TR-069: Router-Plug-and-Play mit Risiken

Gruß zum Abend,

die Existenz der Forward-Regel bedeutet nicht, dass auch der Service erreichbar ist. Wenn der Haken bei "Automatische Einrichtung durch den Dienstanbieter zulassen" entfernt wird, ist auch kein Connect gegen den TR-069-Port der FRITZ!Box möglich. Das lässt sich einfach mit telnet gegen die öffentliche IP-Adresse der FRITZ!Box verifizieren.

Hallo stocki2008.
Das ist alles schön und gut. Doch das war ja das Problem. Es gibt in der vorliegenden FritzBox keine Möglichkeit, diesen Haken zu setzen. Ich habe also nur die Chance, die Box zu hacken, wie bereits geschehen, und die Einträge dort zu löschen.

Die Voreinstellungen sollten daher vom Werk abgeschaltet sein. Der Provider könnte beispielsweise den Kunden fragen, ob er den Service nutzen möchte, und vorkonfigurierte Boxen versenden.

Aber das wird wahrscheinlich ein zu großer Aufwand sein - also für den Provider.

In diesem Sinne: Danke für Deine Meinung

Laengsynt

HiHo am Nachmittag,

wenn ich die Experteneinstellung aktiviere, finde ich bei mir bei aktiviertem TR-069 unter System->Netzwerkeinstellungen den Punkt "Automatische Einrichtung durch den Dienstanbieter zulassen". Einfach hier den Haken wegnehmen und schon ist der Port 8089 von Außen nicht mehr erreichbar. Ich hoffe es klappt. btw, mit netstat oder einfach http://fritz.box/html/support.html werden auch die LISTEN Ports angezeigt. Der Port 8089 ist dann weg.

Hallöchen am Abend.
Deine Einstellungen und damit die Möglichkeiten sind ja auch ok. Doch sind diese nicht bei jeder Box vorhanden. Es geht ja auch nicht nur um das Häckchen; vielmehr um die Sache selbst: So haben die Provider reagiert und den Haken bei "dauerhaft im Netz bleiben" herausgenommen. Es waren aber erst Klagen von Usern, die die Provider dazu zwangen. User wollen selbstständig bleiben und das wird ihnen mit beispielsweise dieser Schnittstelle genommen. Ach ja, als kleine Info: Wenn ich die Box mit dem Haken gesetzt habe und bei Freenet einen Tarif wähle - kann ich bei der ersten Installation nichts machen. Ich muss also die Anmeldung automatisch über mich ergehen lassen.

Ist alles nicht so dolle, wie es scheint.

LG Laengsynt

Hallo Laengsynt,

> Doch sind diese nicht bei jeder Box vorhanden

ich war nun irritiert wegen der Erwähnung der FRITZ!Box im Artikel, die ist hier aus meiner Sicht sauber.

> So haben die Provider reagiert und den Haken bei "dauerhaft im Netz bleiben" herausgenommen

das kenne ich nicht und taucht auch im Artikel nicht auf. Wie soll denn dann VoIP funktionieren, wenn die Geräte nicht dauerhaft im Netz bleiben (VoIP über einen anderen PVC)? Meine FRITZ!Box ist am 1&1-Anschluss sauber, ich habe aber auch die AGB´s gelesen ;)

> Wenn ich die Box mit dem Haken gesetzt habe und bei Freenet einen Tarif wähle...

Wer die Assistenten nicht mag, sollte halt direkt die Einstellungen vornehmen. Diese Freiheit gibt mir meine FRITZ!Box.

> Ist alles nicht so dolle, wie es scheint.

Mein Schwager, der handelt mit Fisch, der freut sich, wenn ihm Konfigurationsarbeiten abgenommen werden, der will sich aber auch nicht tief mit der Materie beschäftigen, der will Internet/VoIP nur einfach nutzen. So gibt es unterschiedliche Sichtweisen.

Gruß,
-- Stocki

Hallo stocki2008.
Ich muss hier dann doch mal was klarstellen, auch weil die Herren/Damen bei AVM etwas Panik schieben und den Sinn des Artikels falsch verstanden haben. Was ja auch nicht weiter schlimm ist.

Der Sinn, der hinter dem Artikel steckt, ist folgender: Hier geht es erst einmal um den Rundum-Service, der auch die Sicherheit beinhaltet. Diese ist in keiner Weise gegeben. Nicht weil AVM den Haken weg lässt. Auch nicht, weil der Haken bei manchen nicht veränderbar scheint.

Der gesamte Einrichtungs-Service fängt bei den Providern an. Diese klären nur ganz ganz vorsichtig und leise über diese Schnittstelle auf. Ich habe heute einfach mal, um mir auch selbst ein Bild davon zu machen, bei Freenet angerufen. Das hat mich knapp 3 Euro gekostet, aber mich auch bestätigt. Im Service wusste man erst nicht, was diese Schnittstelle ausmacht und dann wurde diese noch als "grundsätzlich" nicht benötigt deklariert. Wie ich finde ein völlig falscher Service - weil schlecht ausgebildet und schon Standard bei Freenet.

Ich mache aber den Mitarbeitern keinen Vorwurf. Dazu möchte ich hier bescheinigen, dass auch alle anderen Provider solchen schlechten Service bieten. Es wird also Hardware ausgeliefert, Sachen eingerichtet und der Kunde wird dumm gehalten. Auch weil er sich nicht dafür interessiert...

Doch hier fängt meines Erachtens die Aufklärung an. Ein Kunde will davon nichts wissen, weil er denkt, es wird lediglich die Einwahl eingerichtet. Das ist leider nicht "alleine" der Fall. Die Möglichkeiten, die der Provider nach dem Einrichten besitzt sind nicht viele - doch besitzt er sie. Und ich bin mir sicher: Wenn der Kunde das auch wüsste, würde er den Haken, gerne auch vom Techniker, wegmachen lassen (Was natürlich Geld kostet).

VoIP kann man auch nach einer Einwahl tätigen und nicht alle besitzen eine Flat. Und natürlich freut sich meine Oma auch, wenn ich ihr alle Einstellung abnehme. Doch freut sie sich auch, wenn ich sie dementsprechend absichere. Das macht leider kein Hersteller und auch kein Provider.

Hier muss ich auch noch einmal klarstellen, dass AVM natürlich nicht alleine dasteht. Auch andere Hardware.Hersteller sind gemeint. Für den Test hat eben eine FritzBox herhalten müssen und war natürlich, siehe Vorkonfiguration, ein tolles Beispiel.

Gruß Laengsynt

hallo,

>Der Sinn, der hinter dem Artikel steckt, ist folgender: Hier geht es erst einmal um den Rundum-Service, der auch die Sicherheit beinhaltet. Diese ist in keiner Weise gegeben.

In welchem Rahmen muesste denn mehr Sicherheit vorhanden sein?
TR-069 kommuniziert via HTTP und somit ist auch Verschluesslung der Payload moeglich. Desweiteren definiert sich "Sicherheit" ja lediglich im moglichen Mitsniffen und simulieren von TR-069 Informs - was gute ACS-Systeme via Plausibility-Checks abfangen koennen sollten.

> Der gesamte Einrichtungs-Service fängt bei den Providern an. Diese klären nur ganz ganz vorsichtig und leise über diese Schnittstelle auf.

Noe, steht ganz oeffentlich auf Heise & Co - Jeder Provider wirbt eher mit dieser Schnittstelle, da sie nachweislich die Kundenzufriedenheit steigert und den Support verbessert.

> Im Service wusste man erst nicht, was diese Schnittstelle ausmacht und dann wurde diese noch als "grundsätzlich" nicht benötigt deklariert.

Haben Sie etwa im First-Level Callcenter Fragen aus der tiefen IT gestellt? First-Level macht sich in erster Linie durch Kundenbetreuung und das Eliminieren von Grundsatzfehlern aus. Aber ich nehme an das wussten Sie.

> Wie ich finde ein völlig falscher Service - weil schlecht ausgebildet und schon Standard bei Freenet.

Falsch. Firstlevel wendet TR-069 an, Sie koennen hier keine qualfizierte hochtechnische Antwort erwarten. Lassen Sie sich doch von freenet mal bei einem echten (simulierten) Problem helfen.
Und bitte - definieren Sie nicht den Service eines ISPs anhand EINER Frage bei EINEM Mitarbeiter. Ich degradiere Netzwelt auch nicht wegen dieses einen Artikels.

> Es wird also Hardware ausgeliefert, Sachen eingerichtet und der Kunde wird dumm gehalten. Auch weil er sich nicht dafür interessiert...

Wo bitte geht es darum den Kunden fuer dumm zu halten? Der Nutzen eines ISPs/Carriers von TR-069 liegt im Support und der Vereinfachung der Erstinstallation. Wenn Behoerden an die Konfiguratinosdaten kommen wollen, dann haben Sie andere Mittel - Beispielsweise ueber die bereits vorhandenen CRM Systeme.
Koennen Sie mir einen Nachteil des Kunden durch TR-069 nennen?

> Ein Kunde will davon nichts wissen, weil er denkt, es wird lediglich die Einwahl eingerichtet. Das ist leider nicht "alleine" der Fall.

Korrekt, es werden auch Konfigurationsdaten im Supportfall "gezogen". Das ist jedoch kein Geheimnis. Und auch das birgt keinen Nachteil fuer den Enkunden (wenn doch, bitte, bitte, sagen Sie ihn mir!). Betrugsrisiko seitens Dienstanbieter ist auch ausgeschlossen nicht groesser als sonst (wenn ueberhaupt vorhanden).

> Und ich bin mir sicher: Wenn der Kunde das auch wüsste, würde er den Haken, gerne auch vom Techniker, wegmachen lassen (Was natürlich Geld kostet).

Wieso sollte er?

> VoIP kann man auch nach einer Einwahl tätigen und nicht alle besitzen eine Flat.

*Hust* wie wollen Sie sich denn anrufen lassen, wenn Sie offline sind....? Technisch disqualifizierendes Statement!

> Und natürlich freut sich meine Oma auch, wenn ich ihr alle Einstellung abnehme. Doch freut sie sich auch, wenn ich sie dementsprechend absichere. Das macht leider kein Hersteller und auch kein Provider.

Und abermals: wovon denn bitte absichern lassen?

> Hier muss ich auch noch einmal klarstellen, dass AVM natürlich nicht alleine dasteht. Auch andere Hardware.Hersteller sind gemeint. Für den Test hat eben eine FritzBox herhalten müssen und war natürlich, siehe Vorkonfiguration, ein tolles Beispiel.

1.) In der Tat, die Menge an Herstellern welche TR-069 unterstuetzen wird immer groesser - doch mal unter uns: was nuetzt denn das TR-069 einer AVM wenn der Dienstanbieter keinen ACS bietet der mit ihr spricht ;-)

2.) In der Regel setzt jeder ISP/Carrier eine eigens gebrandete Firmware der CPEs ein. Diese enthaelt die Einstellungen nach Vorgabe des Dienstanbieters.
-> Fehlerhaftes Fingerpointing!

Viele Gruesse
Sigfried

Hallo Sigfried.
Bin gerade auf Deine Antwort gestoßen. Bitte entschuldige, doch bin ich nicht mehr bei der Netzwelt. Leider hast Du den Artikel falsch verstanden.

Ich beschreibe in diesem lediglich die Möglichkeit des Angriffs und diese ist wahrhaftig keine "solala" oder "das nehmen wir einfach mal so hin"-Aktion. In dem Test beziehe ich mich auf eine Fritzbox, welche frei gekauft wurde. Sie dürfte laut AVM ein solches Protokoll gar nicht besitzen. Das ist Fakt und ziemlich daneben.

Zu dem Zeitpunkt des Tests hat Freenet damit begonnen das Protokoll einzusetzen. Die anderen Provider haben lediglich nachgezogen. Daher auch nur ein Provider.

Ich bin "in dieser" Schnittstelle auch schon etwas weiter fortgeschritten und Du wirst es nicht glauben. Aber es gibt bereits Hacks, die sämtliche Sicherheitsvorkehrungen auf Seiten des Providers ignoriert haben.

Dass der Staat kein Interesse hegt, diese Technik für sich zu beanspruchen, bezweifel ich einfach mal stark bis aufbrausend.Günstiger kann man auf die besagten Daten nicht zugreifen. Und Du glaubst nicht, was sich hinter dieser Schnittstelle alles so verbirgt. Du solltest mal mit einigen guten Programmierern sprechen. Die können Dir darüber ein Liedchen singen. Nichts ist heutzutage sicher - wenn man es nicht selbst in der Hand hat.

Die Abhängigkeiten, auch die der Provider selbst, machen angreifbar.

Zu den Services muss ich Dir ebenfalls widersprechen. Wenn der Firstlevel das Protokoll pflegt, was er "tut", ist er auf solche Fragen vorzubereiten. Ich habe selbst in der Technik bei Freenet gearbeitet und war auch im Second Level. Wir wussten auch nicht immer alles...

In diesem Sinne.

Die Möglichkeiten einer Technik bringen die Stories von Morgen.

Ach ja, man kann die VoIP-Funktion auch ohne Flat und den besagten Haken nutzen. Von Offline war hier nie die Rede. Gute Router regeln das auch ohne irgendwelche zusätzlichen Dinge. Hierzu muss man nur einige Einstellungen in den Routern ändern.

Dennoch danke für Deinen Kommentar.

Die Laengsynt.