Kleinere Unternehmen sind die Hauptzielgruppe für den SNAPgear SOHO+ Router. Mit ihm nutzen mehrere PC's gemeinsam einen kostengünstigen und schnellen ADSL-Internetzugang. Außendienstmitarbeiter und Zweigstellen bekommen Zugriff auf das Unternehmensnetz.
Router wie der SOHO+ (Abbildung 12KB) transportieren die Datenpakete zwischen privaten, lokalen Netzwerken und dem öffentlichen Internet. Diese Aufgabe kann natürlich auch von einem entsprechend konfigurierten PC übernommen werden. Mit FLI4L oder einer beliebigen Linux-Distribution konfiguriert ein versierter Techniker in kurzer Zeit einen Router, der darüber hinaus noch weitere Dienste als Firewall, Datei-, Mail-, Proxy-Server leisten kann.Dies ist trotz aller Fortschritte der Linux-Distributionen hinsichtlich ihrer Benutzerfreundlichkeit und nicht zuletzt wegen der Komplexität der Netzwerktechnologien noch immer keine triviale Aufgabe. Unternehmen ohne eigene Netzwerkspezialisten greifen deshalb in der Regel auf externe Dienstleister zurück, um spezifische Anforderungen umzusetzen. Kleine und mittlere Unternehmen benötigen häufig einfach nur einen gemeinsamen Internetzugang für die Nutzung von Email und Web. Da ohnehin meist Microsoft Windows eingesetzt wird, bietet sich der mitgelieferte Netzwerkdienst ICS (Internet Connection Sharing) an, der auf einem mit dem Internet verbundenen PC konfiguriert wird. Er ist sicherlich eine bequeme Lösung, hat aber gravierende Sicherheitsschwächen. (siehe Kasten Notlösung ICS)
| Notlösung unter Windows: ICS |
|---|
|
Der mit ICS ausgestattete Arbeitsplatz-PC unter Windows 9X/Me ist ohne zusätzliche Firewall vollkommen ungeschützt. Eine besondere Gefahr geht von einer Standardeinstellung in der Windows-Netzwerkkonfiguration von Windows 9X aus. Der Dienst "Datei- und Druckerfreigabe für Microsoft-Netzwerke" wird ungefragt an alle verhandenen Netzwerkschnittstellen gebunden. Als Folge sind die eigentlich nur für die Mitarbeiter bestimmten Laufwerks-Freigaben (Shares) nun auch vom Internet aus erreichbar und stellen dem interessierten, weltweiten Publikum die unternehmensinternen Daten zur Ansicht zur Verfügung. Das Auffinden solcher Rechner im Internet ist mit Netzwerk- oder Share-Scannern problemlos möglich. Hinzu kommen die zahlreichen bekannten und bisher ungelösten Sicherheitsprobleme des Microsoft Internet Explorer und Outlook Express , die ein Einfallstor für ungebetenen Besuch sind. Ein leichtsinniger Klick installiert unbemerkt eine "Hintertür" oder Virus auf dem ICS-PC, von dem aus nun auch alle anderen im Netz befindlichen PC's ausgespäht, ferngesteuert , infiziert oder für dDOS-Angriffe missbraucht werden können. Das freundlich, bunte Windows XP benimmt sich im Netzwerk regelrecht herrisch. Ist der ICS-Dienst aktiviert, weist XP dem Rechner unaufgefordert die IP-Adresse 192.168.0.1 zu und aktiviert den DHCP-Server. Gibt es bereits einen DHCP-Server im Netz, führt dies zu gravierenden Problemen. Beide Eigenwilligkeiten lassen sich noch nicht einmal durch Eingriffe in die Registry beheben. Zudem wurde vor kurzem eine Sicherheitslücke im "Universal Plug and Play"-Service bekannt. Der Dienst kann abgeschaltet oder muss durch einen Patch repariert werden. |
Was für Heimnetzwerke gerade noch akzeptabel sein kann, ist für KMU's schlicht existenzbedrohend. Die Lösung des Dilemmas zwischen mangelhafter Sicherheit und hohem Aufwand sind Geräte, neuerdings "appliances" genannt, wie der SOHO+ des amerikanischen Herstellers SNAPgear. Er schützt das lokale Netz durch eine wirksame Firewall vor Eindringlingen. Für die Verbindung des lokalen Netzes mit dem Internet bietet das Gerät gleich vier Optionen: ADSL, Modem, Cable Modem und Direct Connection. Mit letzterem ist eine Internet-Standleitungen mit eigener IP-Adresse gemeint, die wegen der vergleichsweise hohen Kosten für die meisten kleineren Unternehmen nicht besonders attraktiv sein dürfte. Selbst mit den in Deutschland noch kaum verbreiteten Kabelnetzen arbeitet der SOHO+ zusammen. Die kostengünstigste Lösung sind derzeit breitbandige ADSL-Verbindungen, wie beispielsweise der T-DSL-Anschluß der Telekom. Für ihn wird seit Jahresbeginn das zusätzlich zum Router benötigte DSL-Modem nicht mehr mitgeliefert. Im folgenden wird noch beschrieben, wie der SOHO+ für den T-DSL-Anschluß konfiguriert wird. Sollte die breitbandige Verbindung einmal ausfallen, kann der Internetzugang durch ein mit dem Routers verbundenes, gewöhnliches Modem notdürftig sichergestellt werden. Weitere, sinnvolle Netzwerkfunktionen ersparen einiges an Administrationsarbeit. Der eingebaute DHCP-Server verteilt automatisch IP-Adressen an die Windows-PCs im lokalen Netz. Ein DNS-Proxy verkürzt die Zeiten für Verbindungsaufbauten, indem er Nameserver-Abfragen weiterleitet und deren Ergebnisse zwischenspeichert (DNS-Caching). Das hinter dem Router liegende lokale Netzwerk verbirgt der SOHO+ durch Masquerading. Eine Beschränkung der Benutzerzahl gibt es beim SOHO+ im Gegensatz zu einigen Konkurrenzprodukten erfreulicherweise nicht. Außendienstmitarbeiter und Zweigstellen bekommen dank der Dial-In-Funktion Zugang zum Unternehmensnetz, ohne das auf dem Laptop zusätzliche Software nötig ist. Für die dauerhafte, sichere Verbindungen mit Zweigstellen oder Partnern bietet sich die IPSec-Funktionalität des SOHO+ an, die alle Nutzdaten verschlüsselt über das Internet transportiert.
Für diese Vielzahl von Funktionen ist keineswegs ein Gerät von der Größe eines PC's notwendig. Die Elektronik des SOHO+ findet Platz in einem geschwungen geformten, grauen Kunststoffgehäuse von den Ausmaßen einer Zigarrenkiste. Es ist stapelbar und macht einen mechanisch robusten Eindruck. Weder das Gehäuse noch das externe, GS-geprüfte Schaltnetzteil (mit erfreulich langen Zuleitungen) erwärmen sich auch im Dauerbetrieb nennenswert. Ein nervtötend lauter Lüfter ist also nicht notwendig. Auf eine Festplatte als weitere, mögliche Lärmquelle konnten die Entwickler verzichten, weil das Betriebssystem und die Konfiguration in einem 2MB großen FlashPROM gespeichert werden. Die Aktualisierung des Betriebssystems ist per TFTP möglich. Die notwendigen Images gibt es kostenlos auf der SNAPgear-Website. Wie die Release Notes zeigen, wird die Systemsoftware ständig gepflegt und weiterentwickelt. Verbessert werden muß die Befestigung der Geräteplatine im Gehäuseinneren. Sie war die Ursache für eine längere Fehlersuche. Beim Zurücksetzen (Reset) der Hardware mittels eines Mikrotasters hatte sich die Platine innerhalb ihres Gehäuses unbemerkt um einen oder zwei Millimeter verschoben. Als Folge blieb der Taster in seiner Gehäusebohrung hängen und konnte nicht mehr in seine Ausgangsposition zurückkehren. Der "Dauer-Reset" ließ natürlich alle folgenden Konfigurationsversuche scheitern.
Auf der Rückseite des Gehäuses findet sich zwei 10BaseT-Anschlüsse für das lokale Netzwerk und das Internet. Die beiden seriellen RS232-Ports dienen dem Anschluß von Modems oder ISDN-Terminaladaptern.
Die Steuerung des SOHO+ übernimmt ein Motorola Coldfire-Prozessors m5307 mit gerade einmal 89 Mhz Taktfrequenz. Dies mag angesichts des Wettbewerbs der beiden größten Prozessorhersteller um immer mehr Gigahertz geradezu anachronistisch erscheinen. Das trotzdem keine Leistungsengpässe festgestellt werden konnten, liegt vor allem am Betriebssystem des SOHO+. Es basiert auf einem für den Coldfire-Prozessor optimierten Linux-Kernel 2.4.10. Frühe Linux-Anhänger werden sich noch an die vergleichsweise schlanken Linux-Kernel 2.0.X erinnern, die auf einem Intel 386 mit 40 Mhz und 4MB Hauptspeicher eine überzeugende Leistung boten. Dem SOHO+ stehen immerhin 16 MB Hauptspeicher und eine modernere Prozessorarchitektur zur Verfügung.
Der englischsprachige "Quick Install Guide" ist eine nützliche Hilfe für technisch weniger versierte Benutzer. Auf der beiliegenden CD gibt es zusätzlich ein recht ausführliches Benutzerhandbuch im PDF-Format. Lässt sich das Problem nicht lösen, gibt es innerhalb der ersten 30 Tage nach dem Kauf den kostenlosen Installationssuppport per Email. Die Installation der Konfigurationssoftware für den SOHO+ ist auf einem PC mit einem der zahlreichen Microsoft-Betriebssysteme in einer Minute abgeschlossen. Unter Windows 98 stürzte das Installationsprogramm nachvollziehbar ab. Auf einem zweiten Rechner mit dem gleichen Betriebssystem trat das Problem hingegen nicht auf.
Die mehr Stabilität gewohnten Linux-Nutzer benötigen kein Installationsprogramm. Mit dem mitgelieferten Kommandozeilen-Programm ist die IP-Adresse des SOHO+ im Handumdrehen gesetzt. Für die weiteren Konfigurationsarbeiten kann bei beiden Plattformen ein Webbrowser verwendet werden. Damit der Browser die Konfigurationsseiten auch wirklich vom Router und nicht aus dem eigenen Cache lädt, muß entweder auf den "Aktualisieren"-Knopf gedrückt oder die Voreinstellungen geändert werden. Für den Microsoft Internet Explorer wird unter "Temporäre Internetdateien" die Option "Neuere Version der gespeicherten Seiten suchen" ausgewählt. Der Netscape 6.2 bringt den HTTP-Server Boa des SOHO+ in kurzer Zeit zum Absturz. Die Boa-Entwickler führen dies auf einen Bug in der Netscape-Software zurück.
Die webbasierte, von SNAPgear Management-Console (ScreenShot 134KB) genannte Konfigurations-Software, erleichtert durch ihren logischen Aufbau und die ausführlichen, gut verständlichen aber englischsprachigen Hilfstexte. Eine zusätzliche Hilfe sind die guten FAQ und Beschreibungen für die IPSec-Konfiguration von Drittprodukten auf der SNAPgear-Website.
Fortgeschrittene können den Telnet-Zugang benutzen. In sehr kleinen, lokalen Netzen ist das dies noch hinnehmbar. Wer jedoch auf die Fernadministration über das Internet angewiesen ist, wird das Fehlen von OpenSSH bedauern.
| Paarlauf |
|---|
|
Der SOHO+ arbeitet mit T-DSL-Anschluß problemlos zusammen. Für die Konfiguration mit der T-Online Flatrate kann der "Quick Setup Wizard" der Management Console nicht verwendet werden. Stattdessen wird unter dem Menupunkt "Connect to Internet" und "ISP Connection Type" die Option "ADSL" und im nächsten Schritt "Use PPPoE to connect" ausgewählt. Auf der folgenden Seite "PPPoE Configuration" muß zuerst der "Username" eingetragen werden. Er setzt sich aus der Anschlußkennung (1), der T-Online-Nummer (2) gefolgt von dem Raute-Zeichen #, der Mitbenutzernummer (3) und der Zeichenkette @t-online.de zusammen. So sieht das Format zusammengesetzt aus: 1111111122222222#[email protected]. In das Feld "Password" wird das "Persönliche Kennwort" aus den T-Online-Zugangsdaten eingetragen und in "Confirm" wiederholt. Alle übrigen Felder bleiben unverändert. |
In der Vergangenheit wurde häufig von Routern berichtet, deren Fernkonfigurationszugang vom Internet her leicht zugänglich war. Einige Hersteller verwendeten sogar recht einfallslose Standardpassworte, die natürlich binnen kurzer Zeit auf den einschlägigen Hacker-Sites kursierten. Beim SOHO+ ist der Zugriff auf die Management-Console(MC) genannte Web-Fernkonfiguration und Telnet ab Werk deaktiviert. Dies ist auch gut so, denn der BOA-Server beherrscht keine SSL-Verschlüsselung. Auf die Administration über das Internet ohne verschlüsselte Verbindung sollte überhaupt besser verzichtet werden. Zwar bietet der SOHO+ zusätzlich die Möglichkeit, den Zugriff auf bestimmte IP-Adressen zu beschränken. Die Schutzwirkung gegen fortgeschrittene Angriffstechniken ist jedoch begrenzt.
Die Firewall des SOHO+ basiert auf iptables, einem verbindungsorientierten Paketfilter (stateful packet filter) für Linux in der Version 1.2.4. Sie ist bereits für den einfachen Internetzugang vorkonfiguriert und blockt alle aus dem Internet eingehenden Verbindungen ab. Eigene Firewall-Regeln sind frei definierbar. Sie können auch die bereits vorhandenen ersetzten oder ergänzen. Gegen Denial-of-Service- (DoS), Spoofing- und Smurf-Angriffe haben die Entwickler ausreichende Vorkehrungen getroffen. Versuchte Angriffe und Verbindungsversuche hinterlassen eine Meldung im Systemlog, daß sich auch auf einem anderen Linux-Rechner (remote logging) befinden kann. Die Interpretation der Systemmeldungen ist nur Netzwerk-Spezialisten möglich, die aber eigentlich nicht die Zielgruppe des SOHO+ sind. Leider gibt es auch keine Funktion zur Alarmierung eines Kundigen per SMS oder Email. Ohne sie ist auch das "Intruder Detection and Blocking" (IDB) sinnlos, weil niemand zeitnah von dem gerade stattfindenden Angriff oder den Vorbereitungen dazu erfährt. IDB gaukelt einem Angreifer durch vermeintlich offene Ports einen mangelhaft konfigurierten Router vor und beantwortet Ausspähversuche mit einer Verbindungssperre für die IP-Adresse des "Interessenten". Einen technisch versierten Angreifer können solche Abwehrmechanismen allerdings nicht lange aufhalten.
Manche Unternehmen möchten den Besuch bestimmter Web-Angebote und aktive Inhalte wie ActiveX, JavaApplets oder auch Cookies verhindern. Den dazu notwendigen Content-Filter oder die Unterstützung für CyberNOT, eine kommerzielle "Schwarze Liste", hat der SOHO+ leider noch nicht.
...sumarum ist der SOHO+ ist ein angenehm unkompliziertes und zuverlässiges Gerät. In der dreiwöchigen Testphase traten keine Abstürze oder andere Schwierigkeiten auf. Das Fehlen von verschlüsselten Verbindungen für die Web-Administration wird durch die VPN-Fähigkeit des SNAPgear ausgeglichen. Der moderate Preis erscheint angemessen und ist insbesondere für KMU's ein Argument für die Kaufentscheidung.
|
SNAPGear SOHO+ |
|
|---|---|
|
Hardware |
Motorola Coldfire-Prozessor m5307, 89 Mhz, 16MB RAM |
|
Firmware |
V 1.5.4 |
|
Betriebssystem |
Linux 2.4.10-uc0 mit ColdFirePatches |
|
Update |
per TFTP |
|
WAN-Port |
10BaseT |
|
max. Durchsatz am WAN-Port |
7Mbit/s |
|
LAN-Port |
10BaseT |
|
weitere Anschlüsse |
2 x RS232 seriell |
|
Status-Informationen |
10 LEDs |
|
Wartungszugang |
Webbrowser, Telnet |
|
MAC-Adresse frei wählbar |
ja |
|
IP Funktionen |
|
|
Geroutete Protokolle |
TCP, UDP, ICMP, ARP |
|
IP-Alias |
ja |
|
zusätzliche stat. Routen |
ja |
|
DHCP-Server |
ja, abschaltbar |
|
DHCP-Client |
ja, abschaltbar |
|
DNS-Server |
nein |
|
DNS-Proxy |
ja, abschaltbar |
|
Port-Forwarding |
ja |
|
Masquerading |
ja |
|
Quality-of-Service (QoS) |
ja |
|
NTP-Zeitabgleich |
ja, abschaltbar |
|
Diagnose |
traceroute, ping |
|
SNMP |
nein |
|
PPPoE |
Roaring Penguin |
|
Anzahl der Nutzer begrenzt |
nein |
|
Firewall |
|
|
verbindungsorientierte Paket-Filter |
ja |
|
eigene Filterregeln möglich |
ja |
|
Schutz vor Denial-of-Service (DoS) |
ja |
|
Alarmierung |
nein |
|
Protokoll/Logging |
ja |
|
Content Filter |
nein |
|
CyberNOT-Unterstützung |
nein |
|
ICSA-Zertifizierung |
nein |
|
VPN (PPTP) |
|
|
PPTP Client |
ja |
|
PPTP Server |
ja |
|
PPTP Authentifizierung |
PAP, CHAP, MSChapV2 |
|
Verschlüsselung |
MPPE (RC4), 128 Bit |
|
max. Anzahl Tunnel für ausgehende Verbindungen |
6 |
|
max. Anzahl Tunnel für eingehende Verbindungen |
20 |
|
Durchsatz (Herstellerangabe) |
bis 1.5Mbps bei RC4-Verschlüsselung |
|
VPN (IPSec) |
|
|
Protokolle |
Encapsulation Security Payload (ESP) Authentication Header (AH) |
|
Modi |
Aggressive mode, Main Mode |
|
Verschlüsselung |
DES, 3DES |
|
Authentifizierung |
MD5, SHA-1 |
|
Schlüssel-Management |
Internet-Key-Exchange-Protocol (IKE) und manuell |
|
Anzahl Tunnel |
75 |
|
Durchsatz (Herstellerangabe) |
bis 1Mbps bei 3DES-Verschlüsselung |
|
Interoperabilität mit Drittanbieter-Produkten (Herstellerangabe) |
Cisco eg 1720, 2600 series, 3600 series, 4000 series, AS5300 series, 7200 series, 7500 series, Nortel (Bay Networks) Contivity Switch, Watchguard, SonicWall, Netscreen, Asita Technologies Products, Raptor Firewall, Gauntlet Firewall GVPN; Checkpoint Firewall-1, F-Secure VPN for Windows, Xedia Access Point/QVPN, PGP Macintosh and Windows IPSec Client, Windows 2000, IRE Safenet/SoftPK, Timestep, Shiva/Intel LANrover, Sun Solaris, Radguard |
|
Dial-In |
|
|
Zugänge/Ports |
2 |
|
unterstützte Protokolle |
PAP, CHAP, MSCHAPv2, Radius, TACACS+ |
|
Intrusion Detection |
|
|
Blocking |
ja |
|
Alarmierung |
nein |
|
Protokoll/Logging |
ja |
|
Logging |
|
|
Echtzeit-Protokoll |
nein |
|
auf entferntem Rechner (remote host) |
ja |
|
Alarmierung per SMS, Email, PopUp |
nein |
|
Sonstiges |
|
|
Lieferumfang |
Steckernetzteil, Patchkabel, Cross-Over-Kabel |
|
Vertrieb |
Netropol GmbH, Hamburg |
|
Preis |
536 Euro |
