Auswahlkriterien für DSL-Router
Multitalente für flexible Internetkommunikation
Ungebremst baut die DSL-Technik in Deutschland ihre Dominanz aus - auch wenn inzwischen einige Kabelnetzbetreiber mit ihren Breitband-Access-Angeboten wirklich ernst machen. Das Angebot an DSL-Routern ist entsprechend vielfältig: Es reicht vom raffinierten Winzling für Heim und Büro über Geräte mit starken Sicherheitsfunktionen für kleinere Unternehmen oder die Anbindung von Geschäftsstellen bis hin zu großen Rack-Einschüben und Highend-Routern für mittlere und große Unternehmen oder Service-Provider.
Der Begriff DSL-Router ist primär im unteren und mittleren Marktsegment populär, wo
typischerweise das DSL-Modem bereits im Gerät integriert ist. In den oberen Ligen heißen die Boxen
bevorzugt Breitband-, IP-, Multiprotokoll- oder WAN-Router, bei denen VPN- und andere
(Security-)Funktionen im Vordergrund stehen. Die Unterstützung von DSL (meist mehrere Varianten)
erscheint eher als eine von mehreren Optionen (neben Kabel-, E1- und anderen WAN-Verbindungen).
Wegen des starken Fokus auf VPN werden die Geräte oft auch als VPN-Gateways vermarktet.
Die typischen DSL-Router sind in der Regel Access-Router, die einen DSL-Anschluss für mehrere
Benutzer verfügbar machen. WAN-Router mit DSL-Unterstützung dienen in Unternehmen dazu,
Niederlassungen und Außenbüros kostengünstig und sicher mit der Zentrale zu verbinden,
beziehungsweise den Zugang auf im Unternehmen gehostete Webservices zu regeln. Letzteres ist auch
der primäre Einsatzzweck bei Geräten für Service-Provider. Inzwischen existieren viele Geräte, die
sowohl den Einsatz als Access-Router, als auch für LAN-LAN-Kopplung unterstützen. Die Übergänge
zwischen den unterschiedlichen Kategorien sind daher fließend. Je nach Schwerpunkt des
Einsatzszenarios gelten unterschiedliche Kriterien, auf die es bei der Auswahl ankommt.
Wenn ein Unternehmen ein unsicheres, aber kostengünstiges Medium wie das Internet nutzt, um
Geschäftsstellen mit dem zentralen Hausnetz zu verbinden, steht natürlich die Sicherheit an erster
Stelle. Die Methode der Wahl heißt VPN (Virtual Private Network). Damit ist echte VPN-Terminierung
im Router gemeint, die auch den rechenintensiven Aufbau der VPN-Tunnel umfasst. Solche Geräte
benötigen also in erster Linie eine starke Rechenleistung, die der Zahl gleichzeitig unterstützter
VPN-Kanäle angemessen sein sollte. Das Spektrum reicht von einfachen VPN-Routern mit bis zu fünf
gleichzeitigen Kanälen bis hin zu großen VPN-Maschinen mit 1000 und mehr gleichzeitigen
Kanälen.
VPN-Tunnel
Grundlegende Basisfunktion jedes DSL-Routers – gleichgültig ob Access- oder VPN-Gerät – ist die
Umsetzung der IP-Adressen auf LAN-Seite. So ist nach außen nur eine einzige IP-Adresse sichtbar,
unabhängig davon, wie viele Knoten im LAN dahinter verborgen sind. Diese Network Address
Translation (NAT) gehört bei nahezu allen Anbietern zum Standardfunktionsumfang. Der wesentliche
Aufwand beim Aufbau eines VPN-Tunnels entsteht durch verschiedene Mechanismen, die das dafür
vorgesehene IPSec (Internet Protocol Security) vorschreibt. IPSec-Unterstützung darf also im
Zusammenhang mit VPN-Tunneln nicht fehlen. Das Protokoll definiert eine Reihe sicherer
Authentisierungsverfahren und bestimmt die Verschlüsselungsverfahren. In Sachen Authentisierung
sollten Algorithmen wie MD5 (Message Digest) und SHA-1 (Secure Hash Algorithm) unterstützt werden,
bei der Verschlüsselung sind die 168-/256-Bit-Verfahren 3DES und AES Pflicht. Einige Hersteller
bieten den modularen Ausbau der VPN-Fähigkeiten an. In diesem Fall stehen in der Regel
entsprechende VPN-Hardwarebeschleuniger zur Verfügung.
Die Vergabe von Schlüsseln sollte nicht nur über Pre-Shared Keys realisierbar sein, sondern auch
mit Zertifikaten. Dies empfiehlt beispielsweise das Bundesministerium für Sicherheit in der
Informationstechnik. Zertifikate erlauben den Aufbau einer Public-Key-Infrastruktur auf hohem
Sicherheitsniveau bei gleichzeitiger Flexibilität im täglichen Betrieb. So sind Eingriffe zur
Absicherung des Systems – beispielsweise bei Mitarbeiterwechsel oder bei Diebstahl eines VPN-Geräts
– nur noch zentral an einer einzigen Stelle notwendig. Das erleichtert die Administration, erhöht
die Sicherheit und Zuverlässigkeit und senkt darüber hinaus auch noch die Kosten. Bei der
Schlüsselverwaltung mit dem Pre-shared-Key-Verfahren ist bei der Konfiguration ein Kennwort
einzugeben. Bei VPN-Umgebungen mit einer kleineren Zahl von Tunneln (bis etwa zehn) mag dieses
Verfahren ausreichen. Je mehr Tunnel jedoch hinzukommen, desto gefährdeter ist der Schlüssel und
umso aufwändiger werden Änderungen (die an jedem VPN-Endpunkt vorzunehmen sind).
VPN erfordert normalerweise an beiden Endpunkten eine feste IP-Adresse. Kleinere Außenstellen
verfügen jedoch oft nur über eine dynamische IP-Adresse. In kleineren Unternehmen ist darüber
hinaus auch manchmal die Zentrale über einen DSL-Zugang mit dynamischer IP-Adresszuweisung ans
Internet angebunden – in diesem Fall verfügen also beide Endpunkte über dynamische IP-Adressen. Zur
Lösung des Problems existieren zwei Verfahren, die idealerweise beide unterstützt werden sollten.
Das erste besteht in der Nutzung eines dynamischen Domain Name Services (DDNS), wie ihn
beispielsweise Dyndns.org anbietet. Dazu verfügt der Router über einen DNS-Client, der bei jeder
Anwahl ins Internet den DNS-Eintrag mit der neuen IP-Adresse aktualisiert. Auf diese Weise "sehen"
sich die Router über ihren DNS-Namen. DDNS, das von vielen Routern unterstützt wird, hat jedoch
sowohl sicherheitstechnische als auch praktische Nachteile. Wichtigster praktischer Nachteil ist,
dass die Geräte permanent online sein müssen, um Verbindungsanfragen der Gegenseiten zu erkennen.
Die Sicherheitsschwachstelle bildet der DDNS-Anbieter, der oft nicht ausreichend gegen Hacker
geschützt ist.
Die zweite Variante ist der Austausch der IP-Adress-Informationen über das (kostenfreie)
D-Kanal-Protokoll (alternativ auch über einen kostenpflichtigen B-Kanal) einer ISDN-Verbindung.
Eine ISDN-Schnittstelle mit entsprechenden Fähigkeiten ist dafür im Router Voraussetzung. Der
IP-Adress-Austausch ist aber nicht der einzige Grund, warum viele DSL-Router im High-end mit einem
oder mehreren S0-Ports ausgestattet sind. Einige bieten darüber die Möglichkeit für
Remote-Outband-Management, die meisten nutzen die ISDN-Schnittstelle auch als Backup-Verbindung,
falls DSL ausfällt. Wer noch stärker auf Hochverfügbarkeit angewiesen ist, sollte auch auf
Backup-Verbindungen via analogem Modem und/oder GSM/UMTS achten. Als weitere Möglichkeit zum
Outband-Management verfügen einige Geräte über einen seriellen Port, an den sich direkt vor Ort
eine Konsole anschließen lässt.
Flexible Port-Konfiguration
Highend-WAN-Router kommen selten mit integriertem DSL-Modem. Die WAN-Seite wird – ebenso wie die
LAN-Seite – lediglich mit einer bestimmten Anzahl von Fast-Ethernet-Ports abgedeckt. Manchmal
steckt hinter einem Port tatsächlich auch ein integriertes DSL-Modem, die anderen lassen sich
jedoch flexibel konfigurieren. Da LAN- und WAN-Ports physikalisch identisch sind, bietet es sich
an, die Ports nach Bedarf dem LAN oder WAN zuweisen zu können. Router, die dieses unterstützen,
punkten mit Flexibilität. Die WAN-Ports ohne DSL-Modem lassen sich frei mit dem Modem einer
beliebigen DSL-Variante, beziehungsweise auch einem Kabelmodem oder sogar mit dem Modem einer
Festverbindung wie zum Beispiel E1 verbinden.
Die Einrichtung mehrerer WAN-Ports ist aus zweierlei Gründen sinnvoll: Zum einen steht insgesamt
mehr WAN-Bandbreite zur Verfügung, zum anderen besteht so auch die Chance, den Datenverkehr nach
Last oder nach Datenart auf einzelne Leitungen zu verteilen. Beispielsweise kann eine der Leitungen
den gesamten Verkehr ins Internet bewältigen, während die zweite ausschließlich für den VPN-Verkehr
zuständig ist. Ebenso denkbar ist es, eine der Leitungen für den Betrieb eines Webservers zu nutzen
– etwa über eine preisgünstige ADSL-Leitung. Der zweite WAN-Port kann über eine zweite ADSL- oder
je nach Bedarf auch ADSL+-, SDSL-, oder SHDSL-Leitung den sonstigen Datenverkehr des Unternehmens
übernehmen. Unterstützt wird dies in der Regel dadurch, dass der eingebaute Switch (meist für vier
oder acht Ports) die Bildung virtueller LANs (VLANs) sowie Load Balancing ermöglicht. Nutzt der
Anwender die Verbindung neben der Daten- auch für Sprach- oder sonstige Echtzeitkommunikation,
sollte das Gerät zusätzlich QoS-Funktionen wie Bandbreitenreservierung und Paketpriorisierung
unterstützen.
Symmetrische DSL-Verbindungen wie beispielsweise SHDSL übertragen in beide Richtungen mit der
gleichen Geschwindigkeit, während asymmetrische Verfahren wie ADSL oft eine wesentlich höhere
Empfangs- als Sendegeschwindigkeit unterstützen. Unternehmen greifen gerne auf symmetrisches DSL
zurück, da sich dies sehr gut für die Anbindung von Außenstellen eignet. Auch für
Hosting-Dienstleistungen wie das Bereitstellen von Web- und E-Mail-Servern oder für die Anbindung
von virtuellen Arbeitsplätzen (zum Beispiel Citrix Metaframe, Windows TSE) ist symmetrisches DSL
ideal, ebenso wie für sonstige Anwendungen mit gleichberechtigter Datenübertragung für Up- und
Downstream (zum Beispiel Videokonferenzen).
Erfolgt eine DSL-Verbindung nicht über einen Pauschaltarif, sondern wird sie nach Volumen
abgerechnet, gilt es, den Datenverkehr so weit wie möglich zu reduzieren. Die klassische Methode
dafür ist die Datenkompression, wie sie auch bei ISDN zum Einsatz kommt. Ganz so einfach
funktioniert dies im Rahmen eine VPN-Verbindung jedoch nicht, denn traditionelle
Kompressionsverfahren wie VJHC, Stac oder MPPC lassen sich nicht auf IPSec-Pakete anwenden. Damit
würden diese verändert, was die Gegenstelle als Hacker-Angriff deuten müsste. Sie würde daher die
ankommenden Pakete verwerfen. Abhilfe schafft hier das Verfahren IPComp, das die Datenmenge je nach
Datenart um bis zu Faktor 10 reduziert. Schon wenn man lediglich von Faktor 2 ausgeht, würde dies
bei volumenbasierenden Tarifen die Kosten halbieren. Zu beachten ist allerdings, wie sich das
Einschalten der Datenkompression auf Verzögerungen – insbesondere im Hinblick auf QoS-Anwendungen
auswirkt.
Security und Management
In Unternehmen dienen die DSL-Router oft gleichzeitig als zentrale Firewall beziehungsweise
Security-Appliance. Wo dies der Fall ist, ist eine leistungsfähige
Stateful-Packet-Inspection-(SPI-)Firewall auf jeden Fall Pflicht. Im Gegensatz zur einfachen
Network-Address-Translation-(NAT-)Firewall-Funktion, die bei Heim-DSL-Routern zum Teil noch als
alleiniger Schutz zu finden ist, prüft eine SPI-Firewall jedes einzelne Datenpaket, das ins
Netzwerk hinein oder aus diesem hinaus geht. Hacker-Angriffe können auf diese Weise ebenso erkannt
und abgewehrt werden wie beispielsweise Port-Scans oder Denial-of-Service-(DoS-)Attacken aus dem
Internet. Logging- und Reporting-Informationen der Firewall geben dem Administrator die notwendigen
Status- und Alarmmeldungen. Eine Security-Appliance bildet jedoch noch weitaus mehr Funktionen ab.
So gehören Intrusion-Detection- beziehungsweise -Prevention-Systeme (IDS/IPS) ebenso dazu wie der
Schutz vor Spam oder Viren. Die beiden letzteren Funktionen sind aber bislang eher selten in
DSL-Routern anzutreffen. Einige bieten einen URL-Filter, der Mitarbeiter (im Unternehmen) oder
Kinder (zu Hause) vom Surfen auf "ungeeigneten" Webseiten abhalten soll.
Einen wichtigen Aspekt bei Unternehmens-DSL-Routern stellt die Verwaltung dar. Neben speziellen
Management-Tools sollten unterschiedliche Management-Interfaces verfügbar sein – etwa über das Web
(HTTP beziehungsweise besser HTTPS), Fernwartung über ISDN, Radius, Syslog und TFTP, Wartungs-Port
direkt am Gerät (meist Kommandozeilen-Interface an einem seriellen Port) und einiges mehr.
Essentiell für den Unternehmensbetrieb ist die Einbindungsmöglichkeit in ein SNMP-Managementsystem.
Professionelle Systeme erlauben auch das Anlegen einer mehrstufigen Administratorhierarchie, um die
Verwaltung entsprechend der Unternehmensstrukturen und Kompetenzen aufteilen zu können.
WLAN-Integration
Häufige Option – sowohl bei Unternehmens- als auch bei Heim- und SOHO-DSL-Routern – ist die
Integration eines WLAN-Moduls. In Unternehmen ist das nur dort relevant, wo das Gerät nebenbei auch
als Netzzugang für mobile Anwender eingesetzt werden soll. Im Heim- und SOHO-Bereich hat dieses
Szenario jedoch eine wesentlich höhere Bedeutung. Am häufigsten kommen Funkmodule zum Einsatz mit
Unterstützung von 802.11b und -g, oderTri-Mode-Module mit zusätzlichem 802.11a (beziehungsweise
802.11h als der für Europa angepassten a-Variante). Die Bruttoübertragungsraten liegen bei 54
MBit/s (a, h und g) beziehungsweise 11 MBit/s (b).
Der wichtigste Aspekt beim Einsatz von WLANs ist die Security. Inzwischen sind die spezifischen
Sicherheitsfunktionen gut ausgereift: So sind die im vergangenen Jahr eingeführten
Verschlüsselungsmethoden im Rahmen von WPA2/802.11i bis heute noch nie geknackt worden.
Nötigenfalls lässt sich bei einigen Modellen auch IPSec auf das WLAN ausdehnen. Wichtiges
Kaufkriterium bei WLAN-DSL-Routern für Unternehmen ist die Anschlussmöglichkeit für externe
Funkantennen. Nur so lässt sich auch auf schwierigem Terrain (verschachtelte Büros, Wände mit
funkisolierenden Bausubstanzen etc.) eine gute Funkausleuchtung erzielen – etwa durch spezielle
Ausrichtung.
Abgrenzungen
DSL-Router für den SOHO-Bereich kommen mehrheitlich mit fest eingebautem DSL-Modem. Das ist
sinnvoll, wenn klar ist, an welchem DSL-Anschluss das Gerät dauerhaft betrieben werden soll.
Security- und WLAN-Kriterien von Unternehmens-Routern gelten entsprechend auch für den
Lowend-Sektor. Während die Firewalls inzwischen sogar hier fast durchgängig ein recht hohes Niveau
erreicht haben, sind die anderen Security-Funktionen oft nur rudimentär ausgeprägt. Beispielsweise
besteht der IDS-Schutz bei den meisten Geräten in der Einsichtsmöglichkeit der Log-Dateien über das
Webinterface.
Das Akronym "VPN" ist im SOHO-Sektor mit Vorsicht zu betrachten: Wenn im Datenblatt eines
SOHO-DSL-Routers etwas von VPN-Unterstützung steht, bedeutet dies in der Regel nur, dass das
Weiterreichen eines VPN-Tunnels vom Internet ins LAN beziehungsweise umgekehrt unterstützt wird.
Der Router fungiert in diesem Fall nicht als Tunnelende und ist damit auch nicht für den
aufwändigen Tunnelaufbau zuständig – ein wesentlicher Unterschied zu den Unternehmens-Routern.
Lesen Sie mehr zum Thema
