Sicherheitsdiagnose Internet: TR-069
Diagnose / Sicherheit
TR-069 (Technical Report 069) ist ein Protokoll für den Datenaustausch zwischen dem Server bei einem Dienstanbieter und einem mit dem Server verbundenen Endgerät beim Kunden. TR-069 wird von Breitbandanbietern häufig zur Fernkonfiguration von Routern genutzt.
Funktion
TR-069 übernimmt folgende Aufgaben:
- Autokonfiguration und dynamische Dienstaktivierung
- Firmware-Management
- Status- und Leistungskontrolle
- Diagnose und Fernwartung
Protokollbeschreibung
Pakettransport | Für den Transport der IP-Pakete wird TCP verwendet. |
---|---|
Standard-Port | TR-069-Anfragen werden standardmäßig auf Port 8089 angenommen. |
FRITZ!Box: TR-069
Die FRITZ!Box unterstützt das Protokoll TR-069 für die sichere Autokonfiguration von Internetzugang und Internettelefonie sowie automatische FRITZ!OS-Updates durch den Dienstanbieter.
FRITZ!Box: Port 8089
TCP-Port 8089 ist auf der FRITZ!Box geöffnet, wenn der Internetanbieter TR-069 unterstützt und eine oder beide der folgenden Aktionen erlaubt sind:
- die automatische Einrichtung durch den Internetanbieter
- das automatische Durchführen von Updates
Eine FRITZ!Box, die von einem Internetanbieter zur Verfügung gestellt wird, ist so eingestellt, damit der Anbieter die Erstkonfiguration vornehmen, Updates von FRITZ!OS einspielen und Ferndiagnosen durchführen kann.
Zugriffserlaubnis in der FRITZ!Box ein- und ausschalten:
- Öffnen Sie das Menü "Internet / Zugangsdaten".
- Wählen Sie den Tab "Anbieter-Dienste".
- Schalten Sie die Zugriffserlaubnis mit den Einstellungen "Automatische Einrichtung durch den Dienstanbieter zulassen" und "Automatische Updates zulassen" ein oder aus.
Die FRITZ!Box ist vor Angriffen auf Port 8089 geschützt
Die Interaktion zwischen einem Autokonfigurationsserver (ACS) und der FRITZ!Box verläuft folgendermaßen:
ACS | Der Internetanbieter kann eine Verbindung der FRITZ!Box zu seinem ACS auslösen, indem er die FRITZ!Box über den TCP-Port 8089 unter einer zuvor ausgehandelten URI (Uniform Resource Identifier) kontaktiert. |
---|---|
FRITZ!Box | Die FRITZ!Box beantwortet eine solche Kontaktaufnahme nicht, sondern prüft sie lediglich auf ihre Integrität. Das heißt, es werden keinerlei Informationen von der FRITZ!Box an den ACS übertragen. Nur, wenn die verwendete URI von der FRITZ!Box akzeptiert wird, stellt die FRITZ!Box eine neue und sichere (verschlüsselte) Verbindung zum ACS des Dienstanbieters her. Im Falle eines Updates stellt die FRITZ!Box zusätzlich sicher, dass ausschließlich von AVM digital signierte FRITZ!OS-Versionen installiert werden. |
ACS | Der ACS des Dienstanbieters darf die jeweiligen Daten über die von der FRITZ!Box hergestellte, sichere Verbindung übertragen. |
Durch diesen Mechanismus ist Folgendes gewährleistet:
- Es wird verhindert, dass über den TCP-Port 8089 Daten aus der FRITZ!Box erreichbar und auslesbar sind.
- Es wird sichergestellt, dass die FRITZ!Box ausschließlich den ihr bereits bekannten ACS kontaktiert.