5 Gründe warum eine Business Firewall einer Fritz!Box überlegen ist
Wenn man in Deutschland einen DSL-Anschluß bestellt, erhält man vom Internetprovider einen passenden Router für den Internetzugang zur Verfügung gestellt. Die bekanntesten Vertreter sind hierbei die Fritz!Boxen der Berliner Firma AVM und die Speedports der Telekom.
Router sind zentral für den reibungslosen Betrieb des Heimnetzwerks. Sie weisen jedem angeschlossenen Rechner, Notebook, Drucker und sonstigen Geräten im (W)LAN eine individuelle Adresse im Netzwerk – die so genannte IP-Adresse – zu und sorgen für die Übermittelung der Datenpakete an den richtigen Empfänger. Gleichzeitig sind die das Gateway, um aus dem lokalen Netzwerk ins Internet zu kommen.
Darüber hinaus bieten Fritz!Boxen noch viele weiterer Netzwerkfunktionen, so dass diese für Privathaushalte und kleine Arbeitsgruppen in den meisten Fällen vollkommen ausreichend sind.
In kleinen Unternehmen sieht die Sache schon etwas anders aus. So wird uns häufig von unseren Geschäftskunden die Frage gestellt, ob Sie nicht eine eigene Firewall oder einen Business-Router benötigen.
Dieser Artikel soll Situationen aufzeigen, in denen Standardrouter à la Fritz!Box und Co. an ihre Grenzen stossen und bei denen es sich lohnt, auf eine leistungsstärkere Firewall-Lösung zu setzen. Ob eine solche Lösung Sophos UTM, Watchguard, Juniper Firewall oder OpnSense heißt, ist dabei von geringerer Bedeutung. Der Leistungsumfang dieser Lösungen ist ähnlich. Natürlich haben wir eine klare Empfehlung – die Sie hier in wenigen Wochen nachlesen können – im Zentrum dieses Artikels steht aber nicht die konkrete Produktwahl, sondern die grundsätzliche Entscheidung für oder gegen eine Business Firewall.
Grund 1: Bündelung von zwei oder mehr Internetleitungen
Für viele Unternehmen bedeutet ein Ausfall des Internetanschlusses eine schmerzvolle Zwangspause. Gerade die zunehmende Verbreitung von VoIP-Telefonie, d.h. Telefonie über die Internetleitung, macht eine stabile Internetverbindung zu einer unabdingbaren technischen Voraussetzungen für die effiziente Leistungserbringung.
VDSL-Anschlüsse bieten – wenn überhaupt vertraglich verankert – eine maximale Verfügbarkeit von 97%. Was zunächst gut klingen mag, stellt sich beim Nachrechnen als problematisch raus. 97% Verfügbarkeit entspricht einem maximalen Ausfall von bis zu neuen Tagen pro Jahr. Ganz schön viel Ausfallzeit! Mit Glasfaser und synchronen DSL-Anschlüssen (SDSL) läßt sich eine deutlich höhere Erreichbarkeit jenseits der 99% erreichen. Andererseits lassen sich die Internetprovider diese Garantie auch fürstlich entlohnen. Für einen SDSL-Anschluß mit 5 Mbit/s kann man um die 100 € pro Monat rechnen, wobei man für weniger als die Hälfte bereits einen VDSL-Anschluß mit 100 Mbit/s Download und 16 Mbit/s Upload bekommt. Und auch 99% Verfügbarkeit kann immer noch mehr als 3 Tagen pro Jahr bedeuten.
Als Alternative zu einer teuren SDSL-Leitung bieten professionelle Router- und Firewall-Lösungen die Möglichkeit, zwei oder mehrere Internetleitungen zu bündeln. So lässt sich durch Bündelung der Internetleitungen nicht nur die Bandbreite erhöhen, sondern auch die Ausfallwahrscheinlichkeit reduzieren.
Grund 2: Trennung durch virtuellen Netzwerken
Ein Standardrouter baut genau ein Netzwerk auf. Alle angeschlossenen Geräte befinden sich im gleichen Netzwerk, können sich gegenseitig erreichen und haben die gleichen Berechtigungen. Bessere Modelle bieten die Möglichkeit, neben einem primären Netzwerk noch ein zweites Netzwerk mit separatem Netzwerkadressbereich aufzubauen. Wer sich im sekundären Netzwerk befindet, kann zwar im Internet surfen, kann aber nicht auf andere Geräte im Hauptnetzwerk zugreifen. Bei den hochwertigen Fritz!Box-Modellen läuft diese Funktion unter Gäste-Netzwerk.
Professionelle Lösungen bieten die Möglichkeiten beliebige, so genannte virtuelle Netzwerke (VLANs) aufzubauen. Mit diesen VLANs lassen sich Organisations- und Berechtigungsstrukturen aus der realen Welt informatorisch abbilden. Ein typischer Einsatzzweck von einem VLAN ist ein untervermietetes Büro oder eine separate Abteilung, die den gleichen Internetanschluß nutzt, aber jeweils eigene Drucker und Freigaben besitzt. Mit VLANs lassen sich diese Netzwerke einfach voneinander abtrennen – ohne jede Tür oder Zaun.
Grund 3: Aufbau einer DMZ für öffentliche Serverdienste
Manche Unternehmen möchten aus den verschiedensten Gründen den Mailserver im eigenen Büro stehen haben. Alternativ können Unternehmen auch öffentlich erreichbare Datenbanken oder Webserver betreiben, die idealerweise vom lokalen Netzwerk getrennt werden sollten. Dies löst man durch den Aufbau einer DMZ (demilitarized zone). Eine DMZ ist eine Art eigener Netzwerkbereich, der direkt mit dem Internet verbunden und vom lokalen Netzwerk abgetrennt ist.
Die DMZ-Funktionalität ist eine Standardfunktionalität bei professionellen Firewall Lösungen. Bei handelsüblichen Routern für den Privatbereit gibt es das nicht.<
Grund 4: Standortvernetzung per VPN
Ein Unternehmen, das an zwei Standorten operiert, muss nicht zwangsläufig seine IT an beiden Standorten redundant aufbauen. Häufig genügt es, einen sicheren Datenkanal per VPN zwischen den beiden Standorten aufzubauen. Mit einer solchen haben alle Mitarbeiter Zugriff auf die zentralen Serverdienste und Datenspeicher, unabhängig davon an welchem Standort sie sich gerade befinden.
Wer lange genug sucht, wir eine solche Funktion auch in den teuren Fritz!Box-Modellen finden. Deren Einstellungsmöglichkeiten sind aber sehr begrenzt. Insbesondere wenn an den getrennten Standorten unterschiedliche Abteilungen arbeiten, kommt man an einer Profi-Firewall-Lösung nicht vorbei.
Grund 5: Einschränken von eingehendem und ausgehendem Datenverkehr
Professionelle Router- und Firewall-Lösungen können den eingehenden und ausgehenden Datenverkehr viel granularer steuern als dies Fritz!Boxen oder Speedports können. So kann man z.B. den Internetzugriff von Teilnehmern eines Gäste-WLANs so stark einschränken, dass diese nur im Internet surfen und E-Mails abrufen dürfen. Alle anderen Aktivitäten wie z.B. die Nutzung von Streamingdiensten wie Spotify werden unterbunden.
Auch beim eingehenden Datenverkehr kann eine genauere Unterscheidung der Herkunft die Sicherheit deutlich erhöhen. Angenommen Sie möchten die Telefonanlage Ihres Unternehmens mit Salesforce oder einem Odoo-CRM auf einem virtuellen Server verbinden, dann macht es Sinn, nur solche Anfragen bis zur Telefonanlage durchzulassen, die von der Adresse des Odoo- oder Salesforce-Servers stammen. Alle anderen Anfragen werden einfach ignoriert.
Sinnhaftigkeit von zentralem Virenschutz und Web-Protection
Kommerzielle Anbieter wie Sophos oder Watchguard führen häufig den Schutz vor Bedrohungen aus dem Internet wie Viren und Trojaner als Argument für eine zentrale Business Firewall an. Aus unserer Sicht sind deren Datenanalyse und Überwachungsfunktionen der Firewall-Lösungen jedoch kein wirksamer Schutz vor Bedrohungen aus dem Internet. In keinem Fall ersetzen sie eine Antivirenschutz-Lösung auf Windows-Arbeitsplatzrechnern.
Sollte die gewählte Lösung eine entsprechende Lösung enthalten, kann diese natürlich aktiviert werden. In keinem Fall sollten Sie als Grund für eine regelmäßige Supportpauschale oder Lizenz herhalten.
Fazit: Fritz!Boxen sind leistungsfähige Tausendsassas, anspruchsvolle Aufgaben bringen sie an ihre Grenzen
Fritz!Boxen und andere Router, wie man sie von deutschen Internetprovidern erhält, sind für Privatpersonen fast immer ausreichend. Auch kleine Unternehmen sollten Ihre tatsächlichen Bedürfnisse genau analysieren und prüfen, ob der Einsatz eines professionellen Router- und Firewall-Systems notwendig ist. Eine professionelle Lösung bedeutet auch gleichzeitig eine höhere Komplexität. Während ein wenig Netzwerkerfahrung für die Verwaltung einer Fritz!Box ausreicht, gilt das bei einer Profi-Firewall nicht.
Andererseits haben wir in diesem Beitrag gezeigt, dass es auch bei kleinen Unternehmen Situationen geben kann, in denen eine Fritz!Box oder ein vergleichbarer Router nicht mehr ausreicht. Jeder der oben aufgeführten Punkte kann den Wechsel von einer Fritz!Box zu einer leistungsfähigeren Lösung rechtfertigen, erst recht wenn zwei oder mehrere Punkte zusammen kommen.
Sollten Sie nach den genannten Beispielen immer noch unsicher sein, was Sie benötigen, dann rufen Sie uns an oder schreiben Sie uns. Wir beraten Sie gerne über die Einsatzmöglichkeiten von den verschiedenen Möglichkeiten.