Tweak scripts

[een "weg met de jodenster" voorbeeld]

modem tweaks

De standaard configuratie van het bij Mxstream meegeleverde Alcatel modem biedt veel modem-functies, maar da’s geen onverdeeld genoegen. Wanneer er een netwerkje mee aangesloten wordt vergt dit voor iedere pc een eigen IP nummer. De computer(s) moet(en) hierbij steeds aan blijven staan om de verbinding in stand te houden, terwijl de 'transport mode' tunnel van M$  zowel het zonder encryptie werken verhindert als dat het effectieve (anonimiserende) encryptie conform de IPv6/IPSec specificaties onmogelijk maakt.

De usb-versie is voordeliger dan de ethernet modem, maar kan niet getweaked worden.

De Pro- en de getweakte versie van het modem zijn ongeveer aan elkaar gelijk en kunnen geconfigureerd worden. De Pro is echter vrij prijzig en wordt pas sinds de lente van 2002 door KPN geleverd. De meeste mensen hebben dan ook geen 'Pro' maar een 'home' of getweakt (semi-pro) ethernet modem. Nadeel van de tweak is dat de garantie op het modem officieel vervalt.

Bij de tweak naar semi-Pro (en bij de Pro-configuratie) wordt PPTP vervangen door PPP om van de technische- en privacy-nadelen van dit protocol af te komen (uploads stokken niet meer, pingtijden worden korter, geen tunneling mode meer). Om met slechts een IP adres toch met meerdere pc’s het internet op te kunnen kan er gebruik gemaakt worden van NAT.

NAT is echter ook niet zonder nadelen. Het kan niet zo maar op iedere positie in het netwerk verricht worden en er zijn applicaties die niet compatibel zijn met NAT omdat ze een directe verbinding met het Internet vereisen. (FTP kan slechts in ‘passive mode’, Tracert [trace route] werkt niet. En aangezien de header-info van de IP-packets herschreven wordt door NAT kan er geen gebruik gemaakt worden van de privacy biedende ESP functie die een geintegreerde IPSec functie is van IPv6.

Bij de DHCP-Spoof-configuratie worden bovenstaande problemen opgelost: geen PPTP meer en geen NAT meer. Nu komt al het verkeer direct op de pc aan, maar er kan slechts een pc tegelijk van de aansluiting gebruik maken. Aangezien er voor de privacy-verbinding een authenticatie-tunneling onderhandeld moet worden tussen host en client (de computers) is dit echter nog steeds ontoereikend. Er kan per account slechts een pc (IP adres) in aanmerking komen voor tunneling. Dit zou wellicht opgelost kunnen worden door de dhcp-configuratie in het modem statisch in te stellen op het IP-adres van de internet gateway, maar daarmee vervalt de zin van dhcp terwijl we wel met de nadelen blijven zitten.

De SIP-SPOOF configuratie gaat nog een stapje verder en verwijdert ook DHCP uit het modem dat nu nog slechts als neutraal ‘doorgeefluik’ functioneert. Geen PPTP meer, geen NAT en geen DHCP.

Door het externe IP-adres niet aan de modembuitenkant maar aan de buitenkant van de internetcomputer (NIC 0) toe te wijzen, worden omwegen via de modem overbodig gemaakt. Door dit apparaatje aan de ‘buitenkant’ vervolgens van een vast prive-IPnummer te voorzien, krijgt het ongeveer dezelfde werking als een intern (ADSL)modem. De DNS-service moet dan ook nog even uit gezet worden want da’s overbodig wanneer dit al op eth 0 gebeurt. Het modem doet nu niets anders meer dan zijn basisfunctie: moduleren.

De SIP_SPOOF configuratie biedt dezelfde voordelen als de DHCP_Spoof en is dus volledig verenigbaar met de IPSec specificaties. Daar komt bij dat er nu geen DHCP verbinding meer tot stand gebracht hoeft te worden door het modem (hetgeen wel eens achterwege blijft na het wegvallen van de verbinding). De beveiliging wordt ook nog iets steviger nu de routing tabel van de modem eenvoudiger is en er in het modem geen DNS meer verricht hoeft te worden. (Hoe minder functies de modem vervult, des te minder aangrijpingspunten er voor de buitenwereld zijn. Door zo veel mogelijk functies binnen de firewall te laten verrichten, inclusief DNS, kan de beveiliging/bewaking geoptimaliseerd worden terwijl ook de uptime van achterliggende pc’s toe zal nemen.)

 


Mxstream ADSL Tweaks


Alcatel SpeedTouch Home ethernet Alcatel ST Pro ethernet
Alcatel SpeedTouch Home usb Alcatel ST Pro semi-Pro (=tweak) ethernet

      zwarte panter

Standaard installatie  Tweak Tweak + DHCP_Spoof Tweak + SIP_SPOOF
`
Always On  : nee
ja
ja
ja
[pc kan uit.]

(user/password is opgeslagen in het modem dat nu de verbinding verzorgt)

`
PPTP           : ja
nee
nee
nee
[M$ 'transport mode' VPN]

(geen transport mode met zwakke encryptie en registratie van data meer)

 
NAT            : nee
ja
nee
nee
[vertaalt LAN-IP's naar
 1 extern IP, mapt intern
 naar poorten, wijzigt
 headers.]

(directe verbinding, tegelijk,

 tussen iedere pc, met de modem

 10.0.0.138 als gateway en internet.

 Geen aparte router nodig.)

 
DHCP         : nee
nee
ja
nee
[host IP-toewijzing,

 (directe verbinding,

 verhindert forwarding]

    slechts 1 pc tegelijk)

 
Local IP       : nee
nee
nee
ja

 (geen NAT of DHCP meer)

`
DNS             : ja
ja
ja
nee
[adressering op naam]


Zoals u hier boven kunt zien is tweaken (softwarematige instellingen veranderen) de manier om van pptp af te komen voor degenen met een Speedtouch Home ethernetmodem. Producent Alcatel vindt dat mensen maar een Pro versie aan moeten schaffen als ze gebruik willen maken van de softwarematige configuratiemogelijkheden van het modem. En voor degenen die nog kunnen kiezen welk ADSL- modem ze aan gaan schaffen valt dit ook aan te raden want het tweaken gaat niet altijd even feilloos. Maar degenen die reeds een modem hebben uit de tijd dat KPN-Mxstream slechts geleverd werd met een 'Home' versie, zullen voorlopig moeten kiezen tussen het verdedigen van hun privacy en de opvatting van Alcatel dat de in het modem aanwezige software niet gebruikt mag worden.

- Door tweaken van het Alcatel ethernet modem, of aanschaf van de 'pro'-versie, kom je dus van PPTP af. PPTP is namelijk een 'transport mode' in plaats van 'tunneled mode' verbinding die serieuze privacy verhindert. 

- Door DHCP_Spoof kom je van NAT af. (NAT vervangt de headers van IP-packets en dat kun je niet gebruiken op modem-niveau want dan komen de packets niet meer door de integriteitscontrole.)

- DHCP_Spoof rekent met NAT af, maar dan zit je nog steeds met DHCP opgescheept (en dat verhindert portforwarding naar de gateway als ik me niet vergis, terwijl die verbinding blijkbaar niet altijd opnieuw opgebouwd wordt door het modem als er storing optreed). Door Static IP_Spoof (SIP_SPOOF) kan de rol van het modem verder gereduceerd worden tot het nog slechts als 'ego-loze' bemiddelaar functioneert (geen PPTP, geen NAT, geen DHCP, geen DNS meer). Het modem-IP adres wordt 'prive' gemaakt zodat het van buitenaf niet meer zichtbaar is, terwijl het externe IP-adres toegewezen wordt aan eth 0 met subnetmask 255.255.255.255. Nu is er ook portforwarding in combinatie met IPSec tunneling mogelijk, want het modem is a.h.w. een interne poort geworden die niets anders doet dan moduleren.

Resteert nog het modem op de juiste computer aan te sluiten...

`
terug pijltjeterug pijltjes terug pijltje

vooruit pijltje