Home / Apple / News
News

Das sichere WLAN: Router richtig einrichten

Sicher ist das drahtlose Netz nur, wenn man seinen Router richtig konfiguriert. Wir zeigen an den Beispielen aller Geräte im Testfeld des WLAN-Router-Tests, wie Sie sich vor Eindringlingen und Mitsurfern wirkungsvoll schützen.
Von Stefan Rubner und Markus Schelhorn
Macwelt
Das sichere WLAN: Router richtig einrichten
Image: 2015

Bevor wir Schritt für Schritt zunächst an der weit verbreiteten Fritz Box zeigen, wie der WLAN-Router sicher wird, zwei Tipps:

Schreibs auf: Bei all den Einstellungen kann man schon mal schnell die Übersicht verlieren. Wir empfehlen, jede Änderung von Namen und Kennwörtern penibel genau zu notieren. Anderenfalls muss man den Router zurücksetzen und alle Einstellungen erneut vornehmen.

Versuch es selbst: Wardriver nennen sich Zeitgenossen, die mit mobilen Rechnern auf dem Beifahrersitz durch die Straßen fahren und jagt auf ungeschützte Funknetze machen – nicht immer mit ehrenvollen Absichten. Ein beliebtes Tool dieser Klientel ist Kismac : Versuchen Sie doch mal ihr eigenes Netz zu knacken, um so Schwachstellen zu finden.

Und so sichern Sie Ihren Router (Fritz Box):

Name Funknetz ändern

Im ersten Schritt ändern wir den Namen des Funknetzes und deaktivieren die Option, den Namen im Funknetz bekannt zu geben (Broadcasting). Der Name für das neue Netz sollte (anders als in diesem Beispiel) möglichst viele Sonderzeichen und kein logisches Wort enthalten. So ist es für Schnüffelprogramme schwerer, das Netz überhaupt ausfindig zu machen.

Kennwort für Router

Nun geben wir dem Router ein neues Kennwort (unbedingt notieren), damit sichergestellt ist, dass kein unbefugter Änderungen am Netz vornehmen kann. Die Router haben voreingestellt entweder gar kein Kennwort oder leicht zu merkende wie “admin“.

Expertenmodus

Die Fritz!Box bietet in ihrer Voreinstellung ein einfaches Menü, über das man nur die grundlegenden Einstellungen vornehmen kann. Deshalb wechseln wir unter „System > Ansicht“ in den Expertenmodus. Nur so gelangen wir zu den gewünschten Sicherheitseinstellungen einiger der nächsten Schritte.

MAC-Filter aktivieren

Unter „System > Netzwerkgeräte“ können wir anhand MAC-Filter nur ausgesuchte Rechner auf das drahtlose Netz zugreifen lassen. Dieser Schutz alleine ist zwar vergleichsweise gering. Versierte Hacker können diese MAC-Adresse fälschen und sich so einwählen. Doch für viele Hobby-Wardriver ist hier bereits Schluss.

WPA-Verschlüsselung

Der wirkungsvollste Schutz vor virtuellen Einbrechern ist die Verschlüsselung via WPA. Zwischen sechs und 63 Zeichen darf das Passwort lang sein. Wir empfehlen, Buchstaben mit Ziffern und Sonderzeichen zu mischen und logische Wörter zu vermeiden. Da das Passwort so nicht immer leicht zu merken ist: unbedingt notieren. Nach der Änderung des Schlüssels brauchen Router oft ein paar Minuten, bis sie wieder voll betriebsbereit sind. Deshalb sollte man nicht in Panik verfallen, dass man sich selber ausgesperrt hat.

Feste IP-Adresse

Damit Hacker nicht den Komfort einer automatischen Adresszuteilung vom WLAN-Router genießen, kann man ihnen mit manuell vergebenen Adressen das Leben schwer machen. Innerhalb des angegebenen Adressbereichs lässt sich nun jedem Rechner eine eigene Adresse zuweisen. Dazu muss man am Mac unter „Systemeinstellungen > Netzwerk > Airport“ im Menü TCP/IP die Adresse eintragen. Hier sollte man beim Router einen unüblichen Adressbereich wählen, beispielsweise 172.21.22.127 bei einer Subnetz-Maske von 255.240.0.0. Eine gute Übersicht der Adressbereiche finden Sie unter Wikipedia .

Apple Airport Express

Apple bietet als einziger Hersteller ein eigenes Programm zum konfigurieren seines WLN-Routers am Mac an. Das Programm “AirPort Admin. Dienstprogramm” findet man im Ordner “Programme > Dienstprogramme”.

Name und Kennwort für den Administrator des WLAN-Router ändern, Namen des drahtlosen Netz (SSID) ändern, SSID-Kennung senden (Broadcasting) deaktivieren

Öffnet man das Dienstprogamm, erschein eine Liste der gefundenen Basisstationen. Nachdem man die Basisstation ausgewählt hat, gelangt man zum Konfigurationsfenster. Zunächst wählen wir den Reiter “AirPort” und ändern das Kennwort für die Basisstation unter der entsprechenden Einstellung. Dann benennen wir im Abschnitt “AirPort Netzwerk” den Namen des drahtlosen Netzes. Damit das Netz für die Clients unsichtbar ist (Broadcasting deaktivieren), markieren wir die Option “Geschlossenes Netzwerk anlegen”.

WPA-Verschlüsselung aktivieren

Unter “Schutz ändern” wählen wir “Persönlicher WPA2”. Hier belassen wir die Auswahl auf “Kennwort” statt “Pre-Shared-Schlüssel” und vergeben ein Paßwort. Die Verschlüsselungsart belassen wir auf “WPA und WPA2” und bestätigen diese Einstellung.

MAC-Filter aktivieren

Über die jedem Client, beispielsweise ein Rechner, eigene MAC-Adresse lässt sich nur eine bestimmte Auswahl von Clients bestimmen, die drahtlos mit dem Router kommunizieren dürfen. Bei dem „AirPort Admin. Dienstprogramm“ stellt man dies unter dem Reiter “Zugriff” ein. Es erschein eine leere Auswahlliste, der man seinen Rechner zufügen kann um so den Schutz zu aktivieren. Dazu klickt man auf das Plus-Symbol rechts von der Liste. Ein Dialogfenster erscheint. Hier klicken wir auf “Diesen Computer”, das Dienstprogramm trägt automatisch die MAC-Adresse sowie den Computernamen ein.

IP-Adressen einschränken

Bei der Apple Basistation empfehlen wir, statt der manuellen Vergabe der IP-Adressen die Anzahl der gemeinsam zu nutzenden IP-Adressen auf die Anzahl der Clients einzuschränken, die auf das Netz zugreifen dürfen. In unserem Beispiel haben wir den Adressbereich von 192.168.6.243 bis 192.168.6.243 eingeschränkt, also darf nur ein Client auf den Router zugreifen.

Der D-Link DGL-4300 bietet einen sogenannten Wizzard für die Sicherheitseinstellungen des Routers. Dieser Assistent führt Schritt-für-Schritt durch die Konfiguration.

Namen des drahtlosen Netz (SSID) geändert

Im ersten Schritt lässt sich die SSID, also der Name des drahtlosen Netz, ändern. Den Kanal, sprich die Übertragungsfrequenz, kann man im zweiten Schritt bestimmen. Da es sich hier nicht um eine Sicherheitseinstellung handelt, haben wir diesen Schritt nicht abgebildet.

Art der Verschlüsselung

Im Schritt drei und vier wählt man zunächst die Art der Verschlüsselung und danach das Kennwort (unbedingt notieren!). Wir wählen aus Kompatibilitätsgründen WPA (Einstellung BETTER).

SSID-Kennung senden (Broadcasting) deaktivieren

Unter der Einstellung Wireless aktivieren wir bei Visibility Status “Invisible”.

MAC-Filter aktivieren

Über die jedem Client, beispielsweise ein Rechner, eigene MAC-Adresse lässt sich nur eine bestimmte Auswahl von Clients bestimmen, die drahtlos mit dem Router kommunizieren dürfen. Beim D-Link DGL-4300 gelangt man zu den Einstellungen des MAC-Filters über den Reiter Advanced, zu finden in der oberen orangen Menüleiste. Nun erscheint in der vertikalen, linken Liste der Punkt „MAC Address Filter“. Diese Einstellungen funktionieren nicht mit Safari, deshalb verwenden wir hier Firefox . Mit diesem Browser können wir alle Einstellungen problemlos vornehmen.

Statische IP-Adressen statt DHCP verwenden

Zwei Schritt braucht es beim D-Link DGL-4300 um ihn eine statische IP-Adresse zu vergeben. Zunächst deaktiviert man unter “DHCP” die Einstellung “Enable DHCP Server”.

Manuelle IP-Adresse konfigurieren

Nach einem Neustart des Routers wählt man eine seltenere IP-Adresse. Dazu gibt man unter “LAN” bei “LAN Settings beispielsweise die IP-Adresse 172.163.154.178 und die Subnetz-Maske 255.240.0.0 an. Verbundenen Clients muss man darauf hin die IP-Adresse manuell vergeben. von 172.163.154.179 bis 172.163.154.255.

Netgear WPNT834

Beim ersten Anschließen des Netgear WPNT834 ist die drahtlose Verbindung deaktiviert. erst nachdem man den Router per Ethernetkabel (dem Router beigelegt) mit dem Mac verbunden hat, kann man die Grundkonfiguration vornehmen.

Namen des drahtlosen Netz (SSID) geändert und WPA-Verschlüsselung aktivieren

Wir nutzen statt den Setup Wizzard den Experten-Modus zum Konfigurieren des Netgear WPNT834. Unter “Setup > Wireless Setup” kann man neben den Namen des drahtlosen Netzes (SSID) auch den Kanal sowie die Verschlüsselung angeben. Als Verschlüsselungsart wählen wir unter “Security Options” den Punkt “WPA-PSK (TKIP)”.

Kennwort für den Administrator des WLAN-Router geändert

Unter “Maintenance >Set Password” ändern wir das voreingestellte Paßwort “password” in ein eigenes um.

SSID-Kennung senden (Broadcasting) deaktivieren

Unter “Advanced > Wireless Settings” deaktivieren wir die Auswahl “Enable SSID Broadcast”. So ist das drahtlose Netz nicht mehr für jeden sichtbar.

MAC-Filter aktivieren

Über die jedem Client (beispielsweise ein Rechner) eigene MAC-Adresse lässt sich eine bestimmte Auswahl von Clients bestimmen, die drahtlos mit dem Router kommunizieren dürfen. Dazu wählt man unter “Advanced > Wireless Settings” bei “Wireless Card Access List” den Punkt “Setup Access List”. Im erscheinenden Fenster markiert man die Auswahl zu “Turn Access Control On” und klickt unterhalb der noch leeren Liste auf “Add”. Im erscheinenden Fenster sind die aktuell mit dem Router drahtlos verbunden Geräte sowie der Router selber gelistet. Hier wählt man die entsprechenden Geräte aus und klickt anschließend auf “Add”. Darüber hinaus lassen sich hier auch per Hand Geräte samt ihrer MAC-Adresse eintragen.

Statische IP-Adressen statt DHCP verwenden

Unter “Advanced > LAN IP Setup” deaktivieren wir den DHCP-Server des Routers und geben zum besseren Schutz die unübliche IP-Adresse 172.163.154.178 ein. Der Router ermittelt automatisch die dazugehörige Subnetz-Maske (255.240.0.0).

T-Com Speedport W501V

Namen des drahtlosen Netz (SSID) ändern und SSID-Broadcasting deaktivieren

Bei dem Speedport W501V lassen sich die wichtigsten Sciherheitseinstellungen komfortabel vornehmen. Gut gefallen uns die deutschen Hilfstexte zu jeder Einstellung. Der Name des drahtlosen Netzes (SSID) lässt sich unter “Netzwerk > Wirless LAN (WLAN)” ändern. Hier kann man auch die SSID verstecken (Einstellung: “SSID unsichtbar”).

Name und Kennwort für den Administrator des WLAN-Router geändert

Unter “Sicherheit > System Passwort” lässt sich ein Paßwort vergeben, das man für Änderungen an den Einstellungen des Routers braucht.

MAC-Filter aktivieren

Über die jedem Client, beispielsweise ein Rechner, eigene MAC-Adresse lässt sich nur eine bestimmte Auswahl von Clients bestimmen, die drahtlos mit dem Router kommunizieren dürfen. Beim Speedport W501V findet man die entsprechende Einstellung unter Sicherheit > MAC-Filterung. Aktiviert man diesen Filter, werden alle Clients, die in diesen Moment eine drahtlose Verbindung zum Router aufgebaut haben, in die Liste der berechtigten Geräte aufgenommen. Geräte lassen sich auch aus dieser Liste entfernen, allerdings kann man keine neuen Geräte per Hand zufügen. Hier muss man den Filter deaktivieren, den neuen Client mit dem drahtlosen Netz verbinden und darauf hin den MAC-Filter wieder aktivieren.

WPA-Verschlüsselung aktivieren

Unter Sicherheit > Verschlüsselung lässt sich das WPA-Kennwort vergeben. Dieses Kennwort muss man bei jedem Client einmalig angeben. Anders als in unserem Beispiel empfehlen wir, als Kennwort Buchstaben, Ziffern und Sonderzeichen zu mischen. Das Kennwort unbedingt notieren! Als Betriebsart für die Verschlüsselung wählt man WPA (TKIP). Nur bei alten Clients, die WPA nicht unterstützen, sollte man das WEP-Kennwort verwenden.

Statische IP-Adressen statt DHCP verwenden

Unter “Netzwerk > DHCP” kann man den DHCP-Server ausschalten. Ein eigener Adressbereich lässt sich beim Speedport W501V darauf hin unter “Netzwerk > LAN” bestimmen, allerdings nur eingeschränkt. Da man die Subnetz-Maske kaum ändern kann, beschränkt sich der Adressbereich auf 192.168.0.0 bis 192.168.255.255. Ändert man den Adressbereich, muss man jeden angeschlossenen Client manuell eine IP-Adresse zuweisen. Beim Mac geschieht dies bei einer drahtlosen Verbindung in den Systemeinstellungen unter Netzwerk > Airport > TCP/IP.

Zyxel P-336M

Der Zyxel P-336M bietet für die grundlegenden Sicherheitseinstellungen einen Schritt-für-Schritt-Assistenten an, Setup Wiszzard genannt. Das Menü von Zyxel ähnelt auffällig dem vom D-Link.

Namen des drahtlosen Netz (SSID) ändern, SSID-Kennung senden (Broadcasting) deaktivieren,

Der Zyxel P-336M bietet für die grundlegenden Sicherheitseinstellungen einen Schritt-für-Schritt-Assistenten an, Setup Wiszzard genannt. Da wir aber gleich weitere Sciherheitseinstellungen vornehmen wollen, wählen wir statt dessen “Basic > Wireless”. Hier können wir in einem Fenster die SSID, also den Namen des drahtlosen Netzes, ändern. Außerdem lässt sich das drahtlose Netz verstecken, indem man bei “Visible Status” statt Visible den Menüpunkt Invisible anwählt.

WPA-Verschlüsselung aktivieren,

Für die Verschlüsselung wählen wir “WPA-Personal” und belassen die weiteren Einstellungen im Fenster WPA auf “WPA” und “TKIP”. Wichtig: Netzwerknamen und WPA-Kennwort gut notieren!

Name und Kennwort für den Administrator des WLAN-Router geändert

Das Paßwort für den Admin des Routers ändert man unter “Tools > Admin”.

MAC-Filter aktivieren

Über die jedem Client, beispielsweise ein Rechner, eigene MAC-Adresse lässt sich nur eine bestimmte Auswahl von Clients bestimmen, die drahtlos mit dem Router kommunizieren dürfen.

Die Einstellungen für den MAC-Filter funktionieren nicht unter Safari, deshalb verwenden wir Firefox. Den MAC-Filter konfiguriert man unter “Advanced > MAC Filter”. Hier lassen sich alle bereits mit dem Router verbundenen Clients automatisch in die Liste der erlaubten Geräte eintragen. Dies ist auch per manueller Eingabe möglich.

Statische IP-Adressen statt DHCP verwenden

Auch den DHCP-Server können wir nicht unter Safari deaktivieren, deshalb verwenden wir hierzu ebenfalls Firefox. Unter “Basic > DHCP” deaktivieren wir zunächst den DHCP-Server. Danach wählen wir unter “Basic > LAN” für einen besseren Schutz eine unübliche IP-Adresse. In unserem Beispiel die IP-Adresse 172.163.154.178 und die Subnetz-Maske 255.240.0.0.

vgwort