Sicherheitsdiagnose Internet: TR-069

Diagnose / Sicherheit

TR-069 (Technical Report 069) ist ein Protokoll für den Datenaustausch zwischen dem Server bei einem Dienstanbieter und einem mit dem Server verbundenen Endgerät beim Kunden. TR-069 wird von Breitbandanbietern häufig zur Fernkonfiguration von Routern genutzt.

Funktion

TR-069 übernimmt folgende Aufgaben:

Autokonfiguration und dynamische Dienstaktivierung
Firmware-Management
Status- und Leistungskontrolle
Diagnose und Fernwartung

Protokollbeschreibung

Pakettransport	Für den Transport der IP-Pakete wird TCP verwendet.
Standard-Port	TR-069-Anfragen werden standardmäßig auf Port 8089 angenommen.

FRITZ!Box: TR-069

Die FRITZ!Box unterstützt das Protokoll TR-069 für die sichere Autokonfiguration von Internetzugang und Internettelefonie sowie automatische FRITZ!OS-Updates durch den Dienstanbieter.

FRITZ!Box: Port 8089

TCP-Port 8089 ist auf der FRITZ!Box geöffnet, wenn der Internetanbieter TR-069 unterstützt und eine oder beide der folgenden Aktionen erlaubt sind:

die automatische Einrichtung durch den Internetanbieter
das automatische Durchführen von Updates

Eine FRITZ!Box, die von einem Internetanbieter zur Verfügung gestellt wird, ist so eingestellt, damit der Anbieter die Erstkonfiguration vornehmen, Updates von FRITZ!OS einspielen und Ferndiagnosen durchführen kann.

Zugriffserlaubnis in der FRITZ!Box ein- und ausschalten:

Öffnen Sie das Menü "Internet / Zugangsdaten".
Wählen Sie den Tab "Anbieter-Dienste".
Schalten Sie die Zugriffserlaubnis mit den Einstellungen "Automatische Einrichtung durch den Dienstanbieter zulassen" und "Automatische Updates zulassen" ein oder aus.

Die FRITZ!Box ist vor Angriffen auf Port 8089 geschützt

Die Interaktion zwischen einem Autokonfigurationsserver (ACS) und der FRITZ!Box verläuft folgendermaßen:

ACS	Der Internetanbieter kann eine Verbindung der FRITZ!Box zu seinem ACS auslösen, indem er die FRITZ!Box über den TCP-Port 8089 unter einer zuvor ausgehandelten URI (Uniform Resource Identifier) kontaktiert.
FRITZ!Box	Die FRITZ!Box beantwortet eine solche Kontaktaufnahme nicht, sondern prüft sie lediglich auf ihre Integrität. Das heißt, es werden keinerlei Informationen von der FRITZ!Box an den ACS übertragen. Nur, wenn die verwendete URI von der FRITZ!Box akzeptiert wird, stellt die FRITZ!Box eine neue und sichere (verschlüsselte) Verbindung zum ACS des Dienstanbieters her. Im Falle eines Updates stellt die FRITZ!Box zusätzlich sicher, dass ausschließlich von AVM digital signierte FRITZ!OS-Versionen installiert werden.
ACS	Der ACS des Dienstanbieters darf die jeweiligen Daten über die von der FRITZ!Box hergestellte, sichere Verbindung übertragen.

ACS

Der Internetanbieter kann eine Verbindung der FRITZ!Box zu seinem ACS auslösen, indem er die FRITZ!Box über den TCP-Port 8089 unter einer zuvor ausgehandelten URI (Uniform Resource Identifier) kontaktiert.

FRITZ!Box

Die FRITZ!Box beantwortet eine solche Kontaktaufnahme nicht, sondern prüft sie lediglich auf ihre Integrität. Das heißt, es werden keinerlei Informationen von der FRITZ!Box an den ACS übertragen.

Nur, wenn die verwendete URI von der FRITZ!Box akzeptiert wird, stellt die FRITZ!Box eine neue und sichere (verschlüsselte) Verbindung zum ACS des Dienstanbieters her.

Im Falle eines Updates stellt die FRITZ!Box zusätzlich sicher, dass ausschließlich von AVM digital signierte FRITZ!OS-Versionen installiert werden.

ACS

Der ACS des Dienstanbieters darf die jeweiligen Daten über die von der FRITZ!Box hergestellte, sichere Verbindung übertragen.

Durch diesen Mechanismus ist Folgendes gewährleistet:

Es wird verhindert, dass über den TCP-Port 8089 Daten aus der FRITZ!Box erreichbar und auslesbar sind.
Es wird sichergestellt, dass die FRITZ!Box ausschließlich den ihr bereits bekannten ACS kontaktiert.

Anbieter-Dienste