Turris Omnia im Test: Viel Offenheit für mehr Netzwerk-Sicherheit
Feine Hardware in schlichter Optik: Der Turris Omnia eignet sich vor allem für den Einsatz im semiprofesionellen Umfeld und bei anspruchsvollen Anwendern
Bild: cz.nic
Internetrouter gibt es wie Sand am Meer. Doch die kleinen Kisten, die daheim oder im Büro die Verbindung ins Internet herstellen, sorgen immer wieder für Aufsehen. Zuletzt vor wenigen Tagen. Speedports der Telekom waren mutmaßlich unbeabsichtigt zum Ziel eines groß angelegten Hacker-Angriffs geworden. Doch weil auch die Angreifer schlampten, schlug der Angriff fehl. Ergebnis: Rund 900 000 Kunden der Telekom waren stunden-, teils tagelang offline. Mehr Sicherheit hätte den Speedports gut gestanden.
Sicherheit von Anfang an stand bei der per Crowdfunding finanzierten Entwicklung des Turris Omnia im Fokus. Der Internetrouter versucht seine Anwender mit zahlreichen Features zu schützen. Entwickelt wurde er von einem Team der cz.nic. Die Organisation ist vergleichbar mit der Denic: Sie ist der Top-Level-Registrar zuständig für die entsprechende Länderdomain. Entsprechend verwaltet cz.nic die tschechische Domain .cz. Damit nicht genug: Das Non-Profit-Unternehmen ist auch in Forschung und Entwicklung aktiv. So analysiert die cz.nic Störungen und Angriffe in und auf Netzen. Die Erkenntnisse daraus nutzt die Organisation für eine verteilte Firewall, die auch die Nutzer des Turris Omina schützen soll.
Der Turris Omnia kann seit dem Ende des Crowdfunding regulär vorbestellt werden. Interessenten können zwischen zwei Varianten wählen. Beide unterscheiden sich in ihrem Arbeitsspeicherausbau. Für 289 Euro gibt es den Router mit einem Gigabyte RAM, für 329 Euro mit der doppelten Kapazität.
Potente Hardware, schlichte Optik
Feine Hardware in schlichter Optik: Der Turris Omnia eignet sich vor allem für den Einsatz im semiprofesionellen Umfeld und bei anspruchsvollen Anwendern
Bild: cz.nic
Unter der Haube ist der Turris Omnia potent ausgestattet. Herz der Maschine ist eine 1,6 GHz ARM-CPU mit zwei Rechenkernen. Ab Werk sind acht Gigabyte dauerhafter SSD-Speicher dabei. Dank dreier MiniPCIExpress-Steckplätze, von denen einer auch das SATA-Protokoll unterstützt, lässt sich der Festplattenspeicher mit SSD-Blades erweitern. Bei Auslieferung stecken in zwei der drei Plätze je ein WLAN-b/g/n- und ein WLAN-ac-Modul. Alternativ können neben Speichermedien auch andere Module wie beispielsweise ein LTE-Modem oder andere WIFI-Module eingesteckt werden. Für den Einsatz von Mobilfunkmodulen ist der Router mit einem SIM-Karten-Einschub auf dem Mainboard vorbereitet.
Optisch präsentiert sich der Turris Omnia ziemlich nüchtern. Die Technik steckt in einem schnörkellosen Metallgehäuse, ähnlich wie es bei anderer professioneller oder semi-professioneller Netzwerktechnik üblich ist. An der Front leuchten 12 LEDs und geben Auskunft über den aktuellen Betriebszustand. Mit einem Schalter auf der rechten Gehäuseseite kann der Besitzer schlicht und einfach gelöst per Taster die Helligkeit der LEDs regeln. Kleines Schmankerl: Nicht nur die Leuchtintensität lässt sich regulieren, über die Software kann der Anwender auch die Farbe der LEDs anpassen. Neben den LEDs auf der linken Seite der Front wartet eine von zwei USB-3-Schnittstellen auf ihren Einsatz.
Alles für Vernetzung: Die Schnittstellenvielfalt lässt fast keine Wünsche offen. Jedoch wurde Telekommunikationsausstattung verzichtet
Bild: cz.nic
Die Rückseite des Routers dominieren die drei WLAN-Antennen, die der Nutzer je nach geplantem Einsatz leicht wechseln kann. Beim Blick auf die Anschlüsse überrascht der sogenannte SFP-Port. Dieser nimmt verschiedene Module zur Vernetzung auf und ist in Geräten dieser Preisklasse eher selten anzutreffen. Über die SFP-Schnittstelle kann der Anwender den Router beispielsweise per Glasfaser ans Internet anschließen oder in interne Netzwerke einbinden. Alternativ nimmt der Port auch Modems für VDSL oder andere Technologien auf. Wer bereits ein Breitband-Modem einsetzt, verbindet es über die Gigabit-fähige WAN-Schnittstelle und Netzwerkkabel mit dem Turris Omnia. Komplettiert wird die Schnittstellenvielfalt mit fünf Gigabit-Netzwerk-Buchsen und dem zweiten USB-3-Anschluss.
Router ist offen für selbstgewählte Linux-Distribution
Die Software des Routers basiert auf dem Quell-offenen Router-Betriebssystem OpenWRT. Auch die Technik ist fast lückenlos dokumentiert und beschrieben. Damit liegen sowohl Hard- als auch Software nahezu komplett offen. So können Nutzer beispielsweise die verteilte Firewall im Quellcode überprüfen oder, wenn sie über entsprechende Fähigkeiten verfügen, den Router auch komplett nachbauen. Dieser Fall wird eher seltener vorkommen. Schon deutlich häufiger werden Anwender Hand an die Software legen. Sie können das installierte System erweitern und umbauen oder die Software gleich ganz durch ein anderes Linux ersetzen. Denkbar sind beispielsweise Netzwerk-Speichersysteme (NAS) oder kleine Heimserver - sowohl Out of the Box mit der vorinstallierten Software oder auf Basis einer selbstgewählten Linux-Distribution.
Viel Mühe für mehr Sicherheit
Verteilte Sicherheit: Mit einer verteilten Firewall will die cz.nic die Nutzer des Turris Omnia besonders gut vor Angriffen von außen schützen
Bild: cz.nic
Die bereits angesprochene verteilte Firewall ist eines der herausragenden Alleinstellungsmerkmale des Routers. Sie soll den Nutzer auch vor Angriffen schützen, die ganz neu aufkommen. Diese Attacken will die cz.nic erkennen, analysieren und aus den Erkenntnissen schnellstmöglich Gegenstrategien entwickeln, die dann an die Geräte der Kunden übertragen werden. Dazu wird der Datenverkehr zwischen Kunde und Internet gesammelt, erklärt Turris-Entwicklungsleiter Bedrich Kosata von der Domain-Registrierung cz.nic: "Dadurch, dass wir den Verkehr vieler für uns anonymer Kunden kennen, haben wir eine große Datenbasis, die wiederum den Kunden zu Gute kommt." Die Daten werden auf ungewöhnliches Verhalten analysiert. Wird verdächtiges oder auffälliges Verhalten im Datenverkehr erkannt, werden die Kunden gewarnt, so Beda Kosata. Und weiter: "Im Auslieferungszustand ist die Firewall deaktiviert. Der Kunde muss sie erst einschalten." So wolle man den Anwendern überlassen, ob sie ihren Datenverkehr analysiert haben möchten. Darüber hinaus nutze die cz.nic die gesammelten Daten auch ausschließlich zur Analyse des Verkehrs und unterliege dabei sehr strengen Regeln zum Datenschutz. Das soll für Vertrauen sorgen.
Zu den weiteren Sicherheitsmaßnahmen gehört die automatische Update-Funktion. Direkt bei der Einrichtung fragt der Router den Anwender, ob er die Funktion nutzen will. Wer seine Software lieber gut abgehangen mag, kann auf den Auto-Updater auch verzichten. Angesichts der jüngsten IT-Sicherheitsvorfälle ist das aber nur bedingt empfehlenswert. Für durchdachte Sicherheit beim Turris Omnia spricht auch, dass beispielsweise ab Werk keine Ports in Richtung Internet offen sind. Komfortfunktionen wie Universal Plug and Play (UPnP) sind deaktiviert. Das WLAN wird erst im Rahmen der Ersteinrichtung aktiviert. Jegliche Zugangsdaten muss der Anwender während der geführten Inbetriebnahme selbst setzen. So umgehen die Planer des Turris Omnia ein Problem, das viele andere Router lange Zeit hatten: Die Zugangsdaten waren alle gleich oder leicht zu erraten.
Einrichtung ist schnell und einfach
Die Einrichtung des Turris Omnia ist schnell erledigt. Erst das Gerät mit Energie versorgen und dann die WAN-Schnittstelle per Kabel mit einem Modem verbinden. Für den Anfang muss auch der eigene Rechner ebenfalls per Netzwerkkabel an eine der fünf Ethernet-Ports angeschlossen werden. Wenn man anschließend das Webinterface des Routers aufruft, landet man auf der Startseite des simplen aber durchaus effektiv gestalteten Einrichtungsdialogs, der den Nutzer in zehn Schritten durch die Inbetriebnahme leitet. Dabei werden auch alle Zugangsdaten initial gesetzt und das WLAN (gut abgesichert) in Betrieb genommen. Dabei ist den Programmierern ein kleiner Fehler unterlaufen. Der Turris Omnia zeigt auch die WLAN-Kanäle oberhalb von Kanal 128 an, die hierzulande nicht für den WLAN-Betrieb im 5-GHz-Netz zugelassen sind. Folglich findet das Notebook das frisch eingerichtete Netz nicht, wenn es in den in Deutschland nicht zugelassenen Kanälen funkt.
Das erste Webinterface: Sehr schlicht und selbsterklärend finden sich Anwender in der einfachen Weboberfläche gut zurecht. Dafür fehlen viele Optionen
Bild: cz.nic
Der gesamte Einrichtungsvorgang dauert nur wenige Minuten. Wenn viele Updates geladen werden müssen, braucht es eventuell ein wenig länger, ganz wie die Bandbreite des eigenen Internetanschluss es zulässt. Anschließend gelangt der Anwender in das einfache Webinterface, in dem er nur rudimentäre Einstellungen vornehmen kann. Diese reichen für den allgemeinen Betrieb, lassen jedoch wichtige Funktionen wie Webspeicher (NAS) aus. Positiv ist: alle Optionen sind gut und verständlich beschrieben. Die deutsche Lokalisierung zeigt nur kleinere Schwächen. Uns gefällt jedoch nicht, dass dieser Teil des Webinterfaces dermaßen rudimentär ausgelegt ist.
Die Expertenansicht: Im erweiterten Webinterface lassen sich nahezu alle denkbaren Optionen ändern - dafür jedoch braucht der Anwender profundes Wissen über das System wie hier in der Freigabe-Maske für Netzlaufwerke
Bild: cz.nic
Im erweiterten Bereich sieht das schon ganz anders aus. Der ist ebenfalls optisch ansprechend gestaltet und gut gegliedert. Jedoch verlangen die einzelnen Optionen umfassendes Fachwissen. Der Nutzer kann, sofern er denn weiß, was er tut, theoretisch jeden Aspekt des Routers und der Software beeinflussen - weit über das Maß dessen hinaus, was selbst ein anspruchsvoller Heimanwender oder kleinere Büros benötigen. Zwar finden wir diesen Umstand durchaus positiv und wünschenswert, dennoch wäre es schön gewesen, auch die Ebene zwischen rudimentär und extrem komplex zu bedienen, wie man es beispielsweise vom erweiterten Interface der FRITZ!Boxen von AVM kennt.
Performance: Im Büro erreichten wir bis zu 850 MBit/s
Hardware-seitig haben wir uns der WLAN-Performance in der Realität gewidmet. Nicht unter Laborbedingungen sondern im Büro erreichten wir per Luftschnittstelle in Spitzen deutlich über 800 MBit/s Netto-Datenrate. Dieser Wert ist sehr nah am maximal möglichen Durchsatz von 802.11ac, das - wohlgemerkt brutto - bis zu 1300 MBit/s ermöglicht. Damit positioniert sich der Router in der Spitzengruppe aktueller AC Access Points mit drei Antennen.
Der Turris Omnia hat allerdings auch richtige Schattenseiten. Am augenfälligsten ist der Preis. Mit 289 Euro respektive 329 Euro positioniert sich der Router im oberen Mittelfeld. Trotz des hohen Preises nicht enthalten sind Schnittstellen für analoge oder ISDN-Telefone. Dafür braucht der Anwender dann entsprechende zusätzliche Hardware. Eine Telefonzentrale in Software ist ebenfalls nicht Bestandteil, lässt sich mit etwas Software-Wissen eventuell nachrüsten. Dass dieser Teil an Kommunikationsschnittstellen sowohl in Hard- als auch Software fehlt, dürfte vor allem jenen potentiellen Anwendern übel aufstoßen, die bereits einen All-IP-Anschluss nutzen, bei dem die Telefonie komplett IP-basiert abgewickelt wird.
Fazit
Der Turris Omnia ist ein exzellentes Stück Hardware. Sowohl Verarbeitung als auch das zugrunde liegende Konzept an Offenheit bieten keine Angriffspunkte für Kritik. Die Update-Funktion macht einen guten Eindruck und angesichts der Organisation hinter dem Turris-Omnia-Projekt, dürfen User auch auf eine lange Zeit des Supports hoffen. Die verteilte Firewall muss im Langzeittest zeigen, was sie kann. Wer sich nicht wohl fühlt bei dem Gedanken, dass seine Daten analysiert werden, muss diese Option nicht aktivieren und kann der integrierten Firewall vertrauen und diese - entsprechendes Fachwissen vorausgesetzt - sehr fein konfigurieren. Dass jedoch eine klare und trotzdem halbwegs umfangreiche Konfigurationsoberfläche für Nicht-Linux-Experten fehlt, ist unverständlich.