Warum ich Speedport-Router nicht mag...

[heisenberg]

Ist zwar schon eine Weile her, dass ich mich damit beschäftigt habe. Ich gebe aber trotzdem Mal meinen Senf dazu:

Speedport ist - wie hier erwähnt - ein ISP-Produkt und der ISP setzt damit seine Interessen durch, welche da sind:

• Den Funktionsumfang so eindampfen, dass möglichst geringer Supportaufwand erreicht wird. (Funktionen die Bugs haben, müssen nicht gefixed werden, wenn die Funktionen entfernt wurden!; TR069 gehört auch dazu.)
• Funktionen die negative Auswirkungen auf die eigenen Verkaufszahlen(VoIP?) haben könnten, entfernen. (Kann ich gerade nicht (mehr) belegen.)
• Umsetzung von Schutzmassnahmen für das eigene Netz(Reduktion der Netzbelastung durch Befreiung von Angriffen; z. B. Sperren von Mailports nach außen, außer grosse Mailanbieter)
• Minimierung der Betriebskosten für die Router-Bereitstellung(Seltene Firmwareupdates -> weniger Programmieraufwand).

Teilweise war ja der Speedport eine angepasste Fritz!Box. Weiss nicht, ob das immer noch so ist. Sprich: Die Fritz!Box hat den vollen Funktionsumfang, der Speedport-Router war gnadenlos zurechtgestutzt.

[pferdefreund]

Hab gerade den Artikel gelesen - na ja, wenn es bereinigt wird, ist doch gut. Es gibt genug andere Software, da wird eben nix bereinigt und (ich bin selbst Software-Entwickler) Shit happens. Ist halt die Frage, wie damit umgegangen wird - und Fehler machen wir (ich auch) alle mal. Es gibt da so ein käuflich erhältliches Betriebssystem, da werden Fehler - wenn überhaupt - teilweise erst nach Monaten gefixed - und wie war das noch mit der Hardware - VW usw...Wenn die Telekom das fixed, dann ist es doch ok.

[wanne]

Ist halt die Bescheurtregelung dass Leute meinen, dass Router "Sicherheitsfeatures" brauchen.
99% der Malware kommuniziert über ausgehende TLS-Verbindungen auf Port 443 587 oder 993. Die kann man aber nicht blockieren weil dann halt auch 90% der legitimen Dienste nicht mehr tun würden.
Also scheißt man halt wild auf irgend welche Nieschenanwendungen als Sündenbock damit man stolz sagen, kann wie viele tolle Sachen man gemacht hat.

Ganz vorne dabei ist die Fritz!Box. (Die Blockiert per default sogar das eigene NAS im eigenen Netzwerk – Trotz expliziter Portfreigabe.)

Das hat absolut nichts damit zu tun, ob diese Anwendungen gefährlicher sind als andere. Während man sich da bei menschengemachten Regeln noch drüber streiten kann sieht man das ganz deutlich an dem ganzen AI-Zeug. Alles trainiert ausschließlich an legitimem Traffic und haut dann auf alles andere als ungewöhnlich drauf. (Real müsste man es eben genau anders herum machen: Ausschließlich an illigitimem testen und legitimen außen vor lassen, damit sich bösartige Sachen nicht gezielt in einer Mehrheit von gutartigen verstecken können um so das Sicherheitssystem auszutricksen.)

Die Strategie ist Stein alt und funktioniert seit Jahrtausenden. Wenn irgend was schief läuft wird von denen, die für Sicherheit zuständig sind, handeln verlangt. Können die nicht sinnvoll liefern wird die nächst beste Minderheit genommen und da halt drauf gekloppt. Dann hat man was gemacht. So hat das bei den Römern mit den Anhängern des Alten Glaubens funktioniert. So haben die Hexenverbrennungen funktioniert und so funktioniert heute Netzwerksicherheit.

Das letzte mal war es unabhängige Online Telefonie die da als Kollateralschaden drauf ging. Davor FTP-Nutzer und danach waren es halt NAS-Betreiber und jetzt halt Onlineausleiher...
Sobald die Nutzerbasis klein genug ist, wird drauf geschlagen und das als "Sicherheitsfeature" verkauft ohne dass es je den Nutzen unter Beweis gestellt hat.
Die Argumentation ist immer die gleiche: Otto-Normal will doch so was gar nicht tun. Das sind doch nur 0.0X% die da drunter Leiden. So ein bisschen loss ist halt immer zu Gunsten der Sicherheit für alle. Mit der Argumentation hat die Inquisition funktioniert und mit der selben werden auch weiter Routersicherheitsfeatures funktionieren.

[wanne]

Nochaml in eigenem Beitrag warum das in dem Fall genau so läuft um das abstrakte Konzept von diskrimieren von Minderheiten Beispiel zu verdeutlichen:

Am Anfang steht da immer irgend wo ein fünkchen Wahrheit nur halt nicht zu Ende gedacht: DDoS Angriffe optimieren natürlich immer auf möglichst großen Schaden bei kleinen Kosten. Kosten sind halt die Bandbreite denn die ist in deinem Botnetz begrenzt. Deswegen versucht man halt möglichst kleine Pakete zu machen die den passenden Schaden (last) anrichten. Der Klassiker sind Syn-flood: Das kleinste der möglichen TCP-Pakete verursachte schon last auf sehr alten TCP-Stacks.
Wäre tcp eine Nischenanwendung gewesen hätten die Router instant tcp mit all seinen legitimen Anwendungen blockiert. – Konnten sie aber nicht. Stattdessen hat man halt die Performance Serverseitig optimiert, dass das kein Problem mehr ist. Angreifer werden jetzt das nächst längere Paket nehmen, dass ausreichend Last erzeugt. (Viele benutzen btw. bis heute syn-foods. Die funktionieren zwar nicht mehr wie erwünscht weil sie ein paar Potenzen weniger Last erzeugen aber sie sind ja immer noch unheimlich billig man braucht dann halt ein paar Potenzen mehr Bandbreite aber das ist immer noch verlockend. Und während Linux und BSD selbst nicht mehr angreifbar hat der ein oder andere doch ne ausreichend kaputte Firewall, dass das doch wieder ein Problem wird. Die Chance bekommt man das sozusagen umsonst oben drauf.)
Die Sicherheitskonzept möglichst kleine Pakete zu blockieren ist als erst mal nachvollziehbar. Die werden wirklich aktiv und in großem Umfang für Angriffe genutzt.
Das Problem ist:

1. Der Angreifer kann auch größer. Es ist ja nur eine Optimierung seiner Kosten. Du verhinderst dadurch keine Angriffe. Du machst sie bestenfalls teurer.
2. Viel schlimmer. Bandbreite zu sparen ist auch ein Ziel für legitime Nutzer. Deswegen killt das die ganzen alten IoT Anwendungen. Die waren noch darauf ausgelegt mit kleinen Anbindungen klar zu kommen. (Während man damals angenommen hat, dass das auch in der Scheune per 28k-Modem funktionieren soll geht man heute eher davon aus, dass die Nutzer sich eh hier 200MBit/s überall hinlegen lassen, wo sie das benutzen wollen.) Man kann das Limit also gar nicht so weit hoch schrauben, dass es schmerzhaft für Angreifer wird, weil es dann eben auch legitime Anwendungen killt. Am Ende schadet so eine Maßnahme legitimen wie illegitimen Anwendungen gleich stark. – Solche patt Situationen hat man oft. Maßnahmen die gegen Missbrauch schützen, schützen halt dummerweise meistens auch gegen Gebrauch und zwar in gleichem Maße.
3. Eigentlich müsste nach dem letzten Punkt Schluss sein. Entweder man nimmt an, dass der Missbrauch den Gebrauch überwiegt und schaltet TCP ab (setzt das Limit auf unendlich) oder man sieht es anders herum und lässt es laufen. (Setzt das Limit auf 0.) Aber beide Seiten sind sehr unbeliebt. Kompromisse klingen viel schöner. Also legt man halt irgend ein Limit fest, dass es ausreichend wenig schadet. Man kann sich dann nicht Tastenlosigkeit vorwerfen lassen aber die Mehrheit bleibt weitestgehend unbehelligt von den Maßnahmen. Passiert später doch was kann man halt darauf verweisen, dass das halt ein Kompromiss war.
4. Resultat: Nischenanwendungen gehen kaputt. Der Bauer der bis jetzt mit seinem 28k-Anschluss gelebet hat muss dann halt doch auf die dickere Leitung Upgraden und für Onlineleihe wird es auch irgend eine Alternative geben. Waren beides eh keine "Zeitgemäßen" Nutzungen mehr. Sowas wird genau so sterben wie FTP Torrent oder Sipgate. Malware wird das auch wenig stören die nimmt halt das nächst größere Paket über dem Limit. – Und wir erinnern uns: Das musste ja klein genug gewählt werden, dass es für 99% der Nutzer kein Problem ist. Also auch nicht für die Malware...
   Probleme hat lediglich der, der sich weiger schön brav immer im Mainstream mit zu laufen und meint, sein IoT zeug hat doch problemlos über Jahre funktioniert und nicht einsehen, dass er sich jetzt ein Alexa+200Mbit/s Leitung kaufen soll.