BSI empfiehlt sichere Konfiguration von Heimroutern
Bonn, 30.07.2010.
Anlässlich der Demonstration eines neuartigen Angriffs, der eine Manipulation unzureichend geschützter Heimrouter ermöglicht, gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Empfehlungen für eine sichere Routerkonfiguration.
Auf der Black Hat Konferenz in Las Vegas am 29. Juli 2010 stellte der Sicherheitsexperte Craig Heffner eine neue Variante einer so genannten DNS-Rebinding-Attacke vor. Der Angriff zielt darauf ab, durch eine trickreiche Manipulation der Namensauflösung im Domain Name Sytem (DNS) bestehende Schutzmaßnahmen in Webbrowsern auszuhebeln, die die Zugriffsrechte von Javascript auf den Kontext der ursprünglichen Quelle beschränken („Same Origin Policy“). Ein solcher Angriff ermöglicht den Zugriff auf den Router „von innen“ und umgeht so bestehende Zugriffsbeschränkungen des Routers.
Betroffen von diesen Angriffen sind insbesondere Router, die Privatnutzer für Ihren Internetzugang zu Hause einsetzen. Nach Angaben der Bundesnetzagentur verfügen 22,6 Millionen deutsche Haushalte über einen Breitband-Internetanschluss. In vielen Fällen dient dabei ein Heimrouter als Bindeglied zwischen dem heimischen PC und dem Internetanschluss des Providers. Die Vielfalt der hierbei eingesetzten Geräte ist hoch. Häufig stellt der Provider einen Router, der gleichzeitig den WLAN-Zugang ermöglicht, zur Verfügung.
Bei einer Untersuchung, die das BSI Ende 2009 durchgeführt hat Datei ist nicht barrierefrei DNSSEC-Tauglichkeit von Internetzugangsroutern (PDF, 1,07 MB), zeigte sich, dass viele Geräte seitens der Hersteller mit unzureichenden Sicherheitseinstellungen ausgeliefert wurden. So waren in vielen Fällen beispielsweise die WLAN-Zugänge im Auslieferungszustand aktiv, aber nicht durch ein Kennwort vor unbefugtem Zugriff gesichert. Das durch die mangelnden Sicherheitseinstellungen entstehende Schadenspotenzial ist sehr hoch – die Heimrouter stellen in der Regel die einzige zentrale Absicherung der Heimnetzwerke gegen Angriffe aus dem Internet dar.
Ein Angriff auf den Heimrouter kann über verschiedene Einfallstore erfolgen. So ist zwar in den meisten Fällen der Zugriff auf die Konfigurationsoberfläche nur über das interne Netz möglich. Es gibt jedoch verschiedene Techniken, um diesen Schutzmechanismus auszuhebeln, darunter der jetzt auf der Black Hat Konferenz aufgezeigte Angriffsweg. Eine andere Angriffstechnik wird als „Cross Site Request Forgery“ bezeichnet. Auch dieser Angriff zielt darauf ab, eine Manipulation des Routers „von innen“ unbemerkt vom Anwender durchzuführen. Gelingt einem Angreifer der Zugriff auf den Router, sind vielfältige Schadenszenarien möglich:
*
Mitschnitt von Kommunikationsdaten (Ausspähen von Kennwörtern, E-Mails oder sonstigen privaten Daten)
*
Missbrauch des Internetzugangs für Angriffe auf andere Internetnutzer (z.B. Versand von Spam-Mails, Denial-of-Service-Angriffe)
*
Sonstige missbräuchliche Nutzung des Internetzugangs durch Dritte
*
Missbräuchliche Nutzung der (VOIP-)Telefonleitung (z.B. Anwahl von 0900 Nummern)
*
Manipulation / Austausch der auf dem Router eingesetzten Firmware
Neben der Absicherung des heimischen PCs und einer kontrollierten Ausführung aktiver Inhalte ist daher unbedingt eine sichere Konfiguration des Heimrouters erforderlich.
Das BSI empfiehlt dazu folgende Maßnahmen:
*
Verwendung eines sicheren individuellen Kennwortes zum Schutz der Konfigurationsoberfläche vor dem Zugriff unbefugter Dritter. Das durch den Hersteller gesetzte Auslieferungskennwort sollte der Nutzer bei der Installation des Routers umgehend ändern.
*
Kein paralleler Aufruf anderer externer Webseiten während der Durchführung von Konfigurationsänderungen am Router.
Selbst bei gesetztem Kennwort besteht abhängig von der Implementierung des Routers weiterhin die Gefahr eines erfolgreichen Angriffs, sofern der Nutzer parallel während der Durchführung von Konfigurationsänderungen im Internet surft. Der parallele Aufruf anderer externer Webseiten sollte daher vermieden und der Webbrowser nach Abschluss der Konfiguration geschlossen und neu gestartet werden.
*
Regelmäßige Aktualitätsprüfung der verwendeten Router-Firmware und ggf. Durchführung von Updates.
*
Vergabe eines WLAN-Kennwortes und Verwendung des Sicherheitsstandards WPA2 (Wi-Fi Protected Access 2).
Quelle