TR069 mal umgekehrt - ein Gedankenspiel

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
R

RAMler

Mitglied
Mitglied seit
22 Mrz 2010
Beiträge
784
Punkte für Reaktionen
0
Punkte
18
Nabend,

ist es eigentlich möglich auf den ACS des ISP zuzugreifen und z.B. die Provider FW herunterzuladen?
Z.B. mit einem TR069 Client EMU o.Ä. Die Zugangsdaten bekommt man ja mitunter aus dem Router.

Wenn ja, wie schaut es damit rechtlich aus? Erlaubt, Grauzone, ganz blöde Idee?

Viele Grüße,

RAMler
 
Zuletzt bearbeitet:
Ich sag mal: eher nicht.

Ein TR-069-Dialog wird zwar immer vom Client aus "geführt", d.h. er stellt die Verbindung zum Server her, aber er hat nur bedingt "das Sagen".

Wenn dann in so einem Dialog aus der Sicht des Clients alles erledigt ist, sendet er einen leeren Request an den Server als Zeichen, daß er "fertig hat".

Jetzt hat der Server seinerseits die Chance, dem Client seine Absichten mitzuteilen, zu diesen Absichten kann es auch gehören, den Client zum Download (und zur Installation) einer neuen Firmware aufzufordern.

Ob und wann der Server eine solche Aufforderung sendet, kann der Client aber eigentlich nicht beeinflussen ... höchstens noch "provozieren", indem er falsche Angaben zur derzeit installierten Version macht.

Wenn man aber erst einmal die Download-Adresse für so ein Firmware-Image ermittelt hat, sollte es machbar sein, dieses Image dann auch mehrfach zu laden ... in der Regel ist das nicht "clientspezifisch" und ob der ACS da nur zeitweise die IP-Adresse eines Clients als "berechtigt" freischaltet, würde ich stark bezweifeln (ohne es aber ausschließen zu wollen). Unter Umständen ist es sogar möglich, aus einer bekannten URL für den Download einer Firmware auf andere gültige Pfade zu schließen.

Zur rechtlichen Seite kann ich zwar nichts Definitives sagen, aber warum sollte ein Download einer Datei von einer bekannten URL ein Problem sein? Normalerweise würde ich erwarten, daß man eine FRITZ!Box auf der "Routing-Schnittstelle" da auch belauschen kann ... zumindest dann, wenn für die Verbindung zum ACS kein TLS verwendet wird.

Theoretisch kann zwar vom ACS zusammen mit der Aufforderung zum Download auch ein Benutzername und ein Kennwort übermittelt werden, aber solange das vom ACS gesendet wird, ist das ja auch nicht auf "unlauterem" Weg ermittelt und anders als eine clientspezifische Konfigurationsdatei ist eine Firmware-Datei nun eigentlich kein großes Geheimnis ... ja, unter bestimmten Umständen ist der Anbieter oder der Hersteller ja sogar verpflichtet, diese Datei auf Aufforderung im Quellcode zur Verfügung zu stellen. Wenn der Anbieter so eine Datei schützen will, muß er eben auch entsprechende Vorkehrungen treffen und da wäre eine clientspezifische Identifikation beim Download ja das Mindeste nach dem Stand der Technik. Wenn ein Anbieter das so regelt, wirst Du auch Probleme haben, an diese Datei zu kommen.

Für die Client-Seite einer TR-069-Kommunikation gibt es eine Python-Bibliothek, wie die genau heißt, müßte ich auch erst suchen ... das findest Du mit einer Suchmaschine bestimmt auch selbst.

Auch wenn es bei der Frage vielleicht nicht vordergründig um eine FRITZ!Box geht ... dort könnte man mit ein paar Änderungen an der Firmware (in erster Linie einem Tausch von CA-Zertifikaten) auch einen Man-in-the-middle-"Angriff" (bitte als Lausch"angriff" verstehen) starten. Das geht sogar ohne echte Änderungen an der Firmware, da die erforderlichen Daten für die Anmeldung am ACS (inkl. der Adresse des ACS) ja alle in der tr069.cfg enthalten sind, ebenso der komplette Pfad zu der Datei mit den Zertifikaten der vertrauenswürdigen CAs, den man damit auch auf den USB-Speicher "umbiegen" könnte.
 
Sorry, mein edit hat sich wohl mit deinem Post überschnitten Peter. Ich stelle das Thema mal wieder her.

---
Adresse des Images hatte ich damals mal, da es nach der Abfrage in der Fritze hinterlegt wird. Steht dann glaube ich in der tr069.cfg.

Ob und wann der Server eine solche Aufforderung sendet, kann der Client aber eigentlich nicht beeinflussen ... höchstens noch "provozieren", indem er falsche Angaben zur derzeit installierten Version macht.
Zum Vergrößern anklicken....
Ich wollte eine "frische" Box vorgauckeln, ink Tr069 serial & passphrase. Eigentlich sollten dann doch config files & auch neuere FW kommen, sofern die gemeldete Version mit Absicht eine ältere ist?

Unter Umständen ist es sogar möglich, aus einer bekannten URL für den Download einer Firmware auf andere gültige Pfade zu schließen.
Zum Vergrößern anklicken....
Im Falle meines ISPs - ja. Ich war nur zu blöd mir den Pfad damals zu sichern. :(

Zur rechtlichen Seite kann ich zwar nichts Definitives sagen, aber warum sollte ein Download einer Datei von einer bekannten URL ein Problem sein?
Zum Vergrößern anklicken....
Mir ging es hier eher um den TR069 Client EMU mit Vortäuschung von Hardware. Die ACS Logindaten muss man sich ja auch erst einmal aus dem Router fischen und ich frage mich eben ob das alles noch "ok" wäre, rechtlich. Moralisch hätte ich da keine Bedenken.
In meinem Fall ist SSL an.

Benutzer/Kennwort bekommt man in meinem Fall aus der Provider Hardware. Bei "provider additive" Fritzboxen ist das ziemlich einfach. Dort liegt unter /var/flash/ eine provideraddtive.tar wo alles (im Klartext) drin steht. TR069 passphrase & serial ist im bootloader, sieht man im environment.

und da wäre eine clientspezifische Identifikation beim Download ja das Mindeste nach dem Stand der Technik. Wenn ein Anbieter das so regelt, wirst Du auch Probleme haben, an diese Datei zu kommen.
Zum Vergrößern anklicken....
Kann man TR069 serial/passphrase nicht mit einem tr069 client emu mitsenden?

MitM - in welchem Szenario müsste man das denn? Wenn man die Fritze hat, liegen die TR069 Daten der großen Provider doch unter /etc/default.Fritz_Box_7xxx/avm/providers-049.tar und den Rest sieht man im environment?

Ok, man bräuchte keinen TR069 Emu und hätte direkt alles.

Grund meiner Gedanken sind recht banal.

- Box debranded
- FW nicht gespeichert
- Box rebranding scheitert wohl aufgrund fehlendem Wissen meinerseits - Fred dazu: http://www.ip-phone-forum.de/showthread.php?t=255832&p=1992948&viewfull=1#post1992948
- Provider will die FW wohl nicht rausrücken (für mich sinnfrei btw)

Da kam mir dieses Gedankenspiel, sie einfach selbst vom ACS zu ziehen, sofern möglich und eben auch der Gedanke, ob ich den ISP damit nicht vielleicht stinkig mache. ;)

EDIT:
Einen Emu habe ich, müsste noch die data.xml füllen und diesbezüglich erst mal lesen, was da denn rein muss (Vorkenntnisse 0). Konnte leider auf Anhieb keine example xml finden, die ich nur noch hätte ändern müssen.
 
Zuletzt bearbeitet:
(Netzfund) c't: o2-VoIP-Daten konnten von Dritten ausgelesen werden

"Der c't-Bericht geht zurück auf die Versuche eines Aachener Sicherheitsforschers, der sich mit den Kollegen in Verbindung gesetzt hat. Er wollte das TR-069-Protokoll, über dass die Mietrouter von o2 ihre Zugangsdaten automatisch zugewiesen bekommen, auslesen, um an seine VoIP-Daten zu gelangen. TR-069 sorgte schon in der Vergangenheit für Probleme. Die VoIP-Zugangsdaten gibt o2 seinen Kunden nicht bekannt, übermittelt sie aber aufgrund der zugewiesenen IP-Adresse über einen Auto Configuration Server (ACS) an das Modem des Kunden.

Bei seinen Versuchen machte er einen Fehler: Er ließ die ihm zugewiesene IP-Adresse als feste IP in dem Gerät, das ihm die übertragenen Daten lieferte. Am nächsten Tag fand er dann nicht mehr seine Zugangsdaten, sondern die eines fremden vor. Der Grund: Nach einer nächtlichen Zwangstrennung hatte er eine andere IP-Adresse bekommen, seine Adresse vom Vortag nutzte jetzt auch ein anderer Kunde. Und dessen VoIP-Zugang wurde ihm automatisch übermittelt. Bei weiteren Test mit einem Bekannten gelangte er auf diesem Weg auch an dessen Zugangsdaten und konnte sogar über dessen Leitung telefonieren - auf dessen Kosten."

[...]

in dem Artikel steht das Problem sei behoben - würde mich interessieren wie. ich tippe mal auf Seriennummer oder MAC-Adresse. vielleicht ist das einer der Gründe warum o2 ständig neue Hardware versendet...
 
Ne, das wäre sinnlos, dann würden die selbstgekaufen FBs nicht mehr funktionieren. Sie werden wohl nur die passenden IP-Adresse zulassen.
 
Ich fragte mich, wie folgendes denn bitte gelöst werden soll, ist das doch kein "Fehler", sondern gewollt.

Ein Teilaspekt bekam das Unternehmen allerdings bis heute nicht in den Griff: Über TR-069 ist es im lokalen Netz des Kunden nach wie vor möglich, die VoIP-Zugangsdaten abzurufen. Ein Schädling oder ein böswilliger Nutzer könnte sich also Zugriff auf Daten verschaffen und den Telefonanschluss an einem anderen Ort einrichten.
.
.
.
Der verbleibende Angriffsvektor im lokalen Netz soll im ersten Quartal 2016 eliminiert werden.
Zum Vergrößern anklicken....
Wie denn? Hänge ich im lokalen Netz, habe die richtige WAN IP und gebe mich als Fritzbox aus, dann bekomme ich auch die Daten. Wie wollen sie das denn verhindern? :confused:

ACS Einwahldaten und sogar Zertifikate bekommt ja jeder der sie will aus den entsprechenden Geräten.
 
Warum so umständlich? Wenn ich lokal bin, kann ich doch gleich direkt auf die Fritzbox zugreifen und die gesamte Konfiguration abrufen.
 
Nicht jeder Client im lokalen Netz kann TR-069 machen...

Dann ist das Sicherheitsloch bei der Telekom noch viel größer, da kann jeder Client in lokalen Netz T-VoIP machen, da kein Passwort notwendig.
 
@KunterBunter:
Und wie ohne Login? :rolleyes: Es geht natürlich um die Leute die wollen, aber nicht dürfen.


@thtomate12:
Es gibt Tr069 Clienten und wie in dem Artikel steht, auch Leute, die sich die entsprechenden Clienten einfach selbst schreiben können.
Mir ging es darum, wie O2 das denn bitte verhindern will, weil es doch eine "normale" Nutzung von tr069 wäre.

Link btw - http://www.heise.de/newsticker/meld...rch-schwerwiegende-Luecke-bei-o2-3066225.html
 
Zuletzt bearbeitet:
Machbar ist es schon, meines Wissens kann man z.B. bei den KNBs aus dem LAN einer FRITZ!Box nicht ohne weiteres auf den ACS zugreifen, weil die FRITZ!Box das auf die öffentliche IP-Adresse NATten sollte (müßte man glatt noch mal probieren) und der Zugriff auf das zweite logische Interface (voip+tr069, hier benutzt man private IP-Adressen) aus dem LAN geblockt werden sollte. Damit geht die Kommunikation mit dem ACS nur direkt vom CPE aus und nicht aus dem LAN dahinter. So weit die Theorie, ob das tatsächlich von AVM verhindert wird, müßte man - wie gesagt - noch mal testen.

Auch auf dem BRAS ließe sich mit einer anderen VLAN-ID für den TR-069-Traffic zum ACS noch etwas blockieren, wenn dann einfach jeder Verkehr mit dem ACS als Ziel, der nicht die richtige VLAN-ID hat (weil er aus dem LAN kommt), gedroppt wird. Solche Späße wie die Abfrage einer MAC-Adresse bringen hingegen wenig, weil das einfach immer eine Angabe des CPE sein muß, denn für die echte MAC-Adresse ist am BRAS Schluß mit lustig, ab da nur noch ab OSI-L3.

Oder man macht eine VPN-Verbindung zum ACS auf, die ist aber wieder aus dem LAN hinter dem CPE zu emulieren, es erhöht nur den Aufwand.

1&1 geht ja ganz simpel hin und verlangt das Einwahl-Kennwort für die TR-069-Konfiguration. Das verhindert zwar nicht das "Abgreifen" der Daten durch den berechtigten Kunden mit einem anderen TR-069-Client, aber ein Angreifer im LAN bräuchte schon erst mal dieses Einwahlkennwort, bevor er die VoIP-Credentials in Erfahrung bringen könnte.

Das ist ja auch das eigentliche Problem (ich nehme mal nicht an, daß o2 für die Zeit bis zum Inkrafttreten der FTEG-/TKG-Änderungen noch viel Aufwand treiben würde, um die Daten vor den eigenen Kunden zu verheimlichen), daß da jeder beliebige Angreifer im LAN, nur weil er von der richtigen IP-Adresse kommt, nach wie vor die VoIP-Credentials bei o2 abgreifen könnte. Solange die auch an anderen o2-Anschlüssen gültig sind, ist das Telefonieren auf Kosten eines anderen o2-Kunden möglich ... ich vermute auch eher, daß da das endgültige Ziel liegen wird, daß nur noch vom richtigen Anschluß aus diese Daten zu benutzen sind, dann ist es auch egal, wenn jemand im LAN die ermitteln kann (mit Ausnahme der Rufnummer, die bleibt ein Problem).
 
Danke für deine Aufklärung Peter.
Zweite PVC quasi fürs TR069... Ok, daran dachte ich nicht.
Auch nicht an VLAN Spielerein oder VPN.

Aber alles hat ein Problem gemein: Kunden mit Fremdhardware könnten nichts davon nutzen, außer der Anbieter gibt Konfigurationsanleitungen und ggf. VPN Daten raus. Würde die Sache aber ein wenig witzlos machen und verkomplizieren, da ist der "Startcode" schon cleverer.

Mit Ende des Routerzwangs wird sich da wohl auch bei den KNBs einiges ändern müssen, bin ich eh drauf gespannt.

ich vermute auch eher, daß da das endgültige Ziel liegen wird, daß nur noch vom richtigen Anschluß aus diese Daten zu benutzen sind, dann ist es auch egal, wenn jemand im LAN die ermitteln kann (mit Ausnahme der Rufnummer, die bleibt ein Problem).
Zum Vergrößern anklicken....
Damit wirst du wohl recht haben.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 608 (Mitglieder: 11, Gäste: 597)

Neueste Beiträge

Statistik des Forums

Themen
244,888
Beiträge
2,220,169
Mitglieder
371,622
Neuestes Mitglied
jherb
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück