DSL fernkonfiguriert
Seite 7: Sicherheitsaspekte
Sicherheitsaspekte
Netzbetreiber können die TR-069-Kommunikation zusätzlich schützen, indem sie den ACS in einem logisch vom Internet separierten Netz betreiben; Provider, die beispielsweise ein ATM-Netz unterhalten, können den ACS vom Internet abschirmen, indem sie ihn in ein privates Netz stecken.
Dem TR-069-Traffic zwischen DSL-Modem und ATM-Netz des Providers wird dafür ein eigener ATM-Kanal zugewiesen. Angriffe auf den ACS könnten dann nur aus dem privaten Netz des Providers kommen, nicht aber aus dem großen, bösen Internet.
Ferner müssen sich ACS und CPE auf die erhaltenen Daten verlassen können – es muss also sichergestellt sein, dass sie wirklich vom angegebenen Absender stammen, vollständig und unverändert sind. Die SSL/TLS-verschlüsselte Kommunikation (HTTPS) kann das gewährleisten. Dazu müssten sich aber Client und Server gegenseitig authentifizieren. Im Zusammenspiel mit den per OpenSSL vergebenen Zertifikaten und geheimen Schlüsseln lassen sich damit Teilnehmer-Router zweifelsfrei identifizieren und auch die Integrität der übertragenen Daten gewährleisten.
Doch die Spezifikation schreibt HTTPS nicht vor, sondern empfiehlt die Technik lediglich und erlaubt stattdessen auch unverschlüsselte HTTP-Verbindungen. Nur bei HTTPS ist aber gewährleistet, dass sich bei einer TR-069-Verbindung auch der ACS gegenüber dem CPE mittels Zertifikaten authentifiziert, sodass das CPE einen vorgetäuschten ACS erkennen kann (Spoofing vermeiden). Immerhin setzen alle DSL-Anbieter, die bereits TR-069 anwenden, HTTPS ein.
Die öffentlichen SSL-Zertifikate sind bereits ab Werk in der Firmware des CPE enthalten. Wie sich ein CPE bei abgelaufenen Zertifikaten verhalten soll, beschreibt die Spezifikation nicht. Ein abgelaufenes Zertifikat, CPE- oder ACS-seitig, verhindert natürlich die Kontaktaufnahme. Nutzer müssen also darauf bauen, dass die Zertifikate durch Firmware-Updates aktuell gehalten werden.
Wie man Zertifikate und geheime Schlüssel sicher aufbewahrt, diskutiert die Spezifikation nicht. Auch lässt sie offen, wie man verhindert, dass ein Router manipulierte Firmware akzeptiert, die unbedarften Nutzern untergeschoben werden könnte. Deshalb konzipieren manche Hersteller ihre TR-069-fähigen Geräte so, dass sie nur digital signierte Firmware annehmen. Dabei ist unerheblich, ob die Firmware aus dem Internet oder aus dem LAN auf dem Router eingeht.
Auch beim automatischen Firmware-Update per TR-069 sollte das CPE nur vom CPE-Hersteller signierte Daten akzeptieren. Dafür definiert die Spezifikation das Signed Package Format, mit dem sich ein bis mehrere Dateien in einem signierten Paket übertragen lassen (Package). Auf diese Weise lassen sich Malware-Installationen vermeiden. Vorgeschrieben ist diese Art Eingangsprüfung jedoch nicht, sondern freigestellt.
Außerdem stellt die Spezifikation sicher, dass ein ACS private Daten wie Passwörter des CPE allenfalls schreiben, nicht aber lesen kann – dafür räumt ihm das CPE keine Rechte ein. Deshalb kann ein DSL-Anbieter über ACS beispielsweise eigene VoIP-Konten für den sofortigen Gebrauch anlegen, nicht aber manuell angelegte Parameter fremder VoIP-Anbieter auslesen. Das heißt auch, dass WLAN-Keys zur Verschlüsselung des Funknetzwerks ebenso geheim bleiben wie Passwörter von VoIP-Konten, die der Nutzer manuell hinzugefügt hat.
Dass es Unbefugten gelingen könnte, die Router-Firmware zu manipulieren, um an solche Daten zu gelangen, erscheint kaum wahrscheinlich. Hersteller geben ihre Firmware-Sourcen normalerweise nicht weiter und die meisten Hersteller schützen ihre Geräte vor solcher Malware dadurch, dass sie nur signierte Firmware akzeptieren.
Es ist zwar richtig, dass TR-069 dem Internet-Dienstanbieter die Möglichkeit gibt, unbemerkt vom Nutzer Einstellungen des DSL-Routers auszulesen und zu verändern. Ein heimliches Firmware-Update mit einem "TR-069-Trojaner" würde aber noch lange keine Online-Durchsuchung von PCs ermöglichen, dafür ist TR-069 nicht ausgelegt, und automatische Updates sind ja auch ohne TR-069 möglich.
Mit viel Phantasie und zusätzlichen, TR-069-fremden Funktionen wäre allenfalls das Mitschneiden des Datenflusses im Heimnetzwerk möglich. TR-069 könnte die TCP-Mitschnitte sogar effektiv transportieren, denn mit einem Befehl kann ein CPE bis zu 32 KByte auf einen Schlag senden. Allerdings dürfte das Interesse an solchen Daten gering sein, denn einen Großteil dieses Verkehrs sehen die DSL-Anbieter schon heute und Strafverfolgungsbehörden bekommen diese Daten auf richterliche Genehmigung hin. Was sie nicht sehen, ist der verschlüsselte Verkehr des PC und dafür brauchen sie ein Werkzeug, das direkt auf dem PC mitlauscht.
Wer seine Privatsphäre dennoch durch TR-069 gefährdet sieht, hat nur eine Wahl, um seine Zweifel zu beruhigen: einen Router nutzen, bei dem TR-069 abschaltbar ist. Wenn der Anbieter einen bestimmten Router voraussetzt und diesen für die Dauer der Vertragslaufzeit zur Verfügung stellt, ist dies aber oft nicht möglich. Bessere Akzeptanz hätte aber auch schon eine TR-069-Auslegung, bei der der User selbst bestimmen darf, welche der im Router implementierten Funktionen per TR-069 genutzt werden.
