Über Kontrollverlust und Routerzwang
Gestern musste ich mich passend zum Thema, um ein Netzwerk kümmern welches mit einem Router des Providers ausgestattet war. Seit Monaten spielt das Gerät verrückt und der Provider, sah keine Notwendigkeit zu reagieren. Auf Anfragen des Kunden, was mit der Leitung und den dazugehörigen Diensten auf dem Gerät los ist, reagierte der Provider nicht oder mit klassischen Antworten aus dem Bereich selbst verschuldet. Demzufolge machte der Kunde erstmal meine dahinterliegende Technik, für die auftretenden Fehler, verantwortlich. Folglich musste ich über die Logs nachweisen, dass meine Geräte keine Schuld an dem Versagen der Telefonie haben bzw. falsch auf die Ausgaben des Providergerätes reagierten. Geräte quittieren schon mal den Dienst, von daher sind das normale Tätigkeiten. Schwierig wird es nur dann, wenn man einen Mitarbeiter des Providers an der Hand hat, welcher eher durch Faulheit glänzt.
Was war passiert?
Der Kunde musste, wie alle anderen Kunden auch, seine Telefonie auf VoIP umstellen lassen. Also machte ihm die Telefónica ein Angebot, was er gegen meine Empfehlung so bestätigte. Providergeräte sind aus meiner Sicht immer mit Vorsicht zu genießen, da sich die Provider selten um diese Geräte kümmern. Folglich hat man also ein potentielles Einfallstor, in seinen 4 Wänden, welches sich im Normalfall der eigenen Kontrolle entzieht. Ergo sollte man tunlichst darauf achten, das Gerät nicht für das eigene Netzwerk zu verwenden. Zum einen, weil der Provider dann Zugang hat und zum anderen, weil die Firmware eines jeden Gerätes immer mit Sicherheitslücken behaftet ist. Habe ich also einen Provider an der Hand der selten die Firmware aktualisiert, leben bekannte Sicherheitslücken länger als nötig. Spielt der Provider noch an den Geräten herum, hat man keinen oder eingeschränkten Einfluss auf die Updatezyklen und Konfigurationen. Vodafone ist beispielsweise so ein Spezialist, der durch Eingriffe in die Geräte glänzt. Fragt man Mitarbeiter von Vodafone, dann sind die Hersteller zu “blöde” richtige Geräte herzustellen. Merkwürdigerweise haben ich mehr Probleme mit Providergeräten als mit den eigenen Geräten.
Zurück zum Kunden
Der Kunde wurde also mit Technik des Providers ausgestattet und ich musste meine Technik nicht weiter anpassen, weil die benötigten Anschlüsse nun über den OneAccess One425 bereitgestellt wurden. Lediglich die Zugangsart zum Telefónicaanschluss musste durch mich angepasst werden. Soweit so gut, die Leitung und die Telefonie funktionierten, bis das Providergerät einen “Schluckauf” bekam. Für ein Unternehmen, was zwingend auf die Telefonie angewiesen ist, ein Umstand der nicht tragbar ist. Aufgrund der mangelhaften Betreuung bzw. der falschen Aussagen des Providers, machte ich mich daran zu schauen was die Kiste (OneAccess One425 (Telefónica)) so treibt. Da der Kunde nicht mehr über die Zugangsdaten verfügte, musste ich diese wieder beantragen, was die Fehlerbehebung nach hinten verschob. Telefónica benötigt für das Bereitstellen der Zugangsdaten ca. 1 Woche. In dieser Zeit konnte der Kunde also nicht stabil arbeiten, da durch die VoIP-Umstellung nun alles über die Internetleitung des instabilen Gerätes lief.
Untragbare Zustände
Mittlerweile musste ich meine Telefonanlage umkonfigurieren, da diese mit den sporadisch abgetrennten ISDN-Leitungen der OneAccess Probleme bereitete. Also immer wenn die OneAccess ihre 5 Minuten hatte, trennte sie mir die ISDN-Leitungen und meine Telefonanlage brauchte einige Zeit um das mitzubekommen. Klar ärgerte ich mich, dass meine Telefonanlage zu blöde war, mit diesem Umstand umzugehen. Aber, da bekanntlich viele Wege nach Rom führen, entschied ich mich ein Skript zu schreiben, welches bei einem ISDN-Ausfall die Anlage bzw. die Ports neustartete und so konnte ich halbwegs gewährleisten, dass die Telefonie den Umständen einsprechend normal arbeitete.
Die Umstellung
Die Umstellung bzw. das Austauschen des Gerätes verlief etwas ruppig, da die mir zugesandten Informationen mich auf eine falsche Fährte lockten. Ursprünglich war dieser Anschluss ein ISDN-Mehrgeräteanschluss, demzufolge richtete ich alle Rufnummern einzeln ein und bekam keine eindeutige Zuweisung der ankommenden Leitung hin. Auch die neuen Unterlagen bestätigten meine Annahme und ich versemmelte zusätzliche 3 Stunden meines kostbaren Lebens für die Einrichtung, weil ich zu dämlich war einen anderen Weg einzuschlagen. Alles halb so wild, da ich für die Umstellung ein Wochenende nutzte. Die Umstellung hätte innerhalb von 2-3 Stunden fertig sein können, wenn ich die mir dargebotenen Informationen nicht als gegeben betrachtet hätte.
Irgendwann kam mir und meinem Partner dann die Idee, den Anschluss auf einen Trunk umzustellen, da immer die zuletzt angemeldete Leitung gewann. Wir stellten also alles auf einen VoIP-Trunk um und die Rufnummern richteten wir als zusätzliche MSN ein, welche auf den Trunk gebunden wurden. Siehe da, wir waren nun in der Lage zu erkennen, woher der eingehende Ruf kam.
Provider und ihre marktverzerrenden Machenschaften
Provider möchten die volle Kontrolle über den Trafik und die Funktionen der Zugangspunkte der Kunden haben. Ihnen ist es ein Dorn im Auge, wenn fremde Technik in ihrem Netzwerk herumoxidiert, weil diese Fremdgeräte potentielle Dienstleistungen anbieten könnten, welche den eigenen Gewinn schmälern. Zusätzlich müssen sie sich den aktuellen Standards unterwerfen und das geht nun wirklich nicht. Sie fühlen sich bevormundet und würden gerne unliebsame Provider und Dienstleister aus ihrem Netzwerk ausschließen. Leider läuft diese Haltung konträr zum Kundenwunsch einen offenen Zugang zum Internet zu haben. Hier geht es nicht um Sicherheit, nur allein der Gewinn spielt hier die Musik. Der dezentrale Grundgedanke des Internets läuft ihnen zuwider und muss abgeschafft werden.
Die zehn Providergebote
- Ich bin der Einzige, dein Provider. Du sollst keine anderen Provider haben neben mir.
- Du sollst den Zugang des Einzigen, deines Providers, nicht mit fremden Diensten missbrauchen.
- Du sollst den Provider heiligen.
- Du sollst deinen Providerrouter und die Zugangssperre ehren.
- Du sollst nicht suchen nach neuer Router-Firmware.
- Du sollst nicht deinen Provider aus deinem Netz ausschließen.
- Du sollst nicht fremden Trafik verursachen
- Du sollst nicht falsch routen wider deines Providers
- Du sollst nicht begehren deines Nächsten Providerzuganges.
- Du sollst nicht begehren deines Nächsten DNS, VoIP, Videostreams, Musikstreams noch alles, was dein Nächster hat.
Auch wenn das jetzt etwas in lächerliche getrieben wurde, so stellt es aus meiner Sicht die aktuelle Haltung unserer üblichen Verdächtigen (Deutsche Telekom, Telefónica, Vodafone usw.) dar.
Zugänge von außen unerwünscht
Was mich unermesslich stört, ist der Umstand, dass einige Provider ihre VoIP-Netze vom Internet abtrennen. D.h. fällt die Providerleitung aus, ist auch die Telefonie offline. Man ist nicht in der Lage, auf eine andere providerfremde Leitung auszuweichen, weil die Endpunkte nicht aus fremden Netzwerken erreichbar sind. Telefónica ist solch ein Spezialist und schon aus diesem Grund empfehle ich keinem Kunden VoIP-Technik von diesem Provider einzukaufen. Auch wenn einige Provider der Meinung sind, dass die Telefonie nur ein Beiwerk ist, so verdienen bei uns in Deutschland doch viele ihr Geld mit dem Telefonieren.
Fremde Router unerwünscht
Die Deutsche Telekom, Telefónica, Vodafone und andere Provider sehen die freie Wahl der Router als Verlustgeschäft an. Auch haben sie keine bzw. nur mit erhöhtem Aufwand, Kontrolle über den anfallenden Netzwerkverkehr und die durch die kundeneigenen Router erlaubten Funktionen. Weiterhin verlieren sie dadurch die Kontrolle über das angeschlossene Netzwerk, da ihnen auf den kundeneigenen Routern diese Rechte entzogen werden können. Als nächsten Punkt haben sie natürlich auch keine Möglichkeit, ihre mangelhaften und mit veralteter Firmware ausgestatteten Geräte an den Kunden zu bringen. Zu guter Letzt, stört es sie auch massiv, dass man z.B. WLAN in seinen 4 Wänden benutzen könnte, ohne eine monatliche Pauschale zu entrichten.
Beispiel Vodafone
Ganz grausig wird es, wenn man eine Störung auf seiner Leitung hat. Vodafone ist nicht in der Lage diese Störung aufzunehmen, wenn kein Providergerät angeschlossen ist. Argumentiert wird, dass sie auf die fremden Geräte nicht zugreifen können und demzufolge keine Störung wahrnehmen können. Es verwundert mich extrem und ich empfinde es eher als Schikane. Denn ich kann mir beim besten Willen nicht vorstellen, dass Vodafone nicht feststellen könnte, ob ein Gerät angeschlossen ist oder nicht. Wie gesagt, für eine Verbindung benötigt man immer zwei Geräte die miteinander kommunizieren können. D.h. Vodafone betreibt ein Modem und der Kunde betreibt ein Modem. Empfange ich keine Signale vom Modem, fehlt ein Gerät oder die Leitung ist gestört. Selbst das Wort “Totalausfall” lässt die Hotline kalt und sie besteht auf das Providergerät. Ihr tut euch also ein Gefallen, wenn ihr der Hotline, bei einem Totalausfall (Internet, Telefonie und Kabelfernsehen), frech ins Gesicht lügt. Zumal ich eher der Auffassung bin, die Faulheit des Hotlinemitarbeiters spielt hier die Musik. So nach dem Motto: “Super, der Kunde hat das Gerät nicht dran, also muss sich ein Kollege darum kümmern.”
Als nächsten Punkt prangere ich an, dass Vodafone aktiv in die Konfiguration der Providergeräte eingreift. D.h. ändert man beispielsweise die DNS-Server auf dem Providergerät, “korrigiert” Vodafone diese ungewollten Einstellungen auf den Providerstandard. Für mich ein Umstand, der überhaupt nicht zu tolerieren ist. Hier wird aktiv in meine Netzwerkstruktur eingegriffen. Neben Netzsperren und den daraus resultierenden eingeschränkten Zugängen, ist auch die Zuverlässigkeit eingeschränkt. Ich persönlich habe schon häufiger Probleme mit ausgefallenen DNS-Servern der Provider gehabt. Von daher traue ich ihnen keinen einwandfreien Betrieb dieser Server zu. Auch bei den VoIP-Servern, merkte man bis vor kurzem noch, dass auch hier gespart wurde. Es liegt halt keine Spezialisierung auf ein bestimmtes Gebiet vor. Möglichst alles und zum kleinen Kurs, scheint hier die Devise zu sein.
In den folgenden Bildern, ist der aktuelle Stand baugleicher Geräte in Bezug auf die Firmware zu sehen. Ausgeblendete Funktionen beim Providergerät, sind nur einige negative Folgen der Bereitstellung von Routern durch die Provider. Bei der Vodafone-FRITZ!Box war z.B. eine Zeit lang die DVB-C-Funktion einfach mal deaktiviert. Fernsehen über die FRITZ!Box 6490 Cable war nur über freie Geräte möglich. Mittlerweile manipuliert Vodafone die Firmwareprüfung bei AVM-Geräten, um dem Kunden eine aktualisierte Box vorzugaukeln.
Beispiel Deutsche Telekom
Die Telekom hat ja durch ihre Speedports und die dafür verpflichteten Hersteller öfter mal Probleme mit der Sicherheit gehabt. Einbrüche in WLAN-Netze sind da nur die Spitze des Eisberges gewesen. Auch setzt sie teilweise Huawei-Technik für ihre Speedports ein und ich als Serverbetreiber kann sagen, dass viele Angriffe von übernommenen Huawei-Geräten kommen. Auch missfällt mir die technische Umsetzung und die Nähe zum chinesischen Staat, aber das ist meine persönliche Meinung.
Mitarbeiter belügen den Kunden
Aus meiner Erfahrung kann man auf die Supporthotlines der Provider wenig geben. Ich habe es schon mehrfach erlebt, dass ich dem Kunden aufgetragen habe, sich die Zugangsdaten zustellen zu lassen. Und der Mitarbeiter der Hotline dem Kunden frech ins Gesicht log, dass der Router nicht kompatibel mit dem Anschluss sei. Ergo könne der Mitarbeiter auch nicht die Zugangsdaten herausgeben. Nachdem ich dann angerufen habe und dem Mitarbeiter klar gemacht habe, dass ich die Zugangsdaten dennoch benötige, weil wir ja in Deutschland über die freie Wahl des Routers verfügen, wurden die Daten übermittelt. Vodafone ist hier das Paradebeispiel für diese Art der Fehlberatung.
Auch bei der Fehlerbehebung kommt dieser Anbieter immer mit dem Wortlaut, haben sie den unseren Router schon angeschlossen. Am liebsten würde ich dem Mitarbeiter dann in die Gurgel beißen, aber Ruhe bewahren und höflich ja und Ahmen sagen, bringt euch hier weiter. Und falls ihr jemanden habt der euch überhaupt nicht weiterbringt, einfach auflegen und nochmal probieren, irgendwann bekommt ihr schon die Kompetenz die ihr benötigt.
Ein erneuter Schuss gegen die freie Routerwahl
ANGA, BUGAS, VATM, VKU und die Deutsche Telekom stellen sich erneut gegen das Telekommunikationsgesetz (TKG). Heise beleuchtet dies in folgendem Artikel. Diese verwegene Provider-Gruppe ist also der Meinung die freie Routerwahl behindere die Weiterentwicklung. Wie man ja aus meinem vorherigen Text entnehmen kann, sehe ich die Providergeräte als Stillstand in der Entwicklung. Hier wird einmal erlangtes Wissen festgeklopft und nie wieder angefasst. Auch die Geschichte mit der Firmware und den Sicherheitslücken sehe ich eher auf der Providerseite als beim Kunden, der in der Regel ein höheres Interesse an Sicherheit hat als der Provider, der nur seine Devisen im Blick hat. Schließlich ist er primär nicht vom erfolgreichen Angriff auf die gleichgeschalteten Endgeräte betroffen. Die Diversität im Internet ist dessen Erfolg!
§45d Abs. 1 S. 2 TKG
Dieser Paragraph schützt also eher unseren Standort, als das er unsere Weiterentwicklung stört. Habe ich also einen Provider der nur Gerät-X einsetzt, kann ich mich mit einfachsten Mitteln auf dessen Technik spezialisieren und massenhaft Internetanschlüsse übernehmen. Schließlich kenne ich und jeder andere IT-Futzi die eingesetzten Firmwareversionen und Routermodelle. Diesen Umstand würde ich persönlich als die größte Gefahr bei der Abschaffung der freien Routerwahl sehen. Die Streichung dieses Paragraphen anzustreben, weil man eine aktive Komponente für die Umsetzung der Signale benötigt empfinde ich als Verhöhnung des Kunden. Seit Anbeginn des Internets waren schon immer Modems notwendig, was soll also dieser Vorstoß! Macht lieber eure Arbeit und kümmert euch darum, Standards festzulegen die eine Weiterentwicklung ermöglichen.
Vorstoß der Provider gefährdet uns alle!
Es wird Zeit den Markt im Providerbereich noch weiter aufzubrechen. Es kann nicht sein, dass ewig Gestrige mir vorschreiben, welche Hersteller ich zu bevorzugen habe. Gehen wir mal weiter. Amerika, Asien und Russland sind ja bekanntlich sehr weit, was Cybercrime von staatlicher Seite angeht. Wollen wir diesen Staaten ermöglichen unsere Infrastruktur mit einem Mausklick abzuschalten? Ich habe keine Ahnung was in den Köpfen unserer Provider vor sich geht, aber so kann das nicht weiter gehen. Und von den Sicherheitslücken die monatelang offen bleiben, wie Scheunentore, möchte natürlich keiner der Provider reden.
Aus eigener Erfahrung: Trau keinem Providergerät
In den Anfangsjahren des Internets, hatte ich mir ein paar Scanner gebaut, welche Dieses und Jenes im Netz ausfindig machen sollten. Heute benutzt man für solche Suchen, eine Suchmaschine. Durch den Zufall darauf gestoßen, war ich erstaunt wie viele offene Internetanschlüsse, mit Portfreigaben im Bereich Windows-Dateifreigabe, ohne Passwortschutz im Netz verfügbar waren. Das Telekomnetz war berüchtigt dafür, dass man dort etwas findet. Heute muss man schon genauer schauen, aber es gibt diese Internetanschlüsse immer noch. Zugegeben, damals waren die Rechner meist direkt mit dem Internet verbunden (DFÜ-Netzwerk), aber auch als die Router langsam Einzug in die Netzwerke erhielten. Fand man ab und zu auch mal eine Firma, die weil sie ja nichts zu verbergen hat, ihre Firmendaten konsequent mit “Jeder” teilte. Größtenteils liegt das Problem auch bei den IT-Dienstleistern. Aus meiner Sicht, muss man schon stinkend Faul sein, um solch eine Konfiguration Online zu bringen, aber vielfach ist Unwissenheit dabei. Der ständige wiederkehrende Irrglaube: Was soll mir schon passieren, schließlich habe ich ja einen Router im Netzwerk. Kommt immer wieder ans Tageslicht.
Was passiert aber mit dem Server, wenn der Router durch eine fehlerhafte Firmware, einen datentechnischen Super-GAU verursacht? Sei es drum, dass die vom Hersteller generierten WLAN-Schlüssel einer Schwachstelle entspringen. Und somit fremde Personen binnen kürzester Zeit, Zugriff auf das interne Netzwerk haben, um den Server mit seinen Freigaben ins Internet zu bringen. Oder der Router dies schon, durch fehlerhafte Skripte, von selbst erledigt hat. Genau. Ein heutzutage meldepflichtiger Zwischenfall, welcher einen, bei falscher Handhabung, ruinieren kann!
Abschließende Bemerkungen
Auf Grund meiner Tätigkeit im informationstechnischen Sektor, habe ich immer mal wieder mit unwilligen Providern bzw. deren Hotlines zu tun. Jeder Provider hat so seine Eigenarten, aber das was Vodafone mit seinen Kunden abzieht, würde ich persönlich nicht tolerieren! Auch wenn sie momentan die schnellsten bezahlbaren Verbindungen, für Privatkunden, in Deutschland anbieten. Klar könnte man mich als versonnen bezeichnen, wenn ich der Meinung bin, dass informationstechnische Anlagen unter eigener Kontrolle zu betreiben sind. Jedoch ist es in der heutigen Zeit unabdingbar, sich darüber im Klaren zu sein, welche Möglichkeiten Provider haben, wenn sie durch ihre Technik in die eigenen 4 Wände eindringen. Wir haben noch das Gut der Privatsphäre. Also gebt dieses Recht bitte nicht auf, nur weil Provider nicht in der Lage sind sich mit etablierten Standards zu beschäftigen.
Unsere Grundrechte sind massiv in Gefahr und es ist mittlerweile kein großer Schritt mehr notwendig, um in die Totalüberwachung zu rutschen! Im Endeffekt sind wir schon mittendrin, nur sind die Ermittlungsbehörden noch zu dämlich mit der Flut an Daten umzugehen. Aber für dieses Problem steht ja schon die künstliche Intelligenz in den Startlöchern. Es ist also nur noch eine Frage der Zeit, bis uns die staatlich geforderten Sicherheitslücken und das mangelnde technische Verständnis auf die Füße fallen. Es gibt auch immer neue Gründe, warum eine totale Überwachung notwendig sein könnte. Entweder sind es Terroristen, Extremisten oder pädophile Netzwerke. Komischerweise ist man nicht mal in der Lage unsere umtriebigen Kirchenvertreter einzufangen, welche sich an Schutzbefohlenen vergriffen haben. Einige von Ihnen dürfen mit der Gewissheit ins Grab getragen werden, dass sie niemals zur Rechenschaft gezogen wurden.
Ich möchte den ursprünglichen Code hier auf keinen Fall abwerten. Das Projekt ist gut durchdacht, hatte aber aus meiner Sicht…