Durch das TR-069 Protokoll können Provider (und ggf. andere) z.Bsp. auf Router (Fritz!Box = Router) zugreifen. Dadurch können Einstellungen, Firmware, etc. ausgelesen und manipuliert werden. Von diesen Zugriffen und Änderungen bekommen Sie als verantwortlicher Eigentümer der Fritz!Box (ein AVM Produkt) nichts mit.
Für weitere Details empfehlen wir Ihnen die entsprechende Wikipedia Seite:
https://de.wikipedia.org/wiki/TR-069
Bis zur Version 6.30 der FritzBox Firmware gab es die Möglichkeit, per "telnet" auf die FritzBox zuzugreifen und das TR-069 Protokoll (und andere Einstellungen) selbst anzupassen. Ab Version 6.30 ist das (leider) nicht mehr möglich. Ein Auszug aus der Info-Datei von AVM:
[...] Neues in FRITZ!OS 6.30 [...] Hinweis - Zugang zur FRITZ!Box per Telnet wird nicht mehr unterstützt [...]
Angeblich soll die TR-069 Funktionalität in der FritzBox Oberfläche abgeschaltet werden können.
Gehen Sie dafür auf Ihre FritzBox (im Browser in die Adresszeile http://fritz.box eingeben) und aktivieren Sie die "erweiterte Ansicht" (unten links auf "Ansicht:" klicken, bis "Ansicht: Erweitert" angezeigt wird).
Führen Sie folgende Schritte aus:
- Klicken Sie im linken Menü auf "Internet"
- Dann den Unterpunkt "Zugangsdaten" anklicken
- Im Hauptfenster den Bereich "Anbieter-Dienste" öffnen
- Deaktivieren Sie alle hier angezeigten Optionen (derzeit drei Stück)
- Speichern Sie die Einstellungen per Klick auf "Übernehmen"
Nachdem diese Option (lt. AVM Support) auf diese Weise deaktiviert sein soll, können Sie sich Ihre komplette FritzBox Konfiguration auf folgende Weise einfach ansehen: Sie erstellen ein Backup der Einstellungen
- Klicken Sie im linken Menü auf "System"
- Jetzt den Unterpunkt "Sicherung" anklicken
- Geben Sie ein Kennwort ein (für diesen Test z.Bsp. einfach "xxx")
- Klicken SIe auf "Sichern"
- Lästigerweise muss diese Aktion (neuerdings) per Telefon bestätigt werden:
Folgen Sie also bitte der angezeigten Anleitung zur Eingabe eines PIN per Telefon. Klicken Sie danach auf das dann angezeigte "OK". - Speichern Sie die Datei auf Ihrem Computer
Anmerkung:
Wenn eine sicherheitsrelevante Einstellung wie das TR-069 so "einfach" zu deaktivieren wäre, dann wäre ja alles ok.
Öffnen Sie bitte die gerade gespeicherte Datei. Es ist eine Textdatei, ein einfaches Textprogramm wie "notepad" oder "wordpad" sind vollkommen ausreichend und sind bei Windoes meist automatisch instelliert.
Suchen Sie in der Datei nach der Zeichenkette "tr069discover" (meist per "Strg+F"). Sie werden eine folgende Anzeige finden:
tr069discover_active = yes; tr069discover_mode = only_pppoe; tr069discover_without_dhcpoption = no; tr069discover_forced = yes; tr069discover_vlan_takeover = no; tr069discover_vlancfg_list { vlanencap = vlanencap_fixed_prio; vlanid = 7; vlanprio = 0; } tr069discover_vlancfg { vlanencap = vlanencap_none; tagtype = vlantagtype_customer; vlanid = 0; vlanprio = 0; tos = 0; }
Extrem wichtig ist hier die Einstellung "tr069discover_mode". Diese soll (wenn schon TR-069 aktiviert ist) verhindern, dass sich jemand über das Internet mit Ihrer FritzBox über das Protokoll verbinden kann. Durch diese Einstellung soll der Zugriff auf Anfragen über die aktuelle Einwahl zum Provider beschränkt werden.
Um die Details zur Verbindung zum TR-069 einzusehen, suchen Sie bitte nach dem Text "tr069cfg":
tr069cfg { enabled = yes; litemode = yes; tr181_support = no; dhcp43_support = no; igd { DeviceInfo { ProvisioningCode = "666"; FirstUseDate = "2017-01-11 12:51:28"; } managementserver { url = "https://acs1.online.de"; username = "$$$$CG5T**entfernt"; password = "$$$$CJBE**entfernt"; URLAlreadyContacted = yes; LastInformReq = "2017-05-21 17:20:19"; LastSuccessfulContact = "2017-05-21 17:20:19"; URLbyDHCPIface = ""; PeriodicInformEnable = no; PeriodicInformInterval = 0; PeriodicInformTime = "1970-01-01 01:00:00"; UpgradesManaged = no; ACSInitiationEnable = no; ACSInitiationPorts = "46000+1000"; SessionTerminationWithEmptyPost = no; ConnectionRequestUsername = ""; ConnectionRequestPassword = ""; dnsprefer = tr069dnsprefer_ipv6; } } FirmwareDownload { enabled = no; enabled_converted = no; upload_enabled = no; valid = no; suppress_notify = yes; status = 0; StartTime = "1970-01-01 01:00:00"; CompleteTime = "1970-01-01 01:00:00"; method = Download_Method_DL; } RebootRequest = no; RebootRequest_CommandKey = ""; ACS_SSL { verify_server = yes; trusted_ca_file = "/etc/default/root_ca.pem"; } Download_SSL { verify_server = yes; trusted_ca_file = "/etc/default/root_ca.pem"; } guimode = guimode_visible; lab { Enable = no; URLAlreadyContacted = no; PeriodicInformInterval = 0; Features = 65535; } }
Mehr als irritierend ist hier die erste Einstellung:
enabled = yes;
Wenn ich TR-069 deaktiviere, dann erwarte ich auch ein vollständig deaktiviertes Protokoll bzw. eine komplett deaktivierte Schnittstelle (Dienst).
Trotz "Deaktivierung" ist offenbar der TR-069 Dienst auf der FritzBox immernoch aktiv (= enabled).
Auch die nachfolgende Zeile mit dem "litemode" bessert meine Laune und das Vertrauen dabei nicht ! Wie wenig lustig dieses Thema und diese Einstellungen sind, können Sie z.Bsp. auch in diesem Heise Artikel erfahren: Millionen DSL-Router durch TR-069-Fernwartung kompromittierbar. Der Artikel stammt aus dem Jahr 2014; genügend Zeit für eine Korrektur war also vorhanden.
Den letzten Kontakt zum Server finden Sie in der Einstellung "LastSuccessfulContact".
Nochmal als Update:
Ist immernoch so 🙁 Leider.
Hast du mal getestet, was passiert wenn du die Sicherung änderst und wieder einspielst?
Sowas wie: tr069discover_active = no;?
Die Sicherung ist leider signiert. Eine veränderte Sicherung lässt sich nicht wieder importieren.
Mit der Version 7.12 der 7590 habe ich ebenfalls TR-069 deaktiviert.
In der Sicherung sind die Optionen korrekt gesetzt.
———– enabled = no; litemode = no; tr181_support = no; dhcp43_support = no; ———–