Mal was ganz anderes ... das Thema "Speedports", "TR-069" und "EasySupport" ist ja nun gerade in aller Munde und auch AVM hat ja seit knapp 2 Monaten in diesem Laborzweig eine Möglichkeit eingebaut, an einem Telekom-Anschluß die FRITZ!Box mit TR-069 einrichten zu lassen; das ist vermutlich bisher etwas "unter die Räder" gekommen.
Hat das schon mal jemand in der Praxis angeboten bekommen oder gar schon mal benutzt?
Bei meinen T-DSL-Business-Anschluß klappt es nicht ... ich bin mir halt nicht sicher, bei welcher Art von Vertrag das überhaupt funktionieren soll. Aus dem Inhalt der "providermap.txt" in der "providers-049.tar" wird man auch nicht automatisch schlau:
Code:
[COLOR="#008000"]NAME=Telekom$EMPFOHLEN: Automatische Einrichtung des Internetzugangs, der Telefonie und weiterer EasySupport Dienste der Telekom Deutschland GmbH (weitere Infos unter www.telekom.de/easysupport)[/COLOR]
{
ID=[COLOR="#FF0000"]telekom_tr069[/COLOR];BOX=7490;
}
NAME=Telekom$Einrichtung mit manueller Eingabe von Zugangsdaten
{
ID=tonline_ata;MEDIUM=ATA_EXCL;LISTLEVEL=1;
ID=tonline;
}
NAME=Telekom$Einrichtung für Zuhause Start Tarife
{
ID=telekom_zs;
}
Vermutlich wird die Auswahl nur beim Assi für die Ersteinrichtung überhaupt angeboten (darauf habe ich bei der 7490 gerade keinen Bock) - aber viel spannender finde ich eben an dieser Stelle den Inhalt der tr069.cfg:
Code:
tr069cfg {
enabled = yes;
igd {
DeviceInfo {
ProvisioningCode = "000.000.000.000";
}
managementserver {
url = "https://acs.t-online.de/acs-v2/";
username = "";
password = "";
URLAlreadyContacted = no;
SessionTerminationWithEmptyPost = yes;
ConnectionRequestUsername = "acs.t-online.de";
ConnectionRequestPassword = "0f5bc0a4bb5a85990872214f29e15bb1";
}
}
FirmwareDownload {
enabled = yes;
enabled_converted = yes;
upload_enabled = no;
}
ACS_SSL {
[COLOR="#FF0000"]own_cert_file = "/etc/default/avm/tr069-default-iad-fritzchen.telekom.de.pem";[/COLOR]
verify_server = yes;
trusted_ca_file = "/etc/default/avm/root_ca.pem";
}
Download_SSL {
own_cert_file = "/etc/default/avm/tr069-default-iad-fritzchen.telekom.de.pem";
verify_server = yes;
trusted_ca_file = "/etc/default/avm/root_ca.pem";
}
}
Das CPE soll sich hier also mit einem eigenen Zertifikat (das aber in der Firmware im SquashFS liegt und damit für alle Geräte mit derselben Firmware auch dasselbe Zertifikat ist) ggü. dem ACS ausweisen - meines Wissens die erste Konfiguration überhaupt, wo die schon länger existierende Option "own_cert_file" genutzt wird.
Jedenfalls liegt dann auf dem Filesystem auch diese Datei und dort ist logischerweise - wenn sich das CPE damit authentifizieren soll - auch der zugehörige private Schlüssel vorhanden ... in "encrypted"-Form direkt mit in der erwähnten PEM-Datei (das ist mal wirklich das übliche PEM-Format).
Jetzt würde mich halt mal interessieren, wie das bei der Telekom dann genau ablaufen soll ... die entscheidende Frage für mich ist es, ob dieses Zertifikat jetzt gegen eine ähnliche Lücke, wie sie bei o2 existierte, schützen soll oder was man ansonsten damit bezweckt. Bei o2 war es ja möglich (ob das immer noch der Fall ist, weiß ich nicht, es sollte eigentlich Geschichte sein), auch mit einem (böswilligen) Client im LAN die VoIP-Credentials vom ACS des Providers zu erhalten. Wenn das (gerade bei BNG) nur noch "an der Leitung" hängen sollte und die Übermittlung der Daten für die "voip.cfg" der FRITZ!Box nur daran hängen sollte, daß die Gegenstelle sich mit dem richtigen Zertifikat ausweist, dann sehe ich schon wieder etwas schwarz in puncto "Security".
Das Filtern von TR-069-Verkehr ist nicht so ohne weiteres machbar ... das ist per se ja erst einmal ganz normales HTTP (ob nun ohne oder mit TLS, bei letzterem "sieht" der Router gar nichts vom Inhalt) mit einem SOAP-Request und um den irgendwie zu filtern (der Telekom-ACS verwendet ja ganz normal den Port 443 lt. ACS-URL oben), muß man erstens in den Inhalt hineinsehen können und dann schon "XDPI" (eXtremly Deep Packet Inspection
) betreiben. Die Alternative wäre das Filtern anhand der IP-Adresse - die müßte man auch erst einmal aus dem Namen "acs.t-online.de" bilden.
Ansonsten bliebe vielleicht noch das Blockieren von SIP-Traffic zu t-online.de aus dem LAN, um den Mißbrauch von Credentials zu verhindern ... die Zutaten gibt es ja bereits, inkl. einer eigenen "QoS classification" für SIP-Traffic bei der Telekom. Dann wären nur noch die Kunden "gefährdet" (immer unter der Voraussetzung, daß man auch als "Nicht-FRITZ!Box" die Daten "abgreifen" könnte, was bisher spekulativ ist), die z.B. SIP-Telefone direkt beim Provider registrieren und daher die "VoIP-Sperre" in der DPI nicht generell einschalten können.
Da bin ich also mal gespannt wie der berühmte "Flitzebogen", was das am Ende werden soll ... vielleicht hat es ja schon jemand ausprobiert?
