Kann das sein? Remote-Konfiguration der 7360 verhindert Firmware-Upgrade?

Sorry, bin wirklich kein Freund von TOFU. Muß aber zu meinem Leidwesen gestehen, dass bei meinem Hauptauftraggeber diese Unsitte allgemein üblich ist. Das Wissen steckt praktisch in den Mails. Und dann wird einfach immer Reply-to-all gemacht und die Mailgrössen explodieren. Und da ich ziemlich viele Mails pro Tag schreiben und ein Vielfaches davon lesen muß, hat sich diese Unsitte auch bei mir eingeschlichen. Ich werde aber darauf Acht geben und es vermeiden.
 
BTT:

Also Du möchtest eine 7390 an Deinem (neuen) Anschluß betreiben ?
Falls ja:
Hast Du schon mal daran gedaacht, schlicht ein BackUp der Systemeinstellungen der 7360 zu machen und diese, soweit als möglich, in der 7390 zu übernehmen ?
Oder alternativ mittels ruKernelTool eine von Dir gewünschte Firmware auf die 7360 zu flashen und dann in diese das Systembackup zurück zu spielen ?
 
Falls du eine neuere 7390 hast, die haben auf der Unterseite ein CWMP-Nummer, die wohl für die automatische Konfiguration per TR-069 verwendet wird.

Du kannst ja mal sehen, was passiert, wenn du die der 7360 in die 7390 einträgst.

---------

Auch T-Online kann TR-069, die nutzen das aber wohl nicht so intensiv, sondern konfigurieren darüber, wenn man es nutzt, nur die Zugangsdaten.
 
Seine Fritzbox 7360 hat keinen CWMP Account.
Selbst wenn sie einen solchen hätte, auf welche Weise willst du das in die Fritzbox 7390 eintragen? :confused:
 
Danke für die Hinweise.
Ich habe heute nachmittag die Exportdaten der 7360 in die 7390 reingepfrimmelt. Diese hatte ich zuvor auf 05.50 gedowngradet, damit die Differenz minimal ist. Aber angeschloßen habe ich es noch nicht. Das muß ich mir für Donnerstag aufsparen - dann habe ich wieder Zeit dafür. Und es muss am Tag sein, damit ich bei Bedarf, also wenn ich beim Fehlschlagen auch mit der 7360 nicht mehr reinkomme, gleich Support bekomme.
 
Paranoid?

Vielen Dank für den ausführlichen Bericht. Das Kommunikationsaufkommen über die TR-069-Schnittstelle hat mich schon etwas "irritiert" (nein ich bin nicht paranoid).

Gruß Telefonmännchen

Moin,

ich arbeite bei einem Provider und weis, was alles per TR069 übertragen wird. Wenn die Kunden das wissen würden, was man alles sehen
kann, würde sich sicher niemand freiwillig eine Fritzbox mit aktiviertem TR069 hinstellen lassen.
Wer jetzt glaubt, man braucht nur das TR069 irgendwie deaktivieren oder blocken, der irrt gewaltig. Bei allen Providern kommt
i.d.R. ein SBC zum Einsatz (Session Boarder Controller)
Ein SBC kann sich in jedes Telefonat hineindrängeln und benutzt für die Vermittlung ein SoftSwitch.
Den SBC kann man quasi als "Men in the Middle" betrachten. (legal interception) Medienströme und Signalisierungen
können am SBC zentral angezapft werden. Ein SBC kann auch verhindern, dass Endgeräte sich dem Abhören durch
Verschlüsselung entziehen. Bevor ein SBC die Signalisierung weiterleitet, trägt er sich selbst ein. So veranlasst er
beide Teilnehmer dazu, die Gespräche / Daten über ihn zu leiten.

Die Übertragung der Daten über TR069 erfolgt eigentlich verschlüsselt. Allerdings sind die Certifikate der Fritzbox
je nach Firmware veraltet.

Ich würde empfehlen ein normales altes DSL-Modem ohne Routerfunktion zu benutzen. Gibt von Zyxel
recht gute ADSL und VDSL Modems. Dahinter ein Linux Firewall Router, der die Einwahl übernimmt. Dann hat der
Provider schonmal keinen direkten Einblick mehr in das dahinter liegende Netz. Die Anzahl der Geräte dahinter usw.
lassen sich aber trotzdem erkennen, wenn man die ausgehenden Pakete analysiert.
Ich habe mir ein VPN Voip Netz aufgebaut, mit eigenem SIP Server. Freunde und Bekannte haben eine Rufnummer von
mir zugeteillt bekommen. So bleiben Gespräche untereinander unsichtbar. Weil auch VPN nicht unknackbar ist,
erzeuge ich immer gleichmäßig viel Traffic (wie ein Grundrauschen), wenn nicht telefoniert wird. Sobald ein Gespräch statt findet,
wird der erzeugte Traffic entsprechend reduziert. Dadurch wird es enorm erschwert gezielt Gespräche zu entschlüsseln.
Ich bin IT Systemelektroniker und nutze Verschlüsselung schon seid 1995, sowie PGP für EMails seid 1997.
Mit den alten GSM Handys konnte man schon immer durch modifizierte Firmware Gespräche im Mobilfunknetz abhören.
DECT, WLAN und vorallem DLAN würde ich auch besser nicht benutzen. Damals haben Freunde mich für paranoid gehalten,
bis sie in den Medien gelesen haben, was die NSA alles kann.
Ich habe Freunden schon damals gezeigt, wie unsicher ihre Passwörter sind (Thema MD5 Hash) und hatte schon damals
eine Rainbowtable angelegt. Wenn ich früher eine Firma auf Sicherheitsprobleme und Lecks hingewiesen habe, gab es
großes Lob und Anerkennung. Wenn man heute einer Firma mitteilt, dass ihre produzierten Geräte ein Sicherheitsleck
haben, gibts ein Brief vom Anwalt. Man muß sich verpflichten Stillschweigen zu bewahren und es wird einen mit Schadensersatz-
forderungen gedroht (Rufschädigung, entgangene Gewinne etc.) Die letzte Firma meinte, sie bräuchte zur Beseitigung
einer Lücke 18 Monate und wenn die Presse darüber berichten würde hätte man ein riesen Schaden.


Gruß, SBC
 
Danke SBC für diese Aufklärung. Ich hatte nach dem (teilweisen) Durchlesen der TR069 genau solch eine Befürchtung. Anders als so eindringendend ergäbe ein Protokoll zur Rundumwartung auch keinen Sinn.
Das mit der extra Infrastruktur lasse ich mir durch den Kopf gehen.
 
Yo, auch von mir: @SBC: Herzlich Wilkommen im Forum!
Auf solche Infos steh ich ja total. :) :mrgreen:
Bleib uns bloss lange erhalten.
:rolleyes:
 
Interessante Diskussion. Gibt es neben den Ideen von SBC irgendwelche "Quick Fixes" für AVM-Geräte?
Angenommen, man hat eine 7390 mit aktueller Firmware in Betrieb (und kein zus. Router/Modem) ...

Krieg ich TR069 in AVM-Modellen irgendwie deaktiviert oder zumindest eingeschränkt?
 
Zuletzt bearbeitet:
Es gibt in den Einstellungen jede Menge TR-069-Krempel:
Code:
$ grep tr069 FRITZ.Box\ Fon\ WLAN\ 7360\ 124.05.50_02.02.14_1228.export 
                connections = "internet", "voip", "tr069";
        tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";
        tr069_ip6_forwardrules = "tcp 8089";
                name = "tr069";
                ppptarget = "tr069";
                tcclassroutes = "tr069dns", "tr069";
                name = "tr069";
        tr069discover_active = yes;
        tr069discover_without_dhcpoption = no;
        tr069discover_forced = no;
        tr069discover_vlancfg {
                name = "tr069";
                rule = "localmark sipdns,ntpdns,tr069dns,tr069";
**** CFGFILE:tr069.cfg
 * /var/flash/tr069.cfg
tr069cfg {
                        dnsprefer = tr069dnsprefer_ipv4;
$
Und natürlich noch die bereits oben erwähnten Eintragungen im Urlader.
Ich habe in der modifizierten Exportdatei auch die tr069-interfaces eliminiert:
Code:
$ diff -Naur FRITZ.Box\ Fon\ WLAN\ 7390\ 84.05.50_01.01.70_0440.export FRITZ.Box\ Fon\ WLAN\ 7390\ 84.05.50_01.01.70_0440.export.changed-to-7360
--- FRITZ.Box Fon WLAN 7390 84.05.50_01.01.70_0440.export       2014-02-03 12:51:14.000000000 +0100
+++ FRITZ.Box Fon WLAN 7390 84.05.50_01.01.70_0440.export.changed-to-7360       2014-02-03 15:20:39.180913447 +0100
@@ -5,6 +5,7 @@
 OEM=avm
 Country=049
 Language=de
+NoChecks=yes
...
@@ -201,9 +205,7 @@
         voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060", 
                             "tcp 0.0.0.0:5060 0.0.0.0:5060", 
                             "udp 0.0.0.0:7078+32 0.0.0.0:7078";
-        tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";
         voip_ip6_forwardrules = "udp 5060,7078-7110", "tcp 5060";
-        tr069_ip6_forwardrules = "tcp 8089";
...
-        tr069discover_active = yes;
+        tr069discover_active = no;
...
-        } {
-                enabled = yes;
-                name = "tr069";
-                dsl_encap = dslencap_ether;
-                dslinterfacename = "dsl";
...
-                ppptarget = "tr069";
Eine weitere Erklärung zu den tr069-Parametern habe ich noch nicht gefunden. discover_active und discover_forced hören sich jedoch vielversprechend an. Wenn ich aber @SBC folge, dann ist das sowieso alle Pillepalle und ich lande auf der Schnauze mit dem ganzen Rumfrickeln.
 
Ja das mit freetz habe ich auch gelesen, wobei mir bei freetz nicht ganz klar ist, ob das Projekt für eine neuere firmware der FritzBox passend ist. Die letzte stable (v1.2 vom 01.07.2012) scheint auf einer 04.91 der 7390-firmware zu basieren. Selbst die letzten trunk-snapshots sind nicht wirklich erhellend. Und den trunk selbst zu nehmen scheint mir dann doch etwas wagemutig. Auch die Ankündigung "Entwicklertreffen Freetz-Conf 2011" läßt mich schon zweifeln inwiefern das Projekt noch weiterentwickelt wird.
 
Freetz geht leider nicht da FB! nur gemietet... und in irgendwelchen Skripten rumschreiben würd ich mir zutrauen wenn ich wüsste dass Anpassungen dauerhaft übernommen werden. :)
 
Krieg ich TR069 in AVM-Modellen irgendwie deaktiviert oder zumindest eingeschränkt?

Nein, leider nicht. TR069 ist ein heikles Thema. Presseanfragen beantworten die Hersteller dann einfach mit:
"TR069 kann der Kunde deaktivieren, bzw. ist per default deaktiviert"
TR069 war schon vor Jahren ein Thema in diversen Foren. Wer eine FritzBox ohne Branding hat,
bei dem ist das deaktiviert. Man kann die Einträge in der Config der Fritzbox aber nicht mehr dauerhaft rausnehmen.
Jedenfalls nicht mit der original Firmware. Ich hoffe, dass der Gesetzgeber bzgl. TR069 bald eingreift. Das ist
schon längst überfällig. Das der Provider sehen kann, welche Geräte man im Heimnetz hat usw. verstößt
doch sicher gegen den Datenschutz. Ich hatte eine Box vom Anbieter, bei der TR069 nachträglich aktiviert wurde.
Als ich dann zur Arbeit kam, meinte mein Kollege: "na, neuen SmartTV gekauft" und zeigte mir die Ansicht meiner Fritzbox
über TR069.
Seid dem meide ich schon aus Prinzip alle Geräte, die automatisch zu irgend wem eine Verbindung in regelmäßigen
Abständen aufbauen. Der Anbieter hat eine schöne Map, wo sich welche Geräte bei welchen Anbietern befinden.
Da kann einem schon ein einfacher NTP Server zum Verhängnis werden, nur weil das Gerät dort die Uhrzeit abfragt.

Kurz gesagt, es hilft nur eine blöde DSL Modem Kiste, die wirklich nichts anderes macht als eine Verbindung zum DSLAM
herzustellen. Dahinter z.B. ein Intel NUC für unter 200 Euro und darauf ein Linux mit Firewall, deep Packet inspection
und ggf. SIP Server, VPN etc.
Ich möchte doch schon selber entscheiden, ob und was meine Endgeräte ins Netz zum Hersteller an Daten übertragen.
Da hilft einem eine Fritzbox nur bedingt weiter. Das SmartTVs sensible Daten übertragen, weis man ja auch nicht erst seid Gestern.
Wer ein Monitoring laufen hat, wird sich wundern, was die Geräte so für Daten übertragen.
Ich hatte gerade ein NAS System, was per relay die Firewall getunnelt hat. In der neuen FritzOS kann man immerhin
Heimnetzgeräte per Filter komplett vom Internet trennen.

Fertige Router kann man heute gar keine mehr empfehlen (siehe Heise Security) Fast alle Hersteller sind
von Backdors und gravierenden Sicherheitslücken betroffen.

Leider haben ja angeblich wir Kunden selber Schuld an der Sache. Ein Anbieter hat mit NGN und Voip
angefangen. Da dieser die Preisvorteile an Kunden weitergegeben hat, mußten die anderen nachziehen.
Ich habe noch nie verstanden, warum Kunden sich mit Voip zu frieden geben, wo IP Netze doch dafür
gar nicht gedacht sind und man immer mit Störungen rechnen kann/muß.

Gruß, SBC
 
Und den trunk selbst zu nehmen scheint mir dann doch etwas wagemutig.... zweifeln inwiefern das Projekt noch weiterentwickelt wird.
Ein modifiziertes FritzBox-Image kann zwar nicht für alle Internet-Provider bzw. nicht für alle FritzBoxen benutzt werden, aber wenn es möglich ist und man weiß was man tut, dann ist der trunk genau das Richtige. Freetz wird auch z. Zt. weiterentwickelt.
 
Oder eben TR-069 TR-069 sein lassen.
Und zusehen, dass das Lokale Netz nicht direkt von einem TR-069 Gerät verwaltet wird.

[Internet]--IPv4 & IPv6--[TR-069 Gerät]--192.168.178.0--[Altes Gerät]--192.168.179.0--[LAN]

Und Fernsehen/Radio (Mediacenter) nur noch übers Internet. Wegen den Paketen,
die dann das Rauschen, den Datenstrom erzeugen.

EDIT: OUPS, zu langsam getippt, sollte eigentlich so zwischen #33 + #34 ;)
 
Zuletzt bearbeitet:
Und ich war damals so glücklich mit meiner L2-Bridge zum DSLAM, dem Micro-PC mit IPcop und dem genialen BOT drauf und ISDN für die Telefonie. Auch später mit pfSense war das noch in Ordnung. Aber dann kam ein neuer Provider, neuer Anschluß, höhrere DL-Rate und weg war der ISDN-Anschluß. Das ganze noch zum halben Preis - Klasse. Und jetzt hier, wie geschrieben, von 3 Mbit DL auf 50 Mbit DL und von 448 kbit UL auf 5 Mbit Ul sind halt eine Hausnummer. Und keine Alternative weit und breit. Und natürlich Telefonie über VoIP, zwar über separaten PVC, aber eben VoIP. Da mache ich gar nichts von der Seite aus. Aber dass der Provider eine Box in meine Wohnung stellt, die mein dummdreist rumquatschendes HbbTV-Smart-TV nutzt um ungefragt meine Sehgewohnheiten auszuspähen, und ich dafür auch noch den Strom zahlen darf, ist eine Sauerei. In einem anderen Haus haben wir EasyBell-Zugang über Telefonica, da gibts einfach die Zugangsdaten - und gut ist, mach damit was du willst.
Ich glaube ich rufe mal bei meinem Provider an und frage nach, was da so in Richtung TR-069 noch geplant wird.
 
das sicherste ist und bleibt den Stecker zu ziehen :p
 
@SBC
Mir sind da ein paar Sachen nicht klar, die Du erwähnt hast. Vielleicht findest Du einen Moment Zeit mir kurz darauf zu antworten.

(1) Du schreibst, dass "bei allen Providern i.d.R. ein SBC" eingesetzt wird. Heißt das, dass auch etwas anderes eingesetzt werden kann? Wenn ja, was? Oder auch gar nichts?
(2) Laut Deiner Beschreibung gehe ich davon aus, dass der SBC weitestgehend transparent, also von mir bei Überwachung des PPPoE-Traffic nicht entdeckt werden kann. Stimmt das?
(3) Wie oben geschrieben läßt sich mein Provider alle acht Stunden die Situation auf der CPE-Seite mitteilen (INFORMATION REQUEST). Darin stehen sowohl Seriennummer der FritzBox also auch Firmware-Version, etc. Wie wahrscheinlich ist es, bzw. welcher Aufwand muss betrieben werden, dass der Provider diese Information (vielleicht sogar zusammen mit der MAC-Adresse der FritzBox) auswertet, um den Anschluß (über den SBC) überhaupt frei zu schalten? Also wenn ich anfangen würde rumzuwerkeln könnte das ganze schon deshalb zum Scheitern verurteilt sein, weil genau diese FritzBox mit genau dieser Firmware an genau diesem DSLAM-Port erwartet wird?
(4) Wenn ich die FritzBox durch eine andere oder die o.a. Kombi aus Modem/FW-appliance kann der Provider dies entdecken? Wie wird möglicherweise verfahren?

Danke im voraus.

Update
Frage #3 hat sich erledigt. Nach kurzer Suche traf ich auf die Firma FinePoint Inc., die mit ihrem Remote Device Administrator und dem Digital Live Portal dem 1-Level-Support direkt unter die Arme greifen will. Das Video zeigt allerliebst, was alles möglich ist. Neben Sachen wie Modell, Firmware, Seriennummer, Verbindungen, etc. gibt's auch Schmankerl wie "ping-test". Da wird aber nicht etwa vonm Provider (ACS) zum Kunden (CPE) gepingt, weit gefehlt. Dem Kunden-CPE wird eine Remote-Procedure übergeben, dass dessen CPE einen ping-test auf eine beliebige website (im Video google) machen und die Ergebnisse an das ACS zurückgeben soll. Wenn das mal nichts ist. Und alles mit TR-069!
Screenshot - 04.02.2014 , 09_53_49.png
Richtig krass wird's dann als nicht nur ein DSL-Router (mit allen angeschlossenen Geräten) vorgeführt wird, sondern auch ein Blackberry, das über TR-069 verwaltet wird. GPS-Daten, Verbindungsdaten, Telefonbuch, alles da.

Und noch einen Zacken besser: die Produkte der Fa. Axiros abgestimmt auf AVM's FritzBox.
AXESS.ACS.AVM supports and offers out-of the-box

all AVM TR-069 vendor specific methods
all AVM vendor specific TR-069 parameters
addressing of all VoIP service features
integration of all AVM Fritz!Box models (7270, 3270, 7170, 3170, 6360 and 7390)
full integration into visual support interfaces
firmware and configuration file management
remote device analysis, including device log files and
WAN QoS KPI monitoring of managed devices
 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,183
Beiträge
2,247,562
Mitglieder
373,729
Neuestes Mitglied
ChTh
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.