TR-069

From Fritz!Box
Jump to: navigation, search

AVM Wiki >> Lexikon >> TR-069 @ whmf   -   IRC-Chat   -   hu nl it English
Community Modelle Zubehör Environment Konfiguration Shell-Befehle Software Freetz Lexikon Tipps+Tricks Bilder

Hardware System Netzwerk Dienste Telefonie Multimedia Automation Business Extras Sonstiges Todo

Namens-Kollision
Dieser Artikel behandelt den Standard TR-069.

Für das gleich lautende UI-Modul siehe tr069.


Contents

FRITZ!Box TR-069 Forschungszentrum

Hier kommt die Recherche / Analyse der nicht näher dokumentierten TR-069 Funktionalität der Box hin, die auf allen Geräten die sie unterstützen "out-of-the-box" aktiviert ist und beim Branding mancher Anbieter nicht ohne weiteres deaktivierbar ist.

Begriff

Baustelle!
 !!! Unfertiger Text - Enthält sicher noch fatale Fehler !!!

Modelle mit TR-069

Was ist TR-069?

TR-069, auch CPE WAN Management Protocol (CWMP) ist eine von vielen, vielen technischen Spezifikationen die vom DSL Forum herausgegeben wurde, einer Kooperation hunderter IT-Firmen die sich zwecks Standardisierung der technischen Details des Breitbandmarktes zusammengeschlossen hat. Standardisierung ist immer eine gute Sache und dient der barrierefreien Zusammenarbeit. TR steht für Technical Report und ähnlich den RFCs sind die Dokumente durchnumeriert, sehr kompliziert geschrieben und bauen aufeinander auf.

Das Ziel von TR-069 ist in erster Linie die immer komplizierter werdenden Einstellungen von DSL-Endgeräten (wie der FRITZ!Box) zu vereinfachen, die in der Form wie Anbieter sie sich wünschen den durchschnittlichen Benutzer überfordern würden. Dies wird dadurch realisiert, dass sich der Router mit einem Auto-Konfigurations-Server (ACS) verbindet auf dem die Einstellungen für jeden Kunden hinterlegt werden, um seine Einstellungen dem hinterlegten Profil anzupassen. Diesen Vorgang nennt man Provisionierung, und er betrifft in erster Linie Einstellungen für den Internetzugang und für VoIP.

So edel dieses Ziel auch klingt öffnete es natürlich auch neue Möglichkeiten für die Anbieter. So kann z.B. ein Anbieter der einem Internet und VoIP-Telefonie zur Verfügung stellt, und VoIP stellt hohe Qualitätsansprüche an die Verbindung um zuverlässig zu funktionieren, bereits im Router eine Trennung vornehmen die Telefonie in hochqualitative Netze und die normale Internetverbindung in niederqualitativere Netze zu lenken. Genau das machen heute viele Anbieter über multiple PVCs.

Als weiteres Ziel wurde auch an die Vereinfachung des Service gedacht, was natürlich zu Kosteneinsparung führt (und fast alle Anbieter sind Aktiengesellschaften deren Ziel Rendite ist). Daher erlaubt TR-069 vielfältige Diagnose- und Einstellmöglichkeiten aus der Ferne, für die vorher oft ein Servicetechniker vor Ort nötig war. Dazu muss natürlich ein Dienst auf dem Endgerät laufen der diese Zugangsmöglichkeit bietet, und darin liegt der Hauptkritikpunkt von TR-069.

Obwohl TR-069 sicher eine Idee mit gutem Vorsatz war führte doch die Realität ihrer Benutzung zu Auswüchsen die sich gegen den Benutzer wenden statt ihm zu helfen. So haben einige Anbieter in den AGB ihrer DSL-Verträge gut versteckt TR-069 Zwang verankert (z.B. 1und1), und lösen fast pauschal alle Probleme mit dem Schritt 1 - Werksreset - sprich totale Neukonfiguration des Heimnetzes für die man die Zeit dann anschließend aufbringen muss. Wo war da die Erleichterung bzw. für wen?

Gefahren von TR-069

Der Fernadministations-Dienst von TR-069 erlaubt tiefe Eingriffe in den Router, angefangen beim Auslesen und Verändern von Einstellungen, über Neustart und Werksreset, bis hin zu Upload, Download und Ausführung von Dateien. Nicht jedes TR-069-fähige Gerät muss jede dieser Möglichkeiten bieten, aber KEIN Hersteller dokumentiert welche Funktionen implementiert wurden. Dem ACS-Server steht jedoch eine Abfragemöglichkeit der implementierten Funktionen zur Verfügung

Bedenkt man das fast alle Router im lokalen Netzwerk ihrer Benutzer hängen stellt dies ein potentielles Sicherheitsloch dar. Die Kommunikation zwischen Router und ACS-Server ist zwar verschlüsselt, aber diese Verschlüsselung endet an einer Maschine auf der nicht selten Windows läuft, und auf die einige dort beschäftigte Menschen zugreifen können (müssen).

Und Menschen machen nunmal Fehler, absichtlich oder vesehentlich, und entwickeln nicht selten Begehrlichkeiten die zu "doppelter Nutzung" ihres Arbeitsplatzes führen können. Im Zeitalter der Datenpannen in dem Google-Streetview Autos versehentlich WLAN-Verkehr aufzeichnen, Microsoft versehentlich Firefox-Plugins installiert, beim Regierungswechsel versehentlich alle Bundesdaten mit Backups verloren gehn usw. sollte man sein Heimnetzwerk keinem unbekannten Mitarbeiter einer Aktiengesellschaft anvertrauen, dem es ein Leichtes wäre in Millionen Heimnetzwerke einzudringen.

Auch der Staat (Deutschland) zeigt offen solche Begehrlichkeiten mit dem Schrei nach verdachtsfreier Online-Durchsuchung, zu der er bei entsprechender Gesetzeslage die Anbieter verpflichten kann, so wie es bei der Vorratsdatenspeicherung geschah. Die Realität zeigte oft (z.B. bei der Telefonüberwachung) das solche Anliegen längst Praxis waren als sie per Gesetz nachträglich legitim wurden, und wenn sie dann wieder per Gerichtsurteil abgeschafft werden verlieren sich die existierenden Datenbestände nicht selten versehentlich an den Meistbietenden.

Was genau kann TR-069?

Diese Angaben sind der aktuelle Stand der Recherche und werden sich wahrscheinlich noch ändern!

TR-069 präsentiert sich gerne als Auto-Konfugurations Protokoll, was aber nur Momente im Leben eines Routers darstellt. Der Hauptteil der TR-069 Tätigkeit liegt in der permanenten Überwachung und Meldung von Werten und deren Veränderung. Was genau zu überwachen ist und wie dringend Meldung erstattet werden muss bestimmt laut Spezifikation ausdrücklich ausschliesslich der ACS-Server. Bisher ist keine Methode bekannt wie auf der Besitzerseite überprüft werden kann was alles überwacht wird.

In der Spezifikation sind ein Mindestsatz an Funktionen angegeben die vorhanden sein müssen und optionale Zusatzfunktionen:

Mindestsatz an Funktionen:

  • Werte lesen, schreiben, hinzufügen und entfernen (Konfigurationseinstellungen)
  • Attribute lesen, schreiben, hinzufügen und entfernen (Meldepflicht von Werten, die darf NUR der ACS ändern)
  • Download von Dateien (z.B. Firmwareupdates)
  • Neustart des Gerätes
  • Liste der unterstützten Funktionen senden (hierdurch erfährt der ACS welche optionalen Funktionen vorhanden sind)
  • Liste aller Werte senden (hierdurch erfährt der ACS was überhaupt überwachbar und veränderbar ist)

Optionale Funktionen:

  • Werksreset des Gerätes
  • Upload von Dateien (z.B. für Support-Data)
  • Fortsetzung folgt

TR-069 auf der FRITZ!Box

Aus technischer Sicht ist TR-069 ein Protokoll das der Client (die Box) über eine SSL-verschlüsselte Verbindung mit dem ACS-Server "spricht". Nun gibt es nicht "den ACS-Server" sondern jeder Anbieter hat seinen eigenen Server, dieser wird je nach Branding anbieterspezifisch in der tr069.cfg eingetragen, zusammen mit den SSL-Zertifikaten des jeweiligen Anbieters.

Es gibt 3 "Intensitäten" der TR-069 Nutzung auf der FRITZ!Box, Autokonfiguration (standard bei 1und1 Branding) und Autokonfiguration mit automatischem Firmwareupdate und Beenachrichtigung und als drittes noch das gleiche ohne Benachrichtigung (standard bei freenet Branding). OUCH!

Von unbeaufsichtigten Firmwareupdates kann nur abgeraten werden, da die FRITZ!Box nur eine Instanz ihrer Firmware im Flash hat, und sollte ein Update scheitern ist die Box ein Recovery-Fall. Einige andere Hersteller lösen das Problem mit doppelter Flashspeichergrösse und aktualisieren immer die gerade nicht aktive Hälfte des Flashs (transaktionssicheres Firmwareupdate), so bleiben die Geräte auch nach einem Stromausfall während eines Updates betriebsbereit. Diese Technik wird bei den Alice Modellen IAD5130, IAD3331 und IAD7570 angewendet, eine normale FRITZ!Box kann das nicht.

Fortsetzung folgt...

An TR-069 beteiligte Programme

Die TR-069 dispatcher:

Die TR-069 trigger:

Helfer:

Zwischenfazit

Intensive analyse mehrerer in großen Stückzahlen verbreiteter Routergattungen (AVM-Router sind eine davon) haben gezeigt:

  • das die angeblich immer komplizierteren werdenden Routereinstellungen vor allem DURCH TR-069 verkompliziert werden
  • das die Abwicklung des Servicefalls vor allem DURCH TR-069 zeitintensiv wird
  • das nicht beeinflussbare Zwangsoptionen im System DURCH TR-069 eingeführt wurden
  • das Zwangs-Daemons hinter der Firewall in AGB's DURCH TR-069 eingeführt wurden
  • das weit mehr Funktionen implementiert wurden als öffentlich heruntergespielt wird
  • das es mehr als sonderbar ist beim mounten eines Datenträgers eine TR-069-Sitzung zu starten (mittlerweile bekannt: mancher Provider kommt mit USB-Stick nach Aufstellen provisionieren)
  • das Unbekannten zu gewähren das Betriebssystem der Firewall komplett auszutauschen ein nicht überbietbares Sicherheitsloch darstellt.
  • das dies noch ohne Rückmeldung zu tun an groben Unfug grenzt
  • das es Russisch Roulette is WANN das System aktualisiert wird (und damit zwangsweise seine Funktion aufgeben muss)
  • das es dadurch Russisch Roulette ist ob das Gerät intakt bleibt (wann kann man den Stecker noch ziehen?)
  • das ein vernünftiger Mensch Firmware vom Gerätehersteller bezieht und nicht von Dritten
  • fortsetzung folgt
  • das TR-069 vor allem eine rhethorische Meisterleistung ist, das offensichtlich als "Einrichtungsassistent" fehldeklariert wird und den Rest schlichtweg verheimlicht.
  • Das sowohl Befürworter als auch die Betreiber an Vertrauens- und Glaubwürdigkeit gewinnen würden wenn sie die verfügbaren und die verwendeten Optionen offen und transparent angeben würden!.
  • Das sich jeder aufmerksame Anwender wundern muß mit welcher Intention sich hier wohl über einen derart fundamentalen Featurekomplex ausgeschwiegen wird.
  • das man normalerweise nur bei Trojanern nicht erfährt was drin ist.

Siehe auch

Überwachung und Einrichtung: (129) - Kleingedrucktes ist laufende Entwicklung.

Internet: (170)

SSL: (28)

Forschungs-Scratchpad:

Links