Wo die Fritzbox versagt

Lesen Sie, warum es im professionellen Umfeld nicht immer eine gute Idee ist, beispielsweise auf eine Fritzbox zu setzen.

Wer heute bei dem Internet-Provider seiner Wahl einen Vertrag über den Zugang zum weltweiten Datennetzwerk abschließt, bekommt zumeist als Zugabe eine Hardware mitgeliefert, die ihm eben diesen Zugang erst ermöglicht. Vielfach handelt es sich dabei um ein Modell der bekannten Fritzbox, die vom deutschen Hersteller AVM aus Berlin geliefert wird.

Anwender oder Firmen, die ihren Internet-Zugang über die Telekom erhalten, bekommen dann zumeist eine der ebenfalls sehr verbreiteten Speedport-Boxen mitgeliefert. Die verschiedenen Modelle dieser Kombinationen aus Router/Firewall, NAT-Gateway (Network Adress Translation) und WLAN-Access-Point haben sich im Lauf der letzten Jahre zu eine Art Standard entwickelt, der sich besonders im SOHO-Bereich (Small Office/ Home Office) fest etabliert hat.

Zudem wurden die Boxen dieser Anbieter in der gleichen Zeit immer weiter "aufgerüstet" und können beispielsweise (je nach Modell) auch Drucker und Festplatten in das Netzwerk integrieren oder ihren Dienst als Media-Server verrichten.

Vor- und Nachteile von Fritzbox und Co.

So scheint es denn auch für kleine Firmen und mittelständische Unternehmen zunächst eine gute Idee zu sein, diese als Teil des Providervertrags mitgelieferten Geräte auch für die Anbindung der Firma einzusetzen. Gerade die Home-Highend-Geräte aus diesem Umfeld, wie etwa die Fritzbox Fon WLAN 7390 oder das Telekom Speedport Modell W920V können mit einem eindrucksvollen Leistungsspektrum aufwarten. Zu den Vorteilen dieser Boxen zählen unter anderem:

• schnelle und einfache Konfiguration über eine Web-Oberfläche,

• integrierte SPI-Firewall (Stateful Packet Inspection),

• integrierter WLAN-Access-Point,

• Telefonie Unterstützung und

• die Möglichkeit, Endgeräte wie mobile Festplatten und Drucker mit Hilfe der Boxen im Netzwerk bereitzustellen.

Web-Interface
Ein Merkmal aller Router/Firewall-Geräte für den Home-Bereich: Eine übersichtliche Web-Oberfläche wie in diesem Beispiel bei einer Fritzbox von AVM. Hier finden sich auch Optionen wie UPnP, die im professionellen Netzwerk nicht immer erwünscht sind.

Nicht granular genug
Ein weiterer Blick auf die "Home-Variante": Zwar sind auch hier Portfreigaben möglich, der Profi vermisst aber eine feine Granulierung bei den Einstellungen. Zudem werden diese Änderungen nicht protokolliert, was zu Sicherheitsproblemen führen kann.

Speedport
Ebenfalls sehr verbreitet: "Speedport", eine Gerätebezeichnung der Deutschen Telekom beziehungsweise der T-Online- Dahinter stecken verschiedene Hersteller wie Siemens, AVM oder , wie hier bei der "W 504V" Arcadyan.

Begrenzte Möglichkeiten
Die Konfigurationsmöglichkeiten eines Speedport W 504V: Ähnlich wie bei der Fritzbox sind sie für den privaten Bereich sicherlich ausreichend, für den professionellen Einsatz aber viel zu begrenzt.

Port Forwarding
Dank einer gezielten Port-Weiterleitung ist zumindest eine entsprechende Nutzung von RDP über feste IP-Adressen oder dynamisches DNS möglich. Allerdings zeigt sich hier wieder eine Einschränkung vieler Home-Lösungen: Die Oberfläche des Geräts bietet jedoch keine Möglichkeit, mehrere Ziele, für die der Port 3389 inaktiv ist, zu speichern.

Alte Geräte bringen mehr
Was bei einem Heimgerät nicht möglich ist, war bei einem schon etwas "betagten" Router der Marke Cisco/Linksys BEFSR41v4 bereits selbstverständlich: Bis zu zwanzig statische Routen kann ein Systemverwalter hier über ein Web-Interface problemlos einrichten und verwalten.

UTM-Firewall
Eine UTM-Firewall (Unified Threat Management) kann mehr: Auch Web-Verkehr, der über den in der Regel weit offenen Port 80 in das Firmennetzt kommt, wird hier untersucht und den entsprechenden Anwendungen zugeordnet – die Sicherheit erhöht sich dadurch deutlich.

UTM-Maschine
Eine sogenannte "UTM-Maschine" sorgt dabei dafür, dass ein internes Firmennetzwerk von unerwünschten Inhalten verschont bleibt.

Die "große" Lösung
So kann eine "große" Lösung aussehen: Diese Skizze soll unter anderem auch verdeutlichen, dass eine professionelle Lösung nicht nur einfach den Internet-Zugang ermöglicht, sondern vielfältige andere Features zur Verfügung stellt, die im professionellen Einsatz gefordert werden, wie beispielsweise ein sicheres WLAN.

"Rogue AP and Client Detection"
Für den professionellen Einsatz eines drahtlosen Netzwerk wichtig: Wer professionelle WLAN-Router einsetzt kann die Umgebung seiner Firma auch nach Netzwerkzugangspunkten (Access Points) und Geräten untersuchen und überwachen, durch die eine Gefährdung seiner IT eintreten kann. Dies wird auch als "Rogue AP and Client Detection" bezeichnet.

Bis zu 64 IP-Netzwerke
In einem Heimnetzwerk weder gewünscht noch denkbar: Professionelle Router können problemlos eine große Anzahl verschiedener IP-Netzwerke (in diesem Fall sind es bis zu 64) verwalten. Dabei können auch so wichtige Funktionen wie DHCP und DNS direkt und einzeln zugeordnet werden.

Gerade die vielen zusätzlichen Funktionen, die nicht der eigentlichen Aufgabe dienen, das interne Netz mit dem Internet möglichst sicher zu verbinden, sind jedoch im professionellen Einsatz überflüssig oder sogar schädlich:

• So bieten fast alle Home-Lösungen eine breite Unterstützung für sogenannte UPnP-Geräte an (Universal Plug & Play), die es ermöglicht, auch Geräte wie Stereoanlagen oder ganze Haussteuerung über ein IP-basierendes Netzwerk anzusteuern. Mit Hilfe dieser Technik besteht bei vielen Geräten zudem auch die Möglichkeit, die Sicherheitseinstellung einschließlich der Freigabe von Ports zu steuern - so treten schnell ungewollt Sicherheitslücken auf.

• Die Stateful Packet Inspection ist für den professionellen Einsatz nur bedingt tauglich.

• Obwohl die Integration eines Druckers in das Netz über die Router-Box auch im Business-Umfeld sinnvoll sein kann, sind die Möglichkeiten dieser Geräte dabei zu beschränkt (beispielsweise keine Überwachung/Verwaltung, Drucker kann sich nicht in anderen Netzwerksegmenten befinden).

• VPN-Unterstützung (Virtual Private Network) ist zumeist nur rudimentär vorhanden (beispielsweise das Routing in multiple Netze).

• Der WLAN-Access-Point ist für den professionellen Einsatz (unter anderem Trennung in Gast-/Firmennetzwerke) in der Regel nicht zu gebrauchen.

• Die Web-Oberflächen stellen nur ein sehr eingeschränktes Feature-Set (das für den Heimbereich mehr als ausreichend ist) - geht es um komplexere Einstellungen, so muss hier oft mit einer sehr kryptischen und unzureichend dokumentierten Kommandozeile gearbeitet werden.

Anforderungen an eine professionelle Lösung

Wie diese Aufstellung zeigt, sind Geräte wie die Fritzbox oder das Speedport für das häusliche Einsatzgebiet in der Regel vollkommen ausreichend. Doch welche Forderungen stellt der Profi an die Router/Firewall-Geräte, die den Zugang des Firmennetzwerks zum Internet regeln?

Überwachung mit SNMP: Gerade im Bereich des Managements offenbaren sich viele Schwächen der "Highend Home"-Geräte im Vergleich zu den professionellen Business-Geräten. Für den Einsatz in einem professionellen Netzwerk ist eine Integration der Router in eine SNMP-Umgebung (Simple Network Management Protocol) beispielsweise mit dem kostenfreien Nagios, dringend gefordert. Das ist aber in der Regel mit der Fritzbox & Co. nicht möglich.

Durch den Einsatz von SNMP ist es dem Administrator möglich, sowohl den Netzwerktransfer als auch die Auslastung der CPU und des Arbeitsspeichers oder auch die Firmware-Versionen zentral im Blick zu haben. So sind dann auch automatisierte Aktionen, wie zum Beispiel ein Neustart des Routers bei absinkender Leistung oder bei zu hohem Transfer auf einem Port, einfach zu konfigurieren.

Zwar ist es beispielsweise auf eine Fritzbox möglich, ein angepasstes lauffähiges Linux-System inklusive SNMP-Support einzurichten. Das ist jedoch mit erheblichem Aufwand verbunden und es handelt es sich bei dem Gerät danach nicht mehr um die Standardauslieferung.

Management-Software und Syslog: Ein weiterer wichtiger Punkt ist das "Logging" mit Monitoring-Lösungen. So ist leider kaum eine Highend-Home-Lösung in der Lage, Syslog-Meldungen zu erstellen, zu speichern oder an einen zentralen Überwachungsserver zu schicken.

Installation und Konfiguration: Mit den insgesamt guten Assistenten im Web-Browser ist die Installation von Home-Produkten wie der Fritzbox in der Regel problemlos möglich. Geht es jedoch darum, eine größere Anzahl von Geräten auszuliefern, so muss entweder ein automatisierbarer Software-Assistent oder besser noch eine zentrale Management-Software zum Einsatz kommen. Während die Standard-Geräte für den Heimbetrieb solche Funktionalitäten nicht bieten können, stellen Profiprodukte, wie sie beispielsweise von den Herstellern SonicWall und Lancom angeboten werden, schon ab Werk solche Funktionen zur Verfügung.

Schutzfunktionen: Wird der DSL-Router direkt für die Internet-Anbindung ohne einen Proxy-Server dazwischen genutzt, so steigen die Anforderungen für den professionellen Einsatz deutlich an. Eine integrierte, objektorientierte Stateful Packet Inspection (SPI)-Firewall gehört hier zur Pflichtausstattung. Was unterscheidet diese Art der SPI-Firewall von der Funktionalität, die zumeist in den Highend-Home-Boxen á la Fritzbox angeboten wird? Grundsätzlich kann heute eine Firewall, die nur eine "Stateful Packet Inspection" ausführt, nicht mehr als sicher angesehen werden. Malware, Viren und Trojaner werden aktuell in anderen Protokollen (wie beispielsweise innerhalb des HTTP-Protokolls) gekapselt und können so von einer "normalen" Firewall nicht entdeckt werden. Im professionellen Umfeld muss ein solches Gerät deshalb den gesamten Datenstrom lesen und auch "verstehen", um dann entsprechend auf die Bedrohung reagieren zu können. Solche Geräte werden von den Herstellern dann häufig als UTM-Firewalls (Unified Threat Management) bezeichnet.

Zusätzliche Schutzeinrichtungen: Weiterhin sollte gegen mögliche Angriffe aus dem Internet ein Intrusion Prevention System mit integriertem DoS-Schutz zur Verfügung stehen. Abgerundet werden die Features eines "perfekten Profi-Systems" dann durch einen Content-Filter, der über eine im Internet geführte Datenbank die Anzeige von Web-Seiten gemäß ihrer Einstufung wie beispielsweise Gewalt oder Pornografie verhindern kann.

Die Praxis: Vorteile einer professionellen Lösung

Aber aus dem Profi-Umfeld kommen noch weitere Anforderungen, wie etwa: VPN-Sicherheit über XAUTH oder Zertifikate, mehrere hardwarebeschleunigte parallele VPN-Tunnel, IPSec over HTTPs, Rogue Access Point Detection oder auch Voice over WLAN. Gerade beim praktischen Einsatz eines WLANs (heute faktisch Standard in allen Firmennetzwerken) zeigen sich die Stärken der professionellen Lösung deutlich: Mit Hilfe solcher Geräte stehen dann unter anderem folgende Möglichkeiten zur Verfügung:

• Separate WLAN-Netze können mit jeweils individuellen Einstellungen beispielsweise für Gäste oder Mitarbeiter von Partnerfirmen mittels Multi-SSID (Service Set Identifier, bezeichnet den Namen eines Funknetzes) eingerichtet werden.

• Der WLAN-Zugang kann gefiltert werden: So können unter anderem nur bestimmte Client-System zugelassen oder auch gesperrt werden. Ein entsprechender Protokoll-Filter ist ebenfalls konfigurierbar, so dass nur ganz bestimmte Protokolle über diese drahtlose Verbindung möglich sind.

• Hohe Sicherheitsanforderungen können durch die Möglichkeit unterstützt werden, auch über das WLAN IPSec-Verbindungen (Internet Protocol Security) zu betreiben.

Ein weiterer wichtiger Pluspunkt der professionellen Geräte im Vergleich zu Fritzbox und Co. entsteht durch die Möglich, mit ihrer Hilfe auch Mehrfachanbindungen zu ermöglichen: Die Home-Geräte richten sich nach den Gegebenheiten, die standardmäßig in diesem Umfeld zu finden sind: Gewöhnlich wird es dort nur einen einzigen DSL-Zugang geben, der dann auch von diesen Boxen unterstützt wird - fällt dieser Zugang aus, so besitzt auch das gesamte dahinter liegende Netzwerk keinen Zugang mehr zum Internet.

Viele Unternehmen verfügen hingegen über mehrere, leistungsstarke Verbindungen. Deshalb können Profigeräte bei einem Ausfall der DSL-Anbindung beispielsweise automatisch auf ISDN zurückschalten. Werden über die Router standortübergreifende VPN-Verbindungen eingerichtet, so kann der Administrator dann im Notfall über die ISDN-Verbindung entsprechend eingreifen.

Eine solche Mehrfachanbindung ist für eine professionelle Anbindung auch in Hinblick auf die Bandbreite interessant: So können mehrere DSL-Anschlüsse zur besseren Ausnutzung der Bandbreite häufig auch als "WAN Loadbalancing" miteinander kombiniert werden.

AVM Fritzbox
Den Auftakt der All-in-One-Boxen aus Berlin machte im April 2004 die erste Fritzbox im roten Gehäuse, die Ethernet-Geräten den Internetzugang per DSL ermöglichte.

AVM Fritzbox Fon
Mit der Fritzbox Fon ließen sich vorhandene Telefone für Festnetz- und Internettelefonie einsetzen.

AVM Fritzbox Fon WLAN 7050
Die Fritzbox Fon WLAN 7050 mit integriertem WLAN-Router, Telefonanlage und S0-Schnittstelle für die Festnetz- und Internettelefonie mit analogen und ISDN-Telefonen.

AVM Fritzbox Fon WLAN 7170
Die heute immer noch erhältliche Fritzbox Fon WLAN 7170 bietet USB-Anschlussmöglichkeiten, um Drucker im gesamten Netzwerk zu nutzen.

AVM Fritzbox Fon WLAN 7270
Die Fritzbox Fon WLAN 7270 beherrscht 802.11n und hat eine DECT-Basisstation zur direkten Ansteuerung von Schurlostelefonen eingebaut.

AVM Fritzbox Fon WLAN 7390
Die an ihren zwei kleinen Flossen auf der hinteren Gehäuseoberseite leicht zu erkennende Fritzbox Fon WLAN 7390 enthält einen 4-Port Gigabit-Ethernet-Switch sowie einen 802.11n-Dualband-WLAN-Access-Point.

AVM Fritzbox 6360 Cable
Die Fritzbox 6360 Cable hat ein Kabelmodem für den Internetzugang via TV-Kabelanschluss von Kabel Deutschland, Unitymedia etc. eingebaut – während Geräte der 7er Baureihe dafür ihr integriertes DSL-Modem deaktivieren müssen, um mittels LAN1-Port und externem Kabelmodem die Brücke ins Internet zu schlagen.

AVM Fritzbox 6840 LTE
Auf die Nutzung des neuen Mobilfunk-Standards LTE für den Internetzugang ist die Fritzbox 6840 LTE ausgelegt.

DTAG Speedport W920V
Fritzboxen sind auch als OEM-Produkte beliebt: Die Deutsche Telekom ist einer von mehreren Anbietern, die AVM-Produkte in anderer Aufmachung (und teils veränderter Ausstattung) unter eigenen Labels vertreiben.

1&1 HomeServer 7270 Fritzbox
Nicht alle Fritzboxen sind rot: OEM-Ausführungen – wie hier von der 7270 – gibt es auch im schwarzen Gewand, zum Beispiel von 1&1.

AVM Fritzbox Produktion
AVM lässt seine Fritzboxen in Deutschland entwickeln und produzieren.

Fazit: Fritzbox ist nichts für Profis

Router- und Firewall-Produkte wie die Fritzbox, die von Providern als "Zugabe" zum Internet-Anschluss mitgegeben werden, sind für den privaten Bereich durchaus in Ordnung. Dort ist es immer auch möglich, dass die vorhandene Technik und die Geräte an die Möglichkeiten und Einschränkungen dieser Geräte angepasst werden.

Ganz anders ist jedoch die Situation im professionellen Umfeld - und das gilt nicht nur für große Firmen mit entsprechend umfangreichen IT-Abteilungen, sondern auch für kleine und mittlere Betriebe: Die Sicherheit des eigenen Netzwerks sowie aller Geräte und Anwendungen darin ist ganz entscheidend von dieser einen Ressource abhängig.

Ganz gleich ob es um das professionelle Management der Geräte oder beispielsweise um die Einrichtung von dedizierten WLAN-Netzen oder VPNs geht: Mit den Home-Routern vom Schlage der Fritzbox - und das gilt auch für die Highend-Geräte aus diesem Bereich - stoßen Anwender schnell an die Grenzen der Verwaltbarkeit und der Machbarkeit. Wenn dann noch Kriterien wie eine möglichst hohe Verfügbarkeit oder gar ein Management-Zugriff aus der Ferne über eine redundante ISDN-Leitung hinzukommen, dann kann die Entscheidung nur für eine Lösung aus dem professionellen Umfeld ausfallen.

Abschließend sollte bei einer Entscheidung für ein solches System auch der Blick auf die Firewall-Funktionen sehr kritisch ausfallen: Wie in diesem Artikel ausgeführt reichen die Fähigkeiten einer "normalen" SPI-Firewall heute keinesfalls mehr aus, um ein Netzwerk vor den Bedrohungen aus dem Netz zu schützen: Fast alle bekannt gewordenen großen Angriffe und Malware-Attacken der letzten Monate kamen gekapselt in die Netze - verpackt in ein HTTP-Paket, das ein Anwender beim normalen Ansurfen einer Webseite mitgebracht hatte. In solchen Fällen ist eine Fritzbox machtlos; hier können nur professionelle Geräte mit der entsprechenden Technik helfen, die den kompletten Netzwerkverkehr untersuchen und "verstehen".

Der Beitrag basiert auf einem Artikel der ChannelPartner-Schwesterpublikation Computerwoche. Autoren sind Thomas Bär, freier IT-Journalist und Frank-Michael Schlede, freier IT-Fachjournalist in Pfaffenhofen an der Ilm.