Gerade für den Einsatz im SOHO oder bei der Anbindung von Außenstellen an das Firmen-LAN stellt DSL eine günstige Alternative zur teuren Standleitung dar. Insbesondere da die Anbieter inzwischen Anschlüsse mit bis zu 2,3 Mbit/s realisieren können. Das reicht ohne Weiteres für eine kleine Arbeitsgruppe oder den Datentransfer zwischen Außenstelle und LAN. Aber auch im privaten Bereich finden sich immer häufiger Konfigurationen mit mehreren Rechnern, die von einem Router mit DSL-Anschluss profitieren - insbesondere, wenn die Kinder gerne online spielen.
Ein DSL-Router bietet zudem ein Mehr an Sicherheit, da er den direkten Zugriff aus dem Internet auf die Computer dahinter abblockt. Denn im Allgemeinen vergeht nicht viel Zeit zwischen der Einwahl ins Internet und dem ersten Portscan, der nach Schwachstellen auf dem Rechner sucht.
Da die deutschen DSL-Anbieter PPPoE als Anmeldeprotokoll verwenden, muss das Gerät dieses Protokoll natürlich unterstützen. Um die Flexibilität bei der Provider-Auswahl zu bewahren, sollte das DSL-Modem nicht im Router integriert sein, sondern an einem normalen Ethernet-Port angeschlossen werden. Dann können Sie den Router bei einem Technologiewechsel - etwa zu einem Kabelmodem oder von ADSL zu SDSL - weiterhin benutzen. Das ist besonders dann wichtig, wenn Sie einen teuren Router mit erweiterten Sicherheitsfunktionen kaufen.
Manche Router bieten einen integrierten Switch, so dass Sie ein kleines LAN komplett an diesem Gerät anschließen können. Diese Möglichkeit oder die Anzahl der Switch-Ports sollten allerdings kein Hauptkriterium für einen Kauf sein, da sich an das Gerät ja auch ein größerer Switch anschließen lässt.
Wichtiger - gerade bei der Anbindung von Außenstellen oder Heimbüros - ist beispielsweise ein Backup-ISDN-Anschluss. Damit kann auch bei einem Ausfall der DSL-Leitung weiterhin eine Verbindung hergestellt werden.
Basis-Features
Derzeit arbeiten alle Provider mit dem PPPoE-Protokoll zur Authentifizierung des Benutzers. Das bedeutet, dass es sich bei den DSL-Anschlüssen nicht um eine echte Always-on-Verbindung handelt, sondern um ein Dial-up-Verfahren. Dementsprechend müssen die Router zumindest dieses Protokoll beherrschen. Wünschenswert wäre zudem, dass der Router optional mit einer statischen IP-Adresse oder als DHCP-Client arbeiten kann. Das i-Tüpfelchen wäre die zusätzliche Unterstützung für VPN zur LAN-LAN-Vernetzung über das Internet. Bei Anbindung an das Firmen-LAN ist VPN ein Muss.
Eine dynamische IP-Adresse erschwert den Versuch, Dienste im LAN auch für das Internet freizugeben, denn der Internet-Benutzer muss immer die aktuelle IP-Adresse kennen. Für diesen Fall bieten manche Router die Unterstützung so genannter dynamischer DNS-Dienste. Dabei meldet sich der Router nach der Einwahl ins Internet gleich bei einem Dienste-Anbieter an und teilt ihm die aktuelle IP-Adresse mit. Diese ist dann unter einer Domain wie beispielsweise testdomain.dyndns.org erreichbar.
Ein weiteres relevantes Kriterium ist das Management des Routers. Die wichtigsten Fragen sind hier: Welche Möglichkeiten, wie etwa Telnet, Webbrowser oder proprietäre Software, stehen zur Verfügung und über welche Schnittstellen sind sie erreichbar? Wichtig ist die Option, dass man das Management über bestimmte Schnittstellen wie Internet oder WLAN entweder abschalten oder im besten Fall über Verschlüsselung und Authentifizierung absichern kann. Bei manchen Geräten lässt sich die Verwaltung auch auf eine bestimmte IP-Adresse einschränken.
Viele Hersteller kommen aus dem amerikanischen oder asiatischen Raum. Dort herrschen primär uneingeschränkte Flatrates vor. Hier zu Lande sind aber viele DSL-Anschlüsse zeit- oder volumenbeschränkt. Der Router sollte also entsprechende Funktionen bieten, die beim Kostensparen helfen. Dazu gehört zum Beispiel das automatische Trennen der Verbindung, wenn innerhalb einer bestimmten Zeitspanne keine Anforderung aus dem LAN ins Internet geht. Dummerweise setzen manche Geräte den Idle-Timer auch dann wieder zurück, wenn vom Internet eine Verbindungsanfrage kommt, etwa von einem Filesharing-Client, weil unter der IP vorher ein entsprechendes Programm lief. Damit gerät man bei einem Zeittarif schnell in die Kostenfalle.
WAN-Verbindungen
Einige amerikanische Kabelmodem-Betreiber binden den Account an eine bestimmte MAC-Adresse, um die Authentifizierung zu realisieren. Das verhindert normalerweise den Einsatz eines Routers, der ja über eine andere MAC-Adresse verfügt. Bei manchen Routern lässt sich jedoch - wie bei vielen Netzwerkkarten - die MAC-Adresse einstellen. Praktischerweise können Router die neue Adresse beim so genannten MAC-Clonen gleich per Mausklick übernehmen.
Ein weiterer Vorteil des Clonens von MAC-Adressen: Es verschleiert auch bis zu einem gewissen Grad den Hersteller des Produkts und erschwert damit das Ausnutzen von Sicherheitslücken im Gerät selbst.
Weil die meisten DSL-Provider lediglich eine IP-Adresse vergeben, muss der Router NAT unterstützen, damit sich mehrere Rechner diese Adresse teilen können. Bei Paketen von intern, die durch die Firewall nach extern gelangen sollen, wird die originale Quelladresse durch die der Firewall und der ursprüngliche Quellport durch einen neuen ersetzt. Diese Daten hinterlegt die Software in einer Tabelle, um die Antwortpakete wieder entsprechend umsetzen zu können, ohne dass der Client etwas von diesem Zwischenschritt bemerkt. Dadurch werden die Rechner im LAN effektiv vor dem Internet versteckt.
Dienste und Sicherheit
Das NAT-Verfahren funktioniert so lange nur Verbindungen von innen nach außen aufgebaut werden. Also beispielsweise beim Browsen im Internet oder Abrufen von Mails. Sollen allerdings Verbindungen von außen zu einem Rechner im LAN hergestellt werden, ist das nicht ohne Weiteres möglich. Der Router weiß ja nicht, welcher interne Rechner gemeint ist.
Mit einem Router-Feature namens Virtual Server lässt sich auch ein von außen gesteuerter Verbindungsaufbau realisieren. Dabei weist man den Router an, auf bestimmten TCP/IP-Ports eingehende Verbindungen direkt an einen Rechner im LAN weiterzuleiten. Bietet der Router zusätzlich Port Address Translation, kann man den Zielport auf dem Rechner bestimmen, also beispielsweise auf Port 80 eingehende Verbindungen auf den Port 8080 des Zielrechners weiterleiten.
Es gibt aber noch eine andere Kategorie von Internet-Anwendungen, die beim Einsatz eines Routers nicht mehr funktionieren. Diese Anwendungen stellen eine Verbindung mit einem TCP/IP-Port des Servers her, der seinerseits von sich aus einen festgelegten Port des Clients ansprechen will. Dies schlägt jedoch fehl, da der Server die IP-Adresse des Routers adressiert und dieser nicht weiß, wohin mit dem Datenpaket.
Unter der Bezeichnung Special Applications bieten beinahe alle SOHO-Router ansatzweise eine Funktion, die bei großen Firewalls als Stateful Inspection bekannt ist. Dabei überwacht der Router den ausgehenden Datenverkehr auf Verbindungsanforderungen zu den eingestellten Ports und merkt sich, von welchem Rechner im LAN sie kamen. Wenn nun der angesprochene Server die Verbindung in Gegenrichtung aufbauen will, leitet der Router dieses Datenpaket zum entsprechenden Rechner im LAN weiter. Der Spiele-Server Battle.net beispielsweise benötigt dieses Szenario.
Firewall
Viele Hersteller von DSL-Routern werben damit, dass im Gerät eine Firewall eingebaut sei. Oft ist das aber nicht ganz die Wahrheit, denn bei dieser "Firewall" handelt es sich nur um NAT. Und das muss so ein Router ohnehin enthalten, denn sonst könnte er nicht mehrere PCs mit nur einer öffentlichen IP-Adresse bedienen.
NAT bietet natürlich schon einen gewissen Grad an Sicherheit, denn der Versuch einer Verbindungsaufnahme von außen scheitert automatisch, weil der Router nicht weiß, welcher PC gemeint ist. Somit wäre also beispielsweise der Blaster nicht ins LAN durchgekommen. Aber dennoch stellt NAT keine vollwertige Firewall dar. Wenn Sie zum Beispiel bestimmte Dienste nach außen freigeben, also dem Router mitteilen, dass er Pakete für einen bestimmten Port an einen bestimmten Rechner im LAN weiterleiten soll, dann bietet NAT keinerlei weitere Schutzmechanismen, wie etwa Paketfilterung oder gar Stateful Inspection. Schutz vor einem Trojaner, der eine Verbindung von innen nach außen aufbaut, bietet NAT ebenfalls nicht.
Wer eine Außenstelle oder ein Home Office mit dem LAN in der Zentrale verbinden will, sollte unbedingt auf VPN-Funktionalität achten. Und zwar per IPSec direkt im Router. Das Problem bei IPSec ist nämlich folgendes: Wenn der Client hinter der Netzwerkadress-Umsetzung versucht, einen VPN-Tunnel zum Server zu öffnen, stimmen Absende-Adresse - also die lokale IP des Clients - und IP-Adresse des Pakets nicht mehr überein. Der IPSec-Server wird also den Verbindungsaufbau ablehnen. Dementsprechend muss der Router als IPSec-Client fungieren und ebenso mit zwei externen IP-Adressen umgehen können, einer für den Internet-Zugang und einer vom IPSec-Tunnel.
Erweiterte Router-Features
Funktioniert ein bestimmter Dienst auch mit Stateful Inspection nicht, bieten die Router eine letzte Möglichkeit, den so genannten DMZ-Host. Hierbei wird ein Rechner im LAN bestimmt, an den der Router sämtlichen Traffic durchreicht. Jeglicher Schutz durch den Router entfällt dabei jedoch, der Rechner sollte also entsprechend durch eine Personal Firewall geschützt sein.
Etwas absichern lässt sich ein DMZ-Host, wenn im Router ein Paketfilter implementiert ist. Mit einem solchen kann man zudem verhindern, dass ein Trojaner Daten aus dem LAN hinaussendet. Dazu muss man lediglich die wichtigsten Trojanerports im Router filtern lassen.
Auf der LAN-Seite sollte der Router einen DHCP-Server bereitstellen. Zum einen muss man sich dann nicht um die Vergabe von IP-Adressen auf den Clients kümmern. Zum anderen werden dann gleich die richtigen Einstellungen für DNS und Gateway am PC vorgenommen. Dies ist wichtig, da es durchaus möglich ist, dass sich die DNS-Server beim Provider ändern.
Für Features wie Virtual Server oder Packet Filter sollte der DHCP-Server an bestimmte Clients immer dieselbe IP-Adresse vergeben können (Fixed Mapping). Damit bleiben die DHCP-Features erhalten, und man ist dennoch in der Lage, beispielsweise einen Webserver mit fester interner IP-Adresse zu betreiben. Mit diesem Mapping, das über die MAC-Adresse gesteuert wird, realisieren viele Router eine Zugangskontrolle für LAN und WAN. Bestimmte Rechner können komplett vom Internet-Zugang ausgeschlossen werden. Bei WLAN-Clients lässt sich eine Liste mit erlaubten MAC-Adressen festlegen. Alle anderen mobilen Rechner können sich dann nicht einmal mit dem Router unterhalten. Auf diese Weise verhindern Sie, dass Nachbarn auf Ihre Kosten surfen.
Ein nettes Feature ist Wake on LAN. Sie haben damit die Möglichkeit, per Mausklick einzelne Rechner im LAN aus Standby oder Hibernate aufzuwecken - vorausgesetzt, die Clients unterstützen dies. Wenn Sie das Risiko eingehen wollen, das Webinterface des Routers im Internet freizugeben, können Sie die Stationen sogar aus dem Internet starten, etwa, um Zugriff auf einen Virtual Server zu erhalten.
UPnP - Plug-and-Play übers Netzwerk
Windows XP kann es schon lange - auch wenn es zunächst schwere Sicherheitslücken gab. UPnP soll laut Microsoft eine Fülle neuer Features für die Vernetzung von verschiedensten Endgeräten und Diensten bieten. Wie beim normalen Plug-and-Play sollen dabei Erkennung, Installation und Konfiguration vollautomatisch und größere Benutzerinteraktion ablaufen.
Ein Rechner fungiert als UPnP-Host, der Informationen über alle im Netz verfügbaren UPnP-Geräte sammelt und auf Anfrage liefert. UPnP könnte bestimmte Dienste wie etwa Kommunikationsprogramme oder Webcams auch über das Internet bereitstellen, wenn da nicht NAT wäre, das in den meisten DSL-Routern zum Einsatz kommt. Die Applikationen auf den Rechnern im LAN kennen nur die private IP-Adresse, aber nicht die öffentliche, und der Router weiß nicht, welchem Rechner - etwa ein Netmeeting-Anruf - nun wirklich gilt.
Mittels Port-Forwarding könnte man solche Anrufe durchstellen, aber zum einen ist der Konfigurationsaufwand nicht unerheblich und zum anderen ist das Verfahren nicht sonderlich flexibel. Unterstützt der Router allerdings UpnP, kann er als Host fungieren oder zumindest Anfragen an den eigentlichen Host im LAN weiterleiten.
WLAN-Funktionen
In vielen Szenarien macht es durchaus Sinn, einen Router mit integriertem WLAN zu wählen. Aber gerade beim Einsatz eines WLAN sollten Sie einige Punkte beachten: WEP-Verschlüsselung sollte auf jeden Fall unterstützt werden. Besser ist jedoch die Verschlüsselung mittels WPA (WiFi Protected Access). Hier handelt jeder Client nach der Assoziierung am Router einen eigenen 128 Bit langen Schlüssel aus. Dadurch kann keine andere Station im selben WLAN den Traffic belauschen. Außerdem behebt WPA eine weitere Schwäche von WEP. Der Initialisierungsvektor ist nun 48 Bit lang statt 24.
Als Verschlüsselungsverfahren kommt entweder TKIP (Temporal Key Integrity Protocol) oder AES zum Einsatz. Ersteres setzt, wie auch WEP, auf den RC4-Algorithmus, bietet jedoch via Fast Packet Keying besseren Schutz gegen Tools wie AirSnort. Der Advanced Encryption Standard (AES) dagegen stellt den Nachfolger von DES dar.
Zusätzliche Authentifizierungsmechanismen sind ebenfalls sinnvoll. Die einfachste Variante - nur bestimmten MAC-Adressen den Zugang zu erlauben - bietet nur wenig Schutz. Besser ist die Unterstützung von 802.1x, doch dazu benötigen Sie einen Radius-Server im LAN, der in kleinen Netzen nicht viel Sinn macht.
Eine "Light"-Variante ohne externen Authentifizierungs-Server ist PSK: Beim Pre-Shared-Key-Verfahren wird auf Client und Access Point mit gemeinsamen Keys gearbeitet. Diesen Key verwendet der Client, um sich bei einem Access Point einzubuchen. Der Key selbst wird dabei aber nicht übertragen. Diese Methode gibt auch Heimanwendern oder kleinen LANs die Möglichkeit, ein sicheres WLAN aufzubauen, ohne komplexe Authentisierungs-Server einsetzen zu müssen.
Eine andere Option wäre es, über die Funkstrecke ein VPN laufen zu lassen. Neben der erhöhten Sicherheit könnten Sie zusätzlich einen "öffentlichen" Bereich schaffen, auf den andere WLAN-Nutzer Zugriff haben - beispielsweise einen kleinen Webserver, der die eigenen Angebote anpreist. Ins Internet oder auf andere Server im LAN kommen diese WLAN-Benutzer natürlich nicht.
Mittels Broadcast der SSID kündigt ein Access Point seine Verfügbarkeit an. Das ist ein zweischneidiges Schwert, denn es erleichtert Hackern das Aufspüren des Routers. Wenn ohnehin nur festgelegte vorkonfigurierte WLAN-Stationen auf den Router zugreifen, stellt ein abgeschalteter SSID-Broadcast eine weitere Hürde dar, die ein Hacker überwinden muss.
Verfügt das Gerät über eine austauschbare Antenne, können Sie mit Spezialantennen einerseits die Ausleuchtung des Raums optimieren und andererseits Hackern das Leben schwerer machen, denn der Funkbereich des Routers ist auf das wirklich relevante Areal beschränkt.
Fazit
DSL-Router gibt es inzwischen wie Sand am Meer, entsprechend sind auch die Preise in den Keller gefallen. Doch nicht jedes Gerät ist für jeden Einsatzbereich gleichermaßen geeignet. Leider geben die Produktverpackungen oder Broschüren nicht immer Aufschluss darüber, ob bestimmte Funktionen implementiert sind oder nicht. Hier hilft oft ein Blick auf die Webseite des Herstellers, denn die Handbücher der Geräte stehen dort zumeist zum Download bereit. Dort findet man dann schnell die gewünschte Information.
Die Hersteller-Webseite offenbart noch ein weiteres wichtiges Kriterium: Nämlich ob und wie lange der Hersteller Firmware-Updates für seine Geräte bereitstellt, etwa um erkannte Sicherheitslücken zu beheben oder neue Funktionen hinzuzufügen. Finden sich keine oder nur Update-Versprechungen für ältere Geräte auf der Website, sollten Sie gerade für den Firmeneinsatz nicht auf diesen Hersteller zurückgreifen. Denn das Risiko ist zu groß, dass Sie später bei einem erkannten Sicherheitsloch im Regen stehen. (mha)