DSL-Router mit Highspeed-WLAN

Basis-Features eines Breitband-Routers

Grundsätzlich ist die Aufgabe eines Routers schnell beschrieben: Ein Router ist das Gerät im Netzwerk, das weiß, über welche Leitungen einzelne Datenpakete geschickt werden müssen, um einigermaßen gesichert zum Empfänger zu gelangen. Erschwert wird seine Aufgabe durch die Tatsache, dass die diversen Breitbandanbieter dem Kunden in der Regel nur eine einzige IP-Adresse zuteilen. Ergo muss der Router zusätzlich für eine Internet-konforme Umadressierung der Datenpakete sorgen.

Über die Network Address Translation (NAT) stellt er daher nicht nur sicher, dass aus dem Netz gesendete Pakete so aussehen, als kämen sie alle von einem Rechner mit der vom ISP zugewiesenen IP-Adresse. Er kümmert sich auch darum, dass eintreffende Daten wieder an die korrekten lokalen Empfänger weitergeleitet werden.

Als netten Nebeneffekt schützt NAT auch die Rechner im LAN zumindest rudimentär vor Angriffen aus dem Internet: Da der Router in seiner für NAT verwendeten internen Zuordnungstabelle für die meisten bösartigen Datenpakete keinen Empfänger findet, verwirft er sie einfach.

Dieses Vorgehen schützt allerdings nicht vor Angriffen, die eine Blockade des Internet-Zugangs zum Ziel haben. Solche Denial-of-Service-Attacken (DoS) fußen darauf, einem Router durchaus legitime Pakete zu senden und ihn so zu veranlassen, auf nachfolgende Daten zu warten. Treffen genügende solcher Anfragen ein, gehen dem Router die verfügbaren Portss für echte Datenübertragungen aus und die Internet-Anbindung bricht zusammen.

Um auch gegen derartige Angriffe gefeit zu sein, besitzen die meisten modernen Router eine Firewall mit Stateful Packet Inspection (SPI). Sie untersucht Pakete nicht nur auf legitime Absender und Empfänger, sondern berücksichtigt zusätzlich den Zustand der Übertragung sowie die Häufigkeit, mit der bestimmte Pakete eintreffen. Wird dabei der meist fest vorgegebene Schwellenwert überschritten, verwirft der Router nachfolgende Pakete und hält so die Leitung ins Internet offen.

Abhängig von der Implementierung durch den Hersteller wirft das in Verbindung mit neuen Techniken allerdings Probleme auf. Besonders Anwendungen für Voice over IP (VoIP) oder Video-Telefonie veranlassen Router mitunter dazu, eine DoS-Attacke zu erkennen. Grund dafür sind die von diesen Applikationen verwendeten UDP-Transfers: Um die Daten zwischen den Teilnehmern möglichst schnell auszutauschen, verzichten VoIP und Video-Telefonie auf gesicherte Transfers per TCP-Protokoll. Stattdessen schießen sie ihre Daten so schnell wie irgend möglich in ungesicherten UDP-Paketen über das Netz. Dieses Bombardement halten viele Router für einen DoS-Angriff und reagieren entsprechend: Die Verbindung wird unterbrochen oder vielfach gar nicht erst aufgebaut, da schon die Initialpakete zum Aushandeln der Verbindung geblockt werden. Abhilfe ist auf mehrere Arten möglich: Entweder der Router verfügt über von Haus aus passend eingestellte Parameter oder die - leider nur selten zu findende - Option, die Schwellenwerte manuell anzupassen.