Im professionellen Umfeld sind die Anforderungen an einen DSL-Router vielfältig. So ist es oft keine gute Wahl, preiswerte Geräte aus dem Consumer-Bereich in einem Unternehmen einzusetzen. Wir erörtern die Vor- und Nachteile von Fritz!Box und Co. und geben Tipps, was ein Profi-DSL-Router können muss.
Auch für kleine Unternehmen ist heute ein Internetzugang essentiell. Die zentrale Bedeutung kommt dabei dem Router zu, der die Schnittstelle zwischen Büro und Außenwelt bildet sowie den Datenverkehr zu den Geräten steuert und verwaltet.
Den Zugang zum Internet stellt per Vertrag ein Internet-Provider zur Verfügung. Als Zugabe bekommt der Kunde eine mehr oder minder subventionierte Hardware mitgeliefert. Oft handelt es sich dabei um ein Modell der bekannten Fritz!Box, die vom deutschen Hersteller AVM aus Berlin hergestellt wird.
Anwender oder Firmen, die ihren Internetzugang über die Telekom erhalten, bekommen dann zumeist eine der ebenfalls sehr verbreiteten Speedport-Boxen zur Verfügung gestellt. Die verschiedenen Modelle dieser Kombinationen aus Router/Firewall, NAT-Gateway (Network Adress Translation) und WLAN-Access-Point haben sich im Lauf der vergangenen Jahre zu eine Art Standard entwickelt, der sich besonders im kleinen Firmenumfeld etabliert hat. Allerdings haben die Hersteller ihre Router immer weiterentwickelt und Funktionserweiterungen implementiert. So können einige Geräte mittlerweile auch Drucker und Festplatten beziehungsweise externe Speichersysteme in das Netzwerk integrieren oder ihren Dienst als Media-Server verrichten.
Vor- und Nachteile von Fritz!Box und Co.
So scheint es denn auch für kleine Firmen und mittelständische Unternehmen zunächst eine gute Idee zu sein, diese als Teil des Providervertrags mitgelieferten Geräte auch für die Anbindung der Firma einzusetzen. Gerade die Home-Highend-Geräte aus diesem Umfeld, wie etwa die Fritz!Box Fon WLAN 7390 oder das Telekom-Speedport-Modell W920V, können mit einem eindrucksvollen Leistungsspektrum aufwarten. Zu den Vorteilen dieser Boxen zählen unter anderem:
#schnelle und einfache Konfiguration über eine Weboberfläche,
#integrierte SPI-Firewall (Stateful Packet Inspection),
#integrierter WLAN-Access-Point,
#Telefonieunterstützung und
die Möglichkeit, Endgeräte wie mobile Festplatten und Drucker mithilfe der Boxen im Netzwerk bereitzustellen.
Gerade die vielen zusätzlichen Funktionen, die nicht der eigentlichen Aufgabe dienen, das interne Netz mit dem Internet möglichst sicher zu verbinden, sind jedoch im professionellen Einsatz überflüssig oder sogar schädlich:
So bieten fast alle Home-Lösungen eine breite Unterstützung für sogenannte UPnP-Geräte an (Universal Plug & Play), die es ermöglicht, auch Geräte wie Stereoanlagen oder die ganze Haussteuerung über ein IP-basiertes Netzwerk anzusteuern. Mithilfe dieser Technik besteht bei vielen Geräten zudem die Möglichkeit, die Sicherheitseinstellung einschließlich der Freigabe von Ports zu steuern - so treten schnell ungewollt Sicherheitslücken auf.
Die Stateful Packet Inspection ist für den professionellen Einsatz nur bedingt tauglich.
Obwohl die Integration eines Druckers in das Netz über die Router-Box auch im Business-Umfeld sinnvoll sein kann, sind die Möglichkeiten dieser Geräte dabei zu beschränkt (beispielsweise keine Überwachung/Verwaltung, Drucker kann sich nicht in anderen Netzwerksegmenten befinden).
VPN-Unterstützung (Virtual Private Network) ist zumeist nur rudimentär vorhanden (beispielsweise das Routing in multiple Netze).
Der WLAN-Access-Point ist für den professionellen Einsatz (unter anderem Trennung in Gast-/Firmennetzwerke) in der Regel nicht zu gebrauchen.
Die Weboberflächen stellen nur ein sehr eingeschränktes Feature-Set dar (das aber für den Heimbereich mehr als ausreichend ist) - geht es um komplexere Einstellungen, so muss hier oft mit einer sehr kryptischen und unzureichend dokumentierten Kommandozeile gearbeitet werden.
Anforderungen an eine professionelle Lösung
Wie diese Aufstellung zeigt, sind Geräte wie die Fritz!Box oder das Speedport für das häusliche Einsatzgebiet in der Regel vollkommen ausreichend. Doch welche Forderungen stellt der Profi an die Router/Firewall-Geräte, die den Zugang des Firmennetzwerks zum Internet regeln?
Überwachung mit SNMP: Gerade im Bereich des Managements offenbaren sich viele Schwächen der "Highend Home"-Geräte im Vergleich zu den professionellen Business-Verwandten. Für den Einsatz in einem professionellen Netzwerk ist eine Integration der Router in eine SNMP-Umgebung (Simple Network Management Protocol), beispielsweise mit dem kostenfreien Nagios, dringend erforderlich. Das ist aber in der Regel mit der Fritz!Box & Co. nicht möglich.
Durch den Einsatz von SNMP ist es dem Administrator möglich, sowohl den Netzwerktransfer als auch die Auslastung der CPU und des Arbeitsspeichers oder auch die Firmware-Versionen zentral im Blick zu haben. So sind dann auch automatisierte Aktionen, zum Beispiel ein Neustart des Routers bei absinkender Leistung oder bei zu hohem Transfer auf einem Port, einfach zu konfigurieren. Zwar ist es beispielsweise auf einer Fritz!Box möglich, ein angepasstes lauffähiges Linux-System inklusive SNMP-Support einzurichten. Das ist jedoch mit erheblichem Aufwand verbunden, und es handelt es sich bei dem Gerät danach nicht mehr um die Standardauslieferung.
Managementsoftware und Syslog: Ein weiterer wichtiger Punkt ist das "Logging" mit Monitoring-Lösungen. So ist leider kaum eine Highend-Home-Lösung in der Lage, Syslog-Meldungen zu erstellen, zu speichern oder an einen zentralen Überwachungsserver zu schicken.
Installation und Konfiguration: Mit den insgesamt guten Assistenten im Web-Browser ist die Installation von Home-Produkten wie der Fritz!Box in der Regel problemlos möglich. Geht es jedoch darum, eine größere Anzahl von Geräten auszuliefern, so muss entweder ein automatisierbarer Softwareassistent oder besser noch eine zentrale Managementsoftware zum Einsatz kommen. Während die Standardgeräte für den Heimbetrieb solche Funktionalitäten nicht bieten können, stellen Profi-Produkte, wie sie beispielsweise von den Herstellern SonicWall und Lancom angeboten werden, schon ab Werk solche Funktionen zur Verfügung.
Schutzfunktionen: Wird der DSL-Router direkt für die Internetanbindung ohne einen Proxy-Server dazwischen genutzt, so steigen die Anforderungen für den professionellen Einsatz deutlich an. Eine integrierte, objektorientierte Stateful-Packet-Inspection (SPI)-Firewall gehört hier zur Pflichtausstattung. Was unterscheidet diese Art der SPI-Firewall von der Funktionalität, die zumeist in den Highend-Home-Boxen à la Fritz!Box angeboten wird? Grundsätzlich kann heute eine Firewall, die nur eine "Stateful Packet Inspection" ausführt, nicht mehr als sicher angesehen werden. Malware, Viren und Trojaner werden aktuell in anderen Protokollen (wie beispielsweise innerhalb des HTTP-Protokolls) gekapselt und können so von einer "normalen" Firewall nicht entdeckt werden. Im professionellen Umfeld muss ein solches Gerät deshalb den gesamten Datenstrom lesen und auch "verstehen", um entsprechend auf die Bedrohung reagieren zu können. Solche Geräte werden von den Herstellern dann häufig als UTM-Firewalls (Unified Threat Management) bezeichnet.
Zusätzliche Schutzeinrichtungen: Weiterhin sollte gegen mögliche Angriffe aus dem Internet ein Intrusion-Prevention-System mit integriertem DoS-Schutz zur Verfügung stehen. Abgerundet werden die Features eines "perfekten Profi-Systems" schließlich durch einen Content-Filter, der über eine im Internet geführte Datenbank die Anzeige von Webseiten gemäß ihrer Einstufung wie beispielsweise Gewalt oder Pornografie verhindern kann.
Aber aus dem Profi-Umfeld kommen noch weitere Anforderungen, wie etwa: VPN-Sicherheit über XAUTH oder Zertifikate, mehrere hardwarebeschleunigte parallele VPN-Tunnel, IPSec over HTTPs, Rogue Access Point Detection oder auch Voice over WLAN. Gerade beim praktischen Einsatz eines WLANs (heute faktisch Standard in allen Firmennetzwerken) zeigen sich die Stärken der professionellen Lösung deutlich: Mithilfe solcher Geräte stehen dann unter anderem folgende Möglichkeiten zur Verfügung:
Separate WLAN-Netze lassen sich mit jeweils individuellen Einstellungen beispielsweise für Gäste oder Mitarbeiter von Partnerfirmen mittels Multi-SSID (Service Set Identifier, bezeichnet den Namen eines Funknetzes) einrichten.
Der WLAN-Zugang kann gefiltert werden: So können unter anderem nur bestimmte Client-System zugelassen oder auch gesperrt werden. Ein entsprechender Protokoll-Filter ist ebenfalls konfigurierbar, so dass nur ganz bestimmte Protokolle über diese drahtlose Verbindung möglich sind.
Hohe Sicherheitsanforderungen können durch die Möglichkeit unterstützt werden, auch über das WLAN IPSec-Verbindungen (Internet Protocol Security) zu betreiben.
Ein weiterer wichtiger Pluspunkt der professionellen Geräte im Vergleich zu Fritz!Box und Co. entsteht durch die Möglichkeit, mit ihrer Hilfe auch Mehrfachanbindungen zu erlauben: Die Home-Geräte richten sich nach den Gegebenheiten, die standardmäßig in diesem Umfeld zu finden sind: Für gewöhnlich wird es dort nur einen einzigen DSL-Zugang geben, der dann auch von diesen Boxen unterstützt wird - fällt dieser Zugang aus, so besitzt auch das gesamte dahinterliegende Netzwerk keinen Zugang mehr zum Internet. Viele Unternehmen verfügen hingegen über mehrere, leistungsstarke Verbindungen. Deshalb können Profi-Geräte bei einem Ausfall der DSL-Anbindung beispielsweise automatisch auf ISDN zurückschalten. Werden über die Router standortübergreifende VPN-Verbindungen eingerichtet, so kann der Administrator dann im Notfall über die ISDN-Verbindung entsprechend eingreifen.
Eine solche Mehrfachanbindung ist für Profi-Zwecke auch in Hinblick auf die Bandbreite interessant: So können mehrere DSL-Anschlüsse zur besseren Ausnutzung der Bandbreite häufig auch als "WAN Loadbalancing" miteinander kombiniert werden.
Fazit: Fritz!Box und Co. sind nichts für Profis
Router- und Firewall-Produkte wie die Fritz!Box, die von Providern als "Zugabe" zum Internetanschluss mitgegeben werden, sind für den privaten Bereich durchaus in Ordnung. Dort ist es immer auch möglich, dass die vorhandene Technik und die Geräte an die Möglichkeiten und Einschränkungen dieser Geräte angepasst werden.
Ganz anders ist jedoch die Situation im professionellen Umfeld - und das gilt nicht nur für große Firmen mit entsprechend umfangreichen IT-Abteilungen, sondern auch für kleine und mittlere Betriebe: Die Sicherheit des eigenen Netzwerks sowie aller Geräte und Anwendungen darin ist ganz entscheidend von dieser einen Ressource abhängig.
Ganz gleich ob es um das professionelle Management der Geräte oder beispielsweise um das Einrichten von dedizierten WLAN-Netzen oder VPNs geht: Mit den Home-Routern vom Schlage der Fritz!Box - und das gilt auch für die Highend-Geräte aus diesem Bereich - stoßen Anwender schnell an die Grenzen der Verwaltbarkeit und der Machbarkeit. Wenn dann noch Kriterien wie eine möglichst hohe Verfügbarkeit oder gar ein Managementzugriff aus der Ferne über eine redundante ISDN-Leitung hinzukommen, dann kann die Entscheidung nur für eine Lösung aus dem professionellen Umfeld ausfallen.
Abschließend sollte bei einer Entscheidung für ein solches System auch der Blick auf die Firewall-Funktionen sehr kritisch ausfallen: Wie in diesem Artikel ausgeführt, reichen die Fähigkeiten einer "normalen" SPI-Firewall heute keinesfalls mehr aus, um ein Netzwerk vor den Bedrohungen aus dem Netz zu schützen: Fast alle bekannt gewordenen großen Angriffe und Malware-Attacken der zurückliegenden Monate kamen gekapselt in die Netze - verpackt in ein HTTP-Paket, das ein Anwender beim normalen Ansurfen einer Webseite mitgebracht hatte. In solchen Fällen ist eine Fritz!Box machtlos; hier können nur professionelle Geräte mit der entsprechenden Technik helfen, die den kompletten Netzwerkverkehr untersuchen und "verstehen".
Quelle : TecChannel.de | Sicherheit, Netzwerk, Speicher, Server, Windows, Linux, CPU, Email, Storage