Drehscheiben
Surfen in der Badewanne, Chatten in der Küche und E-Mail in der Hängematte - Funknetzwerke versprechen die Datenversorgung in der ganzen Wohnung.
- Dr. Oliver Diedrich
- Johannes Endres
- Dusan Zivadinovic
Der Funknetzstandard WLAN lässt PCs im Umkreis von gut hundert Metern komfortabel miteinander kommunizieren, ganz ohne lästiges Strippenziehen. Für die Verbindung zwischen den Funkstationen und dem drahtgebundenen Teil des Netzwerks sorgt ein Access Point. Doch mit den herkömmlichen gelingt nur der Zugriff auf die anderen Stationen im LAN. Um die weite Welt des Internet hereinzuholen, braucht man einen Router. Die hier getesteten Geräte integrieren beide Komponenten in einem Gehäuse.
Die getesteten Kombigeräte sind rund 200 Mark teurer als ein herkömmlicher Access Point. Da ein einzelner DSL-oder ISDN-Router derzeit ab 400 Mark kostet, stellen die Wireless-Router eine preisgünstige Alternative dar. Ob sie auch andere Vorteile gegenüber einzelnen Komponenten vorweisen können, mussten alle derzeit erhältlichen WLAN-Router auf dem c't-Prüfstand zeigen.
Von den 21 Kandidaten bringen 19 die Funknetzstationen per ADSL und Kabelmodem ans Internet, da sie das erforderliche Protokoll PPPoE (PPP over Ethernet) unterstützen. Acht davon können zusätzlich auch ISDN- oder Modemverbindungen herstellen. Nur zwei Testteilnehmer nutzen ausschließlich Wählverbindungen für den Internetanschluss: Das A032 von Nokia und die Airstation ISDN von Buffalo. Doch diese Einschränkung kann leicht fallen, denn bei den Routern steckt der größte Teil der Fähigkeiten in der Firmware; schon die nächste Version könnte mit PPPoE aufwarten, wenn der Hersteller will. Ein gutes Beispiel liefert die Airport Basisstation von Apple, die zunächst nur das integrierte Modem für die Internetverbindung nutzte, seit einem Upgrade des Betriebsprogramms aber über die Ethernet-Schnittstelle auch PPPoE spricht.
Für die Verbindung zum ADSL-Modem genügt eine 10BaseT-Schnittstelle, denn mit maximal acht MBit/s bleibt die Geschwindigkeit immer reichlich unter der einer alten Ethernet-Schnittstelle. Alle Geräte bieten auch einen Anschluss für ein kabelgebundenes lokales Netzwerk. Wer neben dem Funknetz auch ein verdrahtetes aufbauen will, bekommt bei manchen Kandidaten einen Switch gleich mitgeliefert. Diese Schnittstelle sollte 100 MBit/s schnell sein, um bei der Kommunikation der per Ethernet angebundenen Stationen untereinander keine Bandbreite zu verschenken. Falls der Router nur einen einzigen Anschluss zum drahtgebundenen Neztwerk hat, genügen auch 10 MBit/s, denn über diese Schnittstelle fließen nur Daten vom DSL und vom WLAN ins Kabel-Netzwerk und beide Quellen sind nicht schneller als 10 MBit/s.
Wireless LAN
Die Funkvernetzung per WLAN hat trotz einer kurzen Geschichte schon einige Entwicklungsschritte hinter sich. 1997 hat das in den USA ansässige Normungsgremium IEEE unter dem Namen 802.11 eine Spezifikation verabschiedet, die Interoperabilität zwischen Geräten verschiedener Hersteller gewährleistet und je nach Qualität des Funkkanals Brutto-Datenraten von 1 MBit/s oder 2 MBit/s liefert. Bei Sichtkontakt lassen sich so bis zu 300 Meter überbrücken, in Gebäuden, also wenn Funkwellen Wände queren müssen, je nach Bausub-stanz bis zu 30 Meter, meist deutlich weniger.
Die heute verbreitete Erweiterung 802.11b, mit der auch alle Testkandidaten bestückt sind, ist zusätzlich für Bruttoraten von 5,5 MBit/s und 11 MBit/s ausgelegt. Hauptsächlich bei kurzen Distanzen kommen diese Verfahren zum Einsatz. Bei Bedarf, etwa hoher Signaldämpfung wegen großer Entfernung, schalten die Geräte auf die ‘niedrigeren Gänge’ des älteren, aber robusteren Verfahrens zurück. Das neuere 802.11b verdankt die höheren Geschwindigkeiten hauptsächlich verbesserten Funkverfahren. Details zu den beiden Spezifikationen finden sich in [1].
Die Netto-Datenrate liegt je nach Verfahren teilweise deutlich unter den genannten Eckwerten, denn der zur Verwaltung und Datensicherung erforderliche Overhead ist in den Brutto-Angaben enthalten. Die Lucent-Tochter Agere gibt beispielsweise die in der folgenden Tabelle angegebenen Werte als Nutzerdatenraten an.
| Bandbreite | Durchsatz | Effizienz |
| [MBit/s] | [MBit/s] | [%] |
| 11 | 5,04 | 46 |
| 5,5 | 3,44 | 62 |
| 2 | 1,59 | 79 |
| 1 | 0,82 | 82 |
Unter sehr guten Bedingungen - keine Funkstörungen, kurze Übertragungsstrecken - sollten WLAN-Router also über 600 KByte/s befördern können. In der Praxis mussten wir wiederholt feststellen, dass nur wenige WLAN-Router die Spitzenrate lieferten, einige jedoch nicht einmal die Hälfte.
Und wenn die Signaldämpfung beispielsweise durch störende Gegenstände, Wände oder schlicht durch fünfzig oder hundert Meter große Entfernung steigt oder etwa in Gebäuden Störungen durch Dispersion hinzukommen, gerät das Funk-Surfen zu einer gedehnten Byte-Prozession. Entsprechend sollte man vor der Anschaffung eines Funk-Routers die Reichweite berücksichtigen und zur Maximalgeschwindigkeit des geplanten DSL-Anschlusses in Beziehung setzen. Bei kurzen Strecken und dem üblichen T-DSL, das nicht mehr als 768 kBit/s sendet, dürfte selbst die WLAN-Geschwindigkeit der langsamsten Kandidaten genügen.
Wenn aber wie im Falle von Unternehmen DSL-Anschlüsse mit 2 MBit/s oder noch höheren Datenraten infrage kommen (die ADSL-Spezifikation sieht bis zu 8 MBit/s vor, was in der Praxis für knapp 1 MByte/s reichen dürfte), kann die WLAN-Anbindung schnell zum Flaschenhals werden.
Den Durchsatz der Kandidaten haben wir deshalb anhand von Messungen mit der Software NetIO erfasst [2]. Das Programm überträgt zwischen zwei beliebig via TCP/IP vernetzten Rechnern jeweils zehn Sekunden lang sechs verschiedene Paketgrößen zwischen 1 und 32 KByte. Auf einem Desktop-Rechner, der per Kabel fest am jeweiligen Router-Prüfling angeschlossen war, lief NetIO im Server-Modus. Eingerichtet auf einem Notebook mit der WLAN-Karte Orinoco Gold von Lucent arbeitete NetIO als Client. Dazu musste sich das Notebook per WLAN an jedem der drei Messpunkte in 5, 40 und 90 Meter Entfernung am Router anmelden.
Vermessen
Bei einem Abstand von fünf Metern zwischen Router und Client gehen wir von einer optimalen, allerdings seltenen Übertragungssituation in Büroumgebungen aus. Die 40-Meter-Distanz dürfte den in der Praxis häufigsten Fall darstellen; hier musste der Router von einem Flurende aus um die Ecke in ein Büro ‘hineinfunken’. Zusätzlich haben wir eine 90-Meter-Disziplin verwendet (Client am anderen Ende eines langen Flurs, dazwischen eine Glastür). Diese Distanz war so gewählt, dass sie auch der schwächste Vertreter gerade noch überbrücken konnte. Die Messungen wurden je fünfmal auf den drei Messstationen wiederholt. Zur Bewertung zogen wir die Durchgänge mit 4 und 8 KByte großen Blöcken heran, in der Grafik auf dieser Seite sind die zugehörigen Mittelwerte erfasst.
Um möglichst reale Einsatzbedingungen zu schaffen, haben wir, sofern vorhanden, den MAC-Adressfilter eingeschaltet, sodass sich ausschließlich das Test-Notebook einbuchen konnte. Ferner haben wir entsprechend den üblichen Sicherheitsanforderungen die höchstmögliche Verschlüsselung eingeschaltet - auch wenn das WEP-Verfahren, Wired Equivalent Privacy, prinzipiell geknackt ist und keine ‘absolute’ Abhörsicherheit garantiert [3].
Dabei kam stellenweise Überraschendes heraus: Obwohl WEP64 und WEP128 standardisiert sind, waren nur wenige WLAN-Router in der Lage, mit dem Client WEP128-Verbindungen aufzubauen; in der Regel klappte aber wenigstens die WEP64-Variante. Übrigens sind die verwendeten Schlüssel nicht 64 oder 128 Bit lang, sondern 40 respektive 104. Manche Hersteller verwenden aber irreführend die Schlüssellänge als Verfahrensbezeichnung, sodass verschiedentlich von WEP40 oder WEP104 die Rede ist.
Die Bewertung der Übertragungsleistungen findet sich in der großen Tabelle auf Seite 157. Es zeigte sich, dass Router mit externen Antennen solchen mit internen Versionen meist deutlich überlegen sind. Dies belegt etwa der Nokia-Router, der als einziges Gerät neben einer internen auch eine externe im Lieferumfang hat - mit der externen Antenne erreicht Nokias Kandidat bei 90 Metern Distanz ähnlich hohe Werte wie bei den näheren Messpunkten.
Variablen
Doch beim größeren Teil des Testfeldes ist nicht einmal die Performance des Funk-Interface festgeschrieben, denn neben eventuell durchsatzförderlichen Firmware-Updates kann der Anwender meist auch die Hardware upgraden, indem er die mitgelieferte WLAN-Karte durch ein leistungsfähigeres Modell desselben Herstellers ersetzt. Selbst in der Apple Basisstation steckt eine handelsübliche Karte von Lucent, die sich ohne großen Aufwand gegen eine andere austauschen lässt, die sogar WEP128 beherrscht.
Zur Verbindung über T-DSL ist das erwähnte Protokoll PPPoE unerlässlich, das außer den beiden reinen ISDN-Routern alle Kandidaten unterstützen. Daneben benutzen wenige Provider auch PPTP (Point to Point Tunneling Protokoll) für die Einwahl. Unabhängig vom verwendeten Protokoll muss der Router die Verbindung automatisch herstellen, wenn ein Client Daten aus dem Internet braucht. Bei einem nach Zeit abgerechneten Internet-Tarif muss er die Verbindung nach einer einstellbaren Zeit ebenso automatisch wieder trennen. Flatrate-Nutzer wünschen dagegen eher, dass dieser Timeout abschaltbar ist und der Router zusätzlich eine zusammengebrochene Verbindung selbstständig wiederherstellt (Keep alive). Die Möglichkeit zum manuellen Verbindungsaufbau ist zwar beim Konfigurieren des Routers ganz nützlich, um die geänderten Einstellungen zu testen, danach braucht sie aber nur noch ein Netzverwalter, der seinen Usern nicht so recht vertraut.
Da der Router bei der Einwahl vom Provider nur eine IP-Adresse erhält, muss er auch die Network Address Translation (NAT) beherrschen, also das Umsetzen der Anfragen aller Clients auf diese eine Adresse. Knackpunkte sind dabei die für Ping erforderlichen ICMP-Pakete, Media-Streaming mit UDP und PPTP. Wer dieses Protokoll zur Verbindung eines Clients über den Router zu einem entfernten Netzwerk einsetzen will, braucht ein Gerät, der GRE (Generic Routing Encapsulation) unterstützt.
Durch NAT sind die Clients im LAN vor Zugriffen aus dem Internet verborgen. Port Mapping sorgt dafür, dass man trotzdem an die Clients im WLAN herankommt. Dazu leitet der Router Zugriffe beispielsweise auf die Ports 21 und 80 an einen Client um, auf dem ein ftp- und Webserver läuft. So ist es möglich, trotz NAT Serverdienste bereitzustellen und etwa aus dem Büro via ftp die auf dem heimischen Rechner liegen gelassene Präsentation zu besorgen. Im Extremfall definiert man einen der Clients als DMZ (demilitarisierte Zone), der alle Anfragen von außen erhält.
Weil der Router aber bei jedem Verbindungsaufbau eine andere IP-Adresse bekommt, sind die Dienste zunächst weiterhin nicht erreichbar. Daher braucht man entweder ein Programm auf dem Client, das die Router-Adresse beispielsweise auf einer Internet-Seite bekannt gibt, oder - eleganter - einen Router, der per Dynamic DNS seine aktuelle IP-Adresse an einen Namen knüpft (z. B. www.dyndns.org).
WLAN funktioniert inzwischen mit allen verbreiteten Betriebssystemen, und auch für die anderen Router-Funktionen ist es egal, ob sie einen Linux- oder MacOS-Client versorgen. Daher sollte auch die Verwaltung des Routers betriebssystemunabhängig sein. Das betrifft drei Bereiche: Die Konfiguration, bei der ein Browser-Interface die komfortabelste Lösung darstellt, das Firmware-Upgrade, das über Standardprotokolle wie (T)FTP ablaufen sollte, und Treiber für Sonderfunktionen, etwa Netzwerkdruck und Remote-CAPI. Auch wenn ein Router nur Clients unter einem Betriebssystem versorgen soll, ist ein System ohne Spezialsoftware nützlich, denn beim nächsten größeren Versionssprung des Betriebssystems könnte das Konfigurationsprogramm schon nicht mehr funktionieren.
Unabhängigkeitserklärung
Doch auch bei den von allen Betriebssystemen aus erreichbaren HTML-Interfaces liegt einiges im Argen. Einige Interfaces erschließen nur einen Teil des Funktionsumfangs, manchmal erscheinen Einstellungen zwar in den Eingabefeldern richtig, wirken aber nicht wie angegeben, beispielsweise beim Elsa-Router und der Fernkonfigurationsoption des XRouters. Oder die Übertragung der eingegebenen Daten klappt nicht, sodass teilweise Passwörter mit dem Prozentzeichen nicht möglich sind. Andere Interfaces fragen das Online-Passwort nur einmal ab, ohne die Eingabe zur Kontrolle wiederholen zu lassen. Nach neun Einwahlversuchen mit dem eventuell falschen Kennwort ist der T-Online-Zugang dann erst einmal gesperrt.
Die Sprache der Konfigurationsoberfläche spielt eigentlich keine große Rolle, da wegen der vielen Fachbegriffe auch eine gute Übersetzung kaum vom englischen Original zu unterscheiden ist. Nur die Online-Hilfe und die Dokumentation müssen in einer Sprache gehalten sein, in der der zukünftige Netzverwalter technische Beschreibungen wirklich genau versteht. Router sind komplexe Netzwerkkomponenten mit vielen Chancen zur Fehlkonfiguration, wenn die Hintergründe nicht ganz klar sind. Daher reichen auch ein paar Zettelchen mit einer Kurzanleitung nicht als Dokumentation aus.
Bei einem Firmware-Update gehen meist alle Einstellungen verloren; nicht nur deshalb sollte der Router eine Funktion zum Speichern aller Einstellungen auf dem Client-PC bieten. Auch bei Experimenten mit den oft zahlreichen Optionen ist es gut zu wissen, dass man jederzeit auf eine funktionierende Konfiguration zurückgreifen kann.
Eine Fernkonfiguration des Routers kann nützlich sein, um sich von einem Support-Techniker bei der Einrichtung helfen zu lassen, sie stellt aber auch ein Einfalltor für Hacker dar. Daher muss sie durch ein sicheres Passwort geschützt oder besser noch abgeschaltet sein. Auch die Einrichtung aus dem LAN muss mit einem Passwort versehen sein, das man unbedingt als Erstes von seinem Standardwert auf ein sicheres umstellen muss. Denn da die WEP-Verschlüsselung des WLAN geknackt ist, könnte sonst jeder böse Bube sich mit einem Notebook in den Hausflur schleichen und am Router herumfummeln.
Ein integriertes Modem, interner ISDN-Adapter oder eine serielle Schnittstelle für ein externes Gerät sind nicht nur für Funksurfer ohne DSL-Anschluss interessant, sondern auch als Backup, falls der schnelle Zugang mal streikt. Besonders komfortabel sind dann Geräte, die automatisch auf die Zugangsalternative umschalten (Fallback). Außerdem teilen manche Router ihren ISDN-Anschluss mit allen Clients im Netz per Remote-CAPI. Damit können alle PCs auf den Anschluss zugreifen, als hätten sie eine ISDN-Karte. Mangels CAPI-Unterstützung in anderen Betriebssystemen funktioniert das allerdings grundsätzlich nur mit Windows.
Über das Routing hinaus übernehmen die meisten Kandidaten auch andere Aufgaben eines Netzwerk-Servers, zum Beispiel die Verteilung von IP- und DNS-Adressen an die Clients per DHCP. Allerdings sollte dieser Server abschaltbar sein, denn zwei sich widersprechende DHCP-Server in einem Netz machen Ärger. Elegant ist auch ein DNS-Proxy, der die Anfragen der PCs entgegennimmt und an den Server des Providers weiterleitet.
Es brennt, es brennt
Die meisten Router im Test schmücken sich mit Firewall-Funktionen. Gemeint ist damit ein mehr oder minder leistungsfähiger Paketfilter, der IP-Pakete aufgrund solcher Kriterien wie der IP-Adresse des Absenders oder dem angesprochenen Port (sprich: Internet-Dienst) ausfiltern oder durchlassen kann. Eine Application Level Firewall bietet keines der Geräte.
Nur wenige Hersteller sind so dreist wie Farallon, der bereits die bei allen Geräten vorhandene Network Address Translation (NAT) als Firewall bezeichnet, oder behaupten wie 3Com einfach, der Router sei gegen alle möglichen Angriffe geschützt, ohne irgendwelche Details zu den konkreten Schutzmaßnahmen zu nennen. Andere Anbieter sind da wenigstens ehrlich: Apples Airport Base Station zum Beispiel enthält einfach keine Firewall-Funktionen - und tut auch gar nicht so.
Auf den ersten Blick ist eine brauchbare Firewall sicher ein großes Plus - verbinden die Router doch schließlich das WLAN mit dem Internet, wo es bekanntlich vor Bösewichtern nur so wimmelt. Mit einem vollständig implementierten Paketfilter lassen sich Netzpakete sehr gezielt nach einer Vielzahl von Kriterien filtern: Nach IP-Adresse von Absender und Empfänger, Quell- und Zielport, Protokoll (TCP, UDP, ICMP) sowie dem Interface, über das das Paket eingeht - aus dem LAN Richtung Internet oder in Gegenrichtung aus dem Internet. Komplettiert wird eine Regel mit der Anweisung, was mit einem Paket passieren soll, das auf die Regel passt: Verwerfen (‘deny’), zurückweisen (‘reject’) oder akzeptieren (‘allow’).
Allerdings reichen nur wenige Geräte im Test, etwa der DrayTek Vigor, diese Komplexität an den Anwender durch. Die meisten Router beschränken sich darauf, im Sinne einer einfachen Internet-Zugriffsbeschränkung IP-Pakete von bestimmten (oder allen) Absenderadressen im WLAN und/oder an einzelne (oder alle) Ports im Internet zu verbieten. Damit kann der Netzverwalter beispielsweise einzelnen Clients den Zugriff aufs Internet komplett verbieten oder bestimmte Internetdienste abklemmen. Aus dem Internet hereinkommende Pakete lassen sich meist nicht filtern.
Betreibt man etwa einen eigenen Mailserver, gibt es keinen Grund, warum die LAN-Clients SMTP-Server im Internet ansprechen sollten; aber so mancher Trojaner, der sich auf einem PC im LAN eingeschlichen hat, könnte sich durch derartige Aktionen verraten. Dazu muss die Firewall freilich eine Protokollfunktion bieten, die über abgelehnte Pakete informiert - durchaus keine Selbstverständlichkeit im Testfeld. Bei allen Geräten mit Ausnahme des Linksys-Routers, die sowohl nach der IP-Adresse als auch nach dem angesprochenen Port filtern können, lassen sich diese beiden Kriterien verbinden. Damit ist es möglich, einzelnen Clients im WLAN selektiv mehr oder weniger Internetdienste zu erlauben.
Nur wenige Router, etwa der von Elsa, bieten eine so flexible Paketfilterkonfiguration, dass man zusätzlich noch nach der Adresse des angesprochenen Rechners im Internet filtern kann. Damit ist es dann beispielsweise möglich, den Zugriff nur auf bestimmte News-Server im Web zu erlauben, anstatt die Netnews pauschal zu verbieten. Die einfach gestrickten Zugriffsbeschränkungen der meisten Geräte lassen den Anwender mit so einem Wunsch schon im Regen stehen. Wenn freilich ein Router wie der Prestige 316 von Zyxel prinzipiell alle Filtermöglichkeiten bietet, sie aber hinter einem völlig undurchsichtigen Interface verbirgt, ist damit auch nichts gewonnen.
Sicher oder bequem?
Am Anfang des Paketfilter-Regelwerks steht zunächst eine strategische Entscheidung: Will man lediglich gezielt einzelne problematische Dienste unterbinden oder einzelne Clients vom Internet-Zugang ausschließen (also eine Allow-all-Strategie mit einzelnen Deny-Regeln implementieren), oder geht man auf Nummer sicher, verbietet erst mal alles (Deny-all-Strategie) und schaltet dann über Allow-Regeln einzelne Dienste und Clients frei? Ersteres schützt nur gegen bereits bekannte Sicherheitsprobleme, Letzteres macht recht viel Mühe, wenn man viele Internet-Dienste nutzen möchte. Ein brauchbarer Paketfilter muss auf jeden Fall beide Strategien unterstützen - viele der getesteten Router sehen jedoch lediglich die Allow-All-Strategie mit einzelnen blockierten Diensten und Clients vor.
Einige Geräte unterscheiden zwischen Call- und Datenfiltern. Wer schon mal einen Router eingerichtet hat, kennt das lästige Phänomen, dass Windows-Clients in regelmäßigen Abständen IP-Pakete an NetBIOS-Ports broadcasten. Das kann dazu führen, dass sich der Router immer wieder ins Internet einwählt. Mittels Call-Filtern kann man festlegen, dass solche NetBIOS-Pakete keine Einwahl auslösen, sondern nur bei bestehender Internet-Verbindung weitergeleitet werden. Allerdings sind NetBIOS-Pakete auch die einzige nahe liegende Anwendung für Call-Filter - welche anderen Protokolle würde man sinnvollerweise nur erlauben wollen, wenn der Router bereits online ist? Und da die NetBIOS-Calls sowieso nur innerhalb des LAN nützlich sind, kann man sie auch gleich ganz verbieten.
Sinnvoll hingegen, wenn Call-Filter auch nach der Absender-Adresse von IP-Paketen filtern: So kann der Anwender einzelnen Clients die selbstständige Einwahl ins Internet verbieten.
Alle Zugriffsbeschränkungen, die auf der IP-Adresse des Clients basieren, haben allerdings einen gewaltigen Pferdefuß: Alle Router verteilen die IP-Adressen im WLAN via DHCP. Sofern keine Möglichkeit vorgesehen ist, IP-Adressen fest an die MAC-Adressen der Funknetzkarten in den Clients zu binden, ist nicht garantiert, dass ein Rechner beim Anmelden am Funknetz immer dieselbe IP-Adresse erhält. Wen eine Regel auf Basis der IP-Adresse im LAN trifft, ist daher nicht sicher vorhersagbar. Bereits nach einem Reboot des Routers können die IP-Adressen neu gemischt sein - und dann darf vielleicht Papis Rechner nicht mehr auf WWW-Seiten zugreifen, wo man doch eigentlich nur verhindern wollte, dass Sohnemann allzu exzessiv im Internet surft. Wenn keine konsistente Deny-All-Strategie implementiert ist, lässt sich ein solcher ‘Schutz’ zudem unterlaufen, indem man einem Client ‘von Hand’ eine IP-Adresse zuweist.
Obwohl es die eigentliche Funktion einer Firewall ist, das LAN vor Attacken aus dem Internet zu schützen, bieten die meisten Geräte im Test nicht mehr als eine einfache Beschränkung des Internet-Zugriffs aus dem WLAN heraus. Mehr - so könnte man argumentieren - tut bei diesen Routern doch auch gar nicht Not, schließlich ist aufgrund der Network Address Translation keiner der Rechner im LAN direkt aus dem Internet ansprechbar. Zudem dürften gezielte Angriffe auf das WLAN eher am Funknetz selbst ansetzen - um dessen Sicherheit ist es nämlich alles andere als gut bestellt [3].
Dennoch ist eine komplette Firewall, die auch Schutzfunktionen nach außen bietet, keineswegs unnötiger Luxus. Der Router selbst darf natürlich keine Angriffspunkte bieten. Die simple Lösung: Der Router stellt nach außen einfach keine Dienste bereit - viele der Geräte im Test zeigen sich zum Internet hin auch völlig zugeknöpft. Anders sieht es aus, wenn der Router eine Fernkonfiguration anbietet. Hier kann eine Filterregel, die den Zugriff auf den Konfigurationsport aus dem Internet heraus zum Beispiel auf einen einzelnen Rechner beschränkt, die Sicherheit beträchtlich erhöhen. Leider erledigen das nur wenige Geräte wie der SMC Wireless Barricade beim Einrichten der Fernkonfiguration selbstständig. Bei den meisten Routern im Test ist der Paketfilter nicht mal so flexibel, dass der Anwender solche Regeln selbst erstellen könnte.
Noch nötiger sind fein konfigurierbare Filterregeln, wenn man mit Port Mapping Löcher in den Schutz durch die NAT bohrt. Mit einem vollständig konfigurierbaren Paketfilter lassen sich die beträchtlichen Risiken eines solchen Zugangs direkt ins WLAN weitgehend absichern.
Was also muss die Firewall eines Routers in der hier getesteten Geräteklasse bieten? Wer auf Fernkonfiguration keinen Wert legt, keine Serverdienste via Port Mapping anbieten möchte und auf spezifische Regeln der Art ‘Client A darf nur auf den Mailserver X zugreifen’ keinen Wert legt, kann auf einen kompletten Paketfilter verzichten. Wenn man sich um die potenziellen Gefahren eines unbeschränkten Zugangs zu allen Internet-Diensten keine Sorgen macht und darauf bauen kann, dass die Clients selbst etwa durch Personal Firewalls gegen Risiken geschützt sind, ist auch ein Zugriffsschutz nach Internet-Diensten verzichtbar. Will man zudem allen Clients - und damit womöglich auch Einbrechern ins WLAN - einen uneingeschränkten Internet-Zugriff bieten, benötigt man gar keinen Paketfilter.
(odi)
