Routerzwang: Was ist das?
heise.de berichtete gestern über die Bundesnetzagentur und den Routerzwang. Aber was ist Routerzwang, welche Probleme entstehen dadurch und warum is das Thema so “heiß”?
Der Netzabschluss
Für einen Zugang zum Netz ist in vielen deutschen Haushalten eine einfache TAE-Dose (Telefondose) eingebaut. Diese bietet eine Steckverbindung zu der Kupferdoppelader, die das eigentliche Telekommunikationsnetz in Deutschland ausmacht. Die TAE-Dose ist ein passives Gerät, das im Wesentlichen die Aufgabe der Ordnung erfüllt (Man könnte die zwei Kupferdrähte auch aus der Wand stehen lassen, aber das wäre doch irgendwie unpraktisch, oder?). Für meinen Breitbandzugang muss ich nun ein Modem (nach den Spezifikation der G992.1 der ITU-T) an die TAE-Dose anschließen. Diese Modems kosten meist nicht mehr als 30€ und sind oft schon in einer Black Box incl. Router verbaut.
Der Radius Server
Jeder kennt die Rechnung am Ende des Monats für Internet und Telefon. Damit die Marktwirtschaft mit konkurrierenden Anbietern im selben Netz funktioniert gibt es Zugangsdaten. Will ich mich ins Netz einwählen, so ist nicht relevant wo ich mich aufhalte, da ich über das Netz die Zugangsdaten an einen so genannten Radiusserver sende, der mir dann den Zugang zum Netz gestattet. Dieses Konzept ist weit verbreitet, zum Beispiel Handys und Hot Spots funktionieren auf diese Weise.
Routerzwang
Routerzwang bedeutet, die Zugangsdaten für den Radiusserver werden Ihnen vorenthalten. Der Router wird Ihnen mit einem Vertrag ausgeliefert und bleibt im Besitz des Anbieters. Bei Einwahl ins Netz sendet der Router seine MAC-Adresse (seine eindeutige Geräte Nummer) und erhält, falls er im richtigen Haus steht, Zugriff auf das Netz (zum Beispiel indem er seine IP-Adresse erhält).
Wo ist das Problem?
Probleme gibt es leider viele. Stellen Sie sich vor, Sie könnten die SIM Karte Ihres Handys nicht in ein neues Gerät einlegen und nur an einer Funkzelle telefonieren; das wäre völlig absurd. Dazu kommen aber ganz andere Schwierigkeiten. POTS (analoges Telefon) und ISDN sind im Begriff zu verschwinden und werden durch VoIP ersetzt. Ohne die Zugangsdaten muss ich die vom Anbieter vorgegebenen Telefone nutzen, meine eigene Telefonanlage ist nicht mehr möglich (insb. die Verschlüsselung der Gespräche, damit sie niemand abhören kann). Der Anbieter kann für mich entscheiden, welche Dienste er verbietet und welche er zulässt. Derzeit verschwinden vor allem VoIP und Peer to Peer. Das heißt, Skype und Co. und insb. VPN Verbindungen gehören damit der Vergangenheit an. Und das sind Dinge, die wir auch bei kleinen Handwerksbetrieben einrichten, damit diese Ihre Verwaltung sicher und Kosten effizient nutzen können. Unsere Erfahrung zeigt hier, dass ein Routerzwang wahrscheinlich wirtschaftliche Einbußen im Bereich kleiner Unternehmen zur folge hätte (Belanglos sind wir definitiv nicht).
Der Ausschlag gebende Punkt ist aber sicherlich dieser. Ohne die Wahlfreiheit des Routers, kann ich nicht mehr feststellen in welchem Umfang der Anbieter meine Daten mitliest. D.h. mit Routerzwang haben vier Unternehmen (Dt. Telekom AG, Vodafone Group, Unitymedia Kabel BW, United Internet AG) Zugang zu nahezu jedem Computer und Telefongespräch.
About the Author
Computer sollen uns in Beruf und Alltag unterstützen. Damit das funktioniert müssen wir einen einfachen und intuitiven Zugang zu unseren Programmen, Daten und Systemen haben.
Marcus
Hi!
Unabhängig davon, ob man glaubt, dass die ISP deine Daten “mitlesen” (tue ich nicht – egal). Du schreibst: “Ohne die Wahlfreiheit des Routers, kann ich nicht mehr feststellen in welchem Umfang der Anbieter meine Daten mitliest.”
Das ist eine doppelte Verneinung. Also mit Wahlfreiheit des Routers, kannst du feststellen, in welchem Umfang der Anbieter deine Daten mitliest? So einen Router würde ich mir patentieren lassen.
Freundliche Grüße,
Marcus
GlobalAdmin
Hallo Marcus,
mit Umkehrschlüssen ist das so eine Sache. Ein möglicher Umkehrschluss wäre nämlich auch: Ich kann einstellen, was der ISP mitlesen darf. Aber völlig unabhängig davon, es läuft auf das gleiche hinaus. Unter mitlesen versteht man hauptsächlich syslogging und pcaping, ferner snmp und upnp. Diese Infos werden tatsächlich beim Consumer-CPE zum debbuging genutzt, wenn DSLAM und Radius keine Infos mehr bieten können. Inwieweit Port Mirroring betrieben wird kann ich nicht sagen, allerdings hatten wir in der Vergangenheit immer wieder Fälle in denen Leute auf uns zu kamen, weil ihr Anschluss angeblich unsauber konfiguriert ist (sehr beliebt ist die Anfälligkeit gegen Smurf-Attacks) und das IPS/ IDS des ISP sich gemeldet hat.
Wenn Du selbst basteln willst, gibt es für den Consumer Bereich die embedded Linux Community (ich empfehle die Asus Black Diamonds mit dd-wrt), bzw. etwas gehobener ClearOS (hier ist dann schon snort möglich) oder in der Oberklasse eben echte L3 Managed Switches (z.B. von D-Link) incl. Monitoring Software (z.B. von inmon). Dann kannst du einstellen wo der syslog gespeichert wird, wer die MIB bekommt, usw.. Gegen paket capturing am Port kann man natürlich nichts machen, das ist aber auch eigentlich nicht gewollt (siehe z.B. Tos). Hier erfolgt die Übertragung ja meist eh über einen sicheren Tunnel.