09.01.2017

DSL-Router: Gefahr aus Ihrem Netzwerk?

Das Webseiten und Mailserver gerne Ziel von Angreifern aus dem Internet sind, dürfte sich inzwischen herumgesprochen haben. Das aber auch der eher unbeachtete und als sicher eingeschätzte Zugang über Ihren DSL-Router ins Internet eine potentielle Gefahrenquelle darstellt, übersehen die meisten.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Jedes System hat Fehler

Nutzer, die über einen der weit verbreiteten DSL-Router ins Internet gehen, wähnen sich in der Regel recht sicher - wer sollte erstens gerade das eigene Unternehmens- oder heimische Netzwerk attackieren? Viel zu holen gibt es dort doch eigentlich nicht! Und so ergeht es auch den meisten DSL- und anderen Routern: Einmal aufgesetzt, versehen solche Geräte oft monate- und jahrelang still und unauffällig Ihren Dienst und werden demzufolge nicht mehr weiter beachtet. Dabei ist es auch unerheblich, ob die Einrichtung des Routers durch Sie selbst quasi in Heimarbeit durchgeführt wurde oder durch einen IT-Fachmann - und sei es der aus Ihrem Hause. Gerade DSL-Router werden nach der erfolgreichen Ersteinrichtung nie wieder angefasst oder gar aktualisiert - sie laufen doch sowieso ohne Zutun durch, meinen oft selbst IT-Administratoren.

Das ist aber eine gefährliche Fehleinschätzung! Wie jedes IT-System, so beruhen auch Router auf einem Betriebssystem, und jedes System hat Fehler. In der Regel wird es sich um Sicherheitslücken handeln, die erst im Laufe des Betriebs auffallen. Die Hersteller der Geräte veröffentlichen dafür dann meist recht zeitnah Updates. Allerdings müssen diese auch eingespielt werden - so, wie man es ja auch bei seinem eigenen PC macht, und bei Servern und Webseiten ohnehin. Aber Hand aufs Herz und nicht gelogen: Wer von Ihnen kontrolliert regelmässig seinen DSL-Router, schaut nach den Logs, besucht die Hersteller-Webseite und spielt dort veröffentlichte und empfohlene Updates ein? Der Autor dieser Zeilen möchte jetzt lieber nicht sehen, wie erschreckend wenige Hände sich vermutlich gerade erhoben haben.

Attacke im Internet

Dabei gab es gerade vor wenigen Wochen eine massive Attacke im Internet, bei der etwa 900.000 (!) Router der bundesdeutschen Telekom vom Netz getrennt wurden. Der Fall ging sehr spektakulär durch die Presse. Durch die zunehmende Angleichung der Kommunikationssysteme mit IP als Basis waren durch die ausgefallenen Router in den betroffenen Haushalten und Unternehmen teilweise weder Internet noch Telefon und Fernsehempfang mehr möglich.

«Der Angriff galt offenbar nicht direkt den Speedport-Routern der Telekom», schreibt SpiegelOnline und zitiert dabei den IT-Sicherheitsspezialisten Lion Nagenrauft. «Vielmehr scheint er ganz generell Internet-Router zum Ziel gehabt zu haben, die eine bestimmte Sicherheitslücke aufweisen (...) Auf einem Testsystem (gab es) drei verschiedene Angriffe innerhalb von fünf Minuten. Sie alle hatten, so wie der Angriff insgesamt, nur ein Ziel: 'verwundbare Router mit Schadsoftware infizieren, um diese in dem Botnet Mirai zu bündeln'. (...) Geräte, auf denen der Angriff erfolgreich verläuft, werden umgehend selbst zu Angreifern, die ihrerseits im Netz nach verwundbaren Routern suchen. Das würde bedeuten, dass sich die Attacke mit jedem befallenen Gerät weiter verstärkt (...) Dass sich das Problem für Telekom-Kunden nun beheben lässt, indem man den Router neu startet, liegt an Filtern, mit denen der Konzern die Angriffsbefehle aus seinem Netz filtert. Und an Software-Updates, die zumindest für einige der betroffenen Router bereitstehen»

Wie wir sehen, sind Sicherheitsupdates also kein Luxus, sondern unumgänglich. Es gibt weitere Angriffs-Szenarien, die aber nicht immer so bekannt werden wie der Telekomausfall vom November 2016.

Wie schützt man sich

«Nach dem Großangriff auf alle Fritz!Box-Kunden ist jetzt ein guter Zeitpunkt zum Reagieren und Absichern der gesamten Box», findet die netzwelt.de. «Durch eine Sicherheitslücke konnten Hacker Telefoniegeräte auf der Fritz!Box einrichten und darüber kostenpflichtige Gespräche an Sonderrufnummer initiieren» (Quelle siehe Links). Als erste Abhilfe wird auf der Webseite empfohlen:

«Besorgt euch von AVM die neuste Version von Fritz!Box OS und installiert diese (und) ändert alle eure Passwörter auf der Fritz!Box» (zit. n. ebd.).

Eine gute Idee ist es, sich einen Zeitplan zu erstellen, sodass man den Softwarezustand des eigenen Routers regelmässig überprüft - beispielsweise jeden Montag morgen. Nützlich ist es zudem, sich die Sicherheitshinweise des CERT (Computer Emergency Response Team, zu deutsch Computersicherheits-Ereignis- und Reaktionsteam) etwa des bundesdeutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) zu abonnieren:

https://www.buerger-cert.de/subscription-new-request

Oder besuchen Sie einfach:

https://www.cert-bund.de/overview/AdvisoryShort

Wer es etwas anschaulicher aufbereitet hat, kann auch den Sicherheitshinweisen von heise.de vertrauen:

https://www.heise.de/security/

Kurztests

Was Sie auf jeden Fall tun sollten, sind folgende Kurztests:

  • Durchführung eines Online-Sicherheits-Checks - dazu finden Sie diverse Seiten im Internet
  • Überprüfen, ob Ihr Router als OpenResolver fungiert

Was ist ein OpenResolver? Das ist, sehr vereinfacht gesagt, ein DNS-Server, der auf beliebige Anfragen von beliebiger Quelle aus dem Internet antwortet. Das ist aber nicht gut - erstens soll Ihr DSL-Router lediglich DNS-Anfragen aus Ihrem lokalen Netzwerk beantworten. All das, was er nicht kennt, soll er dann an den Nameserver des Providers - notfalls an einen anderen, öffentlich erreichbaren DNS-Server wie diejenigen von Google (8.8.8.8 und 8.8.4.4) oder des OpenDNS-Projekts (208.67.222.222 und 208.67.220.220) weiterreichen.

Zweitens liegt eine grosse Gefahr darin, dass Ihr dergestalt «offenherziger» Router für DNS-Attacken aus dem Internet missbraucht wird - und diese Gefahr ist überhaupt nicht abstrakt, sondern sehr konkret.

Das geschieht dadurch, dass irgend jemand aus einer der hinteren und eher finsteren Ecken des Internets Ihren Nameserver nach irgendeiner beliebigen Adresse fragt. Es würde an dieser Stelle zu weit gehen, aufzuzeigen, wie eine solche DNS-Attacke funktioniert. Es soll der Hinweis genügen, dass für eine solche Attacke nur wenige «Open Resolver» (im Zweifelsfall Ihr Router) und eine überschaubare Zahl von Anfragen von Angreifern aus dem Internet genügen, um einen Server oder ein Netz lahmzulegen.

Woher wissen Sie als Nutzer aber, dass Sie einen OpenResolver betreiben? Es gibt Webseiten, mit der man den eigenen Router darauf hin überprüfen kann. Dazu müssen Sie zuerst die externe IP-Adresse Ihres Internetzugangs wissen - in der Regel finden Sie diese auf den Statusseiten der Router. Andernfalls können Sie diese (in der Regel ja wechselnde) Adresse auch über den Besuch einer Webseite wie www.wieistmeineip.de herausfinden. Nun benötigen Sie noch eine Webseite, über die Sie abfragen können, ob Ihr DSL-Router als OpenResolver fungiert:

http://openresolver.com

Wird Ihr Router dort als OpenResolver aufgeführt, sollten Sie schleunigst dabei gehen, diese gravierende Sicherheitslücke zu schliessen. Das kommt Ihnen in Form eines reinen Gewissens und eingesparter Bandbreite zugute - wenn ein Angreifer Ihren heimischen Router für eine DNS-Attacke missbraucht, geht das (wenngleich nicht erheblich) auch zu Lasten Ihres Internetanschlusses! Und Sie tun etwas Gutes für die Sicherheit des Internets.

Haben wir Ihr Interesse für das spannende Feld der IT-Sicherheit geweckt? In unserem Portal InformatikPraxisOnline finden Sie ständig aktualisierte Beiträge zu vielen Themen der IT – Administration, Planung, Sicherheit, Trends und vieles mehr.

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Führung kompakt

    Führung kompakt

    Der Impuls-Letter für die wirkungsvolle Führungskraft in gedruckter Form.

    Mehr Infos

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Nächster Termin: 19. Juni 2018

mehr Infos