Router leiten eintreffende Daten eines bestimmten Protokolls zu einem Zielnetz oder Subnetz weiter. Wer mit diesen Geräten zwei Unternehmensstandorte verbinden möchte, hat die Qual der Wahl: Sie sind in den verschiedensten Ausführungen zu unterschiedlichsten Preisen zu haben. Doch was rechtfertigt diesen Preisunterschied, wenn die Maschinen auf dem Papier alle den gleichen Zweck erfüllen? Wir testeten, wie sich Geräte aus unterschiedlichen Preissegmenten aufsetzen und betreiben lassen, wobei der Schwerpunkt auf dem Datenaustausch zwischen zwei Standorten lag.

Die Kandidaten

Am Test nahmen jeweils zwei Modelle der Firmen Netgear und Cisco teil. Netgear lieferte die Geräte "FVS 338" (Zentrale) und "FVG 318" (Zweigstelle), und Cisco schickte die Router "1841" (Zentrale) und "871" (Zweigstelle) ins Rennen.

Das Testszenario

Häufig greifen Zweigstellen wie Filialen oder abgesetzte Produktionsstandorte auf zentral gespeicherte Daten eines Unternehmens zurück, weshalb die IT-Verantwortlichen hohen Wert darauf legen, dass während der Datenübertragung niemand unerlaubt mithören kann. Dies lässt sich durch ein virtuelles privates Netz (Virtual Private Network = VPN) realisieren. Deshalb legten wir auf dieses Feature im Test besonderes Augenmerk.

Mit Hilfe dieser VPNs kann eine Unternehmenszentrale eine Verbindung mit Außenstellen oder anderen Firmen über ein öffentliches Netz - etwa das Internet - herstellen. Dabei wird zwischen zwei Routern ein Kommunikationskanal geschaltet, den nur die beiden Gesprächspartner nutzen. Bei VPN denken viele Anwender an eine abhörsichere Verbindung - denn dies gaukelt das Wort "Private" vor. Das ist falsch. Ein VPN ist nicht automatisch sicher, nur weil Daten über einen dezidierten Kommunikationskanal geschickt werden. Sicher ist ein solcher Datentunnel nur, wenn er gegen Schnüffler von außen mittels Verschlüsselung abgedichtet wird.

Installation

Die Router, auch unsere Testkandidaten, kommen normalerweise im Werkszustand beim Kunden an und müssen an die jeweiligen Unternehmensbedingungen angepasst werden. Dabei geht es zuallererst darum, Zugriff auf den Router zu erhalten. Cisco bietet hier ein Schnellstarthandbuch, in dem beschrieben ist, wie der Anwender zu verfahren hat. Einige der Cisco-Modelle sind als DHCP-Server konfiguriert. Hier muss der angeschlossene PC die IP-Adresse automatisch vom Router beziehen. Für die Geräte, die ab Werk nicht als DHCP-Server konfiguriert sind, gibt Cisco eine voreingestellte IP-Adresse auf einem Port heraus. Mit den Geräten liefert Cisco ferner einen Security Device Manager aus (SDM). SDM ist ein herkömmliches Verwaltungswerkzeug, mit dem der Zugriff auf die Geräte anhand einer grafischen Benutzeroberfläche erfolgt.

Netgear bietet dagegen kein Werkzeug, um die Geräte zu verwalten. Die Konfigurationsarbeit auf den Routern erfolgt über einen herkömmlichen Web-Browser, wobei der User sowohl den Internet Explorer von Microsoft als auch Firefox von Mozilla verwenden kann. Über die vorkonfigurierte IP-Adresse greift der Anwender auf die Router zu, um sie dann an seine Anforderungen anzupassen. Die IP-Adressen sind in der Schnellstartanleitung verzeichnet, die Netgear mitliefert.

Die Geräte beider Hersteller lassen sich auf Wunsch so einstellen, dass der Router mit statischen IP-Adressen für die Clients arbeitet, wobei sich die IP-Adressen für die einzelnen Ports an den Geräten ändern lassen. Beim ersten Start aller vier Geräte war außer den vorkonfigurierten IP-Adressen des LAN-Ports nichts eingetragen, der User kann die Geräte nach seinen Wünschen einrichten.

Ausstattungsdetails

Neben den herkömmlichen Funktionen wie Schnittstellenverwaltung, diversen Sicherheitseinstellungen zu Firewall oder Zugriffslisten sowie VPN-Funktionen bieten die Geräte von Cisco ein so genanntes Security-Audit. Dieses Werkzeug untersucht auf Basis der Sicherheitsphilosophie von Cisco das Router-Setup. Es erkennt etwaige Schwachstellen und schlägt Möglichkeiten vor, die Konfiguration auf den Geräten zu verbessern - meistens mit Blick auf die Sicherheit. Zu Beginn des Tests galt die WAN-Schnittstelle als unsicherer Port. Security Audit unterbreitete Vorschläge, wie sich das Interface absichern lässt - etwa durch die Firewall. Das Audit wurde von Hand gestartet. Als es beendet war, zeigte es die vermeintlichen Schwachstellen an. Das Ergebnis lässt sich als Textdatei auf dem PC speichern. So kann der Administrator später nachvollziehen, was am Router wann und warum geändert wurde. Wer mit den Verbesserungsvorschlägen des Audits einverstanden ist, schickt diese per Mausklick an den Router ab. Im Test änderte das Werkzeug die angezeigten Parameter den Vorschlägen entsprechend ab und zeigte das Ergebnis dieser Modifikationen an.

Kein Security Audit besitzen dagegen die Geräte von Netgear. Die Benutzeroberfläche bietet lediglich in einem separaten Fenster Informationen zu allen Änderungen an, die sich vornehmen lassen. Allerdings erfolgt diese Hilfestellung in Englisch. Genauso verhält es sich bei den Cisco-Produkten, doch zeigt der SDM zu jeder Entscheidung, die der Anwender bei den Einstellungen treffen muss, weiterführende Informationen an. Wer sich dagegen bei den Netgear-Modellen nicht sicher ist, was die Einstellungen in der Praxis bewirken, muss beim Support Rat suchen.

Die VPN-Konfiguration

Hat der Anwender die Grundeinstellungen gemeistert, kann er das VPN einrichten. Grundsätzlich wartet Cisco dabei mit etwas umfangreicheren VPN-Funktionen auf. So arbeitet Cisco mit einem Wizard, der dem User bei der Konfiguration hilft. Dieser will zu Beginn der Installation wissen, welche Art von VPN der Administrator aufsetzen möchte. Normalerweise ist ein VPN eine Punkt-zu-Punkt-Verbindung. Mit den Cisco-Geräten lassen sich allerdings auch Multipoint-VPNs einrichten. Das bedeutet, dass mehrere Router an einem dezidierten, verschlüsselten Datenaustausch teilnehmen können. Der IPsec-Verkehr wird dabei aber von einem teilnehmenden Router (Spoke-Router) immer über den so genannten Hub-Router geschickt und dann zum jeweiligen Spoke-Router weitergeleitet. Wer kein Multipoint-VPN benötigt, kann mit dem Wizard auch ein Site-to-Site-VPN einrichten, also einen Tunnel zwischen zwei Routern in unterschiedlichen Standorten, die als VPN-Gateway arbeiten.

Der Wizard hilft

Bei Cisco läuft die VPN-Installation immer nach dem gleichen Prinzip ab: Der Wizard stellt Fragen, der Anwender antwortet per Mausklick. Wenn ein User etwas nicht versteht, informieren Hilfetexte zu den anstehenden Entscheidungen. So kann sich der Anwender durch die Installation eines VPN hangeln. Wem das alles noch zu schwierig ist, der kann den Wizzard auch beauftragen, ein so genanntes Easy-VPN aufzusetzen. Hier entfällt ein Teil der bisweilen aufwändigen Konfiguration dank des Unity-Client-Protokolls von Cisco. Die meisten VPN-Parameter sind bei dieser Methode voreingestellt und werden vom Wizzard vorgeschlagen. Lediglich den VPN-Namen und den Pre-Shared-Key legt der Administrator noch selbst fest. Was natürlich immer von Hand eingegeben werden muss, sind die IP-Adressen und Subnetzmasken der am VPN beteiligten WAN-Ports sowie die dahinter liegenden LAN-Ports.

Tunnel einrichten

Ohne diese Informationen wissen die Router nicht, welche der erreichbaren Schnittstellen zu einem VPN gehören, und können keinen VPN-Tunnel generieren. Ein VPN muss auf beiden Maschinen konfiguriert werden; ein Anwender kann also nicht einfach auf einem Router ein VPN konfigurieren und als Endpunkt des Tunnels eine entfernte IP-Adresse einer Zweigstelle angeben. Das Gerät, das zu dieser entfernten IP-Adresse gehört, muss das VPN in die "Gegenrichtung" freischalten.

Netgear bietet ebenfalls einen Wizard, um ein VPN aufzusetzen. Allerdings geht es hier viel "schlanker" zu. Der Wizard forderte lediglich den Pre-Shared-Key, den Namen der Verbindung und den Endpunkt des Tunnels - wie auch bei den Cisco-Routern muss der Administrator die am VPN teilnehmenden WAN-Ports und die dazugehörigen LAN-Ports zusammen mit den entsprechenden Subnetzmasken selbst eintragen. Über VPN-Policys lässt sich einstellen, welcher Verkehr durch den VPN-Tunnel geschickt wird. Sobald lokale und entfernte IP-Adresse von einer Richtlinie betroffen sind, wird der Verkehr automatisch durch den VPN-Tunnel geschickt.

Schutz nach außen

Zur Einrichtung der Router-Firewall offeriert Cisco mit seiner Benutzeroberfläche das etwas bessere Werkzeug. So hat der User mehr Auswahlmöglichkeiten und kann vieles per Mausklick einstellen. Genau wie beim VPN arbeitet SDM hier mit einem Wizard. Wahlweise kann der erfahrene Nutzer die Firewall auch komplett von Hand konfigurieren. Der Wizard selbst bietet drei Einstellungen zur Auswahl an. Ähnlich wie beim Internet Explorer stellt der User über einen Schieberegler die Sicherheitsstufe von klein auf mittel und hoch - je höher die Stufe eingestellt ist, desto mehr Verkehr wird geblockt. Über die Zugriffslisten auf dem Router lassen sich weitere Einstellungen vornehmen, um die Sicherheit anzupassen.

Selbst ausgetrickst

Nachdem die Firewall eingeschaltet war, konnten wir nicht mehr auf den Router zugreifen, denn sie arbeitete ein wenig zu perfekt. Von Haus aus ist sie so eingestellt, das sie erst einmal alles blockiert. Erst musste der SDH so konfiguriert werden, dass wir über HTTPS auf die Geräte zugreifen könnten, denn die Zugriffslisten ließen zwar HTTPS-Pakete durch, blockten aber HTTP. Der Administrator konnte in den Feineinstellungen bei eingeschalteter Firewall im Prinzip alles erlauben, allerdings ist dies nicht Sinn der Sache. Über die Zugriffslisten wurden die betroffenen Ports dann entschärft.

Anders arbeitet dagegen die Firewall von Netgear: Sie blockiert den eingehenden Verkehr komplett, lässt aber alles nach draußen. Dies ist über eine so genannte Default-Regel ab Werk eingestellt und seitens des Users nicht zu ändern. Mit zusätzlichen Regeln kann der Benutzer diese Filterfunktion verfeinern. Treffen Daten von außen auf dem WAN-Port ein, prüft sie der Netgear-Router. Existiert ein entsprechender Eintrag, dürfen sie passieren - falls nicht, werden sie aufgrund der Default-Regel blockiert. Die einzelnen Firewall-Regeln kann der Administrator selbst ein- und ausschalten.

Firewall und VPN

Beide Hersteller haben Funktionen eingebaut, um einen reibungslosen VPN-Betrieb bei aktivierter Firewall zu gewährleisten. Diese Dienste (VPN-Passthrough) sind in den Voreinstellungen jedoch deaktiviert. Sie müssen vom Systemverwalter erst freigegeben werden, damit später der VPN-Verkehr auf den jeweiligen Ports durchgeht. Wer also ein VPN richtig konfiguriert hat, aber keine Verbindung zustande bekommt, sollte deshalb die Firewall prüfen: Unter Umständen ist sie so eingestellt, dass sie den VPN-Verkehr zwischen den beiden Endpunkten nicht durchlässt.

Die Netgear-Router warten zusätzlich mit der Option auf, Regeln zeitabhängig zuzuweisen, um etwa an bestimmten Wochentagen den Datenverkehr zu vorgegebenen Zeiten zu blockieren. Cisco bietet außerdem die Möglichkeit, Datenströme zu priorisieren. Über eine einfache QoS-Funktion teilt der Benutzer die Daten in Klassen ein: geschäftskritisch (zum Beispiel Citrix, SQLnet, LDAP), Echtzeit (Video, Sprache) oder Best Effort, also schnellstmöglich. Den einzelnen Klassen kann dabei eine bestimmte Breite zugewiesen werden. Veränderbar sind hier die Werte für die geschäftskritischen Daten und für Sprach- und Videoverkehr, was übrig bliebt, geht per Best Effort über die Leitung.

WAN-Management

Entsprechende QoS-Funktionen sucht der Anwender bei Netgear vergeblich. Der Hersteller spendiert seinen Produkten lediglich einen so genannten Traffic-Meter, um den Datenverkehr ein wenig zu kontrollieren. Mit ihm kann das Datenvolumen auf dem WAN-Port beschränkt werden. Ferner erlaubt es dem Administrator festzulegen, wie sich der Router bei einer Volumenüberschreitung verhält - beispielsweise dürfen nur noch E-Mail-Pakete passieren. Auf Wunsch informiert das Gerät den Systembetreuer beim Erreichen des Limits per E-Mail. Das Limit lässt sich für eingehenden oder ausgehenden Verkehr beziehungsweise für beide Richtungen einstellen.

Letztlich eignen sich die Produkte beider Hersteller dafür, eine Zentrale mit einer Zweigstelle zu verbinden. Mit Hilfe der Firewall-Einstellungen kann der Verkehr gemäß der jeweiligen Sicherheits-Policy reglementiert werden. Die Hersteller helfen dem Benutzer bei Problemen mit Infotexten auf der Benutzeroberfläche oder per Telefonsupport weiter. Hauptsächlich unterscheiden sich die Testkandidaten in Sachen Komfort und Zusatzfunktionen. Wer eine kleine Zentrale mit einer noch kleineren Zweigstelle verbinden will, muss also nicht gleich zu den "großen" Maschinen von Cisco greifen, die für mehr Geld auch mehr Funktionen bieten. (hi)