WCM » News » Dezember 2004 » Router: Einführung und Basiswissen

Router: Einführung und Basiswissen
Veröffentlicht am 25.12.2004 15:45:51

Über sieben Brücken musst du gehen… Dieser Song von Peter Maffay beschreibt unseren diesmaligen Schwerpunkt ziemlich gut, denn Router machen genau das: sie verbinden – quasi als ‚Überbrücker’ - die unterschiedlichsten Netzwerke miteinander, so dass man als Anwender jederzeit und (mittels Wireless LAN) sogar überall Zugriff auf das Internet hat. Äußerlich sind diese Black-Boxes den Switches nicht unähnlich, doch wer sich mal mit den Innereien genauer beschäftigt hat, wird erkennen, dass es sich bei dieser Hardwaregattung mittlerweile um wahre Tausendsassas handelt. Und da wären wir schon bei der Frage: „Ab wann brauch ich denn einen Router?“. Die Antwort: „Wenn Sie schnell, einfach und mit mehr als einem Rechner gleichzeitig ins Internet möchten!“ Gehen wir also einmal davon aus, dass Sie sich grundsätzlich für so ein Gerät interessieren. Und da kommen wir gleich zum ersten Gedankenfehler, denn es muss sich bei einem Router nicht um (spezielle) Hardware handeln. Eine mögliche Definition lautet nämlich wie folgt: „…verbindet Netzwerke unterschiedlicher Technologie, indem er eine Protokollumsetzung vornimmt…“. Doch bevor sich nun große Fragezeichen über einigen Köpfen zusammenbrauen, folgt im nächsten Absatz die dazugehörige Erklärung inklusive anschließender Auflösung.

Grundlagen
Um die Arbeitsweise eines Routers zu verstehen, ist Wissen um das theoretische OSI-7-Schichtenmodells vonnöten. Vor einigen Ausgaben haben wir uns bereits ausführlichst damit beschäftigt, weshalb ich Ihnen hier nur noch eine kurze Zusammenfassung geben möchte.
Alles beginnt auf dem physischen Layer (1), wo die elektrischen Signale, deren Codierung, sowie Laufzeiten definiert sind. Die klassischen Hubs arbeiten z.B. nur auf dieser Schicht. Vorteil: es gibt keine Kontrolle von etwaigen Adressen, daher sehr schnell. Nachteil: jedes Signal (= Daten) wird eingelesen und auf allen anderen Schnittstellen wieder hinausgeschickt, auch wenn es bloß für einen bestimmten Port vorgesehen ist, aber solange sich elektrisch etwas auf der Leitung tut, haben alle anderen Clients Sendepause (Stichwort CSMA/CD).

Eindeutige Adressierung
Daher ist es sinnvoll, die einzelnen Komponenten im LAN eindeutig identifizieren zu können, um das obige unkontrollierte Versenden entsprechend zu reduzieren. Jetzt kommt Schicht Nummer Zwei ins Spiel. Laut Standard ist dort die so genannte MAC-Adresse (unter Windows: ‚Physikalische Adresse’) im Einsatz, die zudem weltweit eindeutig ist und somit eine direkte Adressierung der verschiedenen Komponenten im Netzwerk und in Folge eine Kommunikation zwischen denselbigen ermöglicht. Switches funktionieren nach diesem Prinzip. Zuvor erwähnte Vor- und Nachteile tauschen jetzt ihre Rollen: es können nun mehrere Clients gleichzeitig senden, jedoch verliert man nun etwas Zeit, da bei jedem Transfer die MAC-Adresse eingesehen werden muss, um den korrekten Port ansprechen zu können. Bleibt man im lokalen LAN und bei einer einzelnen Technologie (z.B. Ethernet), so gäbe es keine weiteren Probleme mehr. Denkt man hingegen global, so tun sich schnell neue Hürden auf: zum einen haben wir keine Strukturierung in unseren MAC-Adressen, d.h. woher soll ein Switch wissen, welche MAC-Adresse z.B. der Ziel-PC in Australien hat. Oder die Daten selbst sind unterschiedlich groß, so dass ein Jumbo-Frame von einem Gigabit-Ethernet (9000 Bytes) einfach nicht über eine X.25-Standleitung (576 Bytes) zu bekommen ist.

Paketdienst
Sie ahnen es: dafür benötigt man den Network-Layer (3). Auf diesem werden die Daten nochmals in Pakete (von definierter Größe) verpackt, die außerdem mit IP-Adresse, Portnummer und anderem Klimbim (der uns hier nicht interessieren muss) versehen werden. Und da IP-Adressen über die ‚Dotierung’ in unterschiedlichen Subnetzen heimisch sind, ist auch das Problem der Strukturierung gelöst. Für einen Router ist genau dies die alltägliche Arbeit: eintreffende Pakete von einem Netzwerk werden (sofern sie für das andere bestimmt sind) an die Zieltechnologie angepasst und weitergeschickt. Der dabei unvermeidbar auftretende Zeitverlust zur Analyse der Pakete ist ein letzter Nachteil, aber vertretbar.

Hart oder weich?
Um auf die eingangs geschriebene Bemerkung zurück zu kommen, dass es sich bei einem Router nicht um Spezial-Hardware handeln muss: ein PC muss sich ebenfalls die IP-Pakete ansehen – was liegt also näher, als eine zweite Netzwerk-Karte einzubauen und ihn als Router zu betreiben? Das haben sich in der Tat bereits viele Software-Hersteller gedacht und bieten entsprechende Produkte an. Ob es sich dabei um einfache Lösungen wie die Internet-Verbindungsfreigabe von Windows oder doch um eine besser zu konfigurierende Linux-Distribution handelt ist ohne Belang.
Wir haben uns aus drei Gründen primär für einen Hardware-Router-Vergleich entschieden. Erstens setzt eine Software-Lösung neben einer leistungsstarken CPU, auch einen entsprechend ausgestatteten PC (mind. 2 NIC’s) voraus, der zudem die ganze Zeit laufen sollte -> nicht ganz im Sinne aktueller Strompreise. Zweitens ist so eine Hardware weniger anfällig gegen Angriffe von außen. Auf 20 Exploits gegen aktuelle Betriebsysteme kommt (vielleicht) einer gegen Router. Drittens sind die Preise für letztere Komponenten bereits im Keller. Ab 35,- Euro ist man dabei und den Betrag hat man beim Verkauf des alten PCs meist mehr als doppelt wieder drinnen.

Features
Auch der billigste Router hat heutzutage mehr auf dem, oder besser gesagt, im Kasten, als wie in den Grundlagen beschrieben. Beinahe obligatorisch ist in diesem Zusammenhang NAT (Network Address Translation), mit dem ein gesamtes Netzwerk an der, vom Provider zugewiesenen IP-Adresse, betrieben werden kann. Spätestens beim Zweitrechner möchte man dieses Feature nicht mehr missen. Für die automatische Einrichtung sorgt wie so oft DHCP (Dynamic Host Configuration Protocol).
Eine Firewall ist dabei zwangsläufig mit von der Partie, da die so versteckten, internen IP-Adressen von außen nicht erreichbar sind. Wer allerdings Dienste wie WWW, FTP, etc. von daheim aus anbieten will, kommt um die Funktionalitäten Port-Forwarding bzw. DMZ (Demilitarisierte Zone) nicht herum. Während bei ersteren nur bestimmte Ports auf einen beliebigen Rechner im internen LAN weitergeleitet werden, landet der Server bei zweiter Methode in einem eigenen Netz, das nach außen hin (sehr) offen ist und von dem aus nur beschränkter Zugriff auf das Interne möglich ist. Ob ein spezieller Port dafür am Router vorgesehen ist oder ob sich eine der LAN-Buchsen mittels Setup dynamisch einstellen lässt, hängt vom jeweiligen Hersteller ab.
Wenden wir uns der Anbindung des Routers zu. Während im restlichen Europa bei ADSL meist das PPPoE-Protokoll verwendet wird, kommt in Österreich PPTP zum Einsatz. Achten Sie beim Kauf unbedingt darauf, dass es vom anvisierten Gerät dementsprechend unterstützt wird. Bei Kabel-Modems tritt ein anderes Hindernis in den Vordergrund: die etwaige Bindung des Modems an die vom Techniker in den PC eingebaute Netzwerkkarte. Da eine Kommunikation nur direkt an die so fixierte MAC-Adresse geht, bleibt beim Einsatz eines Routers die Verbindung erst einmal stumm, da dieser ja eine eigene (eindeutige) hat. Um diesen Missstand zu beheben haben sich die Hersteller das so genannte MAC-Cloning einfallen lassen. Hierbei handelt es sich um nichts anderes, als die Möglichkeit, die physikalische Adresse des Routers manuell zu verändern und an deren Stelle die vom PC (Windows: „ipconfig /all“; Linux: „ifconfig –a“) einzutragen. Keine Sorge: der Router achtet darauf, dass der Layer2-Datenverkehr aufgrund der doppelten MAC-Adresse nicht gestört wird.
Für Firmen ist die VPN-Tauglichkeit ausschlaggebend. Ob aber nun (mehrere) VPN-Verbindungen von außen zu- und zum dafür vorgesehenen (und hoffentlich korrekt installierten) PC durchgelassen werden oder der Router selbst als VPN-Server agiert, hängt wieder mal vom Hersteller ab. In 90% der Fälle treffen Sie auf den ersten Fall, weil’s billiger ist. Somit können sich die Außendienstler sicher ins Firmennetz hängen und haben vollen Zugriff auf alle Ressourcen. Gerade im SOHO-Bereich ist es sowohl für die Kosten als auch den Platz von Vorteil, einen Drucker gemeinsam zu nutzen. So finden sich bei einigen Routern bereits parallele bzw. USB-Schnittstellen, damit sie in Folge auch als Druck-Server eingesetzt werden können. Beachten Sie, dass ab diesem Zeitpunkt meist ein spezieller Treiber auf den Arbeitsstationen installiert werden muss, um den Drucker über das Netzwerk ansprechen zu können.
Da aber oft nur Windows-Systeme vom Router-Hersteller unterstützt werden, sollte man beim Einsatz von Linux ferner auf eine LPD-Funktionalität seitens des Druck-Servers achten.
Ebenso integriert ist meist ein kleiner Switch, der vier oder mehr Ethernet-Ports für den Anschluss von PC, Laptop und Playstation/XBox zur Verfügung stellt. Über ein Cross-Over-Kabel können allerdings jederzeit weitere reine Switches angekoppelt werden. Vor allem in KMUs werden Router auf diese Art ins Netzwerk eingebunden.

WLAN
Wer sowieso nicht auf Kabel steht, den freut es sicherlich zu hören, dass beginnend mit den Mittelklassemodellen oft auch ein Access Point für Wireless LAN mit in den Router eingebaut wird. Während 802.11b (11Mbit/s) fürs Surfen allemal ausreicht, bieten viele Geräte bereits den Nachfolger namens 802.11g (54Mbit/s) an.
Und da ergeben sich primär zwei Haken, auf die ich Sie unbedingt hinweisen möchte: mischen Sie niemals b- und g-Netzwerkkarten in ihrem Funk-LAN, da auf Grund der gleichen Trägerfrequenz von 2.4GHz es garantiert zu einem Performance-Einbruch bei einem g-Datentransfer kommt. Besser im Konfigurationsmenü des Routers einen Standard fix einstellen.
Weiters haben viele Hersteller ihre eigenen Süppchen gekocht und den IEEE-Standard nach persönlichen Vorstellungen erweitert. Auf den Webseiten und in Anzeigen liest man oft werbewirksam von 100-108MBit/s bei der Funkübertragung, nur wird meiste verschwiegen, dass dies nur mit dazugehörigen Wireless LAN-Karten aus dem eigenen Haus und dann auch nur in einer bestimmten Konfiguration funktioniert.

WLAN und Sicherheit
Natürlich sollten Sie bei einer Entscheidung für WLAN nicht auf die üblichen Sicherheits-Features wie WEP oder, besser noch, WPA vergessen, den SSID-Broadcast deaktivieren und vom

MAC-Locking
Gebrauch machen – sofern möglich und im Konfig-Menü auswählbar. Im Gegensatz zu einem reinen Access Point der nur von ‚WLAN auf LAN wandelt’ und daher auch in eine DMZ reingehängt werden kann, befindet sich der AP im Router automatisch immer im internen LAN. Denken Sie daran, wenn Sie die Firewall das nächste Mal abdichten, denn der Nachbar könnte mit seinem WLAN-Laptop ohne Probleme bei Ihnen weiter reinkommen.

Fazit Eine ‚Moral von dieser Geschichte’ gibt es dieses Mal nicht, sondern noch einen Pflegehinweis, damit es die kleinen Wunderwuzzis der Netzwerktechnik bei Ihnen daheim auch gut haben: suchen Sie sich einen gut durchlüfteten Platz aus und verbauen Sie den Router nicht irgendwo zwischen Schreibtisch und Aktenschrank, da er wegen der extrem integrierten Bauteile sehr heiß wird und so schneller das Zeitliche segnen kann, wenn die warme Luft keinen Ausweg findet. Ist dies nicht möglich, achten sie zumindest auf eine erweiterte Herstellergarantie.

Christian Sudec

Router-Begriffe im Klartext

PPTP und PPPoE
Point-To-Point Tunneling Protokoll (PPTP) bzw. PPP over Ethernet. Ursprünglich eine VPN Zugangsart. Doch viele DSL Anbieter nutzen diese Methode zur DSL Anbindung. Der Grund ist einfach: Diese Anbindungsmethoden bieten dieselbe Semantik wie eine Einwahl. Man kann damit eine Standleitung als „Wählleitung“ deklarieren, und Einwahl- sowie Abwahl nachbilden. Damit ist dann eine zeitbasierte Abrechnung auch für diese Standleitung machbar, da die „PPP-Sitzungen“ regelmässig neu aufgebaut werden. Technisch wird in einer IP-Verbindung (PPTP) oder direkt am Ethernet (PPPoE) eine PPP-Sitzung (ursprünglich für Modemeinwahl per Telefon vorgesehen) aufgebaut. Der gesamte Datenstrom samt TCP/IP wird darin „getunnelt“, also komplett übertragen. Der physische Anschluss am Rechner ist mit Ethernet oder USB möglich, darin wird dann die PPP Sitzung übergeben. Nutzt man anstelle eines Rechners einen Router, so muss dieser die Protokolle des Internetanbieters unterstützen — bei uns in Österreich meist PPTP!

Firewall: SPI
Eine Firewall mit Stateful Packet Inspection kann Netzwerkverkehr nicht nur auf Basis von Sende-IP, Empfangs-IP und den Portnummern (jeweils Sender und Empfämnger) sperren beziehungsweise erlauben, sondern auch Inhalte mit einbeziehen. So ermöglicht SPI etwa, Datenverkehr in Retour-Richtung, also aus dem Internet, nur zuzulassen, wenn er zu einer von innen ausgehend geöffneten Verbindung gehört. Man könnte so z.B. generell Websurfen verbieten, und Webserver-Viren den Zugang verhindern, aber bei bestehenden Verbindungen durchaus Antworten von Servern, die Angefragt worden sind, durchlassen. Damit ist eine wirklich sicherere Konfiguration möglich, als es ohne SPI realisiert werden kann!

Firewall: URL-Blocking
Mit URL-Blocking kann man nur bestimmte Webseiten durchlassen. Bekannte Websites, die zweifelhafte Inhalte enthalten, können per URL blockiert werden. Bei teureren Produkten können auch vorgefertigte Listen direkt aus dem Internet geladen werden!

Firewall: MAC Filtering
Hiermit können Rechner nicht nur nach IP-Adresse, sondern auch nach der — schwerer zu fälschenden — MAC Adresse spezifizert werden. So sind deutlich bessere Ergebnisse möglich.

Firewall: Attack-Logging
Mit Attack-Logging zeichnet die Firewall vermutete Angriffe auf, und kann damit einen Alarm auslösen. So kann man Angriffsversuche erkennen, und die Angreifer identifizieren.

DMZ
Demilitarisierte Zone — Netzwerksegment, dass Internet-Adressen nutzt, und in dem Server stehen. Es ist vom Internet aber mit einer Firewall getrennt, sodass Angreifer bei richtiger Konfiguration abgewehrt werden sollten. Manche Firewalls und Router haben daher einen eigenen DMZ Stecker für ein solches Netzwerk.

VPN
Mit „Virtual Private Network“ bezeichnet man meiste abhörsichere Verbindungen via Internet, mit dem ein Rechner oder ein Fremdnetz direkt mit dem eigenen Netzwerk verbunden werden kann. Die Router müssen dazu eines der gebäuchlichen Protokolle, wie IPSec, PPTP oder PPPoE unterstützen.

IPSec
Protokoll zur VPN Anbindung von Rechnern und Fremdnetzen. Der gesamte Datenverkehr über das Internet ist abhörsicher. Die Authentifizierung kann mit Passwörtern oder Zertifikaten erfolgen.

NAT
Network Adress Translation — Adressumsetzung. Mit dieser Technik kann einem Netzwerk, dass nicht direkt mit dem Internet verbunden ist, Internet-Anbindung angeboten werden. Mit NAT kann ein Router ein privates Netz so anbinden, dass Rechner dahinter „glauben“ mit dem Internet direkt zu reden, nach aussen aber nur der Router selbst aufscheint. So kann man im lokalen Netzwerk private Adressen (192.168.x.x) nutzen, aber direkt etwa mit ICQ oder Spielen im Internet arbeiten.
Server können meist nur schwierig mit NAT angebunden werden, da die Adressen „hinter“ dem NAT-Gateway von aussen nicht sichtbar sind.

DHCP & DynDNS
Mit DHCP werden IP-Adressen im LAN frei konfiguriert; es kann aber auch sein, dass der Provider (etwa Chello) statt mit PPTP oder PPPoE mit DHCP seine Kunden konfiguriert.

DynDNS
DynDNS kann bei wechselnder IP-Adresse (PPTP, PPPoE, DHCP) einen konstanten Hostnamen anbieten. Damit ist der Rechner immer per Name erreichbar (der gleich bleibt) auch wenn die IP Adresse sich ändert. So könnten z.B. Serverdienste auch ohne fixe IP Adresse angeboten werden — sofern der Vertrag mit dem Anbieter dies zulässt ist das auch legal möglich.

IEEE 802.11g
Schneller Funkstandard für WLAN mit 54Mbps Übetragungsrate für das ganze Netzwerk bei guter Funkverbindung.

WEP
WLAN Verbindungen im LAN müssen einfach abhörgesichert werden. Die eigenen Daten „hinter“ der Firewall werden sonst leicht teil eines öffentlichen Netzwerkes. Die „Wireless Encryption Protocol“ und „Wi-Fi Protected Access“ Verfahren leisten dies. WEP ist ein Standard, aber schon leicht angegraut und in die Jahre gekommen. Eine wirkliche Sicherheit ist mit WEP auch nicht gegeben, da die kryptologische Verschlüsselung leicht geknackt werden kann. WPA bietet sich hier als Nachfolger an!

WPA
Durch den von der WiFi-Alliance entwickelten WPA-Standard wird eine WLAN-Verbindung immer verschlüsselt, während eine Verschlüsselung bislang optional möglich war, die häufig deaktiviert wurde. Mit dem Update bietet Windows XP eine Auto-Konfiguration, so dass die Einrichtung eines WLAN-Zugangs deutlich erleichtert werden soll. WPA erzeugt und verteilt Schlüssel für eine Verschlüsselung des Datenstroms automatisch und enthält eine verbesserte Anmeldeprozedur.

ppw

WCM » News » Dezember 2004 » Router: Einführung und Basiswissen