TR-069 und Sicherheit

[KleinerAdmin]

Ich gehe davon aus, dass KD jedes seiner Abschlussgeräte (Modem, Router, FB 6360) fernkonfiguriert und dies mit großer Wahrscheinlichkeit über TR-069.

Mit Sicherheit wird das bei keinem der Kabelmodems von Thomson, Motorola, Arris, Cisco über TR-069 gemacht.

Da fehlt mit schlichtweg der Beweis oder eine Quelle!

[Kunterbunter]

Die Provider werden mit Sicherheit nicht abhängig vom jeweiligen Kundenendgerät vollkommen verschiedene Konfigurationsprozesse einsetzen.

Genau das tut KDG aber bei der Telefoniekonfiguration im Fall von Kabelmodem einerseits und Homebox andererseits.
Beweis oder Quelle kannst du dir selber suchen.

[KleinerAdmin]

Die Provider werden mit Sicherheit nicht abhängig vom jeweiligen Kundenendgerät vollkommen verschiedene Konfigurationsprozesse einsetzen.

Genau das tut KDG aber bei der Telefoniekonfiguration im Fall von Kabelmodem einerseits und Homebox andererseits.
Beweis oder Quelle kannst du dir selber suchen.

Das muss ich jetzt aber nicht ernst nehmen, oder?
(Lerne ja gerne dazu, aber Behauptungen aufstellen ohne Begründung oder Belege kann jeder)

[Thyrael]

Auch gut, dass Kdg diese Schnittstelle nutzt ist mir ja auch egal, da bin ich nicht paranoid. Nur, da sie ja für jeden offen ist, fürchte ich halt einen zero-day-exploit, der Missbrauch durch Dritte ermöglicht. Ein Filtern des Ports auf kdg-Seite (nur providerinterne IPs verbinden lasse) wäre da schon eine Sicherheitsmassnahme.

Gruß
Kater Kahlohr

Da solltest du die KDG informieren das dir das solche Sorgen bereitet und das die KDG das Problem bei den Fritzboxen beheben soll.

Ich gehe davon aus, dass KD jedes seiner Abschlussgeräte (Modem, Router, FB 6360) fernkonfiguriert und dies mit großer Wahrscheinlichkeit über TR-069.

Mit Sicherheit wird das bei keinem der Kabelmodems von Thomson, Motorola, Arris, Cisco über TR-069 gemacht.

Da fehlt mit schlichtweg der Beweis oder eine Quelle!

Dann solltest du dich mit dem Thema beschäftigen.

[KleinerAdmin]

@Kunterbunter
@Thyrael

Na ja, da sind ja zwei Auskenner unterwegs. Viel Spaß dabei

nur noch ein kleiner Hinweis, dass TR-069 auch häufig bei Kabelmodems eingesetzt wird: http://www.zdnet.de/41555570/dsl-fernko ... ter-gehen/

Wie wä'rs, wenn Ihr mal Infos und nicht nur Behauptungen kund tätet?

[Kater Kahlohr]

Hi,

ich sehe schon, wir kommen hier auf keinen gemeinsamen Nenner Kabel Deutschland habe ich bereits kontaktiert, aber die haben sich dummgestellt und so getan, als hätte ich ein Problem mit der Fitz!Box Hardwar an sich reklamiert. Man hat mich an AVM verwiesen und mir freundlicherweise gleich deren Hotline-Nr. mitgeteilt

Das Problem soll offensichtlich gar nicht gelöst werden. Aber bei anderen Providern (Unitymedia, KabelBW) ist der Port ja auch offen.

Interessieren würde mich, wer haftet, wenn es erst mal einen Exploit gibt der bei den Kunden Schäden verursacht. Als Kunde hat man schliesslich keine legale Möglichkeit, den Port abzudichten (ausser man manipuliert die Fiermware der Box).

Habe schon alles abgeschaltet, was man kann auf der Fritz!Box und weiterhin Auslands - und Premiumrufnummern gesperrt. Mehr kann man wohl nicht tun.

Gruß
Kater Kahlohr

[KleinerAdmin]

Hallo Kater Kahlohr,
ja, macht auch keinen Sinn sich zu streiten . Es ist egal, über welchen Weg ein Fernsteuerungszugriff erfolgt. Jedes Verfahren ist eine Öffnung nach außen und birgt prinzipiell die Gefahr des Missbrauchs, sei es durch Hacker oder gar die Provider selbst (siehe oben den von mir verlinkten ZDNet Artikel).

Solange es keine eindeutige gesetzliche Regelung gibt zum Thema "Routerzwang" (um diese Grundsatzfrage geht es hier letztlich), werden die Provider auf die Möglichkeit der Fernkonfiguration "ihrer" Abschlussgeräte (Modems, Router) nicht verzichten. Du wirst sehr wahrscheinlich auch keine konkreten Aussagen zur Verwendung von TR-069 (oder anderen Verfahren) von KD oder AVM erhalten, sondern Dein Anliegen wird weiterhin als nicht nachvollziehbare Fehlermeldung eines "nervigen" Kunden abgetan.

Abschalten aller unnötigen Funktionen kann ich auch nur jedem empfehlen. Zusätzlich ein regelmäßiger Blick in die Logfiles und in die einschlägigen Internetquellen kann nicht schaden. Mit dem Restrisiko in diesem einfachen privaten Szenario lebe ich einigermaßen gelassen. In meinem beruflichen Szenario sieht das z.B. ganz anders aus: externer Zugriff auf Firmennetz über HTTPS, VPN, SSH, FTP, Remote Webarbeitsplatz etc., eigener Webserver beim Hoster mit Remoteadministration und CMS - da kommt Freude auf, und das ganz ohne TR-069 o.ä.

[Kater Kahlohr]

@KleinerAdmin;

kann Dir nur voll und ganz zustimmen.

Aber schade ist es schon ... da tut man alles, um sein Netz und seine Rechner möglichst sicher zu machen, und dann marschieren die bösen Buben quasi direkt durch den Haupteingang rein, weil der offen ist wie ein Scheunentor und man dies nicht ändern kann Ich glaube, an diesen Thread werden sich früher oder später noch so einige erinnern

Gruß
Kater Kahlohr

[Kunterbunter]

TR-069 gibt es jetzt seit 10 Jahren und seit fünf Jahren wird es bei KD eingesetzt. Seitdem ist das Scheunentor bekannt und offen dokumentiert. Da wird es jetzt langsam Zeit für die bösen Buben, wenn die anderen einfachen Lücken schon alle gestopft sind.
Ich schlage vor, du als Experte für Netzwerksicherheit solltest da mal einen Exploit vorstellen.