TR-069 und Sicherheit

In diesem Forum dreht sich alles um die bei Vodafone Kabel Deutschland bzw. Vodafone West oder im Rahmen der O2-Tarife über Kabel verwendeten AVM-Produkte, insbesondere der WLAN-Router mit integriertem Kabelmodem, der als FRITZ!Box vertrieben wird. Speedprobleme bitten wir im entsprechenden Forum zu behandeln, wenn ihr Ursprung nicht auf AVM-Produkte zurückzuführen ist!
Forumsregeln
Forenregeln


Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“) oder von O2 über Kabel („[O2]“) bist.
Außerdem gib bitte an, ob es sich bei deiner FRITZ!Box um eine Leihbox von Vodafone („[Leihbox]“) oder eine Kaufbox („[Kaufbox]“) handelt.
KleinerAdmin
Fortgeschrittener
Beiträge: 122
Registriert: 17.02.2014, 23:52
Wohnort: Saarbrücken

Re: TR-069 und Sicherheit

Beitrag von KleinerAdmin »

Kunterbunter hat geschrieben:
KleinerAdmin hat geschrieben:Ich gehe davon aus, dass KD jedes seiner Abschlussgeräte (Modem, Router, FB 6360) fernkonfiguriert und dies mit großer Wahrscheinlichkeit über TR-069.
Mit Sicherheit wird das bei keinem der Kabelmodems von Thomson, Motorola, Arris, Cisco über TR-069 gemacht.
Da fehlt mit schlichtweg der Beweis oder eine Quelle!
6591 Cable Kaufbox
Kunterbunter
Insider
Beiträge: 5729
Registriert: 12.05.2009, 18:14
Wohnort: Region 9

Re: TR-069 und Sicherheit

Beitrag von Kunterbunter »

KleinerAdmin hat geschrieben:Die Provider werden mit Sicherheit nicht abhängig vom jeweiligen Kundenendgerät vollkommen verschiedene Konfigurationsprozesse einsetzen.
Genau das tut KDG aber bei der Telefoniekonfiguration im Fall von Kabelmodem einerseits und Homebox andererseits.
Beweis oder Quelle kannst du dir selber suchen. :)
jetzt bei: M-net ISDN Maxi komplett Aktuelle Datenrate 21997/1277 kBit/s
VoIP-Provider: dus.net Router: [KD Homebox] AVM Fritz!Box Fon WLAN 7270 54.06.05
Telefone: Siemens OpenStage 40 SIP, Siemens optipoint 400/600 SIP, FON1 Siemens Gigaset A2
KleinerAdmin
Fortgeschrittener
Beiträge: 122
Registriert: 17.02.2014, 23:52
Wohnort: Saarbrücken

Re: TR-069 und Sicherheit

Beitrag von KleinerAdmin »

Kunterbunter hat geschrieben:
KleinerAdmin hat geschrieben:Die Provider werden mit Sicherheit nicht abhängig vom jeweiligen Kundenendgerät vollkommen verschiedene Konfigurationsprozesse einsetzen.
Genau das tut KDG aber bei der Telefoniekonfiguration im Fall von Kabelmodem einerseits und Homebox andererseits.
Beweis oder Quelle kannst du dir selber suchen. :)
Das muss ich jetzt aber nicht ernst nehmen, oder?
(Lerne ja gerne dazu, aber Behauptungen aufstellen ohne Begründung oder Belege kann jeder)
6591 Cable Kaufbox
Benutzeravatar
Thyrael
Ehrenmitglied
Beiträge: 9750
Registriert: 03.02.2009, 12:46

Re: TR-069 und Sicherheit

Beitrag von Thyrael »

Kater Kahlohr hat geschrieben:Auch gut, dass Kdg diese Schnittstelle nutzt ist mir ja auch egal, da bin ich nicht paranoid. Nur, da sie ja für jeden offen ist, fürchte ich halt einen zero-day-exploit, der Missbrauch durch Dritte ermöglicht. Ein Filtern des Ports auf kdg-Seite (nur providerinterne IPs verbinden lasse) wäre da schon eine Sicherheitsmassnahme.

Gruß
Kater Kahlohr
Da solltest du die KDG informieren das dir das solche Sorgen bereitet und das die KDG das Problem bei den Fritzboxen beheben soll.
KleinerAdmin hat geschrieben:
Kunterbunter hat geschrieben:
KleinerAdmin hat geschrieben:Ich gehe davon aus, dass KD jedes seiner Abschlussgeräte (Modem, Router, FB 6360) fernkonfiguriert und dies mit großer Wahrscheinlichkeit über TR-069.
Mit Sicherheit wird das bei keinem der Kabelmodems von Thomson, Motorola, Arris, Cisco über TR-069 gemacht.
Da fehlt mit schlichtweg der Beweis oder eine Quelle!
Dann solltest du dich mit dem Thema beschäftigen.
KleinerAdmin
Fortgeschrittener
Beiträge: 122
Registriert: 17.02.2014, 23:52
Wohnort: Saarbrücken

Re: TR-069 und Sicherheit

Beitrag von KleinerAdmin »

@Kunterbunter
@Thyrael

Na ja, da sind ja zwei Auskenner unterwegs. Viel Spaß dabei ;-)

nur noch ein kleiner Hinweis, dass TR-069 auch häufig bei Kabelmodems eingesetzt wird: http://www.zdnet.de/41555570/dsl-fernko ... ter-gehen/

Wie wä'rs, wenn Ihr mal Infos und nicht nur Behauptungen kund tätet?
6591 Cable Kaufbox
Kater Kahlohr
Newbie
Beiträge: 21
Registriert: 19.02.2014, 22:28

Re: TR-069 und Sicherheit

Beitrag von Kater Kahlohr »

Hi,

ich sehe schon, wir kommen hier auf keinen gemeinsamen Nenner ;-) Kabel Deutschland habe ich bereits kontaktiert, aber die haben sich dummgestellt und so getan, als hätte ich ein Problem mit der Fitz!Box Hardwar an sich reklamiert. Man hat mich an AVM verwiesen und mir freundlicherweise gleich deren Hotline-Nr. mitgeteilt ;-)

Das Problem soll offensichtlich gar nicht gelöst werden. Aber bei anderen Providern (Unitymedia, KabelBW) ist der Port ja auch offen.

Interessieren würde mich, wer haftet, wenn es erst mal einen Exploit gibt der bei den Kunden Schäden verursacht. Als Kunde hat man schliesslich keine legale Möglichkeit, den Port abzudichten (ausser man manipuliert die Fiermware der Box).

Habe schon alles abgeschaltet, was man kann auf der Fritz!Box und weiterhin Auslands - und Premiumrufnummern gesperrt. Mehr kann man wohl nicht tun.

Gruß
Kater Kahlohr
KleinerAdmin
Fortgeschrittener
Beiträge: 122
Registriert: 17.02.2014, 23:52
Wohnort: Saarbrücken

Re: TR-069 und Sicherheit

Beitrag von KleinerAdmin »

Hallo Kater Kahlohr,
ja, macht auch keinen Sinn sich zu streiten ;-). Es ist egal, über welchen Weg ein Fernsteuerungszugriff erfolgt. Jedes Verfahren ist eine Öffnung nach außen und birgt prinzipiell die Gefahr des Missbrauchs, sei es durch Hacker oder gar die Provider selbst (siehe oben den von mir verlinkten ZDNet Artikel).

Solange es keine eindeutige gesetzliche Regelung gibt zum Thema "Routerzwang" (um diese Grundsatzfrage geht es hier letztlich), werden die Provider auf die Möglichkeit der Fernkonfiguration "ihrer" Abschlussgeräte (Modems, Router) nicht verzichten. Du wirst sehr wahrscheinlich auch keine konkreten Aussagen zur Verwendung von TR-069 (oder anderen Verfahren) von KD oder AVM erhalten, sondern Dein Anliegen wird weiterhin als nicht nachvollziehbare Fehlermeldung eines "nervigen" Kunden abgetan.

Abschalten aller unnötigen Funktionen kann ich auch nur jedem empfehlen. Zusätzlich ein regelmäßiger Blick in die Logfiles und in die einschlägigen Internetquellen kann nicht schaden. Mit dem Restrisiko in diesem einfachen privaten Szenario lebe ich einigermaßen gelassen. In meinem beruflichen Szenario sieht das z.B. ganz anders aus: externer Zugriff auf Firmennetz über HTTPS, VPN, SSH, FTP, Remote Webarbeitsplatz etc., eigener Webserver beim Hoster mit Remoteadministration und CMS - da kommt Freude auf, und das ganz ohne TR-069 o.ä.
6591 Cable Kaufbox
Kater Kahlohr
Newbie
Beiträge: 21
Registriert: 19.02.2014, 22:28

Re: TR-069 und Sicherheit

Beitrag von Kater Kahlohr »

@KleinerAdmin;

kann Dir nur voll und ganz zustimmen.

Aber schade ist es schon ... da tut man alles, um sein Netz und seine Rechner möglichst sicher zu machen, und dann marschieren die bösen Buben quasi direkt durch den Haupteingang rein, weil der offen ist wie ein Scheunentor und man dies nicht ändern kann ;-) Ich glaube, an diesen Thread werden sich früher oder später noch so einige erinnern ;-)

Gruß
Kater Kahlohr
Kunterbunter
Insider
Beiträge: 5729
Registriert: 12.05.2009, 18:14
Wohnort: Region 9

Re: TR-069 und Sicherheit

Beitrag von Kunterbunter »

TR-069 gibt es jetzt seit 10 Jahren und seit fünf Jahren wird es bei KD eingesetzt. Seitdem ist das Scheunentor bekannt und offen dokumentiert. Da wird es jetzt langsam Zeit für die bösen Buben, wenn die anderen einfachen Lücken schon alle gestopft sind.
Ich schlage vor, du als Experte für Netzwerksicherheit solltest da mal einen Exploit vorstellen. :grin:
jetzt bei: M-net ISDN Maxi komplett Aktuelle Datenrate 21997/1277 kBit/s
VoIP-Provider: dus.net Router: [KD Homebox] AVM Fritz!Box Fon WLAN 7270 54.06.05
Telefone: Siemens OpenStage 40 SIP, Siemens optipoint 400/600 SIP, FON1 Siemens Gigaset A2