Hallo 2020atHome
Grundsätzlich alle Modems bzw. Router, die von einem ISP zur Verfügung gestellt werden, unterstützen TR-069. Ob dies eine Sicherheitslücke ist, hängt davon ab, wie TR-069 implementiert wurde bzw. eingesetzt wird. Hier ein Link, wie ISPs den Einsatz von TR-069 sicher gestalten können:
https://www.qacafe.com/articles/best-practices-for-securing-tr-069/
Prinzipiell würde ich mich in Bezug den Einsatz einer eigenen Firewall der Meinung von GrandDixence anschliessen, da die Netzwerksegmentierung dazu beiträgt, die Sicherheit zu erhöhen. Allerdings muss man sich hier bewusst sein, dass ein Heimnetzwerk dadurch komplexer wird, und dass die Firewall konfiguriert und gepflegt werden will (Updates, Regelwerk usw.) … und man muss auch noch wissen, was man tut … 😉. Alternativ kannst Du einen eigenen Router anstelle einer Firewall verwenden. Allerdings hast Du dann nicht mehr die gleiche Flexibilität.
In Bezug auf den Betriebsmodus der Connect Box haben sowohl den Router- als auch den Modem- oder Bridge-Modus Vorteile und Nachteile, und im Zusammenhang mit der Sicherheit ist es nicht so wahnsinnig relevant, welcher Modus verwendet wird, solange man die Risiken kennt und die allfälligen Gegenmassnahmen implementiert.
Der Hauptvorteil des Bridge-Modus ist, das Du dir keine Gedanken über NAT in Richtung machen musst, da die Internet IP von deinem eigenen Router bzw. deiner Firewall übernommen wird. Allerdings hat einige wichtige Nachteile:
- In einem Support-Fall kann UPC nicht darauf zugreifen und somit auch nur eingeschränkt Support leisten (zumindest wurde das im Kommentar eines Mitglieds des UPC-Teams hier im Forum erwähnt)
- Bei gewissen Tests kann es erforderlich sein, den Router in den Routermodus zu versetzen
- Ein Parallelbetrieb von Firewalls, um eine allfällige Migration durchzuführen, ist in der Regel nicht möglich.
- Verbindungstests vor und hinter der Firewall, um Fehlerquellen auszuschliessen, sind in der Regel nicht möglich.
Der Hauptnachteil des Routermodus ist NAT. Wenn Du eine eigene Komponente (Firewall, Router) zur Netzwerktrennung verwendest, musst Du auch NAT in Richtung Internet konfigurieren. Daraus ergibt sich ein doppeltes oder kaskadiertes NAT (1x Connect Box “internet facing” + 1x Firewall “Connect Box facing”). Dieser Nachteil könnte man umgehen, wenn die Connect Box gewisse Routing-Funktionen anbieten würde, welche den Benutzern erlauben würde, die internen Netze “bekannt zu machen” (z. B. statisches Routing). Leider ist dies nicht der Fall … 🙁
Der Hauptvorteil des Routermodus ist seine Flexibilität, sei es in einem Supportfall oder bei der Gestaltung des eigenen Netzwerks.
Aber wie ich vorhin erwähnt habe, spielt es keine grosse Rolle, welcher Modus Du verwendest, solange Du Dir der Risiken bewusst bist und entsprechenden Massnahmen ergreifst … 🙂
Gruss
Belegnor