Quelle siehe Link #1.
Bei der Fritzbox abschalten unter http://fritz.box/internet/providerservices.lua dort dann den Haken "Automatische Einrichtung durch den Dienstanbieter zulassen" entfernen.
Bei 1&1 Kunden ist die Option Standard aktiv, und kann deaktiviert werden nach der ersten Einrichtung.
wie es geht steht hier
7. Februar 2014 23:54
TR-069 manuell deaktivieren! (Editiert vom Verfasser am 08.02.14 um 00:23)
realmic (1 Beitrag seit 07.02.14)
Hallo,
man kann auf der FB TR-069 manuell deaktivieren, auch wenn es per
Web-GUI nicht geht! BITTE EIN BACKUP VORHER MACHEN!!!
Port-Scan via nmap
# vor der cfg-Änderung
PORT STATE SERVICE
5060/tcp open sip
8089/tcp open unknown
# nach der cfg-Änderung:
PORT STATE SERVICE
5060/tcp open sip
Jetzt die cfg-Änderung die bei mir auf einer FB 7270/7390/7490 trotz
1&1 Anbindung funktioniert! ACHTUNG DIE ZEILEN SIND JE NACH MODELL
ANDERS!!!
- TR-069 deaktivieren! Ansonsten ist der TCP Port 8089 offen!
Internet > Zugansdaten > Anbeiter-Dienste
[] Automatische Einrichtung durch den Dienstanbieter zulassen
[] Automatische Updates zulassen
# um TR-069 in der FRITZ!Box vollstaendig zu blockieren (entfernen
geht wie gesagt nur per eigenem Freetz-Image), bitte die aktuelle
Konfiguration abspeichern (kein Kennwort setzen) und per Editor
bearbeiten:
#hinzufuegen Zeile 8 oder 9:
NoChecks=yes
**** CFGFILE:ar7.cfg
#hinzufuegen Zeile 267 oder 288 oder 289 "lowinput" / Wichtig ist das
Leerzeichen nach dem Komma , <KOMMA! NICHT VERGESSEN!!!!
#und Anstatt TAB sollten Leerzeichen verwendet werden!
"deny tcp any any eq 8089";
lowinput {
policy = "permit";
accesslist =
"deny ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"deny tcp any any eq 8089";
}
#hinzufuegen Zeile 281 oder 301 oder 302 "highinput" / Wichtig ist
das Leerzeichen nach dem Komma , <KOMMA! NICHT VERGESSEN!!!!
#und Anstatt TAB sollten Leerzeichen verwendet werden!
"deny tcp any any eq 8089";
highoutput {
policy = "permit";
accesslist =
"reject ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"reject ip any 169.254.0.0 255.255.0.0",
"deny tcp any any eq 8089";
}
#speichern und wieder einspielen! Danach sollte der TCP Port 8089 zu
sein!...
Viele Grüße
Mic
-------
Quelle:
www.heise.de/netze/news/foren/S-TR-069-manuell-deaktivieren/forum-274464/msg-24755280/read/
7. Februar 2014 23:54
TR-069 manuell deaktivieren! (Editiert vom Verfasser am 08.02.14 um 00:23)
realmic (1 Beitrag seit 07.02.14)
Hallo,
man kann auf der FB TR-069 manuell deaktivieren, auch wenn es per
Web-GUI nicht geht! BITTE EIN BACKUP VORHER MACHEN!!!
Port-Scan via nmap
# vor der cfg-Änderung
PORT STATE SERVICE
5060/tcp open sip
8089/tcp open unknown
# nach der cfg-Änderung:
PORT STATE SERVICE
5060/tcp open sip
Jetzt die cfg-Änderung die bei mir auf einer FB 7270/7390/7490 trotz
1&1 Anbindung funktioniert! ACHTUNG DIE ZEILEN SIND JE NACH MODELL
ANDERS!!!
- TR-069 deaktivieren! Ansonsten ist der TCP Port 8089 offen!
Internet > Zugansdaten > Anbeiter-Dienste
[] Automatische Einrichtung durch den Dienstanbieter zulassen
[] Automatische Updates zulassen
# um TR-069 in der FRITZ!Box vollstaendig zu blockieren (entfernen
geht wie gesagt nur per eigenem Freetz-Image), bitte die aktuelle
Konfiguration abspeichern (kein Kennwort setzen) und per Editor
bearbeiten:
#hinzufuegen Zeile 8 oder 9:
NoChecks=yes
**** CFGFILE:ar7.cfg
#hinzufuegen Zeile 267 oder 288 oder 289 "lowinput" / Wichtig ist das
Leerzeichen nach dem Komma , <KOMMA! NICHT VERGESSEN!!!!
#und Anstatt TAB sollten Leerzeichen verwendet werden!
"deny tcp any any eq 8089";
lowinput {
policy = "permit";
accesslist =
"deny ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"deny tcp any any eq 8089";
}
#hinzufuegen Zeile 281 oder 301 oder 302 "highinput" / Wichtig ist
das Leerzeichen nach dem Komma , <KOMMA! NICHT VERGESSEN!!!!
#und Anstatt TAB sollten Leerzeichen verwendet werden!
"deny tcp any any eq 8089";
highoutput {
policy = "permit";
accesslist =
"reject ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"reject ip any 169.254.0.0 255.255.0.0",
"deny tcp any any eq 8089";
}
#speichern und wieder einspielen! Danach sollte der TCP Port 8089 zu
sein!...
Viele Grüße
Mic
-------
Quelle:
www.heise.de/netze/news/foren/S-TR-069-manuell-deaktivieren/forum-274464/msg-24755280/read/
Bei der 7490 ist in der 6.20er FW der Port wirklich geschlossen, wenn der tr-069 abgeschaltet ist...
Hallo,
Meine (ui) gebrandete 7390 mit FW 84.06.10-28559 zeigt keinen offenen Port (8089 oder sonstige TR-069-Einträge). Wurde über WebIF deaktiviert.
Was allerdings im Hintergrund läuft und nicht angezeigt wird ... :noidea: ....
Meine (ui) gebrandete 7390 mit FW 84.06.10-28559 zeigt keinen offenen Port (8089 oder sonstige TR-069-Einträge). Wurde über WebIF deaktiviert.
Was allerdings im Hintergrund läuft und nicht angezeigt wird ... :noidea: ....
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,202
- Punkte für Reaktionen
- 589
- Punkte
- 113
Moin
Ich hab eine debrandete 1&1 Box (Signatur) mit im Webinterface abgeschalteter Anbieter Fernwartungsoption.
Ein Scan auf meine DynDNS ergibt aber weiterhin....
...also muss ich auch in der ar7.cfg den Port sperren.
Das bedeutet zugleich, dass der Dienst weiterläuft, zwar nur noch lokal, aber...
...erreichbar durch eine CROSS SITE ATTACKE, oder?
Ich hab eine debrandete 1&1 Box (Signatur) mit im Webinterface abgeschalteter Anbieter Fernwartungsoption.
Ein Scan auf meine DynDNS ergibt aber weiterhin....
Code:
pscan -p8089 -P8089 xxxxxxxxxx.spdns.org
Scanning xxxxxxxxxx.spdns.org ports 8089 to 8089
Port Proto State Service
8089 tcp open unknown
0 closed, 1 open, 0 timed out (or blocked) portsDas bedeutet zugleich, dass der Dienst weiterläuft, zwar nur noch lokal, aber...
Code:
tcp 0 0 :::8089 :::* LISTEN 1106/ctlmgr
Zuletzt bearbeitet:
Schau mal in die changelogs, ist vor ein paar Labors geändert worden.
Guckst du Labor 28194:
•TR-069-Connection Request Port schließen, wenn die "Automatische Einrichtung durch den Dienstanbieter" vom Benutzer abgeschaltet wurde
Guckst du Labor 28194:
•TR-069-Connection Request Port schließen, wenn die "Automatische Einrichtung durch den Dienstanbieter" vom Benutzer abgeschaltet wurde
Zuletzt bearbeitet von einem Moderator:
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,202
- Punkte für Reaktionen
- 589
- Punkte
- 113
Das mit dem Port schliessen sperren ist kein Problem.
Was ist mit dem Dienst?
Gib mal auf der Box ein: netstat -tlep
Ich meine: Mit Bordmitteln bist du nur im Gastnetz sicher, vor Cross Site Attacken auf lokale Geräte/Ports
Was ist mit dem Dienst?
Gib mal auf der Box ein: netstat -tlep
Ich meine: Mit Bordmitteln bist du nur im Gastnetz sicher, vor Cross Site Attacken auf lokale Geräte/Ports
Zuletzt bearbeitet:
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,156
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Das funktioniert nur noch mit Firmware < 06.10.
Ab dann wird "NoChecks=yes" nicht mehr unterstützt und man muß die Änderung entweder auf der Telnet-Konsole vornehmen (und die Eigenarten des TFFS sowie das Management der Einstellungsdateien durch den ctlmgr dabei berücksichtigen) oder die in der export-Datei in der letzten Zeile gespeicherte CRC32-Prüfsumme nach der Änderung entsprechend korrigieren.
Aber nur aktuelle Versionen des FBEditor können die Prüfsumme korrigieren und somit gültige Dateien für den Import erstellen, damit wird dieses Verfahren dann massentauglich. Frühere Versionen berechnen entweder keine oder eine falsche Prüfsumme, hier muß man also auf die richtige Version achten. Informationen dazu gibt es auch irgendwo hier im IPPF.
Spätestens dann, wenn man nach dem Import irgendetwas an den Provider-Einstellungen wieder über das GUI ändert (und sei es nur das versehentliche Verlassen der "Zugangsdaten"-Seite mit "Übernehmen"), werden die Einstellungen ohnehin wieder überschrieben. Die effektivste Abhilfe ist und bleibt also die Konfiguration ohne ACS-Server, was über "anderer Anbieter" auch problemlos möglich sein sollte. Bei Provider-eigenen Boxen sieht das sicherlich etwas anders aus ...
In neuer Firmware ist auch das Forwarding für den TR-069-Port, der seitens des ACS-Servers den Verbindungswunsch ermöglicht (TCP 8089), nicht mehr statisch in der ar7.cfg hinterlegt, selbst wenn der Eintrag dort vorhanden oder nicht vorhanden sein sollte. Es wird dynamisch eingerichtet, in Abhängigkeit vom aktuellen TR-069-Status ... steht auch irgendwo in den Release-Notes zu den Laborversionen und der 06.20.
Dieser offene Port ist auch nur ein kleiner Teil des Problems. Er dient nur dazu, daß der ACS-Server der Box sagen kann: "Hey Du, ruf mich mal unter der ACS-Nummer zurück.". Anschließend baut die Box dann wieder selbst die Verbindung zum ACS auf, genauso wie sie es beim Fehlen von gültigen Zugangsdaten beim Start und in regelmäßigen Abständen (PeriodicInformInterval) auch tut. Insofern sollte der offene Port auch nur von der Einstellung "ACSInitiationEnable = yes;" abhängig sein (das scheint aber auch nicht immer der Fall zu sein) und ein geschlossener Port, der sich bei einem Portscan also nicht zeigt, ist noch kein Zeichen für eine abgeschaltete TR-069-Funktion. Lediglich der Zeitpunkt der Kontaktaufnahme der Box mit dem ACS kann dann nicht mehr beeinflußt werden.
Da der Kommunikationsteil der TR-069-Funktionalität der Box komplett im ctlmgr enthalten ist, kann man den auch nicht gesondert "abschalten". Ob der ctlmgr auf dem Port 8089 (intern) lauscht, hängt auch vom Vorhandensein der Einstellungen zum Management-Server ab. Ohne ACS-Adresse und ohne Zugangsdaten für diesen wird der Port vom ctlmgr auch nicht bedient, egal was bei "enabled" und "litemode" eingetragen ist.
Bei vorkonfigurierten Providern wie 1&1 erfolgt die Kommunikation wenigstens noch mit TLS-Verschlüsselung, was bei einem kompromittierten ACS (Ausgangpunkt des Threads) natürlich auch nicht hilft. Spätestens wenn aber mal ein Provider von der Möglichkeit der Konfiguration eines ACS-Servers über DHCP (das ist neu in aktueller Firmware) Gebrauch macht, dürfte das als zusätzliche Sicherheit auch wegfallen, da dann das Root-Zertifikat zur Prüfung des ACS-Serverzertifikats nicht mehr in der Firmware vorliegt (wie es bei den vorkonfigurierten Providern mit TR-069 der Fall ist) und dann natürlich die Box einen MITM-Angriff nicht mehr erkennen kann. Dann reicht es also für einen neuen Angriffsvector auch aus, wenn man (Aktivierung dieser Einstellung vorausgesetzt) irgendwie das DHCP-OFFER komplett fälschen oder als MITM modifizieren kann.
Zur Wirkung bzw. zur vorgeblichen Wirkung der Einstellungen unter providerservices.lua gibt es schon genug Beiträge, wer dazu etwas nachlesen will, kann nach "litemode" und "enabled" i.V.m. TR-069 suchen.
Leider kriegt man (als Kunde) von AVM offenbar keine Informationen dazu, was sich bei "litemode=yes" (Providerzugriff per GUI abgeschaltet) im Vergleich zu "litemode=no" (Providerzugriff möglich) wirklich ändert ... auch die Entwicklerdokumentationen bei AVM geben dazu keine Auskunft.
-tlep?
p geht bei mir nicht.
Code:
netstat: invalid option -- p
BusyBox v1.8.2 (2010-06-22 13:16:24 CEST) multi-call bina
Usage: netstat [-laentuwxr]
Display networking information
Options:
-l Display listening server sockets
-a Display all sockets (default: connected)
-e Display other/more information
-n Don't resolve names
-t Tcp sockets
-u Udp sockets
-w Raw sockets
-x Unix sockets
-r Display routing table
Code:
# netstat -tle
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:51111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:51112 0.0.0.0:* LISTEN
tcp 0 0 localhost:1011 0.0.0.0:* LISTEN
tcp 0 0 localhost:8888 0.0.0.0:* LISTEN
tcp 0 0 :::5060 :::* LISTEN
tcp 0 0 :::5031 :::* LISTEN
tcp 0 0 :::49000 :::* LISTEN
tcp 0 0 :::9100 :::* LISTEN
tcp 0 0 :::9101 :::* LISTEN
tcp 0 0 :::8080 :::* LISTEN
tcp 0 0 :::80 :::* LISTEN
tcp 0 0 :::23 :::* LISTEN
#koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,202
- Punkte für Reaktionen
- 589
- Punkte
- 113
BusyBox v1.8.2 (2010-06-22 13:16:24 CEST)
Die ist ja auch uralt.
EDIT: Bitteschön....
Die ist ja auch uralt.
Code:
BusyBox v1.19.3 (2012-08-07 18:33:02 CEST) multi-call binary.
Usage: netstat [-ral] [-tuwx] [-enWp]
Display networking information
-r Routing table
-a All sockets
-l Listening sockets
Else: connected sockets
-t TCP sockets
-u UDP sockets
-w Raw sockets
-x Unix sockets
Else: all socket types
-e Other/more information
-n Don't resolve names
-W Wide display
-p Show PID/program name for socketsEDIT: Bitteschön....
Code:
/bin/busybox netstat -tlep
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:51111 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:51112 0.0.0.0:* LISTEN -
tcp 0 0 proxy1.fritz.box:22222 0.0.0.0:* LISTEN 2268/dropbear
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 910/dsl_control
tcp 0 0 0.0.0.0:2002 0.0.0.0:* LISTEN 1502/aha
tcp 0 0 localhost:1011 0.0.0.0:* LISTEN 1297/telefon
tcp 0 0 localhost:8888 0.0.0.0:* LISTEN 1297/telefon
tcp 0 0 :::38240 :::* LISTEN 1502/aha
tcp 0 0 :::5060 :::* LISTEN 1323/voipd
tcp 0 0 :::49000 :::* LISTEN 1199/upnpd
tcp 0 0 :::139 :::* LISTEN 1332/inetd
tcp 0 0 :::49773 :::* LISTEN 1194/ctlmgr
tcp 0 0 :::49200 :::* LISTEN 1199/upnpd
tcp 0 0 :::54321 :::* LISTEN 1194/ctlmgr
tcp 0 0 :::1012 :::* LISTEN 1297/telefon
tcp 0 0 :::8181 :::* LISTEN 2083/contfiltd
tcp 0 0 :::21 :::* LISTEN 1332/inetd
tcp 0 0 :::53 :::* LISTEN 1225/multid
tcp 0 0 :::8182 :::* LISTEN 1194/ctlmgr
tcp 0 0 :::23 :::* LISTEN 1299/telnetd
tcp 0 0 :::8089 :::* LISTEN 1194/ctlmgr
tcp 0 0 :::445 :::* LISTEN 1332/inetd
Zuletzt bearbeitet:
Hmm, muss ich jetzt bei dir ne neue Box kaufen, damit du mir die Ausgabe über den p-Parameter zeigst?
Oder ginge es auch hier? danke vorab
Wenn ich die Seite http://fritz.box/internet/providerservices.lua aufrufe, kommt bei mir eine quasi leere Seite. Kann es sein, dass die Funktion nicht bei allen Fritz!Boxen implementiert ist? (Port 8089 ist bei mir auch geschlossen)
Zuletzt bearbeitet:
Hallo,
Kann sein, dass die Seite bei der Box einen anderen Platz hat? Unter Freigaben, System oder was auch immer?
Kann sein, dass die Seite bei der Box einen anderen Platz hat? Unter Freigaben, System oder was auch immer?
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Deine FB ist modifiziert (Freetz). Kann es evtl. sein, dass Du den remove_tr069-Patch benutzt hast?
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,156
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Neuere Firmware (irgendwann ab 06.xx, wenn ich mich nicht irre):
Wenn der eingestellte Provider kein TR-069 verwendet, wird auch die providerservices.lua nicht mehr mit Inhalt angezeigt. Solange ein
Code:
# ctlmgr_ctl r tr069 settings/gui_mode
0Es müssen auch einige Bedingungen (s.o.) zusammenkommen, damit in "gui_mode" ein anderer Wert erscheint, ein ctlmgr_ctl w funktioniert nicht.
Zuletzt bearbeitet:
Laut dem Artikel bei Heise ja, ob es nur mit Speedport klappt und bei der FB nicht, kann ich dir nicht sagen.
Neueste Beiträge
-
[Problem] F!B 6591 Bootloop- Letzte: PeterPawn
-
[Sammlung] Apps zur Steuerung von AVM-Smart Home- Letzte: Ralf-Fritz
-
FRITZ!Box 7590AX - INHAUS - Smart24P1 - 7.90 - Sammelthema- Letzte: Master SaMMy
-
Grandstream HT 818 an Fritzbox 7590
- Letzte: sonyKatze
-
Wlan Mesh Problem
- Letzte: sonyKatze
-
FRITZ!Box 7590 - INHAUS - Smart24P1 - 7.90 - Sammelthema
- Letzte: Kat-CeDe
-
Dynamische und feste IP-Adressen
- Letzte: sonyKatze