WLAN-Router mit Fokus auf Sicherheit

Symon

Addicted

Registered: Jul 2001
Location: Vienna
Posts: 483

01.11.2017 - 11:40

Guten Morgen!

Ich bin trauriger Besitzer des Compal Modems/Routers von UPC und ich kann schon gar nicht mehr zählen, wie oft ich zurück setzen musste auf Werkseinstellungen damit ich wieder zum Router komme und das inet wieder läuft.

Ich hab vor nem Jahr einen Netgear Nighthawk NGR7500 für eine WG aufgesetzt und damit herumgespielt. Da sah das schon wesentlich besser aus.

Jetzt wirds hier auch Zeit für einen Router, mein Budget beträgt ca. 100-150€, Netzwerk-Kenntnisse grundsätzlich vorhanden, Programmier-Kenntnisse ebenfalls (ehem. Inf-Student), Reichweite ist völlig egal (Wohnung hat nur 40m²).

Ich schwanke momentan zwischen Netgear Nighthawks und ASUS RT-AC1200G Plus RT-AC58U RT-AC68U

Kann mir jemand zu etwas raten mit dem er/sie schon Erfahrungen gemacht hat? Auf der ASUS Homepage gibt es einen Simulator, wo man ASUS-WRT ausprobieren kann, hat einen soliden Eindruck hinterlassen. Mir kommt vor, dass desto teurer desto mehr 'Multimedia' Features haben die Router. UPnP/DLNA ist zwar ganz nett, aber nicht wenn der Nachbar meine Videos mitschauen kann :-\

tia!

Bearbeitet von Symon am 02.11.2017, 18:37

JC

Administrator
Disruptor

Registered: Feb 2001
Location: Katratzi
Posts: 9067

01.11.2017 - 22:36

Wie weit willst du es denn treiben? Sicherheit ist ein Prozess und kein Produkt, das man einmal kauft.
Wenn Security wirklich dein Hauptgedanke ist, dann bist du mit einem günstige Business Router besser beraten als mit einem High-End Consumer Router. Bei letzterem zahlst du im Wesentlichen für die Hardware, bei ersterem für die Software – was uns zum Hauptproblem von Consumer Routern bringt: veraltete, fehlerhafte Software und Features – die aus Convenience-Gedanken entstanden sind – die der Sicherheit nicht zuträglich sind, wie etwa HNAP oder UPNP. Auch der Support ist bei Consumer Routern nicht der beste (YMMV, of course).
Die "Fachpresse" ist hier nicht hilfreich; es gibt so gut wie keine Reviews, die die Sicherheit durchleuchten. Das ist aber ohnehin egal, weil negative Berichte über Produkte aus diversen Gründen ohnehin so gut wie nicht vorkommen.
Wie dem auch sein mag, ohne das jetzt extra zu recherchieren bist du dann so 50 - 70 Euro über deinem Limit.

Ich persönlich bin mit meinem Nighthawk R7000 ein wenig unzufrieden. Dass Router Analytics werksseitig aktiviert ist und per Hand deaktiviert werden muss, macht mich auch nicht glücklicher. (Neuere Firmware-Versionen zeigen diese Info gleich nach dem Upgrade an, aber hierbei sollte es sich eher um ein Opt-In als um ein Opt-Out handeln.)
Einige neuere ASUS-Router beinhalten Software von Trend Micro. Das mag auf den ersten Blick eine gute Sache sein, ist aber mehr als nur ein wenig bedenklich für die Privatsphäre, denn Trend Micro kann laut EULA alle Daten sehen, die über den Router laufen. Keine Ahnung, ob die von dir genannten Router davon schon betroffen sind (oder es durch ein Update von ASUSWRT irgendwann mal sein werden).

Was du trotzdem auf einen Consumer Router setzen willst, bist du IMHO besser beraten, wenn du OpenWRT oder DD-WRT installierst – auch wenn das seine eigenen Probleme/Herausforderungen mit sich bringt.
Ansonsten halt die üblichen Einstellungen vornehmen:

Admin-Credentials ändern!
Deaktiviere WPS, remote administrative access (falls nicht benötigt; ansonsten halt HTTPS aktivieren [der R7000 mit der Standard-Firmware konnte das anfangs nicht] und den Port ändern), administrative access over Wi-Fi, PING, Telnet, SSH, UPNP, NAT-PMP, HNAP (sofern möglich)
Wenn es dein Router zulässt, kannst du den Port für das administrative Webinterface ändern, z. B. auf https://192.168.23.42:84.
Wie im vorigen Punkt illustriert, keine IP-Adresse für den Router verwenden, die mit ".1", ".100" oder ".254" endet. Ein eher unübliches Subnetz ist auch hilfreich.
Eine SSID wählen, die weder Rückschlüsse auf deine Lokation (etwa Apartment-Nummer) noch deine Person zulässt; nicht die Standard-SSID verwenden.
Guest-WLAN nutzen (wäre vor allem interessant, wenn du sonst auch IoT-Geräte im Einsatz hast).
WLAN-Verschlüsselung WPA2/AES mit einem längeren Passwort
…

Symon

Addicted

Registered: Jul 2001
Location: Vienna
Posts: 483

02.11.2017 - 08:31

Vielen Dank für den Input!

OpenWRT oder DD-WRT hab ich komplett vergessen, das muss ich auf jeden Fall noch abklären.

Im Grunde halte ich mich schon an deine Punkte, soweit es die HW eben zulässt. Ziemlich ähnlich kam das auch in inetsec auf der TU vor. Der Chello-Router kann leider relativ wenig, z.B. IP- und Port-Änderungen für admin interfaces, die imho Pflicht sind.

Mein Approach mit den Passwörtern ist entweder eine Passphrase zu verwenden oder ein unmögliches 64 Zeichen Random-Passwort; für die Clients kurz WPS einschalten, die reinlassen und WPS wieder komplett abschalten.

Ein Punkt der mir noch fehlt sind simple Logfiles. Ich hätte gerne einen Überblick darüber, wer sich wann und mit welcher MAC eingeloggt hat (zumindest für das Admin Interface).

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11915

02.11.2017 - 08:38

https://geizhals.at/d-link-dir-860l-a966368.html (in der korrekten Revision in Verbindung mit der LEDE-Firmware, siehe https://lede-project.org/toh/hwdata...ink_dir-860l_b1)

Crash Override

BOfH

Registered: Jun 2005
Location: Germany
Posts: 2951

02.11.2017 - 08:48

Die Punkte:
- Wenn es dein Router zulässt, kannst du den Port für das administrative Webinterface ändern, z. B. auf https://192.168.23.42:84.
- Wie im vorigen Punkt illustriert, keine IP-Adresse für den Router verwenden, die mit ".1", ".100" oder ".254" endet. Ein eher unübliches Subnetz ist auch hilfreich.

Sind leider Schwachsinn und stören eher ordentliche Administratoren die berechtigt sind als jemanden der sich damit auskennt und da rein will. Der 2. Punkt wird schon vom DHCP server ad absurdum geführt und dann reicht ein nmap befehl um auch den ersten geänderten Port herauszufinden.

JC

Administrator
Disruptor

Registered: Feb 2001
Location: Katratzi
Posts: 9067

02.11.2017 - 09:52

Zitat aus einem Post von Crash Override
Die Punkte:
- Wenn es dein Router zulässt, kannst du den Port für das administrative Webinterface ändern, z. B. auf https://192.168.23.42:84.
- Wie im vorigen Punkt illustriert, keine IP-Adresse für den Router verwenden, die mit ".1", ".100" oder ".254" endet. Ein eher unübliches Subnetz ist auch hilfreich.

Sind leider Schwachsinn und stören eher ordentliche Administratoren die berechtigt sind als jemanden der sich damit auskennt und da rein will. Der 2. Punkt wird schon vom DHCP server ad absurdum geführt und dann reicht ein nmap befehl um auch den ersten geänderten Port herauszufinden.

Im Grunde hast du recht, aber das ist halt auch ein wenig Ansichtssache. Wie das Verstecken der SSID, das ja auch keinen ernsthaften Angriff abhalten wird.
Es kann sich durchaus bei automatisierten Angriffen (etwa bei DNS-Changers, die via JS/VBS im Browser ausgeführt werden) als hilfreich erweisen, wenn Standard-IPs mit Standard-Logins getestet werden. Ich würde mir das auch nicht antun wollen, obwohl ich nur meinen eigenen Router verwalten muss. Und ja, wenn man das Default-Passwort geändert hat, ist das – wie du richtig sagt – hauptsächlich zusätzlicher Verwaltungsaufwand für fragwürdigen Nutzen.

Master99

verträumter realist

Registered: Jul 2001
Location: vie/grz
Posts: 12597

02.11.2017 - 09:54

Zitat aus einem Post von COLOSSUS
https://geizhals.at/d-link-dir-860l-a966368.html (in der korrekten Revision in Verbindung mit der LEDE-Firmware, siehe https://lede-project.org/toh/hwdata...ink_dir-860l_b1)

wie ist denn das jetzt mit LEDE und OpenWRT, weiß da wer was genaueres? vor einiger Zeit hieß es ja die beiden vereinigen sich wieder und werden zukünftig unter der alten Marke (OpenWRT) auftreten. Aber die News ist inzwischen von der OpenWRT Seite wieder verschwunden und überhaupt tut sich auf dieser Seite ja schon seit Ewigkeiten kaum was, obwohl es in den letzten Monaten sehr viele SecurityProbleme gegeben hat die eine neue Minor gerechtfertigt hätten.

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11915

02.11.2017 - 10:13

Afaict ist OpenWRT "dormant", und alles Relevante passiert in LEDE. Ob LEDE irgendwann in die Rolle von OpenWRT schluepft (der Plan war/ist ja, dass dann saemtliche existierende LESE-Infrastruktur weiterverwendet wird), kann einem eigentlich egal sein, so lange man jetzt LEDE verwendet

Symon

Addicted

Registered: Jul 2001
Location: Vienna
Posts: 483

02.11.2017 - 18:55

Zitat aus einem Post von Crash Override
Die Punkte:
- Wenn es dein Router zulässt, kannst du den Port für das administrative Webinterface ändern, z. B. auf https://192.168.23.42:84.
- Wie im vorigen Punkt illustriert, keine IP-Adresse für den Router verwenden, die mit ".1", ".100" oder ".254" endet. Ein eher unübliches Subnetz ist auch hilfreich.

Sind leider Schwachsinn und stören eher ordentliche Administratoren die berechtigt sind als jemanden der sich damit auskennt und da rein will. Der 2. Punkt wird schon vom DHCP server ad absurdum geführt und dann reicht ein nmap befehl um auch den ersten geänderten Port herauszufinden.

Der Administrator bin ich und die Menge aller gewöhnlichen User bin auch ich. Für besuchende Freunde/Bekannte/Familie mache ich einfach mal kurz das Gastnetzwerk auf. Ich möchte eigentlich nur meinen Desktop-PC (wired) und mein iPad und gelegentlich mein Nexus5x im Netz haben. Der Usecase ist eher Home (-Office, -Multimedia, -Konsolen). Ich will mir einfach keine Gedanken drüber machen wie langsam heute das Modem heute wieder beim resetten ist, weil mal wieder was verstellt wurde.

Die Punkte muss ich ein wenig in Schutz nehmen, in meinem Haus werden keine Blackhat Hacker rumlaufen, das sind eher Skriptkiddies die mit Android Apps 'hacken' um irgendwo gratis mitzusurfen. Ich hab das in meiner alten Wohnung mal ausprobiert und funktioniert sehr gut.

@COLOSSUS: danke für die LEDE links, werd ich mir auf jeden Fall noch genauer ansehen vor meinem Kauf.

Symon Addicted Registered: Jul 2001 Location: Vienna Posts: 483	01.11.2017 - 11:40 Guten Morgen! Ich bin trauriger Besitzer des Compal Modems/Routers von UPC und ich kann schon gar nicht mehr zählen, wie oft ich zurück setzen musste auf Werkseinstellungen damit ich wieder zum Router komme und das inet wieder läuft. Ich hab vor nem Jahr einen Netgear Nighthawk NGR7500 für eine WG aufgesetzt und damit herumgespielt. Da sah das schon wesentlich besser aus. Jetzt wirds hier auch Zeit für einen Router, mein Budget beträgt ca. 100-150€, Netzwerk-Kenntnisse grundsätzlich vorhanden, Programmier-Kenntnisse ebenfalls (ehem. Inf-Student), Reichweite ist völlig egal (Wohnung hat nur 40m²). Ich schwanke momentan zwischen Netgear Nighthawks und ASUS RT-AC1200G Plus RT-AC58U RT-AC68U Kann mir jemand zu etwas raten mit dem er/sie schon Erfahrungen gemacht hat? Auf der ASUS Homepage gibt es einen Simulator, wo man ASUS-WRT ausprobieren kann, hat einen soliden Eindruck hinterlassen. Mir kommt vor, dass desto teurer desto mehr 'Multimedia' Features haben die Router. UPnP/DLNA ist zwar ganz nett, aber nicht wenn der Nachbar meine Videos mitschauen kann :-\ tia! Bearbeitet von Symon am 02.11.2017, 18:37
JC Administrator Disruptor Registered: Feb 2001 Location: Katratzi Posts: 9067	01.11.2017 - 22:36 Wie weit willst du es denn treiben? Sicherheit ist ein Prozess und kein Produkt, das man einmal kauft. Wenn Security wirklich dein Hauptgedanke ist, dann bist du mit einem günstige Business Router besser beraten als mit einem High-End Consumer Router. Bei letzterem zahlst du im Wesentlichen für die Hardware, bei ersterem für die Software – was uns zum Hauptproblem von Consumer Routern bringt: veraltete, fehlerhafte Software und Features – die aus Convenience-Gedanken entstanden sind – die der Sicherheit nicht zuträglich sind, wie etwa HNAP oder UPNP. Auch der Support ist bei Consumer Routern nicht der beste (YMMV, of course). Die "Fachpresse" ist hier nicht hilfreich; es gibt so gut wie keine Reviews, die die Sicherheit durchleuchten. Das ist aber ohnehin egal, weil negative Berichte über Produkte aus diversen Gründen ohnehin so gut wie nicht vorkommen. Wie dem auch sein mag, ohne das jetzt extra zu recherchieren bist du dann so 50 - 70 Euro über deinem Limit. Ich persönlich bin mit meinem Nighthawk R7000 ein wenig unzufrieden. Dass Router Analytics werksseitig aktiviert ist und per Hand deaktiviert werden muss, macht mich auch nicht glücklicher. (Neuere Firmware-Versionen zeigen diese Info gleich nach dem Upgrade an, aber hierbei sollte es sich eher um ein Opt-In als um ein Opt-Out handeln.) Einige neuere ASUS-Router beinhalten Software von Trend Micro. Das mag auf den ersten Blick eine gute Sache sein, ist aber mehr als nur ein wenig bedenklich für die Privatsphäre, denn Trend Micro kann laut EULA alle Daten sehen, die über den Router laufen. Keine Ahnung, ob die von dir genannten Router davon schon betroffen sind (oder es durch ein Update von ASUSWRT irgendwann mal sein werden). Was du trotzdem auf einen Consumer Router setzen willst, bist du IMHO besser beraten, wenn du OpenWRT oder DD-WRT installierst – auch wenn das seine eigenen Probleme/Herausforderungen mit sich bringt. Ansonsten halt die üblichen Einstellungen vornehmen: Admin-Credentials ändern! Deaktiviere WPS, remote administrative access (falls nicht benötigt; ansonsten halt HTTPS aktivieren [der R7000 mit der Standard-Firmware konnte das anfangs nicht] und den Port ändern), administrative access over Wi-Fi, PING, Telnet, SSH, UPNP, NAT-PMP, HNAP (sofern möglich) Wenn es dein Router zulässt, kannst du den Port für das administrative Webinterface ändern, z. B. auf https://192.168.23.42:84. Wie im vorigen Punkt illustriert, keine IP-Adresse für den Router verwenden, die mit ".1", ".100" oder ".254" endet. Ein eher unübliches Subnetz ist auch hilfreich. Eine SSID wählen, die weder Rückschlüsse auf deine Lokation (etwa Apartment-Nummer) noch deine Person zulässt; nicht die Standard-SSID verwenden. Guest-WLAN nutzen (wäre vor allem interessant, wenn du sonst auch IoT-Geräte im Einsatz hast). WLAN-Verschlüsselung WPA2/AES mit einem längeren Passwort …
Symon Addicted Registered: Jul 2001 Location: Vienna Posts: 483	02.11.2017 - 08:31 Vielen Dank für den Input! OpenWRT oder DD-WRT hab ich komplett vergessen, das muss ich auf jeden Fall noch abklären. Im Grunde halte ich mich schon an deine Punkte, soweit es die HW eben zulässt. Ziemlich ähnlich kam das auch in inetsec auf der TU vor. Der Chello-Router kann leider relativ wenig, z.B. IP- und Port-Änderungen für admin interfaces, die imho Pflicht sind. Mein Approach mit den Passwörtern ist entweder eine Passphrase zu verwenden oder ein unmögliches 64 Zeichen Random-Passwort; für die Clients kurz WPS einschalten, die reinlassen und WPS wieder komplett abschalten. Ein Punkt der mir noch fehlt sind simple Logfiles. Ich hätte gerne einen Überblick darüber, wer sich wann und mit welcher MAC eingeloggt hat (zumindest für das Admin Interface).
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11915	02.11.2017 - 08:38 https://geizhals.at/d-link-dir-860l-a966368.html (in der korrekten Revision in Verbindung mit der LEDE-Firmware, siehe https://lede-project.org/toh/hwdata...ink_dir-860l_b1)
Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	02.11.2017 - 08:48 Die Punkte: - Wenn es dein Router zulässt, kannst du den Port für das administrative Webinterface ändern, z. B. auf https://192.168.23.42:84. - Wie im vorigen Punkt illustriert, keine IP-Adresse für den Router verwenden, die mit ".1", ".100" oder ".254" endet. Ein eher unübliches Subnetz ist auch hilfreich. Sind leider Schwachsinn und stören eher ordentliche Administratoren die berechtigt sind als jemanden der sich damit auskennt und da rein will. Der 2. Punkt wird schon vom DHCP server ad absurdum geführt und dann reicht ein nmap befehl um auch den ersten geänderten Port herauszufinden.
JC Administrator Disruptor Registered: Feb 2001 Location: Katratzi Posts: 9067	02.11.2017 - 09:52 Zitat aus einem Post von Crash Override Die Punkte: - Wenn es dein Router zulässt, kannst du den Port für das administrative Webinterface ändern, z. B. auf https://192.168.23.42:84. - Wie im vorigen Punkt illustriert, keine IP-Adresse für den Router verwenden, die mit ".1", ".100" oder ".254" endet. Ein eher unübliches Subnetz ist auch hilfreich. Sind leider Schwachsinn und stören eher ordentliche Administratoren die berechtigt sind als jemanden der sich damit auskennt und da rein will. Der 2. Punkt wird schon vom DHCP server ad absurdum geführt und dann reicht ein nmap befehl um auch den ersten geänderten Port herauszufinden. Im Grunde hast du recht, aber das ist halt auch ein wenig Ansichtssache. Wie das Verstecken der SSID, das ja auch keinen ernsthaften Angriff abhalten wird. Es kann sich durchaus bei automatisierten Angriffen (etwa bei DNS-Changers, die via JS/VBS im Browser ausgeführt werden) als hilfreich erweisen, wenn Standard-IPs mit Standard-Logins getestet werden. Ich würde mir das auch nicht antun wollen, obwohl ich nur meinen eigenen Router verwalten muss. Und ja, wenn man das Default-Passwort geändert hat, ist das – wie du richtig sagt – hauptsächlich zusätzlicher Verwaltungsaufwand für fragwürdigen Nutzen.
Master99 verträumter realist Registered: Jul 2001 Location: vie/grz Posts: 12597	02.11.2017 - 09:54 Zitat aus einem Post von COLOSSUS https://geizhals.at/d-link-dir-860l-a966368.html (in der korrekten Revision in Verbindung mit der LEDE-Firmware, siehe https://lede-project.org/toh/hwdata...ink_dir-860l_b1) wie ist denn das jetzt mit LEDE und OpenWRT, weiß da wer was genaueres? vor einiger Zeit hieß es ja die beiden vereinigen sich wieder und werden zukünftig unter der alten Marke (OpenWRT) auftreten. Aber die News ist inzwischen von der OpenWRT Seite wieder verschwunden und überhaupt tut sich auf dieser Seite ja schon seit Ewigkeiten kaum was, obwohl es in den letzten Monaten sehr viele SecurityProbleme gegeben hat die eine neue Minor gerechtfertigt hätten.
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11915	02.11.2017 - 10:13 Afaict ist OpenWRT "dormant", und alles Relevante passiert in LEDE. Ob LEDE irgendwann in die Rolle von OpenWRT schluepft (der Plan war/ist ja, dass dann saemtliche existierende LESE-Infrastruktur weiterverwendet wird), kann einem eigentlich egal sein, so lange man jetzt LEDE verwendet
Symon Addicted Registered: Jul 2001 Location: Vienna Posts: 483	02.11.2017 - 18:55 Zitat aus einem Post von Crash Override Die Punkte: - Wenn es dein Router zulässt, kannst du den Port für das administrative Webinterface ändern, z. B. auf https://192.168.23.42:84. - Wie im vorigen Punkt illustriert, keine IP-Adresse für den Router verwenden, die mit ".1", ".100" oder ".254" endet. Ein eher unübliches Subnetz ist auch hilfreich. Sind leider Schwachsinn und stören eher ordentliche Administratoren die berechtigt sind als jemanden der sich damit auskennt und da rein will. Der 2. Punkt wird schon vom DHCP server ad absurdum geführt und dann reicht ein nmap befehl um auch den ersten geänderten Port herauszufinden. Der Administrator bin ich und die Menge aller gewöhnlichen User bin auch ich. Für besuchende Freunde/Bekannte/Familie mache ich einfach mal kurz das Gastnetzwerk auf. Ich möchte eigentlich nur meinen Desktop-PC (wired) und mein iPad und gelegentlich mein Nexus5x im Netz haben. Der Usecase ist eher Home (-Office, -Multimedia, -Konsolen). Ich will mir einfach keine Gedanken drüber machen wie langsam heute das Modem heute wieder beim resetten ist, weil mal wieder was verstellt wurde. Die Punkte muss ich ein wenig in Schutz nehmen, in meinem Haus werden keine Blackhat Hacker rumlaufen, das sind eher Skriptkiddies die mit Android Apps 'hacken' um irgendwo gratis mitzusurfen. Ich hab das in meiner alten Wohnung mal ausprobiert und funktioniert sehr gut. @COLOSSUS: danke für die LEDE links, werd ich mir auf jeden Fall noch genauer ansehen vor meinem Kauf.

WLAN-Router mit Fokus auf Sicherheit

Forum Index > Hardware > Peripherie > Netzwerktechnik

Symon

JC

Symon

COLOSSUS

Crash Override

JC

Master99

COLOSSUS

Symon