[Frage] Was macht der Startcode?

knopper22

Mitglied
Mitglied seit
21 Feb 2007
Beiträge
394
Punkte für Reaktionen
4
Punkte
18
Hallo an alle,

habe zu dieser Frage leider nichts im Forum gefunden, daher frag ich mal
Was macht nun der 1&1 Start-Code eigentlich genau, wenn man diesen in der FB eingibt?

Also bekannt ist mir das die Internetzugangsdaten eingetragen werden, die Einrichtung der 2. PVC (Telefonie), sowie die Telefonnummern.
Ist das schon alles?
Es steht auch nirgendswo was dokumentiert und 1&1 hält sich hier auch bedeckt.

Mit schwant so als ob da noch X Sachen konfiguriert und rumgefrickelt werden, wovon der User mal rein hübsch nichts mitbekommen soll. TF069 ist da ja recht umfangreich.

Also weiß da jemand mehr? Was genau passiert wenn ich den Code eingebe, bzw. was macht dann meine Fritzbox?
 
Moin

Die Zugangsdaten für Internet und Onlinespeicher übrigens auch.
(Ersteinrichtung, Werkseinstellungen)

TR-069 Anfragen stellt die Fritz!Box.
Über den offenen Port 8089 darf der Anbieter eine Anfrage senden.
Beides kann in der Fritz!Box nach erfogreicher Einrichtung deaktiviert werden: fritz.box/internet/providerservices.lua

TR-069 wird als Erleichterung der Einrichtung für nicht technikaffine Heimanwender gesehen.
 
Mit schwant so als ob da noch X Sachen konfiguriert und rumgefrickelt werden
Ich liebe so unkonkrete Verschwörungstheorien...

Das kannst du auch selbst testen:
a. Gib alle Daten von Hand ein
b. Benutze den Start-Code
Und vergleiche dann hinterher die Einstellungen (Jeweils Sicherung ziehen)
 
Mit schwant so als ob da noch X Sachen konfiguriert und rumgefrickelt werden, wovon der User mal rein hübsch nichts mitbekommen soll. TR069 ist da ja recht umfangreich.

Ja, 1&1 richtet sich einen Zugang ein, und deaktiviert das "Häkchen", womit der User den Providerzugang abschalten kann - man kann das "Häkchen" zwar noch setzen/entfernen, aber es hat keine Funktion mehr :gruebel:

Kann Jeder selbst testen - einfach das "Häkchen" entfernen, und dann mal ein VoIP-Konto von 1&1 löschen - am nächste Tag steht das Konto wie von Zauberhand wieder drin :verdaech:
 
hmm naja ich hab jetzt nur gemerkt das wenn ich das Häckchen für die automatische Konfiguration abschalte, in der tr069.cfg (unter /var/flash) immer noch steht enabled = yes;

habs natürlich dann mit nvi auf no gesetzt. Passiert doch dann nichts oder?
 
Es steht auch nirgendswo was dokumentiert und 1&1 hält sich hier auch bedeckt.
Das steht tatsächlich in der TR-069-Spezifikation drin, wie das Ganze funktioniert. Was dann alles mit einem SetParameterValues (A.3.2.1, S. 78) zu setzen ist oder mit GetParameterValues (A.3.2.2, S. 81) abgefragt werden kann, das ist die entscheidende Frage. Das, was 1&1 da (im Moment) nutzt, ist sicherlich nur eine Teilmenge. Nach dem, was ich bisher gesehen habe, wird bei 1&1 der Start-Code als "ProvisioningCode" eingetragen. Der war - wieder mein Verständnis/meine Meinung - mal als Auskunft seitens des CPE (das ist die FRITZ!Box) an den ACS (der Konfigurationsserver beim Provider) gedacht, damit das CPE damit ansagen konnte: "Hi, ich bin's, ich habe schon eine Konfiguration von Dir und zwar diese.". Offenbar wird er aber bei 1&1 als Start-Code "mißbraucht" und dann dazu verwendet, das passende Benutzerkonto zu suchen und anhand dessen die Daten im CPE neu zu setzen, dabei wird dann auch der ProvisioningCode durch einen anderen ersetzt, der dann die ursprüngliche Aufgabe wieder übernimmt.

Was generell über die TR-069-Schnittstelle alles denkbar wäre, kann man tatsächlich auf der AVM-Webseite in einigen veröffentlichten Dokumenten nachlesen. Welche dieser Parameter am Ende nicht nur über TR-064 (das ist die LAN-seitige Variante von TR-069) zugänglich sind, sondern eben auch für den Provider über TR-069 von außen, dazu gibt es (meines Wissens, ich nehme Quellenangaben gerne zur Kenntnis) keine offiziellen Angaben bzw. die Aussagen in den AVM-Dokumenten sind für mich widersprüchlich - auch dazu, für welche der Einstellungen man von intern eine Authentifizierung braucht und für welche nicht. Daher bleibt aus Sicherheitsüberlegungen am Ende gar nicht anderes übrig als davon auszugehen, daß alle über TR-064 erreichbaren Parameter genauso auch auf der TR-069-Schnittstelle gesetzt und gelesen werden können.

Da das dann tatsächlich bedeuten würde, daß der Provider so ziemlich alles in der Box machen könnte (das muß ja nicht heißen, daß er es auch routinemäßig macht und so ist es schon ein himmelweiter Unterschied, ob etwas nicht benutzt wird oder ob es gar nicht zur Verfügung steht), ist die Empfehlung des Abschaltens nach der Erstkonfiguration (wenn man diese nicht - bei 1&1 ist das machbar - auch gleich von Hand ausführt, dann aber als "Anderer Anbieter", sonst hat man am Ende nichts gewonnen) wohl keine so schlechte. Auch wenn es etwas paranoid klingt, die Ursache dieser Paranoia ist ja Unwissen und das nicht aus Mangel an Bereitschaft für einen Erkenntnisgewinn, sondern weil man schlicht auf niedrigem Informationsstand gehalten wird.

Aber man muß auf der TR-069-Schnittstelle auch keine Verschwörungstheorien gründen, es ist schlicht eine externe Schnittstelle und wie bei allen - undokumentierten (das meint den Umfang, nicht die Funktionsweise) - Schnittstellen kann sich jeder seinen Teil dazu selbst denken und seine Vorkehrungen treffen. Ein "Wer weiß, was da noch alles geht ..." ist zwar vermutlich der natürliche Reflex (kennt man vom Flurfunk), aber wilde Spekulationen bringen auch nichts. Ein wenig mehr Transparenz könnte sicherlich nicht schaden, wer es genau wissen will, darf sich ohnehin nicht auf irgendwelche Dokumentationen verlassen und muß es selbst testen. Denn auch eine Dokumentation muß ja nicht zwingend immer vollständig und wahr sein (das NIST dokumentiert/spezifiziert seine Standards ja auch und irgendwas hatten die wohl tatsächlich nur vergessen zu erwähnen) und sie beschreibt in der Regel auch nur den Sollzustand, wenn es um solche sensiblen Aspekte wie AAA geht. Wenn immer alles richtig und wie dokumentiert implementiert wäre, gäbe es sicherlich wesentlich weniger Sicherheitslücken in Software auf dieser Welt.

Das direkte Auslesen der Daten eines Windows-PCs im lokalen Netzwerk dürfte nicht nur den TR-069-Zugriff erforderlich machen, sondern auch noch wesentlich mehr Aufwand, um von der Box ins LAN zu gelangen (ich sage damit nicht, daß es unmöglich ist, ganz im Gegenteil). Da ist aber der direkte Angriff auf den Nutzer des Windows-Systems immer noch der einfachere Weg: "Hast Du eigentlich die neuen lustigen Katzenvideos schon gesehen ? Wenn nicht, hier ist ein Powerpoint-Dokument mit Links dahin. Oder auch zu Deiner Lieblings-Domina, sieht die nicht scharf aus ?"

Was will ich damit sagen? Es ist sicherlich nicht falsch, sich Gedanken um die Sicherheit seiner FRITZ!Box zu machen. Das geht aber auch sachlich und wenn man sich eine FRITZ!Box entsprechend vorbereitet, bevor man sie Kontakt mit dem 1&1-ACS aufnehmen läßt, kann man aus der Differenz der Einstellungen (und es geht nur um /var/flash/*, woanders legt die Box keine Einstellungen ab) relativ leicht feststellen, was da seitens des ACS tatsächlich konfiguriert wurde. Das heißt - wie geschrieben - noch nicht, daß das schon alles ist, was machbar wäre ... aber die Frage: "Was machen sie tatsächlich?" ist ziemlich leicht zu beantworten (wenn man dort Kunde ist).
 
Kann Jeder selbst testen - einfach das "Häkchen" entfernen, und dann mal ein VoIP-Konto von 1&1 löschen - am nächste Tag steht das Konto wie von Zauberhand wieder drin
Nöö, tut es nicht... Habe längere Zeit nur auf meiner dahintergeschalteten 7170 eine Faxnummer von 1&1 eingerichtet gehabt (also direkt), in meiner ersten Box (7490) passierte solange nichts, bis ich dann mal probeweise den Haken gesetzt habe. Nach Entfernung des Hakens und Löschung der Nummer war und blieb alles wieder wie vorher...
 
... und deaktiviert das "Häkchen", womit der User den Providerzugang abschalten kann - man kann das "Häkchen" zwar noch setzen/entfernen, aber es hat keine Funktion mehr :gruebel:
Das war einmal, bitte dein Wissen auf den aktuellen Stand von FritzOS >=6.1x bringen, seitdem erfüllt "das Häkchen" seine primäre Aufgabe (wieder)...
 
hm und was ist mit der tr069.cfg? Dort steht nach entfernen des Häckchens immer noch stur enabled = yes;
Also Nummer sicher ist wenn man es da dann auch noch auf no setzt oder?
 
hm und was ist mit der tr069.cfg? Dort steht nach entfernen des Häckchens immer noch stur enabled = yes;
Also Nummer sicher ist wenn man es da dann auch noch auf no setzt oder?
Deshalb schrieb ich oben, daß man dann eben nicht 1&1 als Anbieter konfigurieren darf, sondern das über "Anderer Anbieter" selbst machen muß.

Der "Haken" setzt bei 1&1 als Anbieter nur eine Variable "litemode=no;" (Haken an) bzw. "litemode=yes;" (Haken aus). Das ist etwas verwirrend, aber es ist halt so. Die Angabe "enabled = yes;" wird auch wieder überschrieben, selbst wenn Du sie von Hand änderst. Welche Einstellungen genau für 1&1 vorgenommen werden, wenn man diesen Anbieter auswählt, steht in der Datei /etc/default.$(CONFIG_PRODUKT)/$(OEM)/providers-049.tar auf Deiner Box.

Die Vorgehensweise dabei ändert sich nach meinem Dafürhalten auch alle Nase lang ... aber nur 1&1 ist - bei meinem letzten derartigen Test, das muß für 06.23 schon nicht mehr gelten - wohl tatsächlich der einzige Anbieter, wo das noch einmal gesondert behandelt wird. Früher wurde jedenfalls auch bei "Telekom" als Anbieter nur "litemode" geschaltet, heute (06.20) passiert das offenbar nur noch bei 1&1 und bei anderen bewirkt es wirklich eine Änderung von "enabled".

Ansonsten kann jeder selbst auf seiner Box testen, welche Einstellung mit einem
Code:
ctlmgr_ctl w tr069 settings/enabled [0|1]
sleep 15
cat /var/flash/tr069.cfg
nun tatsächlich umgeschaltet wird, das ist der "Haken" im GUI. (Die Pause soll nur dem ctlmgr die Chance geben, die neuen Einstellungen zu schreiben, manchmal ist der etwas zu "lazy".)

EDIT: Ob tatsächlich der ctlmgr noch immer bei jedem Start die providers-049.tar liest und Einstellungen überschreibt (wie es früher (vor 6 Monaten ca.) mal war), habe ich auch nicht wieder getestet. Insofern könnte (siehe oben zu ständigen Änderungen) das auch schon wieder kalter Kaffee sein.
 
Zuletzt bearbeitet:
Der Startcode ist nicht mal notwendig, eingeben der 1&1 Internetdaten aktiviert ebenfalls das tr069, kommt also aufs selbe.

Also wenn dann ohne aktives DSL einrichten, wenn wirklich manuell.

Verstehe Geheule eh nicht. Einmal automatisch einrichten lassen, und dann deaktivieren dass in Zukunft nicht Teile überschrieben werden, und gut ist.

An Funktionen oder Optionen ändert es nichts, also unnötiger Aufwand mit komplett manuell.
 
Ja aber nur mit dem Startcode bekommt man die 2. PVC für die Telefonie.
Oder wo finde ich da die Option für?
 
Ist egal ob Daten oder Code.

Unter Internet kannst 1. PVC anpassen, dann sollte auch 2. zur Wahl stehen bei den Telefonie Option wo auch T38 und so aktiviert wird.

Ich würde eh auf den Verzichten, macht für mich kein Sinn, weder jetzt noch früher mit 16k.
 
hmm naja wir haben hier immer ne 2. PVC. Hat den Vorteil das man sich mal schnell ne neue IP holen bzw. "neu verbinden", während jemand telefoniert. Is schon ganz cool.
 
Is schon ganz cool.
Oh ja, genauso cool wie debranden und dann nochmal n recover gemacht, und dann nochmal Werkseinstellungen... :-Ö

Ehrlich, was versprichst du dir davon...?

Wissen deine Eltern, wozu deine Aktivitäten gut sind...
 
Auch wenn es etwas paranoid klingt, die Ursache dieser Paranoia ist ja Unwissen und das nicht aus Mangel an Bereitschaft für einen Erkenntnisgewinn, sondern weil man schlicht auf niedrigem Informationsstand gehalten wird.

Was bitte ist daran "paranoid", wenn Jemand nicht will das irgendwelche Fremde in seinen Configs rum fummeln :rolleyes:

Das es für manche Super-DAUs gut ist, TR-069 eingeschaltet zu lassen, weil sie selbst nicht in der Lage sind Einstellungen vorzunehmen - sei mal dahin gestellt - aber wenn der User/Kunde weiß was er macht, gibt es keinen Grund einen Zugriff von außen zuzulassen !

Das hat auch nichts mit "Verschwörungstheorien" zu tun - für den User, der lesen und schreiben kann, gibt es ganz einfach keine Notwendigkeit für TR-069 - ich persönlich finde das unverschämt von 1&1 die Funktion standardmäßig zu aktivieren, wenn der Kunde ohne Startcode einrichtet :meinemei:
 
aber wenn der User/Kunde weiß was er macht, gibt es keinen Grund einen Zugriff von außen zuzulassen !
Der Kunde, der weiß was er macht, hat doch ganz einfach die Möglichkeit TR-069 abzuschalten.
Aber bist nicht gerade du immer derjenige, der behauptet, Kunden, die wüssten was sie tun haben kein AVM-Equipment...?

Und ganz klar nein, wer lesen und schreiben kann ist nicht automatisch in der Lage, alle notwendigen Einstellungen von Hand technisch in ihren Auswirkungen zu überblicken. Wenn er doch nur alle geschriebenen, vorgegebenen Eintellungen stur abtippen sollte, dann ist TR-069 weitaus bequemer. Insoweit geht dein Vorwurf ins Leere...
 
Was bitte ist daran "paranoid", wenn Jemand nicht will das irgendwelche Fremde in seinen Configs rum fummeln
Dann hast Du meinen Text eher nicht verstanden. Ich wollte mehr darauf hinaus, daß eigentlich jede nicht dokumentierte Schnittstelle, auf die von außerhalb zugegriffen werden kann und deren Funktionsumfang nicht offen gelegt wird (und somit vom Kunden/Nutzer nicht geprüft werden, ob diese Dokumentation und der behauptete Umfang stimmt und plausibel ist), nur mit gehörigem Mißtrauen zu betrachten ist.

Deshalb steht da auch "es klingt paranoid", wenn man mangels offizieller Angaben seitens AVM einfach annehmen muß, daß sämtliche per TR-064 möglichen Einstellungen auch per TR-069 vorgenommen (und ggf. auch abgefragt) werden können. Da das am Ende in ein generelles Mißtrauen ggü. dem Hersteller der Box mündet, klingt das schon paranoid ... denn wer so voller Mißtrauen ggü. AVM ist, der könnte/sollte dann gleich auf den Einsatz einer FRITZ!Box verzichten, aber das will man ja i.d.R. auch nicht. Aber bei Sicherheitsfragen muß man nun mal vom "worst case" ausgehen und nicht vom dritten Rheinischen Gesetz ... und damit ist maximales Schadenspotential anzunehmen. Wenn das dann am Ende nicht so schlimm kommt, wie man es berücksichtigt hat, ist der Schaden immer noch geringer als bei der entgegengesetzen Annahme.

Aber das ist nun mal das Problem an "security by obscurity", daß der Kunde selbst es nicht testen kann und daher auf Gottvertrauen (manche Hersteller halten sich ja auch für Gott - ich habe hier noch ein angebíssenes Stück Obst, das bei mir irgendwelche Assoziationen hervorruft) angewiesen ist.

Das hat auch nichts mit "Verschwörungstheorien" zu tun
Sorry, wieder knapp daneben. Verschwörungstheorie wird es dann, wenn man "wer weiß, was die da noch alles im Geheimen anstellen" mutmaßt und das ohne irgendwelche substantiellen Gründe. Das heißt nicht, daß ich es begrüße, wie die Dokumentation dort gehandhabt wird, aber das ständige Gerede davon, wie schlimm und undurchsichtig das ganze TR-069 ist, daß da ja am Ende jeder Fremde in die Box kommt (wozu war gleich noch mal dieser offene Port gut ?) und daß es sich ja sogar um eine Backdoor handelt oder zumindest handeln könnte ... das ist dann nicht mehr gerechtfertigt.

Wer tatsächlich solche Befürchtungen hat, kann ja mal an seinen Senator ... sorry, an seinen AVM-Kundenbetreuer ... schreiben und dort nach einer passenden Dokumentation der TR-069-Schnittstelle (und zwar nicht danach, wie man die anspricht, sondern was da tatsächlich mit welchen Rechten machbar ist) fragen. Wenn die TR-069-Schnittstelle vom Design her sicher ist, erhöht die Freigabe der Dokumentation die Angriffsfläche um genau Null, wenn sie unsicher ist, finden es die bösen Buben am Ende wahrscheinlich eher heraus, als die guten.

Und man kann mir bestimmt nicht unterstellen, daß ich ein Fan von TR-069 bin, aber das Problem ist nicht das Protokoll an sich, sondern die - meines Erachtens mangelhaften - Möglichkeiten für den AVM-Kunden, dort seine eigenen Entscheidungen zu treffen und somit nur die wirklich benötigten Funktionen freizugeben. Das geht z.B. mit der FRITZ!Fon-App los ... ohne TR-064-Freischaltung funktioniert sie nicht und es gibt auf der anderen Seite keine Möglichkeit, die dort verfügbaren Einstellungen so weit einzuschränken, daß man damit außer den Telefonie-Funktionen für die App nicht anderes machen kann.

ich persönlich finde das unverschämt von 1&1 die Funktion standardmäßig zu aktivieren, wenn der Kunde ohne Startcode einrichtet
Das hat zwar - die Annahme kann man glaube ich treffen, obwohl ich es natürlich auch nicht genau weiß und beweisen kann - 1&1 bei AVM in Auftrag gegeben für die 1&1-Boxen, ansonsten ist das vollkommen unabhängig von 1&1 ... da ist also keine aktive Änderung an der Einstellung TR-069 ja/nein seitens 1&1, das ist alles bereits in der Firmware angelegt.
Und einerseits schreibst Du, man kann ja alles selbst einstellen, andererseits muß man aber, damit diese "zwangsweise" Aktivierung von TR-069 überhaupt erfolgt, 1&1 als Anbieter auswählen.
Mangels Dokumentation, was am Ende "litemode=yes;" noch beinhaltet, muß man eben auch wieder "annehmen" (nicht als Vermutung, sondern als maximale Ausprägung des Problems), daß das ein Placebo ist und letzten Endes der komplette TR-069-Funktionsumfang weiterbesteht.

Und weil das jetzt wieder in eine Grundsatzdiskussion pro und contra TR-069 ausartet ... die wurde schon so oft geführt, daß ich es ein wenig auch leid bin. Ursprünglich wollte ich nur dem TE die Frage beantworten, wie und wo der Startcode - meiner Meinung nach, mangels 1&1-Account ist die Erkundung schon etwas länger her und sie ist auch nicht ganz trivial, da bei 1&1 die TR-069-Kommunikation ja tatsächlich verschlüsselt erfolgt und man sich somit für eine Analyse der übertragenen Daten mit einem HTTPS-Proxy (z.B. mitmproxy) dort einklinken muß - funktioniert. Dann habe ich wie immer zu weit ausgeholt ... aber dafür entschuldige ich mich auch. Der leichte Anflug von Flurfunk in der Eingangsfrage ist aber sicherlich auch unbestritten, deshalb noch mein Senf dazu ... wenn mein Standpunkt jetzt noch immer mißverständlich sein sollte, kann ich es aber auch nicht mehr anders erklären.

EDIT: Da ich vergessen habe, es extra noch einmal zu erwähnen ... selbstverständlich ist auch TR-069 ein Krampf und eine wandelnde Sicherheitslücke, wenn die Spezifikation auch eine unverschlüsselte Kommunikation zuläßt. Das ist aber eben wieder ein anderer Aspekt einer solchen Schnittstelle ... das eine ist der Funktions-/Einstellungsumfang, das andere die Sicherheit der Kommunikation.
 
Zuletzt bearbeitet:
Oh ja, genauso cool wie debranden und dann nochmal n recover gemacht, und dann nochmal Werkseinstellungen... :-Ö

Ehrlich, was versprichst du dir davon...?

Wissen deine Eltern, wozu deine Aktivitäten gut sind...



Einfach aus Gewohnheit und Prinzip. Ich mag es nun mal nicht wenn 1&1 mir ne Box vortischt, die eigentlich ne vollwertige Fritzbox ist, aber softwareseitig um Funktionen beschnitten sprich gebranded.
Macht ja nun auch nicht jeder Provider, also könnten sie es eigentlich auch lassen.
Den "Homeserver" nicht mehr als selbigen anbieten sondern schlichtweg als Fritzbox die es gratis dazu gibt. Aber bei 1&1 is das traditionell halt so gewachsen. Nun das Recover ganz einfach das die debrandete FB nochmal als selbige in allen Flash-Bereichen schön "sauber" gemacht wird.

Ja ok is halt ne Angewohnheit...
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.