Sicherer WLAN-Router für kleine Unternehmen: Netgear Prosafe DGFV338

Netgears neuestes Netzwerkprodukt integriert praktisch alle Merkmale, die in dieser Kategorie zur Auswahl steht. Der DGFV338 ist damit ein ideales Produkt für kleine Unternehmen, die ein leicht handhabbares Kompaktgerät suchen. Es gibt kaum etwas, das diese komplette und obendrein bezahlbare Lösung nicht bietet.

Der Prosafe DGFV338 ist für den Unternehmenseinsatz entwickelt – Netgear bietet aber auch ein attraktives Privatanwendergerät mit weniger Optionen an. Er vereinigt sechs zentrale Funktionen in einem einzigen kompakten Gehäuse: eine Stateful-Packet-Inspection-Firewall (SPI), einen 802.11g-Wireless-Access-Point, IPSec-Virtual-Private-Network (VPN), einen NAT-Router, einen 8-Port-10/100-Fast-Ethernet-Switch sowie ein eingebautes ADSL2+-Modem.

Der DGFV338 ist leicht zu supporten und extrem zuverlässig. In den Tests reißt nur äußerst selten eine Wireless-Verbindung ab. Er bietet Ethernet-Verbindungen mit einem Datendurchsatz von 10 MBit/s und 100 MBit/s für kabelgebundene Geräte. Gigabit-Ethernet ist leider nicht möglich. Dafür liefern die Wireless-Standards 802.11b/g (2,4 GHz) Datentransferraten von bis zu 108 MBit/s. Draft-N wird ebenfalls nicht unterstützt. Das dürfte Unternehmenskunden aufgrund der Unausgereiftheit des Standards gegenwärtig nicht sonderlich stören.

Der Prosafe DGFV338 ist nicht nur ein einfacher NAT-Router. Er garantiert auch Business-Class-Sicherheit und versperrt unerwünschten Besuchern den Zugriff auf das LAN. Die Unterstützung von Wi-Fi-Protected Access 2 Enterprise (WPA2) schützt kabellose Verbindungen auf dem höchsten derzeit verfügbaren Industriestandard der Verschlüsselungs- und Authentifizierungs-Technologie. Umfassende Kontrollen sperren oder filtern unerwünschte Adressen, Dienste, Protokolle und URLs. Bis zu 50 simultane IPSec-VPN-Tunnel sichern Verbindungen mit anderen Unternehmensstandorten. Der gesamte Traffic, der über das Internet läuft, wird dabei verschlüsselt. Diese Art von Sicherheit unterscheidet den DGFV338 von herkömmlichen Wireless-Routern.

Auch als ideale Lösung für Telearbeiter und Außenstellen kann sich der DGFV338 sehen lassen. Er ist leicht zu konfigurieren und zu benutzen. Dank Netgears Smart-Wizard (VPN-Wizard) gibt es kaum Probleme mit dem Zugang zu Internetprovidern und beim Einrichten von VPN-Verbindungen. Wie bei jedem Breitband-Modem muss man natürlich die Zugangsdaten für den Internetprovider zur Hand haben. Er bietet auch vielfältige Vorteile für eine zentrale Verwaltung von Außenstellen, Telearbeitsplätzen und kleinen Unternehmen. Dynamisches DNS erleichtert die Nutzung von Fernzugang, Kameras, Spielen und anderen gehosteten Diensten für Benutzer mit wechselnden IP-Adressen. Der DGFV338 unterstützt auch ADSL2+. Darüber hinaus kann er mit einem Ethernet-WAN-Port zur Ausfallsicherung über Nicht-ADSL-Verbindungen aufwarten.

Sicherheit ist ein wichtiges Thema für jedes Unternehmen. Da ist es beruhigend, dass der DGFV338 einer der sichersten Breitbandrouter ist, den ZDNet je getestet hat. Er bietet ein Intrusion-Detection-System (IDS) mit Stateful-Packet-Inspection (SPI), Protokollierung, Bericht und E-Mail-Benachrichtigungen. Ebenso enthalten sind Adress-, Dienst- und Protokoll-, URL-Stichwort-Filterung sowie Port-Dienst-Sperrung. Weitere Optionen sind die Sperrung von Java-,URL- und ActiveX-basierten Erweiterungen und eine FTP-,SMTP-,RPC-Programmfilterung.

Die VPN-Funktionalität enthält auch manuelle Schlüssel und IKE-SA-Zuweisung (Internet Key Exchange Security Association) mit Pre-shared Key und RSA-DSA-Signaturen. Ebenso einstellbar sind Schlüssel- und IKE-Lebensdauer, Perfect-Forward-Secrecy (Diffie-Hellman-Gruppen 1 und 2 sowie Oakley-Unterstützung), verschiedene Betriebsarten (normal, aggressiv, schnell) und eine FQDN-Unterstützung (Fully Qualified Domain Name) für VPN-Verbindungen mit dynamischen IP-Adressen.

IPSec umfasst eine IPSec-basierte Verschlüsselung mit 56 Bit (DES), 168 Bit (3DES) oder 256 Bit (AES), einen MD5- oder SHA-1-Hashing-Algorithmus, AH/AH-ESP- Unterstützung, PKI-Funktionen mit nach X.509 v.3 zertifizierter Unterstützung, VPN für Fernzugang (Client-to-Site), Site-to-Site-VPN sowie IPSec-NAT-Traversal (VPN-Pass-Through). Die Betriebsarten erlauben One-to-One oder Many-to-One Multi-Network-Address-Translation (NAT), klassisches Routing und eine unbegrenzte Anzahl von Benutzern je Port. Die IP-Adresszuweisung bietet statische IP-Adresszuweisung, DHCP-Wiederholung und DHCP-Adressreservierung.

Der Router stellt umfassende Verwaltungsfunktionen bereit. Netzwerkverwalter können somit genau sehen, was mit dem Gerät los ist. Die webbasierte Administrationsoberfläche unterstützt SNMP (v2c), Fernmanagement über Secure-Sockets-Layer (SSL), benutzernamen- und passwortgestützte Sicherheit sowie die Unterstützung für ein sicheres Fernmanagement, das durch die IP-Adresse oder den IP-Adressbereich und eine Passwort-Authentifizierung gesichert ist. Die Konfiguration sowie das Upgrade werden über die Oberfläche vorgenommen. Über sie kann man Konfigurationseinstellungen herunter- und hochladen sowie die Firmware flashen.

Der VPN-Wizard erleichtert die Konfiguration des VPN. Er ermöglicht die Einstellungen von Port-Range-Forwarding, Port-Triggering, Exposed-Host (DMZ), DNS-Proxy, die WAN-Ping-Aktivierung beziehungsweise -Deaktivierung sowie MAC-Address-Cloning beziehungsweise -Spoofing. Desgleichen gewährt er eine Unterstützung von Network-Time-Protocol, Keyword-Content-Filtering, E-Mail-Benachrichtigungen, Verwaltung des DHCP-Servers (Info- und Display-Tabelle) sowie das Spielen mit Diagnose-Tools (Ping, Trace Route). Weitere unterstützte Protokolle sind PPP-over-Ethernet (PPPoE) und PPP-over-ATM (PPPoA).

Zur Verteidigung gegen Angriffe wird Stateful Packet Inspection eingesetzt. Ihr DoS-Schutz gewährleistet die automatische Entdeckung und Abwehr von DoS-Attacken wie Ping-of-Death, SYN-Flood, LAND-Attack und IP-Spoofing. Zusätzliche Firewall-Funktionen blockieren unerwünschten Traffic aus dem Internet ins LAN. Auch umgekehrt ist eine Sperrung des Zugriffs aus dem LAN auf Internet-Standorte oder Dienste, die als Off-Limits markiert sind, möglich. Darüber hinaus protokolliert die Firewall sicherheitsrelevante Vorkommnisse, zum Beispiel die Sperrung eingehenden Traffics, potenzielle Attacken und Administrator-Logins. Man kann sie so konfigurieren, dass die Protokolle in bestimmten Abständen per E-Mail zugesendet werden. Die Benachrichtigungsoptionen lassen sich aber auch so einstellen, dass umgehend E-Mail-Benachrichtigungen an die E-Mail-Adresse oder an den E-Mail-Pager geschickt werden, wenn ein wichtiges Ereignis eintritt. Solche Verwaltungsmöglichkeiten sind einfach bei keinem anderen Produkt in dieser Preisklasse zu finden.