Das beliebte Protokoll TR-069 ermöglicht die Fernkonfiguration und Administration der meisten heute üblichen DSL Router durch den Provider. Auf dem 31c3 wurde auch ausschließlich positiv darüber berichtet. Ein Grund, sich Gedanken zu machen wie man den Schaden den TR-069 anrichtet, etwas eindämmen kann.
Die von uns verwendeten und liebevoll Plasterouter genannten DSL Endgeräte werden vor allem unter dem Kostenaspekt entwickelt, das Budget welches in die Sicherheit dieser Geräte gesteckt wird, dürfte sehr überschaubar ausfallen. Spürbar wird dies vor allem, da Millionen dieser Geräte mit relativ ähnlicher Software im Einsatz sind, relativ ähnliche Software meint auch vergleichbare Angriffswege. Auch wenn ich in diesem Artikel stets DSL Router schreibe, gemeint sind natürlich auch andere Übertragungswege, das Problem ist also nicht auf DSL als Technologie beschränkt.
Je nach Provider ist es aktuell nicht oder nur umständlich möglich an die Internetzugangsdaten zu kommen, für den Laien macht TR-069 also einen hervorragenden Job. Bedingt durch die automatische Konfiguration ist eine Herausgabe dieser Informationen nicht mehr erforderlich, zumindest, bis der Gesetzgeber hier etwas unternimmt. Problematisch ist, wenn man sein Netz nicht in die Hände seines Providers legen will, sondern auch gerne weiterhin der einzige Administrator sein möchte.
Nachfolgend möchte ich eine Lösung für dieses Problem anbieten, ich akzeptiere dabei, dass es TR-069 gibt und verzichte auf eine Aktion mit Fackeln und Mistgabeln. Dabei betrachte ich den heimischen DSL Router als potenziell kompromittiertes Gerät, welches zu umgehen ist. Der Vorteil meiner Lösung ist auch das man ohne großartige Umkonfiguration den Provider wechseln kann, an der heimischen Vernetzung ist nur noch der DSL-Router durch einen beliebigen anderen zu tauschen.
Aufbau
Für mein sicheres Heimnetz habe ich unterschiedliche Anforderungen, einige davon sind:
- Administrativen Einfluss des Providers auf meine Geräte verhindern oder zumindest minimieren.
- LAN/WLAN für Gäste, ohne die Gefahr für dessen Nutzung haftbar gemacht zu werden.
- Providerspezifische Probleme (Youtube vs. Telekom) umgehen.
- Providernetz
- Privates LAN
- Gast LAN
- Provider Internet
- Richtiges Internet
Providernetz
Das Providernetz ist das Netz, welches direkt aus dem DSL Router vom Provider tröpfelt, da hier TR-069 im Spiel ist und billigste Komponenten ohne Rücksicht auf Sicherheit verbaut werden, traue ich diesem Netz nicht weiter als ich ein voll bestücktes Bladecenter werfen kann.
Im Providernetz befinden sich vor allem Geräte, die ohnehin dem Provider gehören, also z.B. Entertain Büchsen und Smart-TVs.
Privates LAN
Mein privates LAN ist ein Netzwerk welches Geräte enthält, die von mir als vertrauenswürdig eingestuft wurden, es handelt sich dabei also primär um PCs, Notebooks oder Drucker. Ob man ein Android, iOS oder Windows Gerät in dieses sensible Netz lässt muss jeder für sich selbst entscheiden ;)
Dieses Netz hat einen eigenen Router, dieser wird an das Providernetz mit der WAN Seite angeschlossen, vor dem Router meines privaten Netzes ist also das böse Providernetz, hinter diesem meine eigenen Geräte.
Gast LAN
Bedingt durch fehlende flächendeckende kostenlose Hotspots und fragwürdige Tarifstrukturen, wünschen sich viele Besucher ein WLAN um den neuesten Cat Content begutachten zu können. In der einfachsten Variante nimmt man hierfür einfach Freifunk, wodurch auch das Problem mit der Anbieterstörhaftung beseitigt wäre. Das Gast-LAN ist auch mit der WAN Seite an das Providernetz angeschlossen, hat also sinnvollerweise keine Verbindung zu unserem privaten Netz.
Provider Internet
Der ISP (Internet Service Provider) stellt ja als Hauptaufgabe vor allem Internet bereit. Problematisch hierbei sind häufig Verstöße gegen die nicht vorhandene Netzneutralität. Das bekannteste Beispiel sind "zufällige" Probleme bei Google Diensten wie Youtube. Dieses Internet nutzen wir nur ausgehend vom Providernetz, den anderen Netzen spendieren wir richtiges Internet ;)
Richtiges Internet
Richtiges Internet? Durch Tunneln von unserem privaten Netz zu einem (v)Server erreichen wir durch einen kleinen Umweg ein Internet, welches nicht von unserem Provider beeinflusst wird. Für diesen haben wir nur 1-2 ausgehende VPN Verbindungen am Laufen, der Rest geht durch den Tunnel und verlässt diesen erst am VPN Endpoint. Unser Gast-LAN geht auch durch einen Tunnel, bei Freifunk ist das dank der aktuellen Rechtssprechung Standard.
aufbau.png
Da ein Bild oft mehr sagt als 1000 Worte:
Für einen Picasso wird es wohl nicht reichen, aber ich hoffe man kann grob meine Idee nachvollziehen.
Vorteile
Durch diesen Aufbau hat der Provider nur noch Zugriff auf den DSL-Router sowie Geräte im Providernetz, die Gäste, als auch meine privaten Geräte bleiben davon isoliert. Für "problematische Gäste" entfällt eine Haftung, wer weiß, welche Virenschleudern kreative Dinge im Internet machen ;)
Mit dem Providernetz ist auch sichergestellt das von diesem bereitgestelltes Equipment wie Media Reciever (Entertain) auch einfach funktioniert, im Support Fall kann direkt die Hotline angerufen werden und man muss nicht erst 2 Stunden dem netten Sachbearbeiter erklären, dass ein Problem mit dem Routing nicht auf einen alternativ verwendeten Router zurückzuführen ist.
Bisher problematische Dienste werden zukünftig funktionieren, da die Beschränkungen des Providers nicht mehr greifen. Der typische Telekom Kunde darf sich über ruckelfreies Youtube HD freuen ;)
Nachteile
Der Komplexe Aufbau dürfte vor allem Laien überfordern, ich sehe diese aber auch nicht als Zielgruppe für ein solches Setup. Ein weiteres Problem ist der deutlich höhere Hardware Einsatz (3 Router statt einer) und damit verbunden höhere Energieverbrauch. Neben den etwas höheren Kosten für diesen Energieverbrauch müssen auch die Anschaffungskosten für die zusätzlichen Router bedacht werden, eventuell reichen im Haus vorhandene Datendosen nicht mehr aus und man muss welche nachträglich installieren oder kreativ VPNs im eigenen Haus über das Providernetz schalten.
Fazit
Mein eigenes LAN wird im Laufe des Jahres auf dieses Setup umgestellt, sollten sich dabei nützliche Erfahrungen oder notwendige Korrekturen ergeben werde ich natürlich wieder berichten.