Eine Internetanbindung ist heute auch in sehr kleinen Unternehmen völlig normal. DSL ist dabei die typische Verbindungsart, weil damit eine relativ hohe Bandbreite zu niedrigen Kosten möglich ist. Um die Verbindung zwischen den vergleichsweise wenigen PCs im lokalen Netzwerk und dem Internet herzustellen, braucht es aber einen Router, der die Datenpakete vom Netzwerk zum Internet und wieder zurück transportiert. Da die Sicherheitsrisiken permanent wachsen, muss man sich an dieser Stelle aber auch Gedanken über die Sicherheit machen. Dabei sind zumindest grundlegende Firewall-Funktionalitäten zwingend.
Es gilt, die richtige Wahl zu treffen, um die Kosten im Griff zu behalten und trotzdem eine sichere und beherrschbare Lösung zu erhalten. Dabei gibt es etliche Ansätze. Der minimale Ansatz sind Techniken wie die Verwendung eines einzelnen PC im Netzwerk beispielsweise mit einem lokalen DSL-Adapter als Zugangspunkt ins Internet. Das macht wenig Sinn, solange es sich nicht um einen mit spezieller Firewall-Software ausgestatteten Rechner handelt, der gleichzeitig auch die Funktion eines DSL-Router übernimmt. Bei einem normalen Arbeitsplatzrechner ist davon schon aus Performance- und Sicherheitsgründen unbedingt abzuraten.
Die zweite Variante sind einfache DSL-Router, vielleicht sogar in Integration mit einer einfachen TK-Anlage. Diese Geräte, die oft schon unter 100 Franken zu haben sind, soweit sie keine WLAN-Unterstützung haben, weisen jedoch mehrere gravierende Nachteile auf: Die Sicherheitskonfigu-ration ist typischerweise sehr eingeschränkt. Ausserdem sind solche Systeme, die keine «echte» Firewall mit Stateful Inspection enthalten, grundsätzlich abzulehnen. Stateful Inspection versucht, die Pakete in den Kontext der Verbindungen zu setzen, und lässt daher beispielsweise eingehende Datenpakete aus dem Internet nur zu, wenn die Verbindung von einem internen Rechner aus aufgebaut wurde. Als weiterer Nachteil erweisen sich oft zu schwache Logging-Funktionen, so dass sich das Geschehen am Verbindungspunkt zum Internet nur schwer nachvollziehen lässt. Kritisch ist auch, dass einfache Lösungen keine Hardware-Unterstützung für virtuelle private Netzwerke (VPN) bieten. VPNs erlauben einen verschlüsselten Zugriff von externen Clients – also beispielsweise Mitarbeitern mit Notebook oder aus dem Home Office – auf das interne Netzwerk. Ohne Hardware-Unterstützung sind VPNs potentiell durch den Rechenaufwand bei der Verschlüsselung zu langsam. Das führt auch zu einem weiteren kritischen Aspekt: Sehr oft sind die billigen DSL-Router keine «Performance-Wunder».
Softwarelösungen wie das Astaro Security Linux (ASL) oder Microsofts ISA Server sind sicherlich auch eine Option. Aber: Sie benötigen eine dedizierte Hardware, falls man sich nicht für eine Appliance-Lösung entscheidet. Das treibt die Kosten massiv in die Höhe. Und die Erfahrungen zeigen, dass diese Produkte doch deutlich mehr Wissen für die Konfiguration verlangen als Hardwarelösungen für das DSL-Routing.
Nach oben hin gibt es im Hardwarebereich kaum Grenzen, so dass sich die Frage stellt, wo für kleine Unternehmen sinnvolle Lösungen liegen. Ein Beispiel in diesem Segment ist der Netgear FVL328. Das Gerät kostet rund 350 Franken und ist mit wichtigen Funktionen ausgestattet wie einer Firewall mit Stateful Inspection, der Unterstützung von DMZ-Hosts (Demilitarized Zone, Systeme, die ungeschützt aus dem Internet erreichbar sind) und Hardware-VPNs bis zu 100 Benutzern. Im Gegensatz zu den meisten billigeren Geräten hat der Router keine WLAN-Unterstützung. Diese implementiert man aber ohnehin besser innerhalb des LAN mit einem dedizierten WAP (Wireless Access Point).
Die Installation des Geräts ist, wie bei den meisten Hardwaresystemen, recht einfach: anschliessen, mit dem lokalen Netzwerk und dem Internet verbinden und die Administrationsschnittstelle starten. Da das Gerät standardmässig auf die IP-Adresse 192.168.0.1 konfiguriert ist, muss man einen Client im LAN vorübergehend auf eine IP-Adresse im gleichen Subnetz wie 192.168.0.2 setzen, um auf die webbasierende Konfigurationsschnittstelle des Router zugreifen zu können. Die Authentifizierung erfolgt zunächst mit einem Standardbenutzernamen und -kennwort. Das Kennwort sollte geändert werden, der Benutzername bleibt immer gleich. Das ist aus Sicherheitsgründen nicht optimal, ebenso wenig, dass intern immer über HTTP und nicht HTTPS, also verschlüsselt gearbeitet wird. Immerhin ist die Remote-Konfiguration über das Internet zunächst deaktiviert. Wenn sie aktiviert wird, muss dort zwingend mit HTTPS gearbeitet werden.
Die Basiskonfiguration des Router, einschliesslich der Einstellung von Anwahleinstellungen für den Internet-Provider, der Anpassung der LAN-Adresse (die danach eine analoge Adressänderung beim für die Administration verwendeten Client erfordert) und die Festlegung eines DMZ-Host, sind mit wenigen Mausklicks und Eingaben erledigt. Dabei sind jeweils auch die wichtigsten Informationen online verfügbar.
Bevor man jedoch allzu viel konfiguriert, sollte man zunächst die Firmware aktualisieren. Die vorinstallierte Version stellt deutlich weniger Funktionen, vor allem im Bereich der Sicherheit, bereit. Das Upgrade kann von der Netgear-Website heruntergeladen werden. Die Dateien finden sich am einfachsten, wenn man nach Support-Informationen über den Modellnamen sucht. Nach der Installation eines Firmware-Updates ist ein Reset auf die Standardwerte erforderlich. Alle bis dahin vorgenommenen Einstellungen gehen verloren, so dass man wieder mit der IP-Adresse 192.168.0.1 beginnen muss.
Nach den Basiseinstellungen gilt es, die Sicherheitskonfiguration zu überprüfen. Die Regeln für die Firewall sind sehr einfach gestaltet: Der gesamte Verkehr aus dem LAN ins Internet wird zugelassen, der gesamte eingehende Verkehr, der nicht zu einer aus dem LAN initiierten Verbindung gehört, wird blockiert. Daneben lassen sich ActiveX-Controls, Cookies oder Java-Applets an der Firewall blockieren, gängige Angriffsszenarien wie beispielsweise verschiedene Denial-of-Service-Angriffe ausschliessen und auch automatisch E-Mails bei erkannten Angriffen an einen Administrator senden. Die Standardwerte sind sinnvoll gewählt, weil ja DMZ-Hosts für eingehende Zugriffe konfiguriert werden können, lassen sich aber auch einfach anpassen.
Erfreulich ist, dass das Gerät innerhalb weniger Minuten in einer akzeptabel sicheren Konfiguration einsatzfähig ist. Billigere Lösungen sind zwar auch schnell einsatzfähig, aber nicht unbedingt sicher. Und bei manchen komplexen Lösungen wie dem ASL oder Microsofts ISA Server muss zuerst viel Zeit für die Konfiguration aufgewendet werden.
Systeme wie der Netgear FVL328 – in dieser Preisklasse und mit vergleichbarer Funktionalität gibt es Angebote der meisten Hersteller von DSL-Routern – sind eine sinnvolle Lösung gerade für kleinere Unternehmen, die eine beherrschbare und dennoch sichere Lösung für den Internetzugang benötigen. Das System unterstützt alle wesentlichen Anforderungen und bietet schon in der Basiskonfiguration ein durchaus beachtliches Mass an Sicherheitsfunktionen. Diese sollten mit lokalen Mechanismen wie Virenscannern ergänzt werden. Zudem lassen sich über den – separat zu lizenzierenden – VPN-Client auch sichere Verbindungen in das interne Netzwerk aufbauen, ohne dass man sich mit der nicht trivialen Konfiguration von Verfahren wie PPTP oder L2TP/IPsec beschäftigen muss, die allerdings vom Router auch getunnelt werden können.
