Herstellernamen und Gerätetyp. Angreifer können so direkt nachschauen, ob es bekannte Schwachstellen des Routers gibt.

Erhalten Sie E-Mails zu neuen Artikeln zur Cyber-Sicherheitslage in der Ukraine . Jetzt anmelden! Eintragen

Wie sicher ist Dein Heimnetzwerk?

Sichere Einrichtung von LAN und WLAN! Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine Reihe von Tipps zur Verfügung, mit deren Hilfe das eigene Heimnetzwerk geprüft und die Sicherheit optimiert werden kann.

Ein Local Area Network, kurz LAN, ist ein Netzwerk, das Computer über Kabel miteinander verbindet. Es heißt „local“, weil die verbundenen Computer normalerweise nicht weiter als 500 Meter voneinander entfernt stehen. Ein LAN wird häufig privat oder in kleinen Unternehmen eingesetzt. Das LAN ermöglicht den Austausch von Dateien zwischen den verbundenen Computern ebenso wie deren Zugang zum Internet. Denn Computer, die zu einem LAN zusammengeschlossen sind, teilen sich zumeist einen Zugang zum Internet.

Ein LAN, bei dem die Verbindung ohne Kabel erfolgt, heißt Wireless Local Area Network (WLAN).

Ob mit Kabel oder kabellos: Den „Knotenpunkt“ eines LAN bildet der sogenannte Router. Er organisiert den gleichzeitigen Austausch von Dateien zwischen den vernetzten Computern und auch mit dem Internet. So kann Computer 1 eine Textdatei an Computer 2 schicken, während Computer 3 ein Video aus dem Internet lädt.

Damit ist auch angedeutet, wo das grundsätzliche Sicherheitsproblem eines LAN (oder auch eines WLAN) liegt: Wenn sich ein Übeltäter in den Router eines LAN „hackt“, bricht er nicht nur in einen Arbeitsplatzrechner ein. Ihm stehen womöglich alle Rechner „zur Verfügung“, die das LAN bilden.

Sicherheitstipps zum privaten LAN -Einsatz

Gelingt einem Angreifer der Zugriff auf den Router, kann er Ihnen auf verschiedene Weisen Schaden zufügen, wie folgende Beispiele zeigen:

Der Angreifer kann Ihre Passwörter, E-Mails oder sonstige privaten Daten ausspähen,

er kann Ihren Internetzugang für Angriffe auf andere Internetnutzer missbrauchen, zum Beispiel, um Spam zu versenden oder um Denial-of-Service-Angriffe auszuführen,

er kann Ihre (VOIP-)Telefonleitung missbrauchen, zum Beispiel indem er kostenpflichtige Nummern anwählt, oder

er kann die auf dem Router eingesetzten Firmware austauschen, wonach der Router anschließend nicht mehr funktioniert, wie er soll.

Das BSI empfiehlt dazu folgende Maßnahmen:

Ändern Sie das Passwort!

Die Bedienoberfläche des Routers wird durch ein Passwort geschützt. Verlassen Sie sich auf keinen Fall auf das, mit dem der Hersteller das Gerät ausgeliefert hat. Ändern Sie das Passwort in eines, das Sie nicht auch für andere Gelegenheiten verwenden. Tipps, ein sicheres Passwort zu erstellen, finden Sie hier.

Surfen Sie nicht gleichzeitig im Netz, wenn Sie gerade Änderungen am Router durchführen. Denn selbst wenn Sie ein gutes Passwort verwenden, besteht die Gefahr eines erfolgreichen Angriffs, wenn Sie die Konfiguration des Routers ändern und gleichzeitig Webseiten aufrufen. Schließen Sie erst die Konfiguration des Routers ab, starten Sie diesen dann neu (zum Beispiel, indem Sie ihn aus- und wieder einschalten) und surfen Sie erst anschließend im Netz.

Bei der Konfiguration des Routers sollte außerdem darauf geachtet werden, dass die Routerkonfiguration über https aufgerufen wird. Erkennbar ist das in der Adresszeile Ihres Browsers.

Bei der Konfiguration des Routers sollte außerdem darauf geachtet werden, dass die Routerkonfiguration über https aufgerufen wird. Erkennbar ist das in der Adresszeile Ihres Browsers. Halten Sie die Firmware aktuell!

Überprüfen Sie regelmäßig, ob die sogenannte Router-Firmware noch aktuell ist. Als Firmware bezeichnet man die Betriebssoftware eines Geräts. Eine Aktualisierung (also ein „Update“) dient dem Nachrüsten mit neuen Funktionen oder der Korrektur von Fehlern, einschließlich dem Stopfen von Sicherheitslöchern. Haben Sie Ihr Gerät von Ihrem Internet-Zugangs-Provider erhalten, fragen Sie diesen, ob er die Aktualisierung der Firmware regelmäßig über eine Fernwartung vornimmt. Auch im Konfigurationsmenü des Routers findet sich zumeist die Option, Aktualisierungen („Updates“) automatisch zu installieren. Machen Sie von dieser Option Gebrauch.

Manche Router zeigen ausführliche Informationen zum Modell an, etwa Hersteller, Gerätetyp und Versionsnummer der Firmware. Diese Angaben können einem potentiellen Angreifer von Nutzen sein. Notieren Sie sich die Angaben, aber löschen Sie die Informationen – sofern möglich – aus dem Gerät. Fragen Sie gegebenenfalls den Hersteller des Geräts, ob Sie den sogenannten Login-Banner ersetzen oder löschen können.

Die MAC-Adresse (Media-Access-Control-Adresse) ist die Hardware-Adresse jedes einzelnen Netzwerkadapters. Sie dient die als eindeutiger Identifikator des Geräts in einem Rechnernetz. Bei Apple wird sie auch Ethernet-ID, Airport-ID oder Wi-Fi-Adresse genannt, bei Microsoft Physikalische Adresse. Wenn Ihr Router die Möglichkeit bietet einen MAC-Filter einzurichten, dann nutzen Sie diese Möglichkeit.

Nur den von Ihnen freigegebenen Netzwerkkarten wird nach Überprüfung ihrer MAC-Adressen der Zugang gestattet.

Moderne Router ermöglichen außer dem Zugang zum Internet eine Vielzahl zusätzlicher Funktionen. So können Router zum Beispiel als Medienplayer eingesetzt werden. Diese Funktionen können allerdings auch ein Einfallstor für Angreifer darstellen. Deaktivieren Sie auf Ihrem Router daher alle Dienste, die Sie nicht benötigten. Aktivieren Sie auch das WLAN Ihres Routers nur, wenn Sie es verwenden. Informationen zu den Diensten Ihres Routers und deren Konfiguration finden Sie im Handbuch oder auf der Homepage Ihres Routerherstellers.

Viele Router ermöglichen es, sie auch von außerhalb des Heimnetzwerks zu konfigurieren. Prüfen Sie, ob bei Ihrem Router diese Funktion vorhanden und gegebenenfalls aktiviert ist und deaktivieren Sie sie.

Viele Router haben eine eingebaute Firewall. Ändern Sie Einstellungen an ihr nur, wenn Sie entsprechende Kenntnisse über die einzelnen Ports besitzen.

Mobile Kommunikation – WLAN

Drahtlose Funknetzwerke („Wireless Local Area Networks“, kurz WLAN) sind in sehr vielen privaten Haushalten und Unternehmen zu finden. Sie ermöglichen die kabelfreie Kommunikation zwischen mehreren lokalen Computern ebenso wie einen mobilen Einstiegsweg ins Internet.

Die Zahl der öffentlich eingerichteten WLAN-Zugänge, der so genannten Hotspot, nimmt stetig zu. Ob an Verkehrsknotenpunkten wie Flughäfen und Bahnhöfen oder in Restaurants oder Hotels – immer mehr Einrichtungen ermöglichen ihren Besuchern den unkomplizierten Einstieg in die virtuelle Welt.

Allerdings bringt die grenzenlose Mobilität auch Probleme mit sich: Werden Daten durch Funk oder Infrarot-Licht, also ohne direkte Verbindung zwischen Geräten wie PCs , PDAs oder Telefonen übertragen, so treten neben Störungen oder Netzausfällen vor allem Sicherheitsprobleme auf. Wenn sie zuvor nicht ausreichend verschlüsselt und geschützt wurden, können auf diese Weise übertragene Informationen von Dritten empfangen, aufgezeichnet und manipuliert werden.

So sichern Sie Ihr privates WLAN

Halten Sie sich an die BSI-Empfehlungen für Router!

Lesen Sie zunächst die Sicherheitshinweise für Router. Die nachfolgenden Tipps gehen darüber hinaus und berücksichtigen Besonderheiten von WLAN-Routern.

Lesen Sie zunächst die Sicherheitshinweise für Router. Die nachfolgenden Tipps gehen darüber hinaus und berücksichtigen Besonderheiten von WLAN-Routern. Konfigurieren Sie Ihren Access Point über sichere Wege!

Die Einrichtung des Access Points und die laufende Administration sollten über kabelgebundene Wege und nicht über Funk erfolgen. Außerdem sollten Sie darauf achten, dass keine unbefugten Personen direkten Zugang zu Ihrem Access Point haben.

Die Einrichtung des Access Points und die laufende Administration sollten und nicht über Funk erfolgen. Außerdem sollten Sie darauf achten, dass keine unbefugten Personen direkten Zugang zu Ihrem Access Point haben. Ändern Sie den Netzwerknamen!

Geben Sie Ihrem WLAN einen andernen Netzwerknamen ( SSID ) falls möglich. Der Netzwerkname sollte keinen Bezug zu Ihnen darstellen können (Name, Straße, Wohnort,…) und auch nicht den Herstellernamen und Gerätetyp enthalten. Bekannte und nicht abgestellte Sicherheitslücken können Angreifern den Zugriff erleichtern.

Geben Sie Ihrem WLAN einen andernen Netzwerknamen ( ) falls möglich. Der Netzwerkname sollte keinen Bezug zu Ihnen darstellen können (Name, Straße, Wohnort,…) und auch nicht den Herstellernamen und Gerätetyp enthalten. Bekannte und nicht abgestellte Sicherheitslücken können Angreifern den Zugriff erleichtern. Sorgen Sie für Verschlüsselung!

Für den privaten Bereich ist eine Verschlüsselung mit WPA2 empfehlenswert. Achten Sie dabei unbedingt auf die Wahl eines sicheren Passwortes!

Im Falle eines unverschlüsselten WLANs haben Unbefugte direkten Zugriff auf die übertragenen Daten und das Netzwerk. Hier können sogar rechtliche Konsequenzen drohen. Eine Verschlüsselung mit dem Standard WEP ist unsicher und nicht zu empfehlen . Eine bisher noch ausreichende Sicherheit bietet das Verfahren WPA . Der Nachfolgestandard WPA2 verwendet den sichereren Algorithmus AES/CCMP und sollte deshalb zum Einsatz kommen.

Bei beiden Verschlüsselungsverfahren WPA und WPA2 ist es äußerst wichtig, ein komplexes Passwort mit mindestens 20 Zeichen zu wählen. Keinesfalls dürfen Passwörter aus bekannten, in Wörterbüchern vorhandenen Zeichenkombinationen bestehen. Tipps für eine geeignete Wahl des Passwortes haben wir für Sie im Bereich „Umgang mit Passwörtern“ zusammengestellt.

Für den privaten Bereich ist eine Verschlüsselung mit WPA2 empfehlenswert. Achten Sie dabei unbedingt auf die Wahl eines sicheren Passwortes! Im Falle eines unverschlüsselten WLANs haben Unbefugte direkten Zugriff auf die übertragenen Daten und das Netzwerk. Hier können sogar rechtliche Konsequenzen drohen. Eine . Eine bisher noch ausreichende Sicherheit bietet das Verfahren . Der Nachfolgestandard WPA2 verwendet den sichereren Algorithmus AES/CCMP und sollte deshalb zum Einsatz kommen. Bei beiden Verschlüsselungsverfahren WPA und WPA2 ist es äußerst wichtig, zu wählen. Keinesfalls dürfen Passwörter aus bekannten, in Wörterbüchern vorhandenen Zeichenkombinationen bestehen. Tipps für eine geeignete Wahl des Passwortes haben wir für Sie im Bereich „Umgang mit Passwörtern“ zusammengestellt. Deaktivieren Sie das WPS-PIN Verfahren!

Wi-Fi Protected Setup (WPS) ist ein Verfahren, das es erleichtert, eine WLAN-Verbindung aufzubauen. Dafür wird eine kurze Ziffernfolge, eine PIN, eingegeben. Bei manchen Routern ist das WPS-PIN Verfahren als Standard dauerhaft aktiviert. Aus Sicherheitsgründen sollten Sie dieses Verfahren deaktivieren, denn die Ziffernfolge lässt sich errechnen. Ein Angreifer kann dann Ihr WLAN missbrauchen.

Einfach, aber effektiv: Wenn Sie nicht im WLAN aktiv sind, dann schalten Sie es ab – das ist der beste Schutz gegen Eindringlinge.

via BSI: LAN und WLAN sicher einrichten

Ethernet Sicherheit

Ethernet und das Thema Sicherheit

Ethernet ist ein vergleichsweise sicheres Übertragungsmedium, alleine schon von dem Fakt das jemand direkten Zugriff auf einen Ethernet Anschluss in ihrem Heimnetzwerk haben muss, um am Datenverkehr teilzuhaben.

Eine Definition zur Verschlüsselung der Datenübertragung auf Ethernet Ebene existiert zwar (MACsec), ist aber in Heimnetzwerken und entsprechenden Geräten unüblich.

Im Regelfall gibt es bezüglich Sicherheit für ein Heimnetzwerk mit Ethernet nichts weiter zu beachten.

Wenn Sie allerdings etwas mehr Kontrolle und Sicherheit haben möchten, dann gibt es die Möglichkeit den Zugriff über Ethernet Anschlüsse auf bestimmte Geräte einzuschränken.

In diesem Fall dient die MAC Adresse eines Gerätes als Kriterium für die Identifikation. Allerdings muss der Ethernet-Switch in der Lage sein, per Konfiguration, nur bestimmten über die MAC Adresse identifizierten Geräten Zugang zum Netzwerk zu gewähren. Hierbei kontrolliert der Switch die Quell MAC Adresse eines Frames und vergleicht diese mit den erlaubten MAC Adressen. Liegt die Quell MAC Adresse in der Konfiguration nicht vor wird der Ethernet Frame verworfen. Falls solch eine Funktion benötigt wird, dann sollten Sie explizit vor Kauf des Ethernet-Switches prüfen das dieser diese Funktion auch beherrscht.

Ein potentieller Hacker bräuchte nun physikalischen Zugriff auf einen Ihrer Ethernet Anschlüsse, ein Gerät mit welchem sich die MAC Adresse des Gerätes modifizieren lässt und Kenntnis über eine dem Ethernet Anschluss zugehörige MAC Adresse.

Nächstes Kapitel: Kabel für Ethernet