Router und Firewall in der Praxis

Wo die Fritzbox versagt

Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Anforderungen an eine professionelle Lösung

Wie diese Aufstellung zeigt, sind Geräte wie die Fritzbox oder das Speedport für das häusliche Einsatzgebiet in der Regel vollkommen ausreichend. Doch welche Forderungen stellt der Profi an die Router/Firewall-Geräte, die den Zugang des Firmennetzwerks zum Internet regeln?

Ein weiterer Blick auf die "Home-Variante": Zwar sind auch hier Portfreigaben möglich, der Profi vermisst aber eine feine Granulierung bei den Einstellungen.
Ein weiterer Blick auf die "Home-Variante": Zwar sind auch hier Portfreigaben möglich, der Profi vermisst aber eine feine Granulierung bei den Einstellungen.
Foto: Thomas Bär / Frank-Michael Schlede

Überwachung mit SNMP: Gerade im Bereich des Managements offenbaren sich viele Schwächen der "Highend Home"-Geräte im Vergleich zu den professionellen Business-Geräten. Für den Einsatz in einem professionellen Netzwerk ist eine Integration der Router in eine SNMP-Umgebung (Simple Network Management Protocol) beispielsweise mit dem kostenfreien Nagios, dringend gefordert. Das ist aber in der Regel mit der Fritzbox & Co. nicht möglich.

Durch den Einsatz von SNMP ist es dem Administrator möglich, sowohl den Netzwerktransfer als auch die Auslastung der CPU und des Arbeitsspeichers oder auch die Firmware-Versionen zentral im Blick zu haben. So sind dann auch automatisierte Aktionen, wie zum Beispiel ein Neustart des Routers bei absinkender Leistung oder bei zu hohem Transfer auf einem Port, einfach zu konfigurieren.

Zwar ist es beispielsweise auf eine Fritzbox möglich, ein angepasstes lauffähiges Linux-System inklusive SNMP-Support einzurichten. Das ist jedoch mit erheblichem Aufwand verbunden und es handelt es sich bei dem Gerät danach nicht mehr um die Standardauslieferung.

Management-Software und Syslog: Ein weiterer wichtiger Punkt ist das "Logging" mit Monitoring-Lösungen. So ist leider kaum eine Highend-Home-Lösung in der Lage, Syslog-Meldungen zu erstellen, zu speichern oder an einen zentralen Überwachungsserver zu schicken.

Ebenfalls sehr verbreitet: "Speedport", eine Gerätebezeichnung der Deutschen Telekom beziehungsweise der T-Online - dahinter stecken verschiedene Hersteller wie Siemens, AVM oder , wie hier bei der "W 504V" Arcadyan.
Ebenfalls sehr verbreitet: "Speedport", eine Gerätebezeichnung der Deutschen Telekom beziehungsweise der T-Online - dahinter stecken verschiedene Hersteller wie Siemens, AVM oder , wie hier bei der "W 504V" Arcadyan.
Foto: Thomas Bär / Frank-Michael Schlede

Installation und Konfiguration: Mit den insgesamt guten Assistenten im Web-Browser ist die Installation von Home-Produkten wie der Fritzbox in der Regel problemlos möglich. Geht es jedoch darum, eine größere Anzahl von Geräten auszuliefern, so muss entweder ein automatisierbarer Software-Assistent oder besser noch eine zentrale Management-Software zum Einsatz kommen. Während die Standard-Geräte für den Heimbetrieb solche Funktionalitäten nicht bieten können, stellen Profiprodukte, wie sie beispielsweise von den Herstellern SonicWall und Lancom angeboten werden, schon ab Werk solche Funktionen zur Verfügung.

Schutzfunktionen: Wird der DSL-Router direkt für die Internet-Anbindung ohne einen Proxy-Server dazwischen genutzt, so steigen die Anforderungen für den professionellen Einsatz deutlich an. Eine integrierte, objektorientierte Stateful Packet Inspection (SPI)-Firewall gehört hier zur Pflichtausstattung. Was unterscheidet diese Art der SPI-Firewall von der Funktionalität, die zumeist in den Highend-Home-Boxen á la Fritzbox angeboten wird? Grundsätzlich kann heute eine Firewall, die nur eine "Stateful Packet Inspection" ausführt, nicht mehr als sicher angesehen werden. Malware, Viren und Trojaner werden aktuell in anderen Protokollen (wie beispielsweise innerhalb des HTTP-Protokolls) gekapselt und können so von einer "normalen" Firewall nicht entdeckt werden. Im professionellen Umfeld muss ein solches Gerät deshalb den gesamten Datenstrom lesen und auch "verstehen", um dann entsprechend auf die Bedrohung reagieren zu können. Solche Geräte werden von den Herstellern dann häufig als UTM-Firewalls (Unified Threat Management) bezeichnet.

Die Konfigurationsmöglichkeiten eines Speedport W 504V.
Die Konfigurationsmöglichkeiten eines Speedport W 504V.
Foto: Thomas Bär / Frank-Michael Schlede

Zusätzliche Schutzeinrichtungen: Weiterhin sollte gegen mögliche Angriffe aus dem Internet ein Intrusion Prevention System mit integriertem DoS-Schutz zur Verfügung stehen. Abgerundet werden die Features eines "perfekten Profi-Systems" dann durch einen Content-Filter, der über eine im Internet geführte Datenbank die Anzeige von Web-Seiten gemäß ihrer Einstufung wie beispielsweise Gewalt oder Pornografie verhindern kann.

Zur Startseite