Firewalls mit Virenschutz
Schutzengel
Das Testfeld
Firewalls mit Virenschutz
Ein schneller Internet-Anschluss über DSL ist heute in vielen Haushalten, kleinen Firmen und Filialen Standard. Aber wie sieht es mit der Sicherheit aus? Über die Quasi-Standleitungen können sich Hacker und Viren an die lokalen Rechner heranmachen und so erheblichen Schaden anrichten. Wir nehmen drei preiswerte DSL-Router unter die Lupe, die neben einer integrierten Firewall zusätzliche Virenschutzfunktionen mitbringen.
Im Test stehen Gateway Security 360 von Symantec, Zyxel Prestige 662HW sowie MyGuard 7500 GL von Billion. Alle drei bieten auf die eine oder andere Art auch einen Virenschutz an. Zum Vergleich tritt außer Konkurrenz zudem noch die inzwischen weit verbreitete Fritzbox Fon an. Diese kann zwar keinen Virenschutz aufweisen, im Test zeigen wir aber auf, ob das vielfach bereits vorhandene Gerät in Sachen Firewall nicht auch ausreichend ist und eine zusätzliche Anschaffung vielleicht sogar überflüssig macht.
Die TZ 150 von Sonicwall (www.sonicwall.de) schaffte es nicht mehr rechtzeitig vor Redaktionsschluss in das Testlabor der Internet Professionell. Einen Test des Geräts werden wir in einer der nächsten Ausgaben nachreichen.
Draußen bleiben
Firewalls mit Virenschutz
Alle Router im Test verfügen über eine eingebaute Firewall mit Stateful Packet Inspection, kurz SPI. Diese weist IP-Pakete ab, die nicht von einem lokalen PC angefordert wurden. Dies funktioniert bei allen Testgeräten sehr gut. In der Praxis gibt es aber oft Ausnahmen, bei denen Pakete trotzdem einen PC hinter der Firewall erreichen sollen. Das betrifft zum Beispiel P2P-Tools wie Emule oder VoIP-Programme. Für solche Fälle sollen sich Regeln festlegen lassen. Die Fritzbox Fon erfüllt gerade das Mindestmaß, bei Symantec, Billion und Zyxel sind höchst komplexe Regeln abhängig von IP-Adresse, Port oder Protokoll vorgesehen. Zyxel und Billion sehen sogar einen Zeitplan vor, der etwa bestimmte Anwendungen nur tagsüber oder am Wochenende freischaltet.
Wer einen eigenen Webserver oder Ähnliches betreiben will, kann bei Symantec, Zyxel sowie Billion eine Demilitarisierte Zone (DMZ) einrichten, andere Begriffe dafür sind »exponierter Host« oder »Virtueller Server«. Dabei wird ein bestimmter LAN-Port ohne Firewall direkt mit dem Internet verbunden, sämtliche Zugriffe sind damit erlaubt. Zugleich schottet der Router die DMZ vom restlichen LAN mit den übrigen Rechnern ab.
Gefahr erkannt
Firewalls mit Virenschutz
Am besten ist es, wenn Virencode den Rechner gar nicht erst erreicht. Gegen Netzwerkwürmer wie Blaster, die sich als IP-Pakete über Sicherheitslücken in Windows verbreiten, bietet bereits eine SPI-Firewall ausreichend Schutz. Die Mehrheit der aktuellen Schädlinge gelangt jedoch einige Protokollebenen höher auf die Rechner: als E-Mail-Anhang, FTP- oder Web-Download sowie verstärkt auch über P2P-Tools und Instant Messenger.
Um auch derartige Schädlinge zu erkennen, muss der Router den IP-Datenstrom auf der jeweiligen Protokollebene untersuchen.
Im Test bietet das nur der Router von Zyxel an. Der Hersteller setzt auf die Virensuchtechnik von Trend Micro. Das Gerät untersucht E-Mails, die mit den Protokollen POP3 (eingehend) und SMTP (ausgehend) passieren. Daneben erfasst es eingehende HTTP- und FTP-Daten. Weil Arbeitsspeicher und Rechenpower fehlen, bleiben Archive und laufzeitkomprimierte Programmdateien ungeprüft. Auch Download-Manager wie Flashget hebeln die Virensuche aus, weil sie auf mehreren Kanälen unterschiedliche Teile einer Datei laden. Die komplette Datei setzt der Download-Manager zusammen, der Virenscanner ist machtlos.
Im Praxistest zeigen sich neben diesen prinzipiellen Schwachstellen noch weitere. Der Zyxel-Router erlaubt den Download infizierter Dateien per HTTP und FTP. Andererseits erkennt das Gerät dieselben infizierten Dateien als Attachment einer E-Mail problemlos. Als alleiniger Virenschutz ist dieser DSL-Router deshalb nicht geeignet, auf den Client-PCs im Netz muss unbedingt ein Antivirenprogramm installiert sein. Wer auf ordentliche Virenprüfung am Gateway Wert legt, muss tiefer in die Tasche greifen und eine vollwertige Appliance ab etwa 200 Euro kaufen. Einen Test solcher Geräte finden Sie in Internet Professionell 4/2005 auf Seite 40.
Symantec und Billion gehen einen anderen Weg und verzichten ganz auf die Virenprüfung im Router. Dafür überwachen die Geräte Client-Software auf den PCs im LAN. Je nach Einstellung darf ein PC nur dann ins Netz, wenn Antivirenprogramm und Virensignaturen auf dem aktuellen Stand sind.
Für Profis
Firewalls mit Virenschutz
Bei den Profi-Funktionen kann vor allem die Gateway Security 360 von Symantec punkten. Mit zwei WAN-Ports für doppelte DSL-Anbindung und zusätzlich einer Modem/ISDN-Leitung als Ersatz ist sie besonders ausfallsicher. Und die Funktionen für Virtual Private Networks (VPN) erlauben eine Anpassung an fast beliebige Gegenstellen. Zyxel und Billion gehen zwar in dieselbe Richtung, reichen aber bei weitem nicht heran.
Auf den Heimbedarf zugeschnitten ist die Fritzbox Fon, die nur einen LAN-Port mitbringt. Dafür hat sie einen USB-Anschluss und zwei analoge Telefonbuchsen für Internet-Telefonie mit VoIP. Diese Ausstattungsunterschiede schlagen sich aber auch im niedrigeren Preis nieder.
Fazit
Firewalls mit Virenschutz
Das Fazit ist zwiespältig: Während die Firewalls aller DSL-Router gute Arbeit leisteten, ist der eingebaute Virenschutz des Zyxel-Geräts lückenhaft. Am besten gefallen den Testern die Lösungen von Billion und Symantec: Die Router überwachen die Antivirensoftware auf den Rechnern und lassen nur sichere Clients ins Internet. Während MyGuard 7500 GL eher auf Heimnetzwerke und kleine Firmen zielt, ist Gateway Security 360 eindeutig auf Firmenkunden ausgerichtet.
Billion MyGuard 7500 GL
Firewalls mit Virenschutz
Der DSL-Router von Billion überzeugt beim Funktionsumfang: vier LAN-Ports, DSL-Modem, eine serielle Schnittstelle und ein WLAN-Modul für 802.11g. Dazu kommt eine Reihe von LEDs am Gehäuse, die den Status aller Ports und eine bestehende Internetverbindung anzeigen. Pfiffig ist die E-Mail-LED: Der Router fragt eigenständig den eingetragenen POP3-Account ab. Bei neuer Post leuchtet die LED wie bei einem Anrufbeantworter.
Eigenwillig ist lediglich der Anschluss für die DSL-Leitung. Das Billion-Gerät hat keine der üblichen RJ45-Ethernet-Buchsen, sondern eine bei Telefonen übliche RJ11-Buchse. Für den DSL-Anschluss liegt ein extra Kabel bei, das von RJ11 auf einen RJ45-Stecker umsetzt. Die Web-Oberfläche ist eingängig und übersichtlich, an manchen Stellen sind aber Netzwerkkenntnisse nötig. Zwar helfen gelegentlich Assistenten, doch fehlt eine Online-Hilfe. Die Grundeinstellungen sollte Billion noch überarbeiten, die Firewall ist beispielsweise standardmäßig deaktiviert.
Die Firewall kann überzeugen, sie stellt mit ihren Funktionen sowohl Einsteiger als auch Semiprofis mit einer DMZ und detaillierten Regeln zufrieden. Das gilt auch für die VPN-Funktionen, die aber nicht die Klasse von Symantec erreichen.
Den Virenschutz lagert der Billion-Router zu den Clients aus. Direkt aus der Konfigurationsoberfläche lässt sich die aktuelle Fassung der Trend Micro Internet Security herunterladen und installieren. Dabei handelt es sich um vollwertiges Antivirenprogramm unter anderem mit Virenwächter, E-Mail-Prüfung und Desktop Firewall. Sind auf einem Client nicht die aktuelle Programmversion oder ältere Signaturen installiert, so verweigert der Router den Internetzugang. Gleiches gilt für den Content-Filter. Für 60 Tage sind die
Updates kostenlos, eine Verlängerung um ein Jahr ist mit 36,50 Euro recht günstig. Zusammengerechnet kostet die Lösung knapp 210 Euro.
Ein Haken ist, dass die Einstellungen zur Virenüberwachung und zum Content-Filter für individuelle PCs im LAN über die IP-Adresse erfolgen. Bekommen die Rechner aber die IP-Adressen per DHCP zugewiesen, ist das Ergebnis eher zufällig.
Fazit. Abgesehen von dem etwas eigenwilligen Anschluss für die DSL-Leitung überzeugt der Router von Billion sowohl beim Preis als auch in Konzept und Funktionsumfang.
Ranking: 74%
Hersteller: Billion
Internet: www.billion-germany.de
Preis: 175 Euro
Zyxel Prestige 662 HW
Firewalls mit Virenschutz
Neben dem DSL-Anschluss gibt es vier LAN-Ports und eine Modem- beziehungsweise ISDN-Leitung. Fällt DSL aus, kann der Router diese Wählleitung automatisch als Ersatz aktivieren. Das WLAN-Modul arbeitet mit 802.11b und g sowie WPA-Verschlüsselung. Ein LAN-Port lässt sich als DMZ mit direktem Zugriff aus dem Internet deklarieren. Vom restlichen LAN ist der Port dann durch vordefinierte Firewall-Regeln abgeschottet.
Die Konfiguration des Geräts ist durch die vielen verschachtelten Optionen unübersichtlich. Die Einrichtung des DSL-Zugangs mit dem Standardanbieter T-Online erweist sich im Test als größeres Problem. Trotz korrekt erkannter DSL-Leitung stellt der Router zunächst keine Internetverbindung her. Des Rätsels Lösung ergab sich nach längerer Web-Recherche mit Google: In der Konfiguration muss die Einstellung für VPI nicht 0, sondern 1 lauten. Danach arbeitete der Zyxel Prestige problemlos. Die Firewall funktionierte im Praxistest sehr gut, Securityspace meldet nur einen leichten Fehler bezüglich Traceroute.
In Zusammenarbeit mit Trend Micro hat Zyxel ein Antivirenmodul eingebaut. Nach der etwas umständlichen Freischaltung über eine Website untersucht der Virenscanner eingehende HTTP- und FTP-Datentransfers. E-Mails, welche über die Protokolle SMTP und POP3 gesendet und empfangen werden, prüft der Scanner entsprechend beim Versenden oder Abholen. Die Updates der Virensignaturen sind für ein Jahr inklusive, der Router holt sich diese dabei selbstständig maximal im Stundentakt.
Bei E-Mail-Viren funktioniert der Scanner im Prinzip gut. Aus den Mails wird ein infiziertes Attachment entfernt und ein Hinweis eingefügt. Allerdings arbeitet der Scanner dabei nicht ganz sauber, so dass die E-Mails dabei anschließend unleserliche Sonderzeichen enthalten.
Die HTTP- und FTP-Überwachung offenbart im Test dagegen deutliche Lücken: Einen Virus, der in E-Mails einwandfrei erkannt wird, können die Tester per FTP unbeanstandet übertragen sowie von einer Webseite herunterladen. Darüber hinaus kann der integrierte Scanner weder Archive noch laufzeitkomprimierte Programme untersuchen. Ebenso umgeht ein Download-Manager mit parallelen Downloads die Prüfung des Virenscanners.
Fazit. Als Router für Profis macht der Prestige 662 HW von Zyxel durchaus eine gute Figur. Die im Gerät integrierte Firewall kann überzeugen. Die löchrige Virenprüfung führt jedoch zur Abwertung.
Ranking: 71%
Hersteller: Zyxel
Internet: www.zyxel.de
Preis: 289 Euro
Symantec Gateway Security 360
Firewalls mit Virenschutz
Für professionelle Anwendungen ist Symantec Gateway Security 360 gedacht. Dafür sprechen neben der großzügigen Ausstattung mit zwei WAN/DSL-Ports auch die acht LAN-Anschlüsse. Die Verwaltung kann optional über SNMP erfolgen und sich so leichter in die Struktur eines größeren Netzwerks integrieren. Das ideale Einsatzgebiet sind Filialen, die an den Firmensitz angebunden sind. Die Updates für die Firmware kann der Router auf Wunsch selbstständig laden und installieren.
Ein integriertes DSL-Modem besitzt der Router nicht, er ist dadurch aber offen für beliebige Internetverbindungen, die sich per Ethernet anschließen lassen. Der zweite WAN-Port kann sowohl zur Lastverteilung als auch als Backup dienen. Über die serielle Schnittstelle kann auch ein Modem oder ISDN-Adapter diese Aufgabe übernehmen. Optional gibt es für etwa 130 Euro eine WLAN-Steckkarte, die aber leider keine WPA-Verschlüsselung unterstützt. Die Firewall-Prüfung mit Securityspace besteht der Router wie die anderen Geräte im Test mit Bravour, lediglich das erlaubte Traceroute bemängelt der Prüfdienst als leichten Fehler.
Die Web-Oberfläche ist trotz der vielen Optionen übersichtlich. Fehleingaben meldet der Router mit dazu passenden Korrekturhinweisen. Die Einrichtung eines DSL-Providers gelingt schnell, sofern man die richtigen Fachbegriffe kennt. Die Firewall lässt sich auf vielfältige Weise konfigurieren, eine DMZ kann an einem beliebigen LAN-Port eingerichtet werden. Allerdings sind auch hier gute Netzwerkkenntnisse erforderlich, um korrekte Einstellung zu gewährleisten. Einen Schwerpunkt bilden die VPN-Features, die die anderen Geräte im Test weit hinter sich lassen.
Der Router selbst nimmt keine Virenprüfung vor, unterstützt den Administrator aber bei der Überwachung von Symantec-Virensoftware auf den Clients. Je nach Einstellung dürfen nur solche Clients ins Internet, die mit aktuellen Virenprogrammen und -signaturen ausgerüstet sind. Entsprechend gibt es den Router auch im Bundle mit der Software Symantec Client Security. Diese bietet neben dem Virenschutz auch eine Firewall für Desktop-PCs.
Fazit. Mit seinen VPN- und Netzwerkfähigkeiten ist das Gerät für den Firmeneinsatz prädestiniert, vor allem zur sicheren Anbindung externer Abteilungen.
Ranking: 70%
Hersteller: Symantec
Internet: www.symantec.de
Preis: 550 Euro
Fritzbox Fon
Firewalls mit Virenschutz
Die Fritzbox Fon ist eine Komplettlösung vor allem für Heimanwender, die mit einem oder zwei PCs ins Internet gehen und auch VoIP nutzen wollen. Das zeigt schon die Hardware-Ausstattung mit nur einer LAN-Schnittstelle. Einen zweiten PC oder ein Notebook kann man per USB oder Switch beziehungsweise Hub anschließen. Dafür gibt es zwei analoge Telefonbuchsen für handelsübliche Apparate. Für die Verbindung zum normalen Telefonnetz gibt es eine Buchse, die entweder ISDN oder einen analogen Anschluss entgegennimmt. Die Fritzbox Fon arbeitet wahlweise als DSL-Router oder als einfaches DSL-Modem, das zusätzliche Einwahl-Software auf dem PC voraussetzt.
Die Installation gestaltet sich einfach, ein Assistent hilft bei den Grundeinstellungen und der Eingabe der DSL-Parameter. Besonders die Vorgabe bekannter DSL-Provider wie 1&1, AOL oder T-Online mit voreingestellten Parametern verhindert Fehleingaben. Die Konfiguration erfolgt über eine attraktiv gestaltete Web-Oberfläche, die aber nicht viele Optionen anbietet.
So lassen sich zwar Regeln definieren, um IP-Pakete für bestimmte Ports an interne Adressen weiterzuleiten. Regeln für externe IP-Adressen oder bestimmte Protokolle wie HTTP fehlen aber. Konsequenterweise gibt es auch keine DMZ oder Unterstützung für DynDNS. Eine Virenabwehr fehlt ebenso wie VPN-Kanäle und eine Benutzerverwaltung für individuelle Einstellungen. Die Firewall selbst erledigt die Aufgabe sehr gut, Securityspace merkt nur an, dass sich Traceroute durchführen lässt.
Das Highlight des Geräts ist die VoIP-Funktion kombiniert mit einer normalen Telefonanlage. Über zwei Buchsen lassen sich normale Telefone mit RJ11-Stecker anschließen. Eine d
ritte Buchse sorgt analog oder per ISDN für die Verbindung zum normalen Telefonnetz. Es lassen sich die SIP-Benutzerdaten für zwei unabhängige VoIP-Provider eintragen hier wären mehr wünschenswert. An welchem Telefon eingehende VoIP- oder normale Gespräche klingeln, ist einstellbar. Ebenso ist wählbar, ob ausgehende Gespräche bevorzugt per VoIP oder das normale Telefonnetz erfolgen. Wahlregeln erlauben die Auswahl anhand der gewählten Rufnummer.
Fazit. Der VoIP-Router von AVM setzt vor allem auf einfachste Bedienung. Die Firewall ist zwar sicher, kann aber bei den Einstellungen im Vergleich zur Konkurrenz im Testfeld nicht überzeugen.
Außer Konkurrenz
Hersteller: AVM
Internet: www.avm.de
Preis: 159 Euro
Empfehlung der Redaktion
Firewalls mit Virenschutz
MyGuard 7500 GL
Der DSL-Router von Billion vereint eine gute Ausstattung, umfangreiche Funktionen und trotzdem einfache Bedienung in einem Gerät.
Der Virenschutz ist auf die Clients ausgelagert, der Router übernimmt nur die Überwachung auf aktuelle Virensignaturen und blockiert gegebenenfalls den Internetzugang. Zum Gerätepreis ist noch die Lizenzgebühr von 36,50 Euro pro Jahr für das Antivirenprogramm Trend Micro Internet Security zu addieren.