Hou je AVM Fritzbox-router veilig

Met een Fritzbox-router van AVM heb je als beginpunt je netwerk en internetverbinding standaard veilig onder controle. Maar zorg ervoor dat je die Fritzbox dan ook veilig houdt om ongewensten buiten de deur te houden. We hebben een paar praktische tips voor je op een rijtje gezet.

Het eerst wat je moet doen is natuurlijk het standaard wachtwoord vervangen. Dat wachtwoord staat op een sticker onderop de router, en kan dus door iedereen die bij de router kan afgekeken worden. De Fritzbox maakt ook meteen automatisch een eerste gebruiker aan, die bij dat wachtwoord hoort. Ga naar ‘Systeem / FRITZ!Box-gebruikers’ om dat aan te passen.

Klik op het potloodje achter de standaardgebruiker en verander de Gebruikersnaam en het Wachtwoord. Laat de toegang vanaf het internet uit staan, er moet als het goed is geen reden zijn om van de internetkant af bij je router te kunnen komen. Zet bij de Rechten aan of je een VPN-verbinding mag maken. Toegang tot de NAS-inhoud is alleen nodig als je daar gebruik van maakt. Na Toepassen krijg je de mogelijkheid om de VPN-instellingen te zien voor een Android- of iOS-apparaat.

Je kunt natuurlijk ook meerdere gebruikers aanmaken, die je verschillende rechten kunt toekennen. Altijd handig voor als je een keer niet thuis bent en er problemen met internet zijn die je op afstand niet meteen kunt oplossen.

Om het inloggen nog veiliger te maken, kun je bij ‘Systeem / FRITZ!Box-gebruikers’ op het tabblad ‘Extra bevestiging’ activeren. Dat kan het indrukken van een toetsencombinatie op een aangesloten DECT-telefoon zijn, het indrukken van een van de knoppen op de router (die dan wel in de buurt moet staan) of met een code van de Google Authenticator-app. De voorkeur gaat uit naar die laatste. Vink de optie ‘Bevestiging via Google Authenticator …’ aan, klik op Toepassen en ga weer naar het Gebruiker-tabblad voor de instellingen van de gebruikers. Daar is bij een gebruiker onderaan de mogelijkheid voor een ‘Nieuwe configuratie’ bijgekomen.

Vul een naam in voor je Authenticator-apparaat, open de Authenticator-app op de smartphone en voeg de Fritzbox-router toe. Daarna moet je de Authenticator-code eenmaal intypen bij de Fritzbox en kun je jezelf in het vervolg met die extra beveiliging aanmelden. Mocht iemand je gebruikersnaam en wachtwoord dan al weten, dan komt hij toch niet verder dan het inlogscherm.

Je kunt natuurlijk regelmatig bij ‘Systeem / Update’ op het tabblad FRTIZ!OS-versie met ‘Nieuw FRITZ!OS zoeken’ kijken of er nieuwe firmware voor je router is, maar het is veel veiliger om op het tabblad Auto-update de optie Niveau III te activeren. Dan krijg je niet alleen informatie over nieuwe updates, maar worden ze ook meteen geïnstalleerd.

Bij het updaten worden de routerverbindingen (internet en telefonie) kort gereset, dus dat wordt in principe ’s nachts gedaan. Je kunt bij ‘Periode voor updates’ een voor jou handige begintijd instellen waarop het updaten mag beginnen.

Standaard houdt de firewall van de Fritzbox alle poorten dicht die niet relevant zijn voor het normale gebruik. Mocht je voor bepaalde apparaten of toepassingen toch een specifieke poort open willen hebben, dan kun je dat doen bij ‘Internet / Toegang verlenen’, maar wees daar zuinig mee. Als hackers van buitenaf een poortscan van je router doen om te kijken via welke poorten zij eventueel naar binnen zouden kunnen komen, is iedere open poort er een te veel. Op de pagina ‘Diagnose / Beveiliging’ kun je zien welke poorten er standaard open staan en welke je daar zelf aan hebt toegevoegd.

De Fritzbox reageert standaard op poortscans met een ICMP-bericht, oftewel een bevestiging dat er bij jouw openbare ip-adres wel iets aangesloten is, maar niet toegankelijk is. Als je dat ook niet wilt, moet je bij ‘Internet / Filters’ op het tabblad Lijsten bij de ‘Globale filterinstellingen’ de optie ‘Firewall in stealthmode’ activeren.

Voor het draadloze netwerk geldt in eerste instantie hetzelfde als voor de router zelf: verander eerst bij ‘Wi-Fi / Wi-Fi-netwerk’ de standaard wifinetwerknaam (SSID) en bij ‘Wi-Fi / Beveiliging’ het wachtwoord. De optie ‘niet-versleuteld’ is een absolute no-go, daarmee kan iedereen zonder wachtwoord op je netwerk.

Kies bij de WPA-versleuteling altijd voor de hoogst mogelijke instelling, in dit geval WPA2 + WPA3. Daardoor werken de nieuwe apparaten met een WPA3-versleuteling en kunnen de oudere nog de minder veilige WPA2-versleuteling blijven gebruiken.

Bij de ‘Andere veiligheidsinstellingen’ moet je zo veel mogelijk uit laten staan wat je niet per se nodig hebt.

Klik op Toepassen om de instellingen te activeren. Met ‘Infoblad afdrukken’ krijg je een overzicht van de instellingen. Dat kun je uitprinten voor alle zekerheid, maar je kunt met je smartphone ook de QR-code scannen om makkelijk toegang te krijgen tot het draadloze netwerk.

Op het tabblad WPS-snelverbinding kun je de optie ‘WPS actief’ beter uit laten staan, dat is een makkelijke manier om apparaten verbinding met je wifi te laten maken. En alles wat makkelijk is, kan ook makkelijk worden misbruikt. Mocht die optie soms nodig zijn om bijvoorbeeld een IoT-apparaat toe te voegen aan het draadloze netwerk, dan kun je hem altijd nog even activeren.

Laat bij ‘Wi-Fi / Toegang voor gasten’ de mogelijkheid van gasten om via jouw router op internet te kunnen onbenut als dat mogelijk is. Bijna iedereen met een smartphone heeft daar tegenwoordig een internetabonnement bij, dus is de noodzaak op jouw wifi te kunnen er minder.

Soms kan het handig zijn bepaalde apparaten (zoals een slimme thermostaat of een weerstation) via een afgescheiden netwerk op internet te laten, zonder dat die bij de rest van je netwerk kunnen komen. In dat geval kun je het gastennetwerk wel activeren, maar moet je de eerste optie ‘privé-Wi-Fi-toegang voor gasten’ activeren, waarbij je het (hoogst mogelijke) versleutelingstype en een wachtwoord kunt opgeven.

Onderaan bij ‘Meer instellingen’ zit de optie ‘Internettoepassingen beperken’ verborgen. Als je die activeert kunnen de gasten alleen surfen en mailen – meer moet je gasten ook niet toe willen staan.

Bij ‘Thuisnetwerk / Netwerk’ staan op het tabblad Netwerkinstellingen onder ‘meer instellingen’ nog een paar instellingen waar je even goed over na moet denken. Met de optie ‘Toegang voor toepassingen toestaan’ sta je toe dat bepaalde toepassingen de instellingen van de Fritzbox kunnen uitlezen en zelfs bewerken. Doe dat alleen als dat strikt noodzakelijk is.

Hetzelfde geldt voor de ‘Statusinformatie via UPnP versturen’. Andere apparaten in je netwerk hebben in principe niets te maken met de poortvrijgaven van je router.

Hou regelmatig het netwerkverkeer in de gaten. Bij ‘Internet / Online-monitor’ kun je zien wat er op dat moment wordt geüpload en gedownload. Komen daar rare pieken in voor, probeer dan te achterhalen wat daar de oorzaak van is.

Met de hier genoemde maatregelen en instellingen kom je een heel eind in het veilig houden van je Fritzbox-router en daarmee je thuisnetwerk en alle apparaten daarin. Loop zeker bij een geavanceerde router als de Fritzbox alle opties eens af en overdenk goed wat je wel of niet nodig hebt. Als je van een bepaalde optie niet weet waar hij voor dient, zet hem gewoon uit en kijk of er nadelige gevolgen zijn.