Wegen des nahtlosen Übergangs von Consumer-Geräten zu Devices für kleine Büros und das Home-Office sind moderne Router oder Access Points mittlerweile für unter 50 Euro zu haben. Doch aufgepasst: Auch wenn es in beiden Nutzungsszenarien grundsätzlich darum geht, die Verbindung vom Internet zu den angeschlossenen Endgeräten zu steuern, gibt es wichtige Unterschiede. So weisen billige Router häufig nur wenige Funktionen auf. Insbesondere in punkto Sicherheit können sie mit Geräten für den professionellen Einsatz nicht mithalten. Ein weiterer wichtiger Aspekt bei der Router-Wahl sind die bei Consumer-Lösungen meist fehlenden Backup-Funktionen.
In diesem Beitrag geben wir Ihnen eine Entscheidungshilfe und stellen die wichtigsten Ausstattungsmerkmale vor, die ein moderner Router oder Access Point aufweisen sollte. Nicht jedes Gerät muss sämtliche Optionen beinhalten, Sie sollten aber vor allem bei der Sicherheit keine Abstriche machen.
Einsatzszenarien von Routern
Es gibt mehrere Szenarien, in denen ein sicherer Zugang in das Firmen-LAN verfügbar sein muss. Dabei kann man zwei größere Bereiche unterscheiden. Der erste Bereich ist der rein berufliche Zugriff. Das betrifft beispielsweise Filialen, Verbindungen zu Dienstleistern wie Kreditkarteninstitute oder Außenbüros. Hier hat der Administrator den kompletten Traffic unter Kontrolle und kann einschränken, welche Daten, Protokolle und Dienste zulässig sind.
Der zweite Einsatzbereich ist im Home Office. Hier ist es anders als beim Filial-Konzept. Meist ist nur ein Bruchteil des eigentlichen Traffics für das Firmennetz bestimmt. Daher macht es hier mehr Sinn, die sensiblen Daten vorher auszusortieren, um das Netz und vor allem die VPN-Infrastruktur nicht zu überlasten. Hier bieten sich Dienste wie VLAN oder eine Multi-SSID an, um eine Trennung von beruflichen und privaten Übertragungen vorzunehmen. Dennoch gibt es auch überlappende Bereiche, die in beiden Einsatzszenarien wichtig sind, wie Sicherheit und Management.
WLAN-Sicherheit ist Pflicht
Egal welches Szenario man einsetzen will, die Sicherheit sollte in keinem Fall vernachlässigt werden. Setzt man auf WLAN, so muss die Verbindung zumindest mit WPA verschlüsselt sein. Keine Verschlüsselung einzusetzen ist fast schon grob fahrlässig, auch WEP ist inzwischen keineswegs mehr sicher. Noch besser ist natürlich WPA2, wobei es bei älteren Endpunkten zu Problemen kommen kann. Abhilfe schaffen hier Geräte, die mehrere Zugangspunkte (Multi-SSID) erstellen können. Über diese lassen sich auch verschiedene Geräte in separate Netzwerke unterteilen. Dadurch hat dann beispielsweise der Barcode-Scanner keinen Zugriff auf die Datenübertragung des EC-Kartenterminals, obwohl beide am gleichen Access Point angemeldet sein können.
Multi-SSID macht auch im Home Office Sinn. Denn meist wird der Router nicht nur für berufliche Zwecke, sondern auch für private Dinge genutzt. Hier empfiehlt es sich, den Anwendern ein WLAN mit starker Verschlüsselung und eventueller Zertifikatsabfrage einzurichten, das direkt den Zugang zur Firma gewährt. Die anderen SSIDs lassen sich schwächer absichern, erhalten aber „nur“ den direkten Zugriff auf das Internet. Wiederum sind Berufs- und Privat-LAN voneinander getrennt. Das ist nicht nur aus Datenschutzgründen sinnvoll, sondern hilft auch gegen Malware. Denn wenn die Netze getrennt sind, wird es einem Wurm wie Conficker beispielsweise deutlich schwerer fallen, vom infizierten Privat-PC auf das Firmen-Notebook überzuspringen.
Router mit VLAN und NAC
Nicht nur das WLAN, auch das kabelgebundene Netzwerk sollte sich in mehrere virtuelle LANs unterteilen lassen. Das schafft nicht nur eine besser Ordnung im Netzwerk, so wird auch verhindert, dass falsch konfigurierte Geräte das Netzwerk komplett lahmlegen. Ein weiterer Vorteil: Verschiedene Anbieter lassen sich voneinander isolieren und haben keinen Zugang zu den restlichen Komponenten. So ist es auch nicht möglich, dass eine Schwachstelle in einem Endpunkt das komplette Netzwerk kompromittiert.
Auf der Firmenseite des Netzwerks sollte in jedem Fall eine NAC-Lösung eingesetzt werden. Diese ist idealerweise so eingestellt, dass die jeweiligen Endpunkte stets die Patches für die Betriebssysteme und eine aktuelle Antivirenlösung aufgespielt ist. Sobald ein Endpunkt gegen die Vorgaben verstößt, sollte dieser in ein isoliertes Netzwerk umgeleitet werden, bis er wieder den Anforderungen entspricht.
Wichtige Funktionen inklusive Router-Management
Sicherheitsfunktionen mögen zwar auf den ersten Blick die wichtigsten Komponenten sein, dennoch gibt es einige andere Punkte zu beachten. Beispielsweise das Thema Backup-Verbindung. Es kommt zwar selten vor, dennoch können Internetleitungen unterbrochen werden oder ausfallen. Was beispielsweise bei einem Home Office für relativ wenig Schaden sorgt, kann für eine Filiale, deren Kassensystem oder EC-Kartenterminals nicht mehr funktionieren, einen empfindlichen Umsatzeinbruch bedeuten.
Daher macht es durchaus Sinn, wenn der Router im Notfall automatisch auf eine andere Technologie umschalten kann, um wenigstens den Geschäftsbetrieb aufrechtzuerhalten. Früher wurde mangels Alternative oftmals eine separate ISDN-Leitung gezogen, mittlerweile setzen aber immer mehr Hersteller auf UMTS als Failover-Lösung. Die Router enthalten ein zusätzliches UMTS-Modem samt SIM-Karte; fällt der normale Zugang zum Netz aus, kann das Gerät automatisch auf den Mobilfunkzugang wechseln.
Ein anderes Thema ist die Verwaltbarkeit. Spätestens wenn mehrere Netzwerkkomponenten mit einer neuen Konfiguration oder einem Software-Update versorgt werden müssen, lohnt sich ein zentrales Management. Oftmals bieten solche Dienste außerdem noch zusätzliche Funktionen, etwa ein ausgefeiltes Monitoring, einen Überblick über die Abdeckung von WLANs oder IDS/IPS-Funktionalitäten.
Fazit
Auch wenn die Komponenten mancher Hersteller auf den ersten Blick viel Geld kosten, Router und andere Netzwerkkomponenten sollte man nicht nach dem Kaufpreis beurteilen. Stattdessen sollte man planen, welchen finanziellen Schaden ein Ausfall einer Komponente anrichten kann, und den Wert der Hardware danach beziffern. Wichtig ist auch, dass ein Notfallplan besteht, der regelmäßig geprüft und durchgespielt wird. Das betrifft vor allem alternative Internetverbindungen: Diese sollten regelmäßig auf Funktion geprüft werden. Damit lässt sich verhindern, dass ein Fehler in der Konfiguration den kompletten Dienst lahmlegt.
Das Beste ist, sich die Komponenten von verschiedenen Herstellern zeigen zu lassen und ausgiebig zu testen. Dabei gilt es auch auf Interoperabilität zu achten. Zwar sind die meisten Netzwerkfunktionen inzwischen standardisiert, teilweise setzen Hersteller aber immer noch auf proprietäre Technologie.
Dieser Beitrag basiert auf einem Artikel der CW-Schwesterpublikation Tecchannel.