Der Artikel vermittelt den Eindruck als saehe TR-069 vor, per Zugriff vom Internet auf den den Port 7547 die CPE reconfigurieren zu koennen oder gar Schadcode einspielen zu koennen - als waer TR-069 so was aehnliches wie SSH.
Das ist schlicht und einfach falsch.
So funktioniert TR-069
hoffe so vereinfacht, dass es sogar ein Heise Redakteur endlich mal kapieren koennte(?)
Das ist eine typische TR-069 Session:
CPE: Customer Premise Equipment, steht daheim, z.B. ein DSL Router
ACS: AutoConfig.Server, steht beim Provider
CPE --HTTPs request--> ACS (TR-069 Inform, "hallo hier bin ich, hast du was fuer mich?")
CPE <-HTTPs response- ACS (Job, "Jau, hab was, gib mir mal deine DSL Signalqualitaet")
<cpe fuehrt den Job aus, macht und tut>
CPE --HTTPs request--> ACS (JobResult, "Hier die Messwerte, soll ich was aendern?")
CPE <-HTTPs response- ACS (NoJob, "Nee, passt schon, bis dann in einer Stunde, servus, meld mich wenn ich vorher was brauch.")
Diese sog. TR-069 Inform requests schickt die CPE z.B. nach dem Booten, so dass die nach dem Auspacken und erstem Anschliessen sinnvoll konfiguriert werden kann.
Aber auch periodisch immer wieder mal, so dass die Provider des Nachts z.B. Firmware Updaten koennen aber auch einen Eindruck von der Netz und Servicequalitaet da draussen erhalten.
WICHTIG:
1. Der Server dem sich die CPE hingibt ist FIX. Bei grossen Providern wie der DTAG ist der hart in der Firmware eingebrannt, den kann man nicht einfach mal aendern.
2. Der Server kann alles machen auf der CPE, ausser [wlan/sip/ppp/...]Passwoerter abfragen, die darf sie ihm nicht geben. Er kann sie aber aendern / initial setzen.
3. Der Server hat ca. die gleichen Rechte wie ihr auf dem Admin Frontend des Routers im Experten Modus.
Der CNR Port 7547
Um diesen Port dreht sich der ganze Artikel hier und es wird suggeriert als gingen da drueber reconfig. Vorgaenge. Total falsch.
Der Port dient einzig und allein dafuer die CPE auch mal ausser der Reihe dazu zu bringen einen Inform (s.o.) an den ACS zu senden (in der sequenz oben um das "meld mich wenn ich vorher was brauch" zu ermoeglichen).
Deshalb heisst der Connection Request Port.
M.W.n. ist der einzige Use Case fuer den man diesen Port braucht: *Real Time Support*
Also wenn meine Mama bei der Telekom anruft "Das Internet geht nicht gscheid" dann will der Supporter wissen wie's dem Router grad *jetzt* geht und auch detailliertere Infos haben als die, welche eh periodisch abgefragt werden (s.o.).
Dann klickt er einen Knopf auf seinem Support GUI des Servers, das schickt diesen "Connection Request" an Port 7547 der CPE von meiner Mama und diese meldet sich beim Server zurueck, mit einem Inform.
Der Server weiss dann dass der Supporter grad was wissen will und reagiert mit entsprechenden Jobs, welche die CPE ausfuehrt und gibt dem Supporter die Daten die er braucht um meiner Mama zu helfen.
Das aktuelle Problem da draussen
Der Server fuer den CNR use case ist bei einigen Software Staenden da draussen kompromittierbar und wurde angegriffen.
TR-069 ist ziemlich clever designed dahingehend dass der CNR server wirklich nicht viel koennen muss, der muss nur auflegen und einen anderen Prozess (den Tr-069 Inform) starten sonst nix.
Vergleicht das mal mit dem was ein SNMP/SSH/TELNET/Syslog/GUI Server koennen muss und was es da an Attack Vektoren gibt...
Nun, trotzdem haben es CPE Hersteller offensichtlich geschafft, das Ding kompromittierbar zu programmieren oder, wie es aussieht, den CNR Use Case mal eben in den riesen TR-064 server Prozess reinzubacken...
Weil der Prozess war ja grad da und key, kann HTTP, wie praktisch.
Da denkt der Billighersteller halt dann gradaus und zieht nicht eigens dafuer, wie von TR-069 dringend empfohlen, einen eigenen Prozess fuer den CNR use case hoch.
Ungefaehr so schlau als sich mit der Kreissaege die Fingernaegel zu schneiden, weil laeuft ja grad, aber man kann Dummheit nie ganz abstellen, vor allem bei Kostendruck.
Das Problem mit TR-069
Kein Problem mit TR-069.
Ausser man stellt Fernwartung an sich in Frage(?)
Dann waer die Gegenfrage: Warum?
Dazu:
Ihr erinnert euch noch an die Zeiten vor TR-069, mit den lustigen Windoofs CDs? Ohne Fernwartung mussten die Provider das irgendwie ueber die Windows Muehle des Endkunden hinkriegen, den Router startklar zu machen. Windows Fehlercodes waren damals auf mittlerer Abteilungsleiter Ebene bekannt und Millionen Euro Support Kosten wurden auf uns alle umgelegt: Um die 50 Euro pro Jahr und Kunde gemittelt(!) hab ich mal gehoert.
In anderen Worten: Privacy Verletzungen, (Deep) Content Inspection, Meta Daten Korrelation(...) das sind Dinge ueber die man sich imho heutzutage aufregen sollte - aber TR-069 hat damit genau gar nix zu tun und was heise hier macht ist einfach nur arm.
Merci fuers Lesen,
Servus,
F.
Das Posting wurde vom Benutzer editiert (30.11.2016 02:22).