Vergleichstest: ADSL-Modem-WLAN-Router

Wer ein Netzwerk betreibt, in dem mehrere Rechner gleichzeitig das Internet nutzen sollen, kommt um einen Router nicht herum. Bei der Einwahl erhält der Router eine eigene und eindeutige offizielle Adresse (IP-Adresse) im Internet, die angeschlossenen Rechner dagegen nicht. Sendet ein Computer aus dem lokalen Netzwerk eine Anfrage ins Internet, kommuniziert er nur mit dem Router, der den Datenverkehr ins Internet übernimmt. Für die Vermittlungsstelle macht das kaum einen Unterschied, da alle Anfragen von einem Gerät kommen. Die meisten Router können aber weit mehr, als nur Lotsen ins Internet zu sein.

So funktionieren Router ins lokale Netz auch als Hub oder Switch und erlauben angeschlossenen PCs, untereinander Daten auszutauschen. Einige Varianten sind auch gleich mit einem Printserver ausgestattet, über den angeschlossene Drucker direkt aus dem Netzwerk angesteuert werden können. Eine integrierte Firewall, Bestandteil der meisten Router, schützt das Netzwerk dabei vor unberechtigten Zugriffen von außerhalb.

Selbst telefonieren über das Internet ist für einige Geräte kein Problem mehr. Von diesen offensichtlichen und meist bekannten Funktionen abgesehen, gibt es einige Besonderheiten, die vielleicht erst auf den zweiten Blick auffallen, die Kaufentscheidung aber nachhaltig beeinflussen können.

Content-Filter und Zeitbegrenzung

Content/URL-Filtering ist für alle, die Kinder haben, eine interessante Option. Die meisten Router im Test, die über diese Funktion verfügen, zeigen sich im Content/URL-Filtering sehr umfangreich und bieten viele Möglichkeiten, den Netzzugriff kindgerecht einzurichten. So können zum Beispiel gezielt Schlagwörter eingegeben werden, die einzelne Webseiten oder ganze Domains blockieren. Dabei durchsuchen bessere Filter auch die Webseite nach den Begriffen. Allerdings greift dieses System nur bei Seiten, die Text beinhalten, also HTML-Seiten. Flash-Animationen oder sonstige binäre Inhalte können damit nicht gefiltert werden.

Auch bieten viele Router einen Zeitplaner an, in dem individuell eingestellt werden kann, zu welchen Tagen und Uhrzeiten der Zugriff zum Internet grundsätzlich blockiert beziehungsweise erlaubt wird.

Einige Router bieten sogar die Möglichkeit, gezielt einzelne IP-Adressen von Rechnern im LAN vom Content-Filtering auszuschließen. Somit können Eltern auf gesperrten Internetseiten surfen, während der Nachwuchs draußen bleibt.

DMZ

Ins Deutsche übersetzt heißt DMZ "Demilitarisierte Zone". Dieser Begriff stammt ursprünglich aus der Sprache des Militärs und bezeichnet eine Pufferzone zwischen zwei feindlichen Linen. Im Netzwerkbereich meint DMZ ein separates Netzwerk, das sich zwischen dem LAN und dem WAN (Wide Area Network/Internet) befindet. Die DMZ ist der klassische Platz für alle Dienste (Web-Server, Spiele-Server, Spiele, FTP-Server), die direkt mit dem Internet Kontakt aufnehmen müssen.

Mit der Aktivierung der DMZ-Funktion eines Routers werden die NAT-/Portfilter- Funktionen (Firewall) für eine bestimmte IP-Adresse deaktiviert. Eine DMZ sollte man nur einrichten, wenn man beispielsweise für eine bestimmte Anwendung (Spieleserver) den Zugriff aus dem Internet auf seinen PC erlauben will und die sonstigen Portfreigabemöglichkeiten des Routers nicht ausreichen. Dies bedeutet natürlich auch ein gewisses Sicherheitsrisiko, da der Rechner, der in der DMZ steht, nicht mehr von den schützenden Funktionen der NAT profitiert.

DynDNS

Wer von außerhalb auf seinen Rechner zu Hause zugreifen möchte, sei es auf die Dreambox, VDR oder sogar auf einen Webserver, hat dabei mit mindestens einem Problem zu kämpfen: Bei der meist obligatorischen Zwangstrennung der DSL-Leitung wird die offizielle IP-Adresse vom ISP (bzw. DSL-Provider) erneuert. Wer die IP-Adresse nicht kennt, erreicht auch nicht den Rechner oder Webserver.

Aktiviert man den DynDNS-Dienst im Router, umgeht man dieses Problem. Der DynDNS-Dienst oder dynamischer Domain-Name-System- Eintrag ist ein Internetdienst, der es ermöglicht, einen festen Hostnamen als Pseudonym für eine dynamisch ändernde IP-Adresse zu verwenden. Somit ist es möglich, dass ein Rechner immer über denselben Domainnamen angesprochen werden kann - auch wenn sich die Adresse ändert.

Findet ein IP-Wechsel statt, kontaktiert der Router automatisch den DynDNS-Server. Die neue IP-Adresse des Routers wird übermittelt und mit dem Domainnamen verknüpft. Inzwischen haben viele Router DynDNS-Clients implementiert, wodurch das Installieren eines Clients auf den Rechnern überflüssig ist. Dies spart Strom (der Rechner muss nicht immer laufen) und die Installation ist einfacher. Man muss sich nur bei einem DynDNS-Dienst wie zum Beispiel dyndns.org anmelden und sich für einen Hostnamen entscheiden.

Im Router ist die Konfiguration ähnlich einfach. Meist reicht es, im Web-Interface des Routers unter dem Menupunkt DynDNS die Host-Adresse, den Benutzernamen und das Passwort einzugeben. Von da an sollte man von außen erreichbar sein. Dies kann man leicht ausprobieren, indem man per Eingabeaufforderung einen Ping an die DynDNS-Domain schickt. Einen eventuell geschalteten Pingblocker sollte man für den Test natürlich deaktivieren. So attraktiv die Funktion DynDNS ist, so riskant ist sie. Denn wenn Sie von außen auf Ihr Netzwerk zugreifen können, kann ein potenzieller Angreifer dies auch. Ein gut gewähltes Passwort ist daher Pflicht.

Ausgerüstet mit einem MSI-Notebook werden im PC-Magazin-Test fünf Positionen mit unterschiedlichen Distanzen und Hindernissen abgegangen. Mit dem Freeware- Tool Aida32 werden Datendurchsatz und Signalqualität festgestellt und ausgewertet.

Dichtheit prüfen

Auch wenn absolute Zahlen in der Grafik in der Tabelle angegeben sind, sollte bedacht werden, dass Durchsatz und Reichweite extrem von Umgebungsfaktoren wie Mauerdicke, Störstrahlungen, Fensterbeschichtung und Ausrichtung des WLAN-Geräts abhängen.

Mit fast 52 Millionen getesteten Systemen gilt der Sicherheits-Check von Gibson Research als einer der zuverlässigsten. Zudem verwenden wir den Retina-Scanner (kostenpflichtiges Tool) und Nessus (Freeware-Linux-Tool). Die Tests versuchen über Hacks und offene Ports ins System einzudringen und melden dem Anwender die Schwachstellen der Firewall.

Firewall/NAT

Router-Hersteller missbrauchen das Wort Firewall gern für Marketingzwecke. So werben einige damit, dass ihr Router eine Firewall integriert hat, andere werben dagegen mit Firewall-Funktionen. Manche nennen es NAT-Firewall (Network Address Translation) und wieder andere sprechen nur von NAT. Letztendlich meinen alle das gleiche und es läuft auf eine NAT hinaus. Bei den etwas teureren Routern kommt ein SPI-Filter (Stateful Packet Inspection) und vielleicht noch IDS (Intrusion Detection System) dazu.

Hinter NAT oder einer NAT-Funktion/-Firewall steckt nichts anders als etwas, das jeder Router beherrschen sollte. Nämlich das so genannte "Stealthen" beziehungsweise das "Verstecken" der PCs hinter dem Router nach außen. NAT bietet die Möglichkeit, mehrere inoffizielle IP-Adressen oder ganze Netze (zum Beispiel aus den Bereichen 192.168.x.x, 172.16.x.x, 172.31.x.x, 10.x.x.x) hinter einer oder mehreren offiziellen IP-Adressen (zum Beispiel vom Provider zugewiesenen) zu "verbergen". Vorteil dieser Lösung: Die Rechner im privaten Netzwerk können nicht aus dem Internet angewählt werden.

Einfach ausgedrückt: Ruft ein lokaler PC über einen Port (z.B. 8080 für Webseiten) Daten aus dem Internet ab, wird diese Abfrage ausschließlich über den Router ins Internet geleitet. Dafür benutzt der Router seine offizielle IP-Adresse. Somit ist im Internet nur die IP des Routers, nicht aber die des Netzwerks bzw. Rechners dahinter bekannt. Die Antworten auf diese Anfrage werden vom Router empfangen und zum lokalen PC weitergeleitet. Eventuelle Attacken aus dem Internet kommen in diesem Fall nur bis zum Router, nicht aber zu den lokalen PCs. Dieser Schutz lässt sich zwar prinzipiell umgehen, aber es ist immerhin eine erste und für viele Freizeit-Hacker unüberwindbare Hürde.

Router mit Printserver

Multifunktionsdrucker mit USB-Anschluss erfreuen sich gerade in Heimbüros großer Beliebtheit: Sie vereinen Drucker, Scanner, Kopierer und nicht selten auch Fax in einem Gerät. Damit andere Netzwerkteilnehmer drucken können, muss für gewöhnlich der an den Drucker angeschlossene PC laufen. Oft lassen sich mit dieser Lösung aber die übrigen Funktionen (Fax, Scanner) von anderen Rechnern gar nicht nutzen.

Mittels eines eingebauten Printservers können moderne Router verschiedene USB-Multifunktionsgeräte oder Drucker in das Netzwerk einbinden und machen dadurch den Kauf eines netzwerkfähigen Druckers unnötig. Dabei wird dem Printserver eine lokale IP-Adresse zugeordnet, unter der er für alle Computer im Netzwerk erreichbar ist. Wie auch bei herkömmlichen Printservern wird allerdings nicht jeder Drucker von Routern unterstützt. Ob zusätzliche Funktionen wie Scannen oder Faxen über das Netzwerk funktionieren, ist ebenfalls herstellerabhängig und funktioniert nicht mit jedem Router. Vor dem Kauf sollte man sich also vergewissern, ob bereits vorhandene Hardware mit dem Router funktioniert.

Alternative Firmware

OpenWRT-Projekt integrieren Anwender interessante Funktionen wie DNS-, VPN- und andere Firewall Einstellungen oder Telefonie-Server in DSL-Router von Asus, Linksys oder Netgear. Diese Firmen nutzen eine auf Linux basierende Firmware, die sich durch die WRT-Versionen über die normale Router- Upgrade-Funktion ersetzen lässt.

Ping-Block

Ping ist ein Zusatzprogramm, mit dem Sie eine Domain oder IP-Adresse auf ihre Aktivität prüfen können. Hierzu werden kleine Datenpakete an die Domain/IP-Adresse gesendet und die Zeit gemessen, die diese Pakete brauchen, um wieder zurückzukommen. Je kleiner die Ping-Zeit ist, desto besser ist die Verbindung. Erscheint ein so genanntes request timeout bedeutet dies, dass auf dem Weg zur Domain eine Leitung ausgefallen ist oder die Domain beziehungsweise Internetseite nicht mehr existiert. Dieses wird auch von Hackern verwendet, um festzustellen, ob ein Rechner vorhanden ist. Viele Router verfügen über die Option Ping-Block. Ist diese Funktion aktiviert, ist der Router/Rechner nicht mehr via Ping zu erreichen.

UPnP

Das von Microsoft eingeführte UPnP (Universal- Plug-and-Play) ermöglicht das dynamische Einfügen von unterschiedlichsten Geräten in ein Netzwerk. Somit werden Geräte automatisch erkannt und Anwendungen und Dienste können automatisch angepasst werden. In der Regel passt sich der Router bestimmten Anwendungen automatisch an. So können zum Beispiel Programme, die eine bestimmte Portfreigabe benötigen, diese beim Router automatisch und dynamisch vornehmen. Ein Beispiel für so eine Anwendung wäre VoIP.

Im VoIP-Szenario beispielsweise fragt das Endgerät via UPnP am Router nach, welche öffentliche IP-Adresse und Ports es benutzen darf. Diese Informationen verwendet es als Absenderadresse in den entsprechenden Protokollen. Der NAT-Router konfiguriert seine Firewall/Port-Filter so um, dass die eingehenden Pakete auch das Endgerät erreichen. Die Kehrseite der Medaille ist auch hier ein potenzielles Sicherheitsrisiko. Denn Router können nicht zwischen gut und böse unterscheiden und die gewonnene Freiheit kann von Schädlingen ausgenutzt werden, um Hintertüren zu öffnen. Deshalb ist die UPnP-Funktion bei den meisten Routern in der Grundeinstellung deaktiviert.