Diagnosi di sicurezza Internet: TR-069

Diagnosi / Sicurezza

TR-069 (Technical Report 069) è un protocollo per lo scambio di dati fra il server di un provider di servizi e un dispositivo terminale collegato al server presso il cliente. TR-069 viene usato con frequenza dai provider di banda larga per la configurazione remota di router.

Funzione

TR-069 svolge i seguenti compiti:

configurazione automatica e attivazione dinamica di servizi
gestione del firmware
controllo dello stato e della potenza
diagnosi e manutenzione remota

Descrizione del protocollo

Trasporto pacchetti	Per il trasporto dei pacchetti IP viene usato TCP.
Porta standard	Le richieste TR-069 generalmente vengono accettate alla porta 8089.

FRITZ!Box: TR-069

Il FRITZ!Box supporta il protocollo TR-069 per la configurazione automatica sicura dell'accesso a Internet e della telefonia via Internet nonché degli aggiornamenti automatici di FRITZ!OS realizzati dal provider di servizi.

FRITZ!Box: porta 8089

La porta TCP 8089 è aperta sul FRITZ!Box se il provider Internet supporta TR-069 e una delle seguenti azioni o entrambe sono consentite:

la configurazione automatica da parte del provider Internet
l'esecuzione automatica degli aggiornamenti

Un FRITZ!Box messo a disposizione da un provider Internet è impostato in modo che il provider possa effettuare la configurazione iniziale e le diagnosi remote e realizzare gli aggiornamenti di FRITZ!OS.

Attivazione e disattivazione del permesso di accesso nel FRITZ!Box:

Aprite il menu "Internet / Dati di accesso".
Selezionate la scheda "Servizi provider".
Attivate il permesso di accesso con le impostazioni "Ammettere l'impostazione automatica da parte del provider" e "Consentire gli aggiornamenti automatici".

Il FRITZ!Box è protetto dagli attacchi sulla porta 8089.

L'interazione fra un server per la configurazione automatica (ACS) e il FRITZ!Box funziona come segue:

ACS	Il provider Internet può attivare la connessione del FRITZ!Box con il suo ACS contattando il FRITZ!Box attraverso la porta TCP 8089 a un URI (Uniform Resource Identifier) negoziato in precedenza.
FRITZ!Box	Il FRITZ!Box non risponde a questo tipo di contatto bensì si limita a verificarne l'integrità. Ciò significa che il FRITZ!Box non trasmette informazioni all'ACS. Il FRITZ!Box stabilisce una connessione nuova e sicura (crittografata) con l'ACS del provider di servizi solo se l'URI utilizzato viene accettato dal FRITZ!Box. Nel caso di un aggiornamento, il FRITZ!Box inoltre si assicura che vengano installate esclusivamente le versioni di FRITZ!OS firmate in modo digitale da AVM.
ACS	L'ACS del provider di servizi può trasmettere i rispettivi dati attraverso la connessione sicura stabilita dal FRITZ!Box.

ACS

Il provider Internet può attivare la connessione del FRITZ!Box con il suo ACS contattando il FRITZ!Box attraverso la porta TCP 8089 a un URI (Uniform Resource Identifier) negoziato in precedenza.

FRITZ!Box

Il FRITZ!Box non risponde a questo tipo di contatto bensì si limita a verificarne l'integrità. Ciò significa che il FRITZ!Box non trasmette informazioni all'ACS.

Il FRITZ!Box stabilisce una connessione nuova e sicura (crittografata) con l'ACS del provider di servizi solo se l'URI utilizzato viene accettato dal FRITZ!Box.

Nel caso di un aggiornamento, il FRITZ!Box inoltre si assicura che vengano installate esclusivamente le versioni di FRITZ!OS firmate in modo digitale da AVM.

ACS

L'ACS del provider di servizi può trasmettere i rispettivi dati attraverso la connessione sicura stabilita dal FRITZ!Box.

Questo meccanismo garantisce quanto segue:

impedisce che i dati trasmessi attraverso la porta TCP 8089 a partire dal FRITZ!Box siano accessibili e leggibili.
garantisce che il FRITZ!Box contatti esclusivamente l'ACS che già gli è noto.

Servizi provider