Limitierungen von Fritz!Box und Co.
Ratgeber - Anforderungen an professionelle DSL-Router
Anforderungen an eine professionelle Lösung
Wie diese Aufstellung zeigt, sind Geräte wie die Fritz!Box oder das Speedport für das häusliche Einsatzgebiet in der Regel vollkommen ausreichend. Doch welche Forderungen stellt der Profi an die Router/Firewall-Geräte, die den Zugang des Firmennetzwerks zum Internet regeln?
Überwachung mit SNMP: Gerade im Bereich des Managements offenbaren sich viele Schwächen der "Highend Home"-Geräte im Vergleich zu den professionellen Business-Verwandten. Für den Einsatz in einem professionellen Netzwerk ist eine Integration der Router in eine SNMP-Umgebung (Simple Network Management Protocol), beispielsweise mit dem kostenfreien Nagios, dringend erforderlich. Das ist aber in der Regel mit der Fritz!Box & Co. nicht möglich.
Durch den Einsatz von SNMP ist es dem Administrator möglich, sowohl den Netzwerktransfer als auch die Auslastung der CPU und des Arbeitsspeichers oder auch die Firmware-Versionen zentral im Blick zu haben. So sind dann auch automatisierte Aktionen, zum Beispiel ein Neustart des Routers bei absinkender Leistung oder bei zu hohem Transfer auf einem Port, einfach zu konfigurieren. Zwar ist es beispielsweise auf einer Fritz!Box möglich, ein angepasstes lauffähiges Linux-System inklusive SNMP-Support einzurichten. Das ist jedoch mit erheblichem Aufwand verbunden, und es handelt es sich bei dem Gerät danach nicht mehr um die Standardauslieferung.
Managementsoftware und Syslog: Ein weiterer wichtiger Punkt ist das "Logging" mit Monitoring-Lösungen. So ist leider kaum eine Highend-Home-Lösung in der Lage, Syslog-Meldungen zu erstellen, zu speichern oder an einen zentralen Überwachungsserver zu schicken.
Installation und Konfiguration: Mit den insgesamt guten Assistenten im Web-Browser ist die Installation von Home-Produkten wie der Fritz!Box in der Regel problemlos möglich. Geht es jedoch darum, eine größere Anzahl von Geräten auszuliefern, so muss entweder ein automatisierbarer Softwareassistent oder besser noch eine zentrale Managementsoftware zum Einsatz kommen. Während die Standardgeräte für den Heimbetrieb solche Funktionalitäten nicht bieten können, stellen Profi-Produkte, wie sie beispielsweise von den Herstellern SonicWall und Lancom angeboten werden, schon ab Werk solche Funktionen zur Verfügung.
Schutzfunktionen: Wird der DSL-Router direkt für die Internetanbindung ohne einen Proxy-Server dazwischen genutzt, so steigen die Anforderungen für den professionellen Einsatz deutlich an. Eine integrierte, objektorientierte Stateful-Packet-Inspection (SPI)-Firewall gehört hier zur Pflichtausstattung. Was unterscheidet diese Art der SPI-Firewall von der Funktionalität, die zumeist in den Highend-Home-Boxen à la Fritz!Box angeboten wird? Grundsätzlich kann heute eine Firewall, die nur eine "Stateful Packet Inspection" ausführt, nicht mehr als sicher angesehen werden. Malware, Viren und Trojaner werden aktuell in anderen Protokollen (wie beispielsweise innerhalb des HTTP-Protokolls) gekapselt und können so von einer "normalen" Firewall nicht entdeckt werden. Im professionellen Umfeld muss ein solches Gerät deshalb den gesamten Datenstrom lesen und auch "verstehen", um entsprechend auf die Bedrohung reagieren zu können. Solche Geräte werden von den Herstellern dann häufig als UTM-Firewalls (Unified Threat Management) bezeichnet.
Zusätzliche Schutzeinrichtungen: Weiterhin sollte gegen mögliche Angriffe aus dem Internet ein Intrusion-Prevention-System mit integriertem DoS-Schutz zur Verfügung stehen. Abgerundet werden die Features eines "perfekten Profi-Systems" schließlich durch einen Content-Filter, der über eine im Internet geführte Datenbank die Anzeige von Webseiten gemäß ihrer Einstufung wie beispielsweise Gewalt oder Pornografie verhindern kann.