Test

Turris Omnia im Test: Viel Offen­heit für mehr Netz­werk-Sicher­heit

Internet­router fallen immer wieder durch schlechte Sicher­heit negativ auf. Aus der tschechischen Republik kommt jetzt ein Gerät, dass es in vielen Punkten besser machen will als die Konkurrenz. Wir haben uns das Gerät in der Praxis angeschaut.
Von Jan Rähm
AAA
Teilen (15)

Internet­router gibt es wie Sand am Meer. Doch die kleinen Kisten, die daheim oder im Büro die Ver­bindung ins Inter­net her­stellen, sorgen immer wieder für Auf­sehen. Zuletzt vor wenigen Tagen. Speed­ports der Telekom waren mutmaßlich unbeabsichtigt zum Ziel eines groß angelegten Hacker-Angriffs geworden. Doch weil auch die Angreifer schlampten, schlug der Angriff fehl. Ergebnis: Rund 900 000 Kunden der Telekom waren stunden-, teils tage­lang offline. Mehr Sicher­heit hätte den Speed­ports gut gestanden.

Sicher­heit von Anfang an stand bei der per Crowd­funding finanzierten Ent­wicklung des Turris Omnia im Fokus. Der Internet­router versucht seine An­wender mit zahl­reichen Features zu schützen. Entwickelt wurde er von einem Team der cz.nic. Die Organisation ist vergleich­bar mit der Denic: Sie ist der Top-Level-Registrar zuständig für die entsprechende Länder­domain. Entsprechend verwaltet cz.nic die tschechische Domain .cz. Damit nicht genug: Das Non-Profit-Unter­nehmen ist auch in Forschung und Ent­wicklung aktiv. So analysiert die cz.nic Störungen und Angriffe in und auf Netzen. Die Erkenntnisse daraus nutzt die Organisation für eine verteilte Fire­wall, die auch die Nutzer des Turris Omina schützen soll.

Der Turris Omnia kann seit dem Ende des Crowd­funding regulär vor­bestellt werden. Interessenten können zwischen zwei Varianten wählen. Beide unterscheiden sich in ihrem Arbeits­speicher­ausbau. Für 289 Euro gibt es den Router mit einem Gigabyte RAM, für 329 Euro mit der doppelten Kapazität.

Potente Hardware, schlichte Optik

Der WLAN-Router Turris OmniaFeine Hardware in schlichter Optik: Der Turris Omnia eignet sich vor allem für den Einsatz im semiprofesionellen Umfeld und bei anspruchsvollen Anwendern Unter der Haube ist der Turris Omnia potent aus­gestattet. Herz der Maschine ist eine 1,6 GHz ARM-CPU mit zwei Rechen­kernen. Ab Werk sind acht Gigabyte dauer­hafter SSD-Speicher dabei. Dank dreier MiniPCIExpress-Steck­plätze, von denen einer auch das SATA-Protokoll unterstützt, lässt sich der Fest­platten­speicher mit SSD-Blades erweitern. Bei Aus­lieferung stecken in zwei der drei Plätze je ein WLAN-b/g/n- und ein WLAN-ac-Modul. Alternativ können neben Speicher­medien auch andere Module wie beispiels­weise ein LTE-Modem oder andere WIFI-Module ein­gesteckt werden. Für den Einsatz von Mobil­funk­modulen ist der Router mit einem SIM-Karten-Ein­schub auf dem Main­board vor­bereitet.

Optisch präsentiert sich der Turris Omnia ziemlich nüchtern. Die Technik steckt in einem schnörkel­losen Metall­gehäuse, ähnlich wie es bei anderer professioneller oder semi-professioneller Netz­werk­technik üblich ist. An der Front leuchten 12 LEDs und geben Aus­kunft über den aktuellen Betriebs­zustand. Mit einem Schalter auf der rechten Gehäuse­seite kann der Besitzer schlicht und einfach gelöst per Taster die Hellig­keit der LEDs regeln. Kleines Schmankerl: Nicht nur die Leucht­intensität lässt sich regulieren, über die Soft­ware kann der An­wender auch die Farbe der LEDs anpassen. Neben den LEDs auf der linken Seite der Front wartet eine von zwei USB-3-Schnitt­stellen auf ihren Ein­satz.

Der WLAN-Router Turris Omnia geöffnetAlles für Vernetzung: Die Schnittstellenvielfalt lässt fast keine Wünsche offen. Jedoch wurde Telekommunikationsausstattung verzichtet Die Rück­seite des Routers dominieren die drei WLAN-Antennen, die der Nutzer je nach geplantem Ein­satz leicht wechseln kann. Beim Blick auf die An­schlüsse über­rascht der sogenannte SFP-Port. Dieser nimmt verschiedene Module zur Ver­netzung auf und ist in Geräten dieser Preis­klasse eher selten anzu­treffen. Über die SFP-Schnitt­stelle kann der An­wender den Router beispiels­weise per Glas­faser ans Internet anschließen oder in interne Netz­werke einbinden. Alternativ nimmt der Port auch Modems für VDSL oder andere Technologien auf. Wer bereits ein Breit­band-Modem einsetzt, verbindet es über die Giga­bit-fähige WAN-Schnitt­stelle und Netzwerk­kabel mit dem Turris Omnia. Komplettiert wird die Schnitt­stellen­vielfalt mit fünf Gigabit-Netz­werk-Buchsen und dem zweiten USB-3-Anschluss.

Router ist offen für selbst­gewählte Linux-Distribution

Die Soft­ware des Routers basiert auf dem Quell-offenen Router-Betriebs­system OpenWRT. Auch die Technik ist fast lücken­los dokumentiert und beschrieben. Damit liegen sowohl Hard- als auch Soft­ware nahezu komplett offen. So können Nutzer beispiels­weise die verteilte Fire­wall im Quell­code über­prüfen oder, wenn sie über ent­sprechende Fähig­keiten verfügen, den Router auch komplett nach­bauen. Dieser Fall wird eher seltener vor­kommen. Schon deutlich häufiger werden An­wender Hand an die Soft­ware legen. Sie können das installierte System erweitern und umbauen oder die Soft­ware gleich ganz durch ein anderes Linux ersetzen. Denkbar sind beispiels­weise Netzwerk-Speicher­systeme (NAS) oder kleine Heim­server - sowohl Out of the Box mit der vor­installierten Soft­ware oder auf Basis einer selbst­gewählten Linux-Distribution.

Viel Mühe für mehr Sicherheit

Die Benutzeroberfläche des WLAN-Routers Turris OmniaVerteilte Sicherheit: Mit einer verteilten Firewall will die cz.nic die Nutzer des Turris Omnia besonders gut vor Angriffen von außen schützen Die bereits an­gesprochene ver­teilte Fire­wall ist eines der heraus­ragenden Allein­stellungs­merkmale des Routers. Sie soll den Nutzer auch vor An­griffen schützen, die ganz neu auf­kommen. Diese Attacken will die cz.nic erkennen, analysieren und aus den Erkennt­nissen schnellst­möglich Gegen­strategien ent­wickeln, die dann an die Geräte der Kunden über­tragen werden. Dazu wird der Daten­verkehr zwischen Kunde und Inter­net gesammelt, erklärt Turris-Entwicklungs­leiter Bedrich Kosata von der Domain-Registrierung cz.nic: "Da­durch, dass wir den Ver­kehr vieler für uns anonymer Kunden kennen, haben wir eine große Daten­basis, die wiederum den Kunden zu Gute kommt." Die Daten werden auf un­gewöhn­liches Ver­halten analysiert. Wird verdächtiges oder auf­fälliges Ver­halten im Daten­verkehr erkannt, werden die Kunden gewarnt, so Beda Kosata. Und weiter: "Im Aus­lieferungs­zustand ist die Fire­wall de­aktiviert. Der Kunde muss sie erst ein­schalten." So wolle man den An­wendern überlassen, ob sie ihren Daten­verkehr analysiert haben möchten. Darüber hinaus nutze die cz.nic die gesammelten Daten auch aus­schließ­lich zur Analyse des Ver­kehrs und unter­liege dabei sehr strengen Regeln zum Daten­schutz. Das soll für Vertrauen sorgen.

Zu den weiteren Sicher­heits­maß­nahmen gehört die automatische Update-Funktion. Direkt bei der Ein­richtung fragt der Router den An­wender, ob er die Funktion nutzen will. Wer seine Soft­ware lieber gut ab­gehangen mag, kann auf den Auto-Updater auch ver­zichten. Angesichts der jüngsten IT-Sicherheits­vorfälle ist das aber nur bedingt empfehlens­wert. Für durch­dachte Sicher­heit beim Turris Omnia spricht auch, dass beispiels­weise ab Werk keine Ports in Richtung Internet offen sind. Komfort­funktionen wie Universal Plug and Play (UPnP) sind de­aktiviert. Das WLAN wird erst im Rahmen der Erst­ein­richtung aktiviert. Jegliche Zugangs­daten muss der An­wender während der geführten In­betrieb­nahme selbst setzen. So umgehen die Planer des Turris Omnia ein Problem, das viele andere Router lange Zeit hatten: Die Zugangs­daten waren alle gleich oder leicht zu erraten.

Einrichtung ist schnell und einfach

Die Ein­richtung des Turris Omnia ist schnell erledigt. Erst das Gerät mit Energie ver­sorgen und dann die WAN-Schnitt­stelle per Kabel mit einem Modem ver­binden. Für den Anfang muss auch der eigene Rechner eben­falls per Netz­werk­kabel an eine der fünf Ether­net-Ports an­ge­schlossen werden. Wenn man an­schließend das Web­interface des Routers auf­ruft, landet man auf der Start­seite des simplen aber durchaus effektiv gestalteten Einrichtungs­dialogs, der den Nutzer in zehn Schritten durch die In­betrieb­nahme leitet. Dabei werden auch alle Zugangs­daten initial gesetzt und das WLAN (gut abgesichert) in Be­trieb genommen. Dabei ist den Program­mierern ein kleiner Fehler unterlaufen. Der Turris Omnia zeigt auch die WLAN-Kanäle ober­halb von Kanal 128 an, die hier­zu­lande nicht für den WLAN-Betrieb im 5-GHz-Netz zu­gelassen sind. Folglich findet das Note­book das frisch ein­gerichtete Netz nicht, wenn es in den in Deutsch­land nicht zu­gelassenen Kanälen funkt.

Die Benutzeroberfläche des WLAN-Routers Turris OmniaDas erste Webinterface: Sehr schlicht und selbsterklärend finden sich Anwender in der einfachen Weboberfläche gut zurecht. Dafür fehlen viele Optionen Der gesamte Ein­richtungs­vorgang dauert nur wenige Minuten. Wenn viele Up­dates geladen werden müssen, braucht es eventuell ein wenig länger, ganz wie die Band­breite des eigenen Inter­net­anschluss es zu­lässt. An­schließend gelangt der An­wender in das einfache Web­interface, in dem er nur rudi­mentäre Einstellungen vor­nehmen kann. Diese reichen für den all­gemeinen Betrieb, lassen jedoch wichtige Funktionen wie Web­speicher (NAS) aus. Positiv ist: alle Optionen sind gut und ver­ständlich be­schrieben. Die deutsche Lokalisierung zeigt nur kleinere Schwächen. Uns gefällt jedoch nicht, dass dieser Teil des Web­interfaces dermaßen rudi­mentär aus­gelegt ist.

Die Benutzeroberfläche des WLAN-Routers Turris OmniaDie Expertenansicht: Im erweiterten Webinterface lassen sich nahezu alle denkbaren Optionen ändern - dafür jedoch braucht der Anwender profundes Wissen über das System wie hier in der Freigabe-Maske für Netzlaufwerke Im er­weiterten Bereich sieht das schon ganz anders aus. Der ist eben­falls optisch an­sprechend ge­staltet und gut ge­gliedert. Jedoch verlangen die einzelnen Optionen um­fassendes Fach­wissen. Der Nutzer kann, sofern er denn weiß, was er tut, theoretisch jeden Aspekt des Routers und der Soft­ware be­einflussen - weit über das Maß dessen hinaus, was selbst ein anspruchs­voller Heim­anwender oder kleinere Büros benötigen. Zwar finden wir diesen Um­stand durch­aus positiv und wünschens­wert, dennoch wäre es schön gewesen, auch die Ebene zwischen rudi­mentär und extrem komplex zu bedienen, wie man es beispiels­weise vom erweiterten Inter­face der FRITZ!Boxen von AVM kennt.

Performance: Im Büro erreichten wir bis zu 850 MBit/s

Hardware-seitig haben wir uns der WLAN-Performance in der Realität gewidmet. Nicht unter Laborbedingungen sondern im Büro erreichten wir per Luftschnittstelle in Spitzen deutlich über 800 MBit/s Netto-Datenrate. Dieser Wert ist sehr nah am maximal möglichen Durchsatz von 802.11ac, das - wohlgemerkt brutto - bis zu 1300 MBit/s ermöglicht. Damit positioniert sich der Router in der Spitzengruppe aktueller AC Access Points mit drei Antennen.

Der Turris Omnia hat aller­dings auch richtige Schatten­seiten. Am augen­fälligsten ist der Preis. Mit 289 Euro respektive 329 Euro positioniert sich der Router im oberen Mittel­feld. Trotz des hohen Preises nicht enthalten sind Schnitt­stellen für analoge oder ISDN-Telefone. Dafür braucht der An­wender dann ent­sprechende zusätzliche Hard­ware. Eine Telefon­zentrale in Software ist ebenfalls nicht Bestand­teil, lässt sich mit etwas Software-Wissen eventuell nach­rüsten. Dass dieser Teil an Kommunikations­schnitt­stellen sowohl in Hard- als auch Soft­ware fehlt, dürfte vor allem jenen potentiellen An­wendern übel auf­stoßen, die bereits einen All-IP-Anschluss nutzen, bei dem die Telefonie komplett IP-basiert abgewickelt wird.

Fazit

Der Turris Omnia ist ein exzellentes Stück Hard­ware. Sowohl Ver­arbeitung als auch das zugrunde liegende Konzept an Offen­heit bieten keine Angriffs­punkte für Kritik. Die Update-Funktion macht einen guten Ein­druck und an­gesichts der Organisation hinter dem Turris-Omnia-Projekt, dürfen User auch auf eine lange Zeit des Supports hoffen. Die verteilte Fire­wall muss im Lang­zeit­test zeigen, was sie kann. Wer sich nicht wohl fühlt bei dem Gedanken, dass seine Daten analysiert werden, muss diese Option nicht aktivieren und kann der integrierten Fire­wall vertrauen und diese - entsprechendes Fach­wissen voraus­gesetzt - sehr fein konfigurieren. Dass jedoch eine klare und trotzdem halb­wegs umfang­reiche Konfigurations­oberfläche für Nicht-Linux-Experten fehlt, ist un­verständlich.

Teilen (15)

Mehr zum Thema Router