Provider setzt meine Fritzbox remote auf Werkseinstellung. Wie kann das sein?

[dsteinkopf]

Hallo zusammen,

seit in meinem neuen Zuhause kein DSL geht, bin ich "Kabeldeutschland-Zwangskunde". Neulich war aufgrund von Störungen ein Techniker hier - leider konnte ich nicht dabei sein. Er rief mich an, und meinte, er hätte bei Kabeldeutschland in Berlin angerufen und von dort aus einen Werks-Reset der Fritzbox machen lassen müssen und ich soll mich nicht wundern, wenn ich alles neu einstellen muss.

Jetzt frage ich mich: Wie kann das funktioniert haben? Gibt es einen "Magic-Ping-Of-Death" für die Fritzbox?

Was sogar noch erstaunlicher ist: Ich habe hinter der externen Fritzbox von Kabeldeutschland noch meine eigene zweite, die bei dieser Aktion gleich mit in Auslieferungszustand versetzt wurde.

Habe ich denn die Fritzbox(en) nicht als Firewall? Wie kann ich dem ganzen noch vertrauen, wenn Kabeldeutschland von außen, ohne Passwort in der Lage ist, meine ganze Infrastruktur lahmzulegen? Muss ich damit rechnen, dass das auch jemand anders via Internet kann?


Vielen Dank für Eure Antworten,


Dirk

 

[doc456]

Moin,

das Protokoll ist TR069, klick, aber das kann nur der Provider nutzen (oder Herr Schäuble).

 

[sf3978]

Ich habe hinter der externen Fritzbox von Kabeldeutschland noch meine eigene zweite, die bei dieser Aktion gleich mit in Auslieferungszustand versetzt wurde.

Hast Du tr069 bei deiner 2. eigenen Box nicht deaktiviert?

 

[Resool]

Frage

hi
gibt es eine Möglichkeit den Zugriff über TR069 zu verhindern

FB7270
bei der ursprünglichen Firmware von KD habe ich
unter Netzwerk Anbieterdienste deaktiviert und upnp
nach einem Update auf 54.04.70 gibt es den Punkt Anbieterdienste nicht mehr

experten Ansicht ist aktiviert

Danke Resool

 

[doc456]

@Resool, guckst du hier oder hier...

 

[Telefonmännchen]

gibt es eine Möglichkeit den Zugriff über TR069 zu verhindern

Ich vermute mal nur über das Entfernen des TR069-Stuffs im Rahmen eines Freetz-Mods. Dort kann man nämlich "überflüssige" Firmwarekomponenten bei der Erstellung eines eigenen Images abwählen um Platz für nützliche Dinge zu schaffen.

Gruß Telefonmännchen

 

[doc456]

@Telefonmännchen, nee, es ging auch mal per Telnetsitzung.

 

[Resool]

Hi

aus meinem Benutzer-Name läßt sich leicht ableiten
ich habe sehr geringes Fachwissen und bin nicht sehr erfolgreich

(Layer 8 Error)

Telnet
oder
Freez und konfigurieren

sind wie eine fremde Welt für mich

Fazit: TR069 wird wohl weiterhin von außen nutzbar sein

Danke für die umfangreiche Info und Hilfe

Gruß Resool

 

[Blaria]

also ich hab im Fritzboxmenü auch nix von tr069 stehen, sieht man glaub ich auch nur, wenn ein Anbietermenü konfiguriert ist und nicht bei Anbietermenü "AVM".

Von daher hab ich einfach mit dem Fritzbox-Editor die Konfiguration ausgelesen > nach tr069 gesucht > enabled=yes auf NO gesetzt (findet sich an 2-3 stellen, wenn man danach sucht)
aber da ist auch eine Forwardrule für tr069/Port 8089 (glaub ich, findet sich beim suchen von alleine) vorhanden. Zumindest funzt die Fritzbox problemlos weiter, wenn man diese Rule ersatzlos löscht und die Konfig zurück spielt.
Das ganze mit Original-Firmware (DSL-Labor), dürfte auch für jeden Laien möglich sein. Nicht vergessen unter Einstellungen das NoChecks zu aktivieren (und/oder von Hand in die Konfig eintragen)

PS: natürlich würde ich die Gefahr sehen, dass vorallem Telefon und eventuell auch Internet mal nicht mehr funzen tut, wenn man die Updates des Anbieters nicht zulässt. Ich denk ist logisch, aber bei mir und meinem Anbieter Versatel wäre es auch allerhöchstens Herr Schäuble, der da vielleicht gerne was ändern würde

PPS: ich bilde mir ein zumindest ein halbweghs passables Wissen zu haben, aber Resool (der Benutzername) sagt mir so rein gar und überhaupt nix

 

[Ecki-No1]

Also bei meiner FRITZ!Box Fon WLAN 7170 (UI) mit Firmware-Version 29.04.76 kann ich das lt. Screenshot ausschalten.
@Resool: Deine Homepage vermittelt einen kompetenteren Eindruck. :lach:

 

[Telefonmännchen]

also ich hab im Fritzboxmenü auch nix von tr069 stehen, sieht man glaub ich auch nur, wenn ein Anbietermenü konfiguriert ist und nicht bei Anbietermenü "AVM".

Ich denke mal, andersrum wird ein Schuh draus. AVM hat dieses tr069 implementiert, was auch durch die Provider, die diese Hardwareplattform ihren Kunden verkaufen, für die Einrichtung genutzt wird. Leider blenden diese Anbieter zumindest bei gebrandeten Boxen die Einstellungsmöglichkeit aus, so daß dem Kunden nach der Ersteinrichtung durch den Provider es nicht möglich ist, die Voreinstellungen um die eigenen Bedürfnisse zu erweitern (Stichwort: Aktivierung der Festnetz-Anschlüsse bei Komplett-Verträgen). Bei originalen AVM-Boxen ist diese Möglichkeit vorhanden, um auch Fachhandels-Käufern dieser Boxen zu ermöglichen, die Konfiguration vom Provider einrichten zu lassen.

Ansonsten ist die Idee mit dem FritzBox-Editor wohl der einfachere Weg, diese Fremdzugriffsmöglichkeit loszuwerden. Allerdings schlummert die Funktionalität dann immer noch auf der Box und könnte durch irgendetwas wieder aktiviert werden (und sei es auch nur ein Supportlink auf der Homepage des Providers, aber dem sollte mit den neu eingeführten Session-IDs ein Riegel vorgeschoben sein).

Gruß Telefonmännchen

 

[imagomundi]

TR069 lässt sich genau so deaktivieren wie von Blaria beschrieben: Export-Datei auf den PC - mit einem Texteditor (am besten "notepad++) öffnen - überall dort, wo "TR069 = yes" steht, das "Yes" durch "no" ersetzen - im "Kopf" der Datei nach der Zeile "language" eine neue Zeile einfügen: NoChecks=yes - schliesslich die so geänderte Datei über den Box-Menüpunkt "Daten sichern > Wiederherstellen" auf die Box zurückspielen. Damit ist der Fernzugriff Deines Providers völlig unterbunden - ob Du das willst, musst Du für Dich selbst entscheiden.

 

[el_valiente]

... aber Resool (der Benutzername) sagt mir so rein gar und überhaupt nix

Lese diesen schönen Usernamen mal rückwärts ...
.

 

[Blaria]

ach so ist das mit dem Usernamen
sagt aber auch nicht wirklich was von den Fähigkeiten.

Also man kann sicherlich auch die Fritzbox Weboberfläche und den Export der Einstellungen nutzen, die .export-Datei ist letzten Endes eine reine Textdatei. Allerdings eine Linux-Textdatei, daher wie hier beschrieben mit Notepad++ bearbeiten, oder ich würde UltraEdit empfehlen. Beim Bearbeiten mit einem normalen Windows-Editor und dem hinzufügen von NoChecks sehe ich sonst schon die Gefahr, dass die Konfig von der Box zwar akzeptiert, aber nicht wirklich korrekt eingelesen wird (ein Recover so die Kiste nicht mehr starten sollte, müsste aber immer noch machbar sein, das Recover setzt ja nicht auf die eventuell defekten Konfig-Dateien auf).
Aber daher halte ich den Fritzbox-Editor für die beste Wahl zum Modifizieren. Verlangt meines Wissens aktives Telnet auf der Fritzbox, was via analogem Telefon und dem Befehl #96* gefolgt von langem Quitierton aktivieren kann.

Durch Geisterhand wird tr069 sicherlich nicht reaktiviert. Ein Firmwareupdate (bei meiner FB-7170 von der letzten DSL-Labor auf die aktuelle DSL-Labor vom April09) hat an der tr069 Konfig nix geändert. Es spricht aber auch nix dagegen das nach einem Firmwareupdate, welches bei einmal abgeschaltetem tr069 definitiv nicht mehr vom Provider automatisch eingespielt wird, erneut mit dem Fritzbox-Editor oder über die von der FB erstellte Export-Datei zu überprüfen.

 

[el_valiente]

Verlangt meines Wissens aktives Telnet auf der Fritzbox, was via analogem Telefon und dem Befehl #96* gefolgt von langem Quitierton aktivieren kann.

FBEditor braucht kein aktives Telnet - editiert ja nur eine Datei ausserhalb der FB.
(denkst Du vielleicht an FritzRePass.exe ?)

Aber egal:
- Telnet wird über Telefon aktiviert mit #96*7*
- Telnet wird über Telefon deaktiviert mit #96*8*
.

 

[dsteinkopf]

Hallo zusammen,

ahhhh. Vielen Dank. Jetzt bin ich schon viel schlauer.

Hast Du tr069 bei deiner 2. eigenen Box nicht deaktiviert?

Nein - jedenfalls nicht bewusst. Ich wusste bis heute noch Bescheid.

Aber: In der Export-Datei der inneren (=2.) Fritzbox in tr069.cfg steht bei tr069cfg: enabled=no. Bei der externen steht es auf enabled=yes.

D.h. der Reset der Externen Box ist damit voll erklärbar. Was aber immer noch bleibt, ist die Frage, wieso die interne Box auch auf Werkseinstellungen zurückgesetzt wurde.

Dirk

 

[sf3978]

Was aber immer noch bleibt, ist die Frage, wieso die interne Box auch auf Werkseinstellungen zurückgesetzt wurde.

Ja, das ist äußerst merkwürdig. Wie ist deine iptables-Firewall konfiguriert?

 

[dsteinkopf]

Ja, das ist äußerst merkwürdig. Wie ist deine iptables-Firewall konfiguriert?

Im Wesentlichen erlaube ich von außen alles, weil ich davon ausgehe, dass ich von außen durch die AVM-Firewall geschützt bin. Warum fragst Du?

tr069 kann es ja nicht sein, weil ich mittels netstat feststellen kann, das Port 8089 nicht offen ist.

Edit: Mein Footer bezieht sich auf die 2./innere Fritzbox.

Dirk

 

[sf3978]

Im Wesentlichen erlaube ich von außen alles, weil ich davon ausgehe, dass ich von außen durch die AVM-Firewall geschützt bin.

Anscheinend gibt es doch Löcher (für Provider & co.) in der AVM-Firewall. Vielleicht solltest Du von außen doch nicht alles erlauben, oder zumindest mit iptables, das was von außen kommt loggen.

 

[dsteinkopf]

Anscheinend gibt es doch Löcher (für Provider & co.) in der AVM-Firewall. Vielleicht solltest Du von außen doch nicht alles erlauben, oder zumindest mit iptables, das was von außen kommt loggen.

Ja, anscheinend...

In meinem Logfile habe ich zum Zeitpunkt des Resets folgendes gefunden:

...
Sep  1 14:14:30 fritz fritz-debug: [DECT_PROTRACE] PROTRACE Deinit
Sep  1 14:14:30 fritz fritz-debug: /proc/tffs: werkseinstellungen request: success
...
Sep  1 14:14:41 fritz fritz-debug: /proc/tffs: cleanup request: success

Ist das ein Indiz dafür, dass der Werksreset doch via DECT ausgelöst wurde - auch wenn der Techniker dem widerspricht?


Dirk