Warum kann ich mich nicht mit dem richtigen Passwort bei meinem Router anmelden?

Teilen:

Viele Benutzer sind vielleicht schon einmal auf dieses Problem gestoßen: Obwohl sie wiederholt das richtige Passwort eingegeben haben, können sie sich nicht beim Router anmelden.
Seien Sie nicht überrascht – das Anmeldefenster wurde automatisch gesperrt, um den Router vor Cyberangriffen zu schützen.

Diese Situation tritt am häufigsten bei Geräten auf, die über eine öffentlich adressierbare IP-Adresse verfügen. Da öffentliche IP-Adressen von jedem Computer aus aufgerufen werden können, sind Geräte in diesen Netzwerken zunehmend zum Ziel böswilliger Angreifer geworden.

Zunächst würden sie mit einem Tool Standard-Webports wie 80 und 443 scannen. Mit Hilfe von Brute-Force-Methoden würden Angreifer versuchen, sich mit verschiedenen Passwörtern anzumelden, um das Konto zu knacken.

Wenn Sie über TELNET/SSH auf einen Router zugreifen könnten, würde ein Dialogfenster wie das unten abgebildete angezeigt werden:

Mehr als 10.000 Anmeldeversuche dauern nicht lange, und das Anwendungstool kann Tag und Nacht automatisch laufen, bis es den richtigen Benutzernamen und das richtige Passwort gefunden hat.

Wie oben erwähnt, sperrt das System das Anmeldefenster, um zu verhindern, dass das Gerät kontinuierlich angegriffen wird.

Benutzern, die auf öffentliche IP-Adressen angewiesen sind, wird dringend empfohlen, eine Schutzstrategie zu implementieren, um grundsätzlich zu verhindern, dass nicht vertrauenswürdige Parteien auf das Gerät zugreifen können.

Die Vorschläge lauten wie folgt:

1. Deaktivieren Sie unnötige Remote-Anmeldungen.

Beispielsweise verwende ich normalerweise nur die WebUI, um auf das Gerät zuzugreifen. Wenn also der Fernzugriff über SSH/TELNET/HTTP deaktiviert ist, bleibt als einzige Zugriffsmöglichkeit HTTPS.

Dadurch werden die Anmeldemöglichkeiten für unerwünschte Personen reduziert.

2. Richten Sie eine Zulassungsliste (früher „Whitelist“ genannt) ein, damit nur vertrauenswürdige Personen auf das Gerät zugreifen können.

Wenn Sie eine Adresse für die Zulassungsliste festlegen, beachten Sie bitte, dass es sich bei der IP-Adresse um die ausgehende IP-Adresse handeln muss, nicht um Ihren internen Host.

Im folgenden Topologiebeispiel sehen Sie, dass die Zulassungsliste die IP-Adresse 100.10.10.10 zulässt, bei der es sich um den Haupt-IP-Router des Büros handelt, der für die Kommunikation mit einem öffentlichen Netzwerk verwendet wird, und nicht um die Host-IP-Adresse 172.16.70.10.

3. Ändern Sie den Webserver-Port zu einem unbekannten Port. 80 und 443 sind die Standard-Webservice-Ports, die Angreifer normalerweise scannen.

Durch die Kombination dieses Ansatzes mit dem ersten Schritt (nur https für den Zugriff zulassen und zu einem Port wechseln, den nur vertrauenswürdige Personen kennen) kann der böswillige Besucher nicht auf den Webdienst des Geräts zugreifen, da er den Port nicht kennt.

Beispielsweise wird sie beim Zugriff auf dieses Gerät auf 47008 gesetzt. Die Adresse lautet also https://xx.xx.xx.xx:47008.