DSL-Fernkonfiguration: Wie weit dürfen Anbieter gehen?

Um DSL-Anschlüsse einfacher einzurichten, setzen immer mehr ISPs auf fernkonfigurierte Router. Das verärgert Poweruser, denen weniger oder gar keine Einstellmöglichkeiten bleiben. ZDNet zeigt, wie Provider diesen Konflikt lösen könnten.

Für erfahrene Benutzer stellt ein Wechsel des Internet-Anbieters oder ein Neuanschluss überhaupt kein Problem dar. Sobald die grüne DSL-LED am NAT-Router signalisiert, dass der Anschluss geschaltet ist, tippt ein echter Profi die vom ISP erhaltenen Zugangsdaten in das Webinterface und der Anschluss funktioniert.

Anschließend wählt er eigene DNS-Server, weil sein Provider meint, er müsse die DNS-Antworten fälschen, um zusätzliche Werbeeinnahmen zu generieren. Nun werden noch die richtigen TCP- und UDP-Ports auf interne Geräte wie VoIP-Telefone, NAS-Boxen und digitale Videorekorder gelenkt und schon sind diese von überall aus erreichbar. Es fehlt lediglich noch die Einrichtung eines DynDNS-Providers, was die meisten NAT-Router heute ebenfalls beherrschen. So steht dem ungetrübten Kommunikationsvergnügen nichts mehr im Weg.

Doch was für viele Nutzer einfache Routine ist, bringt andere zur Verzweiflung. Mit Begriffen wie PPPoE, Subnet und DHCP können sie nichts anfangen. Die dem Router beiliegende Kurzanleitung ist nicht besonders aussagekräftig und beschreibt oft nur die Hardware-Verkabelung. Die ausführliche Anleitung könne man sich im Internet herunterladen, heißt es oft.

Das aber ist einfacher gesagt als getan, wenn die Verbindung zum Internet gar nicht steht. Zudem sind auch die PDF-Handbücher für Laien häufig unverständlich. Viele Anwender rufen über ihr Handy die Hotline mit 01805-Nummer an. Aber Techniker und Benutzer sprechen oft nicht dieselbe Sprache und reden aneinander vorbei.

Meist hilft nur, einen Bekannten zu holen, der sich auskennt. Alternativ kann man über viele Provider einen Techniker ins Haus bestellen, der die Konfiguration vornimmt. Das kostet aber meist eine Pauschale von 50 bis 100 Euro.

Dieses Problem lässt sich durchaus lösen, nämlich durch eine Autokonfiguration des sogenannten Customer Premises Equipment (CPE). Das CPE ist das Gerät, dass direkt an der Anschlussdose beziehungsweise am DSL-Splitter in den Räumen des Kunden betrieben wird, typischerweise ein DSL-NAT-Router, beispielsweise eine Fritzbox, oder ein Kabelmodem.

Das gängigste Protokoll ist das vom Broadband Forum (ehemals DSL Forum) entwickelte TR-069. Das Prinzip ist relativ einfach: Der ISP betreibt einen Autoconfiguration Server (ACS), der vom CPE ohne Zugangsdaten erreichbar ist. Das CPE schickt beim Booten seine Seriennummer an den ACS und erhält daraufhin seine kompletten Konfigurationsdaten. Nicht einmal die Eingabe eines Passworts ist erforderlich.

Der Anwender kann sofort Endgeräte in die LAN-Buchsen einstecken oder Rechner per WLAN einloggen. Um den Internetzugang muss er sich nicht kümmern. Das funktioniert natürlich nur, wenn das CPE vom Provider geliefert wird. Nur in diesem Fall kennt der Provider die Seriennummer und kann sie in einer seiner ACS-Datenbank mit den richtigen Konfigurationsdaten verknüpfen.

Was für viele Benutzer wie ein Segen erscheint, bringt aber auch Probleme mit sich. So gibt es beispielsweise Sicherheitsbedenken. Der Provider hat dadurch die Möglichkeit, nach Belieben Einstellungen zu verändern und neue Firmware aufzuspielen. Dies kann auch individuell nur für den NAT-Router eines einzelnen Users passieren. Kritiker rügen, dass TR-069 für Online-Durchsuchungen missbraucht werden kann.

Das ist zwar durchaus richtig, aber bei genauer Überlegung kommt man schnell darauf, dass für eine Online-Durchsuchung die Neukonfiguration des CPE weder notwendig noch sinnvoll ist. Eine allgemeinere Lösung kann man dadurch schaffen, dass eine Behörde den ISP anweist, die IP-Adressen einer bekannten und häufig genutzten Website, etwa google.de "umzubiegen" und den Datenverkehr zur Behörde umzuleiten, beispielsweise um einen Trojaner zur sogenannten Quellen-TKÜ zu installieren. Auch für das Abhören des gesamten Datenverkehrs auf der DSL-Leitung ist es nicht notwendig, das CPE umzuprogrammieren.

Weitaus größer sind die Probleme, wenn ein Provider eine neue Firmware oder eine neue Konfiguration an das CPE schickt, und anschließend bestimmte Dienste oder bestimmte Endgeräte nicht mehr richtig funktionieren, etwa weil der Benutzer ein Port-Forwarding eingerichtet hat, was durch die neue Konfiguration seitens des ISP entfernt wird. Das gilt vor allem dann, wenn ein Bekannter diese Einstellungen gemacht hat, weil man selbst nicht genug Erfahrung hat.

Wenig bekannt ist, dass TR-069 auch die Konfiguration von Geräten hinter der NAT-Grenze im LAN des Anwenders erlaubt, sofern diese TR-069 fähig sind. Das stellt in der Tat ein Sicherheitsproblem dar. Geräte, die nur im LAN genutzt werden und gar keinen Kontakt mit dem Internet haben, können vom ISP so umprogrammiert werden, dass sie Daten über das Internet versenden. Bisher ist aber kein Fall bekannt geworden, dass ein Provider davon Gebrauch gemacht hat.

Warum Poweruser eigene Geräte nutzen möchten

Nutzer mit großer Erfahrung wollen oft ihre eigenen Geräte nutzen, obwohl sie sogar einen DSL-WLAN-NAT-Router vom Provider umsonst gestellt bekommen. Das kann vielfältige Gründe haben: Die von den ISPs gestellten CPEs funken meist nur im 2,4-GHz-WLAN-Band. Ist dieses in einem dicht besiedelten Wohngebiet stark belastet, so lassen sich oft nur geringe Durchsatzraten erzielen. Daher ist es sinnvoll, einen Dual-Band-WLAN-Router einzusetzen, der auch das gering belastete 5-GHz-Band anbietet.

Ein anderer Grund kann die Geschwindigkeit der LAN-Anschlüsse sein. Die Provider-CPEs bieten meist nur 100-MBit/s-Ports. Ein Gerät mit Gigabit-Ports ist immer dann sinnvoll, wenn der Benutzer im LAN viele Daten hin und her kopiert, etwa DVD-Images von einem Rechner zum anderen. Das macht mit 100 MBit/s einfach keinen Spaß mehr.

Diese Probleme lassen sich freilich dadurch lösen, dass man hinter dem CPE des Providers einfach einen Dual-Band-WLAN-Access-Point oder einen Gigabit-Switch installiert. Das hat aber durchaus Nachteile: Zum einem hat man mehr Geräte und mehr Kabelsalat in seiner Wohnung, zum anderen entsteht ein höherer Stromverbrauch von Geräten, die man typischerweise 24 Stunden am Tag betreibt. Das ist wenig umweltfreundlich und belastet den Geldbeutel.

Besitzer eines DSL-Anschlusses kommen nach einfacher Rechnung schnell darauf, dass sich die Anschaffung einer "Rundum-Sorglos-Box", etwa einer Fritzbox 7390, durchaus lohnt. Sie spart nicht nur den zusätzlichen Dual-Band-WLAN-Router und den Gigabit-Switch, sondern auch die DECT-Basisstation ein. Zudem zeichnet sie sich durch fortschrittliche Energiesparfeatures wie DECT-Sleep-Mode oder automatische Reduktion der WLAN-Leistung aus. Die LAN-Ports lassen sich bei Bedarf auf 100 MBit/s herunter regeln, was ebenfalls eine Menge Energie spart.

Problematisch wird es nur, wenn der Provider versucht, das CPE, im genannten Beispiel eine Fritzbox 7390 umzukonfigurieren. Das kann zu Problemen führen. Bei der Fritzbox kann man dieses Problem einfach dadurch umgehen, dass man Firmware-Updates und Konfigurationsänderungen über TR-069 verbietet. Das geht mit aktueller Firmware im Menü HeimnetzNetzwerkProgramme. Die entsprechenden Punkte erscheinen nur, wenn der ISP auch tatsächlich TR-069 verwendet.

Problemfall IAD

Echte Probleme bekommt man jedoch, wenn der ISP einen sogenannten NGN-Anschluss (Next Generation Network) anbietet. Das ist ein entbündelter Anschluss, bei dem die Deutsche Telekom dem Provider nur den DSL-Teil (Frequenzen ab 138 kHz bei Annex B) der Telefonleitung vermietet. Das ist für den Provider günstiger und schlägt sich in niedrigeren Anschlussgebühren für den Anwender wieder.

In diesem Fall realisiert der ISP die Telefonie über VoIP. Dazu stellt er dem Benutzer ein sogenanntes Integrated Access Device (IAD) als CPE zur Verfügung. Wer beispielsweise bei Alice (Telefonica O2) einen DSL-Anschluss mit WLAN-Router bestellt, bekommt das sogenannte IAD 4421. Dabei handelt es sich aber einfach um eine Fritzbox 7170 in anderem Formfaktor, mit etwas modifizierter Firmware und nur einer analogen Telefonbuchse.

Die Telefonie funktioniert über das Standardprotokoll SIP. Um sicherzustellen, dass für die Telefonie immer genügend Bandbreite vorhanden ist, wird eine zweite PPPoE-Verbindung aufgebaut. Allerdings gibt Alice die dafür nötigen Zugangsdaten nicht heraus, weder für die zweite PPPoE-Verbindung noch für den SIP-Anschluss.

Obwohl auch eine Fritzbox ohne Branding grundsätzlich den Zugang zu einem solchen SIP-Anschluss erlaubt, kann man die Alice-Telefonie mit einer eigenen Fritzbox nicht nutzen, da man die Zugangsdaten nicht kennt. Es bleibt nur der Umweg, die eigene Fritzbox hinter das IAD zu schließen und den analogen Telefonausgang des IAD mit dem Eingang der eigenen Fritzbox zu verbinden. Dadurch müssen zwei statt nur ein Gerät 24 Stunden online bleiben, sofern man telefonisch erreichbar sein will.

Hier könnten sich Alice und andere Anbieter von NGN-Anschlüssen, etwa Vodafone/Arcor, durchaus kooperativer gegenüber Powerusern verhalten. Dass es für eigene Endgeräte keinen Support gibt und dass der Benutzer dafür zu haften hat, wenn er die Telefoniezugangsdaten nicht geheim hält, ist selbstverständlich. Notfalls muss man den Nutzer das noch einmal explizit bestätigen lassen, etwa im Kundenportal.

Autokonfiguration in Kabelnetzen

Kabel Deutschland bietet seit neuestem die Fritzbox 6360 Cable an. Erfreulicherweise hat es das Unternehmen nicht nötig, einen Fantasienamen wie "IAD 4711" dafür zu erfinden. So weiß der Kunde, was er bekommt.

Ebenso erfreulich ist, dass es sich bei der 6360 um die Kabelversion des DSL-Spitzenmodells 7390 handelt, so dass es eigentlich wenig Gründe gibt, ein anderes Gerät einzusetzen. Aber auch Kabel Deutschland konfiguriert Teile der 6360 über TR-069, was in bestimmten Bereichen auch nachvollziehbar ist.

So muss der Kabelmodemteil immer durch Kabel Deutschland konfiguriert werden. Anders als DSL ist Fernsehkabel ein Shared Medium. Sendet das Modem etwa in einer falschen Modulation oder nicht durch das CMTS koordiniert, so kann der gesamte Cluster gestört werden. Die Ermittlung des Verursacher kann durchaus schwierig werden. Wer hingegen sein DSL-Modem falsch konfiguriert, kann nur seinen eigenen Anschluss stören. Andere Teilnehmer können weiter im Internet surfen.

Allerdings lässt die Firmware von Kabel Deutschland keine VoIP-Konfiguration zu. Der gesamte Telefonieteil wird fernkonfiguriert. Es ist daher beispielsweise nicht möglich einen weiteren VoIP-Provider hinzuzufügen, der etwa besonders günstige Gespräche in ein bestimmtes Land anbietet, in das der Benutzer oft anruft.

Auch der Internetzugang kann nur von Kabel Deutschland konfiguriert werden. Ein 6to4- oder SixXS-Tunnel zur IPv6-Anbindung lässt sich mit der Box nicht realisieren.

Das heißt nicht, dass die von Kabel Deutschland konfigurierte Fritzbox eine schlechte Sache ist. Viele Nutzer sind froh, dass sie nichts einstellen müssen und alles funktioniert. Zudem sind alle notwendigen Geräte, etwa eine DECT-Basisstation, bereits integriert.

Poweruser sollten aber die Einschränkungen kennen. Wer lieber eigene Geräte einsetzt, etwa einen NAT-Router mit Homebrew-Firmware wie DD-WRT oder Freetz, sollte im Kabelnetz auf die Bestellung eines Routers verzichten und ein reines Kabelmodem verwenden, dass der Anbieter kostenlos zur Verfügung stellt. Man kommt an zwei Geräten nicht vorbei. Im Kabelnetz muss man anders als bei DSL die Konfiguration des Modems dem Kabelanbieter überlassen.

Fazit

Autokonfigurierte Endgeräte (CPEs), etwa mittels TR-069, bei denen der Benutzer nichts einstellen muss, sind für viele Benutzer und gestresste Hotline-Mitarbeiter eine wesentliche Erleichterung. Allerdings führen Sie durchaus zu einem Interessenkonflikt mit Powerusern, die viele Feineinstellungen und Besonderheiten lieber selbst konfigurieren wollen.

Diese Konflikte sind aber lösbar. So sollten die vom Provider verteilten CPEs immer die Möglichkeit bieten, TR-069 oder ein anderes Fernkonfigurationsprotokoll abzuschalten. Ferner sollten Provider Powerusern auf Anforderung die Zugangsdaten mitteilen, die für die Nutzung aller Dienste (Internet und Telefonie) erforderlich sind. Dem Nutzer muss in diesem Fall mitgeteilt werden, dass für eigene Geräte kein Support geleistet werden kann und dass er die Risiken selbst tragen muss, etwa wenn die Zugangsdaten für SIP-Telefonie nicht geheim gehalten werden und jemand über seinen Anschluss telefoniert.

Die Sicherheitsbedenken gegen jede Art von Autokonfiguration sind im Wesentlichen vernachlässigbar. Allerdings nicht deswegen, weil man Protokolle wie TR-069 nicht zur Online-Überwachung einsetzen könnte, sondern weil dies auch ohne Autokonfiguration des CPE möglich ist. Zudem ist TR-069 nicht das geeignetste Mittel für staatliche Überwachung.

ISPs sollten sich schlicht und einfach von der Vorstellung verabschieden, dass es möglich ist, alle ihre Kunden auf einen einzigen "normalen Benutzer" zu reduzieren. Den gibt es nämlich nicht. Bietet man seine Dienste für Kunden mit unterschiedlichem Technikwissen an, nämlich sowohl für Einsteiger als auch für den Poweruser, bleibt die Kundenzufriedenheit erhalten.

Themenseiten: Big Data, Breitband, DSL, Datendiebstahl, Datenschutz, Kommunikation, Mobil, Mobile, SOA, Security-Analysen, Telekommunikation

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu DSL-Fernkonfiguration: Wie weit dürfen Anbieter gehen?

Kommentar hinzufügen
  • Am 11. August 2011 um 0:57 von Patrick

    Arcor
    "Hier könnten sich Alice und andere Anbieter von NGN-Anschlüssen, etwa Vodafone/Arcor, durchaus kooperativer gegenüber Powerusern verhalten."

    Immerhin rückt Vodafone die Daten der manuellen Konfiguration (DSL und VOIP) freiwillig im "Anschluss-Termin"-Schreiben ohne Nachfrage/Bitte heraus. (Wie bei mir im März d.J.)

  • Am 15. August 2011 um 12:09 von Lucifer

    Problem ?
    Problem? da wird wieder künstlich nen Problem gepushed wo gar keines existiert …
    der PowerUser weiss sich zu helfen … und Ottonormalo ist froh über die "Fernhilfe" … lediglich der Möchtegern der meint er wisse es … kriegt Probleme … aber Lernen auf die harte Tour hat noch nie geschadet!

  • Am 23. Dezember 2011 um 22:13 von Thomas

    IAD
    natürlich wäre es schön wenn ein IAD gleich nach dem Anschliessen gleich funktioniert, es ist zu 100% nicht, bei manchen IAD´s ist die Routeroberfläche gesperrt, der Kunde kann nicht darauf zugreifen. Den abgespeckten Router muss der Kunde schön selbst konfigurieren.

  • Am 13. März 2013 um 0:08 von Sicherheit

    Ich find die Möglichkeit meine Firewall/NAT via tr069 umzukonfigurieren (zu öffnen) eher nicht so toll, da dies einen Zugriff von aussen auf mein Netzwerk zulässt und somit einen Neuen Weg bietet mich aktiv auszuspionieren und auch Geräte im „Heimnetz“ anzugreifen (auch Geräte die kein tr069 unterstützen). Ich kann daher nicht verstehen wie Sie Sicherheitsbedenken einfach abtun mit der Begründung, der Provider kann ja eh eingehenden und abgehenden Verkehr abhöhren.

  • Am 8. Juni 2016 um 23:14 von Sven

    Mein Provider QUIX / Inexio benutzt auch diesen Technik um auf meine Box zu kommen. Sehr bedenklich finde ich, dass die Mitarbeiter sich dann einen Benutzer auf der Fritzbox erstellen um dann über das Internet auf meine Fritzbox zugreifen zu können. Ich würde gerne das ganze abschalten über Telnet – dann würde ich mich sicherer fühlen.
    Ich meine – wer von außen auf die Fritzbox kommt – der kommt auch auf alle anderen Geräte im Netzwerk – weil er einfach alles einstellen kann. Portweiterleitungen – einen VPN Zugang etc.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *