Hat AVM die 7560 vergessen?

[fda89]

Ne, beta/labor das ist der gleiche wie stable/release: key1

 

[Novize]

TR069 ist kein zu installierendes Programm sondern ein in der Firmware implementiertes Protokoll zur Einrichtung der Box seitens des Providers

 

[Grisu_]

Ja und?
Deshalb muß man es aber auch freigeben (mit entsprechendem User bzw. auch TR-064 unter Heimnetzfreigaben sperren um es nicht über den Weg zu 'öffnen').

 

[KunterBunter]

Nein, man muss es nicht freigeben. AVM benutzt doch kein TR-069 für den automatischen Firmware-Update.

 

[Grisu_]

Sagt auch niemand, daß es AVM sein muß, kann ja auch vom Betreiber kommen, oder erkennt man als User den Unterschied wer es angestoßen hat bzw. auch die Box es selbst veranlaßt bzw. irgendein anderes Gerät im Heimnetz das die Freigabe dazu hat?
Kann ja genauso auch von einem FON kommen (das irgendwer in der Hand hat) wo man das Update starten kann.
Und bei Alpha-Inhaus Firmeware braucht man sich sowieso nicht zu beklagen wenn was nicht wie gewünscht funktioniert, das sind nunmal interne AVM-Spielversionen wo ich ggf. auch Fehler (selbst bewußte) in diesem Bereich akzeptieren muß.

 

[KunterBunter]

Nein, als normaler User erkennt man es nicht, aber man muss TR-069 trotzdem nicht freigeben.

 

[Grisu_]

Ja ihr Wortklauber, hab inzw. gerafft, daß es euch schon lange nicht mehr um die Sache selbst sondern um Formulierungen geht ...
Ist natürl. ein gewaltiger Bedeutungsunterschied ob ich den User für TR-069 freigebe oder das Protokoll selbst.

 

[Novize]

tr069 hatte ich noch nie installiert, das ist auf keinen Fall die Ursache

Ich bezog mich mit meinem Hinweis nur auf diese Aussage, bevor da Missverständnisse auftauchen.
Diese Funktion lässt sich auch nicht immer abschalten: Wenn Provider wie 1&1 die Box einmal von der Ferne eingerichtet haben
("Automatische Einrichtung durch den Dienstanbieter zulassen"), ist das Deaktivieren nicht mehr möglich, ohne die Box erst einmal auf Werkseinstellung zurück zu setzen.

ein gewaltiger Bedeutungsunterschied ob ich den User für TR-069 freigebe oder das Protokoll selbst

Ja, in der Tat, denn man kann imo keinen User für TR069 freigeben. TR069 ist im Grunde genommen nichts weiter, als die gesicherte Verbindung zu einem Einrichtungsserver, der ein entsprechenden Konfigurationsdatensatz für jedes gehostete Gerät bereit hält und bei Bedarf an den Router weiter gibt. Siehe auch die Erklärung in der Fritz zur Checkbox dazu:

Diese Einstellung ermöglicht dem Dienstanbieter die sichere (verschlüsselte) Übertragung der Internetzugangsdaten und Anmeldedaten für Internettelefonie auf diese FRITZ!Box. Diese Funktion wird nicht von allen Internet- und Internettelefonieanbietern unterstützt.

Das passiert z.B. mit dem "Einrichtecode" nach dem Einstöpseln der flatschneuen Fritz an die Internetleitung.

 

[Grisu_]

Und wozu hat meine Box (nach Werksreset) dann einen solchen User vorangelegt den ich entfernt habe?
Der wird doch dazu verwendet damit der Betreiber Zugriff über TR-069 auf die Box bekommt oder etwa nicht?
Und den habe ich hoffentl. durch Deaktivierung bzw. gänzliches Löschen dieses Users gesperrt, Fakt ist jedenfalls, daß auch der Betreiber nun sagt er käme nicht mehr auf meine Box.

 

[Novize]

Ich habe und hatte bei meiner 7590 keinen Benutzer diese Art. Auch bei der Vorgängerbox nicht.
Ich habe extra mal in 2 anderen von mir betreuten Boxen über die Ferne geschaut - einen solchen Benutzer habe ich nirgends sichten können. Gelöscht haben wir niemals irgendwelche Benutzer, warum auch?
Fakt ist, um auf der Box irgendwelche Einstellungen vornehmen zu können, bedienen sich die Provider ihres Einrichtungsservers und stoßen diese Änderung via TR069 auch an, damit die Box sich diese Konfig ziehen kann. Genau dafür sind diese Server und dieses Protokoll da. Darüber werden auch nur Provider-Einstellungen gesteuert, wie Internetzugangsdaten und Telefonieeinstellungen oder auch Firmwareupdates und Fehlerprotokolle.
Blöde dabei ist nur, wenn ich da was umkonfiguriert habe und der Provider spielt danach (warum auch immer) seinen Standarddatensatz ein, sind meine vorigen Einstellungen weg, weil überschrieben.

Das ein Provider direkten Zugriff auf Deinen kompletten Router hat sich dort mit einem eigenen Benutzer einwählt und rumspielen und alles mögliche anschauen, also ausspionieren kann, halte ich für ein Gerücht. Das käme einem Einbruch gleich, das ist in TR069 auch nicht vorgesehen und wird auch nicht benötigt. Es ist ein reines Einrichtungsprotokoll der Zugangsdaten.
Was der Provider im Fehlerfalle wissen muss, ist alles im Protokoll definiert, dafür bedarf es keines eigenen Users. Das Aktivieren bzw aktiv halten von TR069 reicht völlig aus. Schau dazu mal auf wikipedia, da ist das ausreichend erklärt.

 

[Novize]

Ich bin eurer Zeit halt weit voraus
(korrigiert)

 

[PeterPawn]

Das ein Provider direkten Zugriff auf Deinen kompletten Router hat sich dort mit einem eigenen Benutzer einwählt und rumspielen und alles mögliche anschauen, also ausspionieren kann, halte ich für ein Gerücht.

Das ist aber sehr wohl möglich und wird bei manchem Provider auch genutzt. Ein Beispiel dafür ist der Provider iWay AG aus der Schweiz. Ich betreue 2 5490 (als Provider-Geräte) und eine 7490 (als Kundengerät) bei diesem Provider und da ist - nach Kontakten mit dem Support - immer wieder zu verzeichnen, daß über TR-069 Benutzer angelegt werden (ein Beispiel, von der 7490):

        users {
                enabled = yes;
                id = 11;
                name = "TR069-1ce00560";
                email = "";
                password = "OOvKGGNx";
                vpn_access = no;
                googleauth_sharedsecret = "";
                googleauth_devicename = "";
                googleauth_setupdate = "1970-01-01 01:00:00";
                box_admin_rights = secobj_access_rights_readwrite_from_everywhere;
                nas_rights = secobj_access_rights_none;
                phone_rights = secobj_access_rights_readwrite_from_everywhere;
                homeauto_rights = secobj_access_rights_readwrite_from_everywhere;
        }

, die über administrative Rechte verfügen und wo dann seitens des Providers auch ein Login erfolgt - natürlich alles "sauber notiert" im Ereignisprotokoll und insofern eher nicht heimlich bzw. als "ausspionieren".

Es gibt diese Funktionen also durchaus auf dem TR-069-Interface ... ob und wie der Provider (oder ein Dritter) sie nutzt, ist die einzig verbleibende Frage.

Da für diesen Zugriff auch noch der Port für den TLS-Zugriff auf das GUI von der WAN-Seite bekannt sein muß, setzt man den beim iWay-Support dann auch gleich noch einmal neu (zumindest war das vor einem Jahr so (am 09.10.2019), denn von diesem Datum stammt der o.a. (dekodierte) Ausschnitt einer Export-Datei) und da dabei offenbar die FRITZ!OS-Funktion mit dem zufällig ausgewählten Port zum Einsatz kommt, stehen dann alle zuvor schon eingerichteten Apps, die mit dem vorher verwendeten Port konfiguriert wurden, auf dem Schlauch.

Bis zum angegebenen Datum wurden die bisher verwendeten Einstellungen an dieser Stelle auch nicht etwa gesichert und danach wieder restauriert - und auch der oben gezeigte Benutzer-Eintrag wurde nicht wieder gelöscht und wartet(e) praktisch nur darauf, daß da der Nächste zugreifen möchte. Wie "gefährlich" das angesichts des doch eher schwachen Kennworts ist (acht Alpha-Zeichen sind schnell abgearbeitet/durchgetestet (z.B. mit "hashcat"), wenn man den MD5-Hash der Anmeldung einmal kennt), mag jeder selbst entscheiden.

Das ist - wie gesagt - der Stand vom Sept. 2019 und die (7490-)Firmware, über die ich hier rede, ist eine 07.12i - also auch nichts aus der finsteren Vergangenheit und als "Horrorgeschichte", die lange keine Relevanz mehr hat. Das ist eine Funktion, die in der (immer noch) aktuellen Release-Version der 7490 zu finden ist - und solange die Beachtung der DHCP-Option 43 mit der URL eines ACS bei einer FRITZ!Box in den "Werkseinstellungen" aktiviert ist (die wenigsten FRITZ!Box-Besitzer werden erst die Box konfigurieren und sie dann mit dem WAN-Anschluß (egal, bei welcher Technologie) verbinden), besteht zumindest eine gute Chance für den Provider, da auf die Box zu kommen. Bei passend konfigurierten Provider-Einstellungen (wie bei den beiden 5490, die aber auch dem Provider gehören) ist es dann dem Benutzer nicht einmal mehr möglich, das im Nachhinein noch zu korrigieren (zumindest nicht auf "normalem Weg" über das GUI).

Ich hatte mich dann im Sept. 2019 schriftlich (per E-Mail) beim iWay-Support beklagt (weil ja nicht nur die Apps nicht mehr funktionieren nach solchen Aktionen, sondern auch meine URLs für die Fernwartung nicht mehr stimmen, wenn man einfach die Portnummer ändert) und weiß im Moment gar nicht, ob das irgendetwas bewirkt hat oder nicht - da werde ich ggf. noch einmal nachhaken.

Zumindest den angelegten Benutzer sollte man auch wieder entfernen (damit er von Dritten eben nicht mißbraucht werden kann - auch die 8 (offenbar hexadezimalen) Zeichen als Ergänzung zum Benutzernamen machen das ja nicht automatisch sicher) und wenn man nicht die Kunden ständig zum Erneuern der Anmeldung von irgendwelchen Apps zwingen will (wo die Kunden deren "Fehlfunktion" dann sicherlich auch eher AVM zurechnen und nicht dem - für meine Begriffe falschen - Herangehen des Providers an die "Fernwartung"), dann sollte man auch die bereits vorhandenen Einstellungen für den WAN-Zugriff auf das GUI wieder restaurieren - spätestens in der - ebenfalls per TR-069 auslesbaren - Export-Datei findet man dann die notwendigen Angaben auch wieder, falls es (derzeit) keine "offizielle" TR-069-Funktion zum Auslesen des eingestellten Ports geben sollte (weiß ich gerade nicht, müßte ich erst wieder alles installieren zum Test).

 

[Grisu_]

Wenn ich TV oder Provider-VoiP hätte müßte ich zwangsläufig auf Betreiber A1 umstellen und die Box über TR-069 konfigurieren lassen da diese Services anderfalls nicht vom User provisionierbar sind.
Und dann hab ich den Fern-User und der Betreiber hat vollen Zugriff auf meine Box.
Das hatte ich auch schon in der Vergangenheit beobachtet, daß Einstellungen über Nacht verändert waren (einmal mir bekanntermaßen nach einer Störungsmeldung).

Daher eben mein Versuch dies zu unterbinden über Änderung auf "anderer Betreiber" mit manueller User/PW und VLAN-ID-Einstellung wo eben nur Internet geht und der POTS (solange ich ihn behalten kann) davon unabhängig ist.
Und diesen TR-069 User gänzlich löschen.

Falls ich auf VoIP umgestellt würde wäre ich gefangen in den Klauen des Betreibers der (wissentlich manuell oder automatisiert ist dabei einerlei) in meiner Box herumpfuscht da es vielleicht für 99% der Kunden halt so paßt und die anderen mit eigenen Vorstellungen haben den Schlauch.

 

[Novize]

da ist - nach Kontakten mit dem Support - immer wieder zu verzeichnen, daß über TR-069 Benutzer angelegt werden (ein Beispiel, von der 7490):

Das sehe ich als Einbruch in meine Infrastruktur an und würde entsprechend reagieren. Internetzugangs- und Telefoniedaten setzen ist ja (beim Einrichten bzw Kontakt mit deren Hotline wegen Problemen) ja noch nachvollziehbar, alles andere etwas zu fragwürdig - Logdatei hin oder her, das geht nicht!.
Ab gesehen von diesem rechtlichen Problem: Hier hat der Provider diesen User Deiner Aussage nach ja via TR069 angelegt. Ein auf Werkseinstellung befindlicher Router müsste diesen generischen User ja dann bei allen Fritzboxen haben, und das kann ich nicht glauben. Dann wären Username und Passwort ja sehr einfach reproduzierbar und damit eine noch viel größere Sicherheitslücke. Dass AVM so etwas fahrlässiges zulässt, ist für mich irgendwie nicht glaubhaft.

 

[PeterPawn]

Ein auf Werkseinstellung befindlicher Router müsste diesen generischen User ja dann bei allen Fritzboxen haben, und das kann ich nicht glauben. Dann wären Username und Passwort ja sehr einfach reproduzierbar und damit eine noch viel größere Sicherheitslücke. Dass AVM so etwas fahrlässiges zulässt, ist für mich irgendwie nicht glaubhaft.

Wie kommst Du auf die Idee, es müsse dann - von Beginn an - einen solchen "generischen User" geben?

Es gibt in der Firmware einfach eine Funktion (konkret in der "libcmapi.so", die (ausgelagerte) Teile des Interfaces für den "ctlmgr" enthält), mit der man - über eine TR-069-Funktion und für die braucht man (per Definition im Standard) nicht zwingend eine Autorisierung - einen solchen Benutzer anlegen kann:

vidar:/home/FritzBox/FB7490/firmware/113.07.12-intl $ nm -D lib/libcmapi.so | grep tr069_remote
00058f10 T BoxUsers_get_tr069_remote_access_username
00058ab4 T BoxUsers_make_tr069_remote_access_username
00058f9c T BoxUsers_set_tr069_remote_access_password
00058f80 T BoxUsers_set_tr069_remote_access_username
vidar:/home/FritzBox/FB7490/firmware/113.07.12-intl $

und dieser Benutzer (dessen Property "is_tr069_remote_access_user" dann gesetzt wird), erfährt auch noch an diversen anderen Stellen in der Firmware eine Sonderbehandlung:

vidar:/home/FritzBox/FB7490/firmware/113.07.12-intl $ grep -abor "is_tr069_remote_access_user"
lib/libcmapi.so.1.0.0:1114524:is_tr069_remote_access_user
usr/www.nas/avme/api/login.lua:1314:is_tr069_remote_access_user
usr/www.myfritz/avme/login.lua:1010:is_tr069_remote_access_user
usr/lua/boxusers.lua:197:is_tr069_remote_access_user
usr/lua/boxusers.lua:402:is_tr069_remote_access_user
usr/lua/boxusers.lua:3927:is_tr069_remote_access_user
usr/www/avme/login.lua:6027:is_tr069_remote_access_user
vidar:/home/FritzBox/FB7490/firmware/113.07.12-intl $

, wobei diese Eigenschaft wohl ausschließlich auf der Basis des im Benutzernamen verwendeten Präfix "attestiert" wird. Die passende Zeichenkette "TR069-" findet sich dann auch wieder in der "libcmapi.so" und zwar "im Umfeld" von anderen Zeichenketten, die offensichtlich mit der Behandlung von Benutzerkonten im Kontext stehen. Das jetzt aus der Library zu extrahieren, überlasse ich jedem Interessenten selbst ...

Es gibt diese Funktion zum Anlegen eines "richtigen Benutzers" per TR-069-Interface (sowohl nach meinen eigenen Beobachtungen beim erwähnten Provider, als auch nach der Analyse der exportierten Funktionen der "libcmapi.so" - denn die "...make..."-Funktion ist sicherlich nur schwerlich mit irgendwelchen anderen Zusammenhängen zu erklären) und wenn der Provider den Umgang mit diesen Möglichkeiten nicht richtig beherrscht (oder auf Security per se pfeift), dann lassen sich daraus auch veritable Sicherheitslücken erzeugen.

Das ist sicherlich nicht die Absicht von AVM (die Geschichte mit dem TLS-Port läßt ja sogar die AVM-eigenen Apps dumm dastehen) - aber man steuert auch nicht wirklich aktiv dagegen ... angefangen bei der Frage, ob ein per DHCP übermittelter ACS (was natürlich in D zumindest beim DSL auch eher unüblich ist, weil hier in der überwiegenden Zahl der Fälle noch eine PPPoE-Kapselung erfolgt) zu berücksichtigen ist oder nicht bzw. ob schon "der erste Kontakt" (nein, nicht mit den Borg, sondern vom CPE zum ACS und in der dann folgenden Phase, wo das CPE auf Kommandos vom ACS wartet) über passende Credentials abgesichert sein muß (was bringt ansonsten der vorkonfigurierte CWMP-Account - und die hier in Frage stehende 7490 ist eine internationale Retail-Box für die Schweiz, die sollte ab Werk einen CWMP-Account haben, auch wenn ich erst noch einmal die Support-Daten ziehen müßte, um ganz sicher zu gehen) oder ob die bloße Existenz der ACS-URL ausreicht, damit ein Provider das Gerät "automatisch" konfigurieren/ansprechen kann.

Es tut mir ja leid, wenn damit das Bild vom "white knight" AVM einen Kratzer bekommt ... aber die Realität ist nun mal die von mir beschriebene und das kann ich auch belegen - zumindest für die angegebene Firmware und die Situation bei iway.ch vor einem knappen Jahr - da die 7490 auch eine vom Kunden war/ist, kann der Provider hier die CMWP-Daten auch nicht kennen, anders als bei den beiden 5490, die von ihm kamen.

Und nicht jedes Land hat die Gesetzgebung zur "Routerfreiheit", das kommt noch dazu, was dann den "Einbruch" in die eigene Infrastruktur auch schwierig zu beurteilen macht (es geht hier um die Schweiz, wie ich bereits schrieb) - da steht dann nämlich wieder die Frage im Raum (wie das in D bis August 2016 auch der Fall war), wo das eigene Netz eigentlich beginnt. Das von mir beobachtete und beschriebene Vorgehen unterscheidet sich ja auch nur in Nuancen von dem, was KDG (und andere KNB) bis zur freien Wahl der Endgeräte in D auch praktiziert haben und daß ein Auslesen, Ändern, Einspielen der kompletten Konfiguration per TR-069 möglich ist und natürlich auch das Verwalten eines Benutzers für den TR-069-Fernzugriff, sollte nicht wirklich überraschen ... das versuche ich seit Jahren (mal mehr und mal weniger erfolgreich) zu dokumentieren und zu belegen - das war immerhin mal mein "Einstieg" in die Thematik "FRITZ!Box und FRITZ!OS", daß mir KDG freundlicherweise (und ohne plausiblen Anlaß) die Konfiguration einer 6360 zurückgesetzt hatte, womit dann meine ausgehenden Daten nicht länger per VPN verschlüsselt wurden, sondern im Klartext durch's Internet wanderten.

Ob das Anlegen und Benutzen eines speziellen Benutzer-Accounts ggü. den damaligen Eingriffen durch KDG jetzt eine andere Qualität darstellt oder nicht, liegt wieder im Auge des Betrachters und da muß man feststellen/festhalten, daß die Judikative (in Deutschland) leider immer noch nicht (mit ganz wenigen Ausnahmen) mit überbordendem Wissen, was das für Auswirkungen hat oder haben kann, gesegnet ist und das "Sicherheitsbewußtsein" (und damit natürlich auch die Beurteilung, wie schwer so ein Eingriff wiegen mag) eher dem der "Normalbürger" entspricht, die "123456" auch für ein Kennwort halten.

 

[Novize]

Wie kommst Du auf die Idee, es müsse dann - von Beginn an - einen solchen "generischen User" geben?

daher:

Und wozu hat meine Box (nach Werksreset) dann einen solchen User vorangelegt den ich entfernt habe?

Genau dieses zweifelte ich an und darauf bezog ich mich

 

[erik]

Bisher hat es gewirkt dass ich nach den Einstellungen zum Update noch bei den AVM-Diensten die Suche nach Updates ausgeschaltet habe. Da die Box auch nicht der Router ist sollte ein Fernzugriff durch die Telekom ebenfalls nicht erfolgen.

 

[KunterBunter]

Und wozu hat meine Box (nach Werksreset) dann einen solchen User vorangelegt den ich entfernt habe?

Das hat @Grisu_ sicherlich mit dem CWMP-Account im Environment verwechselt. Der bleibt natürlich auch nach einem Werksreset erhalten.

 

[Grisu_]

Ich schrieb doch nur, daß ich den User nach einem Werksreset habe ohne ihn selbst angelegt zu haben.
Ob er schon weksseitig direkt drauf ist oder erst durch den Erstkontakt mit dem Provider angelegt wird entzieht sich meiner Kenntnis.
Sicher hängt das Modem an der Strippe, dazu ist es ja da!

Das hat @Grisu_ sicherlich mit dem CWMP-Account im Environment verwechselt. Der bleibt natürlich auch nach einem Werksreset erhalten.

Kann ich dir leider nicht beantworten in Ermangelung des Wissens was ein CWMP-Account im Environment ist.
Ich meine unter User den dann bereits vorhandenen TR-069xxxxxxxx User welchen PeterPawn ja exakt beschrieben hat neben den anderen vorprovisionierten die ich dann alle lösche und nur meinen eigenen neuen einrichte.

 

[PeterPawn]

daher:

OK, dieser Benutzer ist für mich halt "unsichtbar" und i.d.R. klicke ich auch nicht auf die eingeblendeten (JS-)Links, mit denen man das ändern kann.

Aber wenn dieses Zurücksetzen auf die Werkseinstellungen mit angeschlossenem DSL-Kabel erfolgt (m.W. ist er ja A1-Kunde in AT), dann könnte das auch wieder ganz einfache, "temporale" Ursachen haben.

Wenn die Box beim DSL-Start (der wird ja auch in der Factory-Konfiguration versucht) synchronisieren kann und gleich per DHCP einen ACS vorgesetzt bekommt und dann noch zu diesem auch Kontakt aufnimmt ... dann kann das für den Besitzer durchaus so erscheinen, falls der ACS gleich mal prophylaktisch einen passenden Benutzer anlegt oder gar sofort automatisch die komplette Box konfiguriert - zumal echte "Benutzerdaten" für den Kunden an dieser Stelle ohnehin nicht existieren bzw. verwendet werden, wenn es um einen DHCP-basierten Zugang geht und damit auch keine weitere Konfiguration für den DSL-Zugang erforderlich wäre, wenn man erst mal die passenden VLAN-IDs ermittelt/getestet hat und das macht die FRITZ!Box auch automatisch.

Schaut man erst danach in die Box (und die wenigsten werden als Allererstes in die Benutzerverwaltung gucken, während die Konfiguration über TR-069 durchaus auch im Hintergrund erfolgen kann), sieht es halt so aus, als gäbe es diesen Benutzer auch direkt nach dem Zurücksetzen - wobei es eigentlich auch wechselnde Namen sein sollten, weil der Teil nach dem Präfix "TR069-" m.W. (bzw. nach meinen Beobachtungen) keinesfalls "fix" ist.

Und ich glaube schon, daß er hier einen "richtigen Benutzer" meint und nicht die CWMP-Credentials ... denn ersterer läßt sich tatsächlich löschen (der wird auch im GUI nicht wirklich "versteckt"), was bei den CWMP-Credentials schon deutlich schwieriger ist. Ein solcher Account ist dann - schon wegen des Benutzernamens - auch nicht schwer zu identifizieren ... wenn solche Accounts nicht bei jedem FRITZ!Box-Besitzer und bei jedem Provider auftauchen, heißt das ja trotzdem noch nicht, daß es diese Möglichkeiten im FRITZ!OS nicht gäbe.