Limitierungen von Fritz!Box und Co.
Ratgeber - Anforderungen an professionelle DSL-Router
Auch für kleine Unternehmen ist heute ein Internetzugang essentiell. Die zentrale Bedeutung kommt dabei dem Router zu, der die Schnittstelle zwischen Büro und Außenwelt bildet sowie den Datenverkehr zu den Geräten steuert und verwaltet.
Den Zugang zum Internet stellt per Vertrag ein Internet-Provider zur Verfügung. Als Zugabe bekommt der Kunde eine mehr oder minder subventionierte Hardware mitgeliefert. Oft handelt es sich dabei um ein Modell der bekannten Fritz!Box, die vom deutschen Hersteller AVM aus Berlin hergestellt wird.
Anwender oder Firmen, die ihren Internetzugang über die Telekom erhalten, bekommen dann zumeist eine der ebenfalls sehr verbreiteten Speedport-Boxen zur Verfügung gestellt. Die verschiedenen Modelle dieser Kombinationen aus Router/Firewall, NAT-Gateway (Network Adress Translation) und WLAN-Access-Point haben sich im Lauf der vergangenen Jahre zu eine Art Standard entwickelt, der sich besonders im kleinen Firmenumfeld etabliert hat. Allerdings haben die Hersteller ihre Router immer weiterentwickelt und Funktionserweiterungen implementiert. So können einige Geräte mittlerweile auch Drucker und Festplatten beziehungsweise externe Speichersysteme in das Netzwerk integrieren oder ihren Dienst als Media-Server verrichten.
Vor- und Nachteile von Fritz!Box und Co.
So scheint es denn auch für kleine Firmen und mittelständische Unternehmen zunächst eine gute Idee zu sein, diese als Teil des Providervertrags mitgelieferten Geräte auch für die Anbindung der Firma einzusetzen. Gerade die Home-Highend-Geräte aus diesem Umfeld, wie etwa die Fritz!Box Fon WLAN 7390 oder das Telekom-Speedport-Modell W920V, können mit einem eindrucksvollen Leistungsspektrum aufwarten. Zu den Vorteilen dieser Boxen zählen unter anderem:
-
schnelle und einfache Konfiguration über eine Weboberfläche,
-
integrierte SPI-Firewall (Stateful Packet Inspection),
-
integrierter WLAN-Access-Point,
-
Telefonieunterstützung und
-
die Möglichkeit, Endgeräte wie mobile Festplatten und Drucker mithilfe der Boxen im Netzwerk bereitzustellen.
- Web-Interface
Ein Merkmal aller Router/Firewall-Geräte für den Home-Bereich: Eine übersichtliche Web-Oberfläche wie in diesem Beispiel bei einer Fritzbox von AVM. Hier finden sich auch Optionen wie UPnP, die im professionellen Netzwerk nicht immer erwünscht sind. - Nicht granular genug
Ein weiterer Blick auf die "Home-Variante": Zwar sind auch hier Portfreigaben möglich, der Profi vermisst aber eine feine Granulierung bei den Einstellungen. Zudem werden diese Änderungen nicht protokolliert, was zu Sicherheitsproblemen führen kann. - Speedport
Ebenfalls sehr verbreitet: "Speedport", eine Gerätebezeichnung der Deutschen Telekom beziehungsweise der T-Online- Dahinter stecken verschiedene Hersteller wie Siemens, AVM oder , wie hier bei der "W 504V" Arcadyan. - Begrenzte Möglichkeiten
Die Konfigurationsmöglichkeiten eines Speedport W 504V: Ähnlich wie bei der Fritzbox sind sie für den privaten Bereich sicherlich ausreichend, für den professionellen Einsatz aber viel zu begrenzt. - Port Forwarding
Dank einer gezielten Port-Weiterleitung ist zumindest eine entsprechende Nutzung von RDP über feste IP-Adressen oder dynamisches DNS möglich. Allerdings zeigt sich hier wieder eine Einschränkung vieler Home-Lösungen: Die Oberfläche des Geräts bietet jedoch keine Möglichkeit, mehrere Ziele, für die der Port 3389 inaktiv ist, zu speichern. - Alte Geräte bringen mehr
Was bei einem Heimgerät nicht möglich ist, war bei einem schon etwas "betagten" Router der Marke Cisco/Linksys BEFSR41v4 bereits selbstverständlich: Bis zu zwanzig statische Routen kann ein Systemverwalter hier über ein Web-Interface problemlos einrichten und verwalten. - UTM-Firewall
Eine UTM-Firewall (Unified Threat Management) kann mehr: Auch Web-Verkehr, der über den in der Regel weit offenen Port 80 in das Firmennetzt kommt, wird hier untersucht und den entsprechenden Anwendungen zugeordnet – die Sicherheit erhöht sich dadurch deutlich. - UTM-Maschine
Eine sogenannte "UTM-Maschine" sorgt dabei dafür, dass ein internes Firmennetzwerk von unerwünschten Inhalten verschont bleibt. - Die "große" Lösung
So kann eine "große" Lösung aussehen: Diese Skizze soll unter anderem auch verdeutlichen, dass eine professionelle Lösung nicht nur einfach den Internet-Zugang ermöglicht, sondern vielfältige andere Features zur Verfügung stellt, die im professionellen Einsatz gefordert werden, wie beispielsweise ein sicheres WLAN. - "Rogue AP and Client Detection"
Für den professionellen Einsatz eines drahtlosen Netzwerk wichtig: Wer professionelle WLAN-Router einsetzt kann die Umgebung seiner Firma auch nach Netzwerkzugangspunkten (Access Points) und Geräten untersuchen und überwachen, durch die eine Gefährdung seiner IT eintreten kann. Dies wird auch als "Rogue AP and Client Detection" bezeichnet. - Bis zu 64 IP-Netzwerke
In einem Heimnetzwerk weder gewünscht noch denkbar: Professionelle Router können problemlos eine große Anzahl verschiedener IP-Netzwerke (in diesem Fall sind es bis zu 64) verwalten. Dabei können auch so wichtige Funktionen wie DHCP und DNS direkt und einzeln zugeordnet werden.
Gerade die vielen zusätzlichen Funktionen, die nicht der eigentlichen Aufgabe dienen, das interne Netz mit dem Internet möglichst sicher zu verbinden, sind jedoch im professionellen Einsatz überflüssig oder sogar schädlich:
-
So bieten fast alle Home-Lösungen eine breite Unterstützung für sogenannte UPnP-Geräte an (Universal Plug & Play), die es ermöglicht, auch Geräte wie Stereoanlagen oder die ganze Haussteuerung über ein IP-basiertes Netzwerk anzusteuern. Mithilfe dieser Technik besteht bei vielen Geräten zudem die Möglichkeit, die Sicherheitseinstellung einschließlich der Freigabe von Ports zu steuern - so treten schnell ungewollt Sicherheitslücken auf.
-
Die Stateful Packet Inspection ist für den professionellen Einsatz nur bedingt tauglich.
-
Obwohl die Integration eines Druckers in das Netz über die Router-Box auch im Business-Umfeld sinnvoll sein kann, sind die Möglichkeiten dieser Geräte dabei zu beschränkt (beispielsweise keine Überwachung/Verwaltung, Drucker kann sich nicht in anderen Netzwerksegmenten befinden).
-
VPN-Unterstützung (Virtual Private Network) ist zumeist nur rudimentär vorhanden (beispielsweise das Routing in multiple Netze).
-
Der WLAN-Access-Point ist für den professionellen Einsatz (unter anderem Trennung in Gast-/Firmennetzwerke) in der Regel nicht zu gebrauchen.
-
Die Weboberflächen stellen nur ein sehr eingeschränktes Feature-Set dar (das aber für den Heimbereich mehr als ausreichend ist) - geht es um komplexere Einstellungen, so muss hier oft mit einer sehr kryptischen und unzureichend dokumentierten Kommandozeile gearbeitet werden.