Router und Firewall in der Praxis

Wo die Fritzbox versagt

Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Lesen Sie, warum es im professionellen Umfeld nicht immer eine gute Idee ist, beispielsweise auf eine Fritzbox zu setzen.
Ein Merkmal aller Router/Firewall-Geräte für den Home-Bereich: Eine übersichtliche Web-Oberfläche wie in diesem Beispiel bei einer Fritzbox von AVM.
Ein Merkmal aller Router/Firewall-Geräte für den Home-Bereich: Eine übersichtliche Web-Oberfläche wie in diesem Beispiel bei einer Fritzbox von AVM.
Foto: Thomas Bär / Frank-Michael Schlede

Wer heute bei dem Internet-Provider seiner Wahl einen Vertrag über den Zugang zum weltweiten Datennetzwerk abschließt, bekommt zumeist als Zugabe eine Hardware mitgeliefert, die ihm eben diesen Zugang erst ermöglicht. Vielfach handelt es sich dabei um ein Modell der bekannten Fritzbox, die vom deutschen Hersteller AVM aus Berlin geliefert wird. Anwender oder Firmen, die ihren Internet-Zugang über die Telekom erhalten, bekommen dann zumeist eine der ebenfalls sehr verbreiteten Speedport-Boxen mitgeliefert. Die verschiedenen Modelle dieser Kombinationen aus Router/Firewall, NAT-Gateway (Network Adress Translation) und WLAN-Access-Point haben sich im Lauf der letzten Jahre zu eine Art Standard entwickelt, der sich besonders im SOHO-Bereich (Small Office/ Home Office) fest etabliert hat. Zudem wurden die Boxen dieser Anbieter in der gleichen Zeit immer weiter "aufgerüstet" und können beispielsweise (je nach Modell) auch Drucker und Festplatten in das Netzwerk integrieren oder ihren Dienst als Media-Server verrichten.

Vor- und Nachteile von Fritzbox und Co.

So scheint es denn auch für kleine Firmen und mittelständische Unternehmen zunächst eine gute Idee zu sein, diese als Teil des Providervertrags mitgelieferten Geräte auch für die Anbindung der Firma einzusetzen. Gerade die Home-Highend-Geräte aus diesem Umfeld, wie etwa die Fritzbox Fon WLAN 7390 oder das Telekom Speedport Modell W920V können mit einem eindrucksvollen Leistungsspektrum aufwarten. Zu den Vorteilen dieser Boxen zählen unter anderem:

  • schnelle und einfache Konfiguration über eine Web-Oberfläche,

  • integrierte SPI-Firewall (Stateful Packet Inspection),

  • integrierter WLAN-Access-Point,

  • Telefonie Unterstützung und

  • die Möglichkeit, Endgeräte wie mobile Festplatten und Drucker mit Hilfe der Boxen im Netzwerk bereitzustellen.

Gerade die vielen zusätzlichen Funktionen, die nicht der eigentlichen Aufgabe dienen, das interne Netz mit dem Internet möglichst sicher zu verbinden, sind jedoch im professionellen Einsatz überflüssig oder sogar schädlich:

  • So bieten fast alle Home-Lösungen eine breite Unterstützung für sogenannte UPnP-Geräte an (Universal Plug & Play), die es ermöglicht, auch Geräte wie Stereoanlagen oder ganze Haussteuerung über ein IP-basierendes Netzwerk anzusteuern. Mit Hilfe dieser Technik besteht bei vielen Geräten zudem auch die Möglichkeit, die Sicherheitseinstellung einschließlich der Freigabe von Ports zu steuern - so treten schnell ungewollt Sicherheitslücken auf.

  • Die Stateful Packet Inspection ist für den professionellen Einsatz nur bedingt tauglich.

  • Obwohl die Integration eines Druckers in das Netz über die Router-Box auch im Business-Umfeld sinnvoll sein kann, sind die Möglichkeiten dieser Geräte dabei zu beschränkt (beispielsweise keine Überwachung/Verwaltung, Drucker kann sich nicht in anderen Netzwerksegmenten befinden).

  • VPN-Unterstützung (Virtual Private Network) ist zumeist nur rudimentär vorhanden (beispielsweise das Routing in multiple Netze).

  • Der WLAN-Access-Point ist für den professionellen Einsatz (unter anderem Trennung in Gast-/Firmennetzwerke) in der Regel nicht zu gebrauchen.

  • Die Web-Oberflächen stellen nur ein sehr eingeschränktes Feature-Set (das für den Heimbereich mehr als ausreichend ist) - geht es um komplexere Einstellungen, so muss hier oft mit einer sehr kryptischen und unzureichend dokumentierten Kommandozeile gearbeitet werden.