Original-URL des Artikels: https://www.golem.de/news/billigrouter-im-sicherheitscheck-wenn-der-nutzer-selbst-hand-anlegen-muss-1608-122963.html    Veröffentlicht: 31.08.2016 12:03    Kurz-URL: https://glm.io/122963

Billigrouter im Sicherheitscheck

Wenn der Nutzer selbst Hand anlegen muss

Moderne Router für mehr als 150 Euro bieten automatische Updates und die aktuellen Funkstandards. Doch was können Nutzer im Einsteigerbereich in puncto Sicherheit erwarten? Wir haben uns ein paar Router für unter 30 Euro pro Stück gekauft und nachgeschaut.

Router sind eine der Komponenten, die viel für die Sicherheit der Nutzer tun könnten, aber oft versagen. Schlampig programmierte Firmware, langsame oder nur umständlich zu installierende Updates und unsichere Standardeinstellungen sind eher die Regel als die Ausnahme. Wir wollten wissen, wie die Situation im Einstiegsbereich aussieht. Deswegen haben wir uns einige Router bestellt, keines der Testgeräte kostete mehr als 25 Euro. Die Bewertungen bei Amazon und anderen Portalen waren meist durchweg gut - unbedarfte Nutzer könnten unter Umständen verleitet werden, hier ein Schnäppchen machen zu wollen.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beklagt, dass Router oft unsicher sind und Nutzer nicht adäquat schützen. Deswegen hat das Amt einen Leitfaden zusammengestellt, der Mindeststandards definieren soll. So viel sei jetzt schon gesagt: Einige der Kandidaten scheitern daran.

Wir wollen sichere Standardeinstellungen sehen

Besonderen Wert legen wir in diesem Text auf die vorgegebenen Standardeinstellungen. Denn es ist unrealistisch anzunehmen, dass die Mehrzahl der Nutzer die Geräte tatsächlich intensiv an die eigenen Bedürfnisse anpassen wird. Die übergroße Mehrzahl wird ein WLAN einrichten und eventuell noch den Namen der SSID anpassen. Schaut man die Namen der WLANs in einer typischen Nachbarschaft in Berlin an, dominieren aber auch hier die standardmäßig vergebenen SSIDs der Hersteller. Keinen besonderen Wert legen wir in diesem Vergleich auf die üblichen Testkriterien von WLAN-Routern: Signalqualität, Übertragungsrate und unterstützte Funkstandards waren uns egal. Zu dem Preis ist klar, dass wir keine AC-Technologie mit Multi-User-MIMO-Technologie erwarten können. Sollten uns gravierende Probleme in diesem Bereich auffallen, werden wir diese aber erwähnen.

Unsere Testgeräte stammen von Belkin, D-Link, 7Link und Tenda. Alle Geräte sind zu dem Preis mit WLAN-n mit einer Übertragungsrate zwischen 150 und 300 MBit/s ausgestattet. Das ist heute solides Mittelfeld und dürfte für den gelegentlichen Stream der Mediathek ausreichend sein. Dauerhaft ruckelfrei HD-Inhalte zu übertragen, wird aber mit mehreren Nutzern im Netzwerk und den üblichen Störungen durch andere Geräte in der Nähe zum Glücksspiel.

7Links - 123456789 für die Sicherheit

Unser erstes Gerät ist das PX4904 von 7Links, das auch unter dem Label von Pearl vertrieben wird. Das Gerät funkt im 2,4-GHz-Band. Die Firmware ist etwas unübersichtlich gestaltet, der Zugang stellt standardmäßig keine große Hürde dar: Sowohl der Benutzername als auch das Kennwort sind "Admin". Das lässt sich nachträglich vom Nutzer ändern, eine Aufforderung zur Änderung in ein individuell vergebenes Kennwort findet aber leider nicht statt.

Außerdem fällt auf, dass die heute gängige Absicherung mittels WPA2 nicht standardmäßig aktiviert ist. Auch hier muss der Nutzer selbst aktiv werden. Wenn ein Nutzer sich im Menü zurechtfindet und die Verschlüsselung aktivieren will, wird er vor ein weiteres Problem gestellt: Der geeignete Standard muss nämlich aus zahlreichen Alternativen manuell ausgewählt werden. Voreingestellt ist WPA gemischt, aus unserer Sicht keine zeitgemäße Option. Laien dürften mit der Auswahl zwischen WPA2, WEP, WPA AES/TKIP und WPA gemischt ziemlich überfordert sein, eine Hilfestellung gibt es leider nicht.
Immerhin schlägt die Firmware ein Kennwort für die Verschlüsselung vor, wenn auch kein besonders gutes. Nachdem das Häkchen für "Verschlüsselung aktivieren" gesetzt ist, erscheint in dem Passwortfeld der Vorschlag "123456789".

Die auf dem Testgerät installierte Firmware datiert aus dem Jahr 2014. Sie steht unter der GPL und ist damit Open Source. Mit DD-WRT und anderen alternativen Firmware-Versionen ist das Gerät aber nicht kompatibel, auch für Freifunk fällt es daher leider aus. Eine automatische Updatefunktion für die Firmware gibt es nicht. Auch vom Interface aus kann nicht überprüft werden, ob eine neue Version der Firmware verfügbar ist.

Keine Firmware beim Hersteller

Dazu müssen Nutzer die Seite des Herstellers besuchen und sich die für ihre Region richtige Firmware herunterladen. Das dürfte kaum jemand tun, selbst wenn sich eine neue Version der Software finden ließe. Das ist jedoch nicht der Fall, unter "Treiber" gibt es nur zwei Links, die den Quellcode der Firmware versprechen, aber beide nicht funktionieren.

Der erste Link führt auf ein Archiv mit der Endung .gz, wird aber beim Anklicken nur mit einer Fehlermeldung quittiert. Der zweite Link führt zum Distributor Pearl, der anbietet, den Quellcode nach Anforderung per Mail an opensource@pearl.de zu senden.

Wörtlich heißt es: "Wir senden Ihnen auf Anforderung (gerne unter opensource@pearl.de) den Source Code auch auf einem handelsüblichen Datenträger, dessen Herstellungskosten wir im Gegenzug geltend machen."

Immerhin ist die Seite des Herstellers auf Deutsch verfügbar, was bei Fragen zu dem Gerät positiv ist. Uns ist nicht ganz klar, warum der Quellcode nicht einfach als Download angeboten wird, sondern dieses umständliche Verfahren gewählt wird, auch wenn der Ersatz der Aufwendungen nach einer Einschätzung des Linux-Magazins für die Vervielfältigung von der GPL gedeckt sein dürfte.

Zwischenfazit

Aus sicherheitstechnischer Perspektive heraus überzeugt das Gerät leider nicht: Unbedarfte Nutzer können bei der Konfiguration zu viele Fehler machen, gerade dass die Verschlüsselung des WLANs standardmäßig nicht aktiviert ist, ist zu bemängeln. Auch die alte Firmware und die Tatsache, dass keine Firmware zum Herunterladen von der Seite angeboten wird, sind bedauerlich.

Tenda 150 Wireless Modem Router - der Hybride scheitert auf ganzer Linie

Unser zweites Testgerät ist Router und Modem in einem. Der Tenda 150 Wirless Modem Router wirbt mit einer besonders einfachen Installation - über CD-ROM. Das dürfte kaum noch zeitgemäß sein, wir haben die beigelegten Datenträger daher gleich zur Seite gelegt. Die beigelegte Kurzanleitung verrät die für die Konfiguration notwendige IP-Adresse, wir fühlen uns also eigentlich für alles gerüstet.

Im Testbetrieb hinter einem Kabelrouter ließ sich das Interface jedoch über die Eingabe der zugewiesenen IP-Adresse nicht aufrufen. Zur Konfiguration mussten wir das Gerät von unserem Netzwerk und damit dem Internet trennen und uns über eine ungesicherte WLAN-Verbindung verbinden. Erst dann konnten wir das Gerät in den Ethernet-Modus umschalten und auch einen Passcode für das WLAN einstellen. Die Einstellung ist leider nicht intuitiv. Eigentlich ist zwar auf der Startseite vorgesehen, ein WLAN-Kennwort zu wählen, doch das wurde im Test nur mit einer Fehlermeldung quittiert. So mussten wir uns über Wireless - Security zu den Einstellungen für die Verschlüsselung hangeln.
Dort angekommen, schlug uns das System als Standardkennwort 1234567890 vor, nachdem wir den einzig sinnvollen Verschlüsselungsmodus (WPA2) ausgewählt hatten. Hier erfolgt leider auch keine Information der Nutzer, welchen Standard sie nutzen sollen beziehungsweise welche Vor- und Nachteile die verschiedenen Modi haben. Neben WPA2 wird auch der unsichere Standard WEP angeboten. Die gesamte Konfiguration ist standardmäßig ohne jeden Passwortschutz verfügbar, was natürlich leichtsinnig ist.

Die Benutzeroberfläche des Tenda-Geräts ist durchgehend in englischer Sprache gehalten, das ließ sich im Test auch nicht umstellen. Auch das sollten potenzielle Käufer beachten. Nutzer können sich auch hier nicht auf eine automatische Updatefunktion verlassen. Immerhin sind bei dem Gerät neuere Firmware-Versionen vorhanden, Nutzer müssen jedoch das für ihre Region geeignete Update selbst heraussuchen. Problematisch könnte dabei sein, dass die Produktseite des Unternehmens nur in einer Mischung aus Englisch und kyrillischen Zeichen verfügbar ist.

Zwischenfazit

Auch das Tenda-Gerät bietet leider von Haus aus keine sicheren Grundeinstellungen. Gerade die Konfiguration des Geräts über ein unverschlüsseltes Netzwerk und ohne jede Abfrage eines Administratorpasswortes ist problematisch. Auch bei diesem Gerät bleibt es den Nutzern selbst überlassen, ob und wie sie ihr Netzwerk verschlüsseln.

D-Link Dir600 - schon fast gut

Das Dir600 von DLink ist ebenfalls ein nach dem 802.11N-Standard funkendes Gerät mit einer maximalen Geschwindigkeit von 150 MBit/s. Auch hier sollen Kunden eine CD-ROM zur Konfiguration des Geräts verwenden, es gibt sogar einen Aufkleber auf dem Gerät, der vor der Konfiguration ohne CD warnt. Warum, ist uns nicht ganz klar.

Schon auf der Unterseite des Geräts fällt aber ein Problem auf: Der Zugang zum Admin-Interface ist nur unzureichend abgesichert. Auf dem Gerät wird als Nutzername "admin" angegeben, ein Passwort hingegen ist nicht notwendig: "Leave the field blank".

Für die Konfiguration des Geräts ist die beigelegte CD-ROM erwartungsgemäß nicht notwendig. Auch hier müssen wir uns allerdings mit einem unverschlüsselten WLAN verbinden, um die Einrichtung abzuschließen. Immerhin fordert uns der unter 192.168.0.1 zu erreichende Assistenz dazu auf, ein eigenes Admin-Kennwort zu vergeben.
Für die Verschlüsselung des WLANs hingegen müssen wir wieder selbst sorgen. Dazu gibt es den "Setup-Assistent für drahtlose Verbindungen". Dieser wählt, anders als die bisherigen Modelle im Test, selbstständig WPA2 als Verschlüsselung aus, außerdem wird uns vorgeschlagen, einen 32-Bit-Key für uns zu generieren. Das überzeugt uns deutlich mehr als die vorangegangenen Lösungen. Wieso das Gerät aber nicht standardmäßig mit aktivierter Verschlüsselung ausgeliefert wird, verstehen wir nicht. Der Key ließe sich per WPS übertragen oder könnte auf der Unterseite des Geräts beziehungsweise in der Bedienungsanleitung vermerkt werden.

Speicherfunktion nicht intuitiv

Einziger Kritikpunkt hier: Das Menü ist nicht ganz intuitiv. Wer auf "Speichern" klickt, könnte durchaus annehmen, dass die Einstellungen in eine Datei heruntergeladen werden. Stattdessen werden die Einstellungen an den Router übertragen und gesichert. Wer den automatisch erstellten Key nicht ausgedruckt, per Screenshot oder anderweitig gesichert hat, muss den Router noch einmal in den Werkzustand versetzen und den Prozess von vorne beginnen.

Unter "Tools - Firmware" findet sich eine Funktion, die wir bei den anderen Geräten vermisst haben: eine automatische Firmware-Suche. Die mitgelieferte Firmware stammt aus dem Jahr 2013. Firmware-Pakete lassen sich auch manuell einspielen, ebenso wie Sprachpakete für das Interface. Leider funktioniert das in der Praxis nicht wie gewünscht. Die automatische Prüfung auf neue Firmware zeigt keine neuen Resultate an, auf der Webseite ist jedoch Software aus dem Jahr 2015 verfügbar. Als wir diese manuell installieren wollen, erscheint die Fehlermeldung "Request entitity too large", wir können das Update nicht einspielen.

Freifunk an Bord

Der Dir600 unterstützt DD-WRT, auch im Repeater-Modus, das Gerät kann damit kostengünstig für Freifunk-Installationen genutzt werden. Die DD-WRT-Firmware kann wie oben beschrieben über den manuellen Firmware-Upload ohne größere Probleme auf das Gerät geflasht werden.

Zwischenfazit

Das Gerät von D-Link weist in der Ersteinrichtung leichte Schwächen auf, weil ein offenes WLAN genutzt wird. Durch die Aufforderung zur Kennwortänderung gefällt uns das Gerät deutlich besser als die bisherigen Testmuster. Leider funktioniert die automatische Update-Funktion für die Firmware im Test nicht. Der Support für DD-WRT dürfte vor allem Freifunker freuen, ermöglicht aber auch ohne Freifunk zahlreiche Veränderungen an dem Gerät.

Belkin N300 - so kann es gehen

Am besten macht es, so viel vorweg, das Modell von Belkin. Der Belkin N300 checkt gleich nach dem Start der Weboberfläche, wie die Verbindung zum Internet hergestellt wird. Gleich danach wird die Firmware auf dem Gerät geprüft und uns wird eine neue Version, inklusive ausführlichem Changelog, präsentiert und automatisch heruntergeladen, entpackt und installiert. Das Ganze braucht ungefähr drei Minuten und läuft ohne Interaktion mit dem Nutzer ab.

Gleich nach dem Update werden die Sicherheitseinstellungen des Geräts präsentiert. Ein WPA2-Key ist voreingestellt und unten auf dem Router notiert. Uns wird aber direkt angeboten, ein eigenes Kennwort zu vergeben, wenn wir das wünschen. Außerdem gibt es ein Dropdown-Menü, in dem wir den "Sicherheitstyp" auswählen können. WPA2 ist vorausgewählt. Außerdem gibt es den dezenten Hinweis "WPA2 ist am sichersten". Das gefällt uns sehr gut.
Nach den Sicherheitseinstellungen folgt eine optionale Aufforderung, das Gerät beim Hersteller zu registrieren, die wir überspringen. Die Einstellungen sind alle in deutscher Sprache gehalten, beim ersten Aufruf des Dashboards wird noch automatisch ein deutsches Sprachpaket heruntergeladen, so dass wir auch diese Menüs in unserer Muttersprache bedienen können.

Auch das Belkin-Gerät unterstützt DD-WRT. Das Projekt weist darauf hin, dass das Gerät immer per TFTP (Trivial File Transfer Protocol) geflasht werden sollte, das Einspielen über das Webinterface könne die Hardware zerstören.

Jonathan Manning beschreibt in seinem Blog, dass der N300 auch die alternative Tomato-Firmware unterstützt und dass die Einrichtung unkompliziert in nur 20 Minuten abgeschlossen werden kann.

Zwischenfazit

Der Belkin-Router zeigt, dass auch ein günstiges Gerät mit vernünftiger Software und guten Default-Einstellungen punkten kann. Insbesondere das sehr aufgeräumte Menü und das automatische Update der Firmware während der ersten Einrichtung haben uns gefallen.

Verfügbarkeit und Fazit

Die getesteten Geräte sind allesamt schon etwas länger auf dem Markt und über die gängigen Händler problemlos zu bekommen. Die Anschaffungspreise sind günstig, die Geräte können für anspruchslose Setups zum reinen Websurfen und zum Mailabruf genutzt werden, eignen sich demnach etwa, um bei Verwandten ein WLAN aufzuspannen, die bislang keines hatten.

Das Gerät von 7Links kostet derzeit etwa 20 Euro, der Belkin-Router 25,95 Euro, hinzu kommen Versandkosten. Die Tenda-Kombi aus Modem und Router kostet nur 9,49 Euro, ist aber nicht empfehlenswert. Der D-Link Dir600 kostet ebenfalls circa 20 Euro. Mit entsprechender Einrichtung oder alternativer Firmware könnte dieses Gerät eine Alternative sein. Von den getesteten Geräten können wir wenig erfahrenen Anwendern jedoch nur das Belkin-Gerät empfehlen, da es keine besonderen Vorkenntnisse der Nutzer erfordert. Alle anderen Geräte scheitern bei der sicheren Einrichtung, bei Firmware-Updates und bei den Vorschlägen zur Absicherung des eigenen Netzwerks.

Interessant ist, dass sich zwei unserer Testkandidaten mit alternativer Firmware betreiben lassen. Hier werden wir noch einen eigenen Artikel mit unseren Erfahrungen verfassen und auch testen, ob sich das Gerät in eine Freifunk-Infrastruktur eingliedern lässt oder nicht. Es wäre zu begrüßen, wenn Hersteller von Routern künftig stärker auf eingebaute Sicherheit setzen, anstatt dem Nutzer die Entscheidung zu überlassen. Sicherheit muss für jeden funktionieren, nicht nur für Experten.  (hg)


Verwandte Artikel:
Fritzbox 7583: AVM zeigt neuen Router für diverse Vectoring-Techniken   
(23.02.2018, https://glm.io/132954 )
E-Mail-Clients für Android: Kennwörter werden an App-Entwickler übermittelt   
(06.03.2018, https://glm.io/133172 )
Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System   
(10.03.2018, https://glm.io/133261 )
OpenWRT: Virtualisierung soll Router-Lockdown verhindern   
(13.06.2016, https://glm.io/121466 )
Störerhaftung abgeschafft: Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch   
(22.09.2017, https://glm.io/130208 )

© 1997–2019 Golem.de, https://www.golem.de/