Kabel/Coax TR-069 und Vodafone Kabel

[486er]

Hi,

erstmal vielen Dank für die zahlreichen Beiträge zum Thread über die Möglichkeiten des ISPs ins lokale Netzwerk zu schauen. Leider ist der Thread zu, sonst hätte ich mich dort bedankt.

Ich bin ehrlich gesagt, etwas überrascht, dass so etwas tatsächlich - legal - möglich ist. Fernwartung gut und schön, aber ich dachte, das bezieht sich tatsächlich nur auf Router-Firmware-Updates und Connections-Logs in Richtung extern.

Ich bin schon lange dabei, aber das TR-069-Protokoll war mit bis jetzt tatsächlich kein Begriff. Bei meinem ursprünglichen Post ging es um einen Kollegen, der einen Telekom-DSL-Anschluss hatte. Ich werde ihm den Tipp auf jeden Fall mal weiterreichen, das Protokoll abzuschalten. Falls es überhaupt geht.

Natürlich habe ich als Erstes auch in meine Router-Konfiguration geschaut. Ich habe Vodafone Kabel und mich, da ich den Router wirklich nur als DHCP-Server und Leitung nach draußen brauche, für das Basic-Modell entschieden, die "Vodafone Station". Natürlich finde ich da keinen Punkt, mit dem ich die Fernwartung abschalten kann. Wohl aber in der Modul-Liste der Open-Source-Software das Modul "ccsp-tr069-pa" - neben 100 anderen Modulen.

Es geht mir hier um prinzipielle Fragen. Ich habe in meinem Netz keinen bösen Darknet-Pornoserver laufen, aber 2 NAS mit ziemlich viel privatem Kram drauf. Es behagt mir überhaupt nicht, wenn ich darüber nachdenke, dass da irgendjemand von außerhalb draufgucken kann. Zumal das nirgendwo so offen ausgesprochen wurde.

Weiß jemand, ob man das Protokoll mit dem Vodafone-Gerät irgendwie abschalten oder blocken kann? Auf der anderen Seite frage ich mich, was da noch alles theoretisch raustelefoniert.


Viele Grüße
486er

 

[UNDERESTIMATED]

Weiß jemand, ob man das Protokoll mit dem Vodafone-Gerät irgendwie abschalten oder blocken kann?

Ja, geht nicht bzw. ist als Eingriff in das Mietgerät zu verstehen, was wiederum nicht erlaubt wäre.
Stört irgendwas bei dir und kann nicht mittels automatischer Fernwartung behoben werden bist du für alle anderen im Segment mit dran.

Oder du hast eben einen eigenen Router und Vodafone sagt dir im Störungsfall: Tja...

Gegenfrage: Rupfst du im Mietwagen auch die Simkarte raus und schmeißt sie weg? ;-)

Es behagt mir überhaupt nicht, wenn ich darüber nachdenke, dass da irgendjemand von außerhalb draufgucken kann.

Entscheidung 1: Sch*** drauf, du hast bestimmt auch Fenster in Wohnung/Haus. 💁‍♂️
Entscheidung 2: Kauf ein eigenes Kabelmodem und deaktiviere die Option.
Entscheidung 3: Nicht erlaubt, daher auch keine Hilfe an dieser Stelle.

 

[pufferueberlauf]

Wobei es eine einfache Loesung gibt, haenge halt Deinen eigenen Router hinter die VF-Station und lass Deinen Router NAT machen (idealerweise stellt man den DOCSIS-Router auf bridge mode um um Doppel-NAT zu vermeiden). Dann sieht VF nur das was die sowieso schon sehen koennen....
Unabhaengig von TR-069 hat der ISP bei DOCSIS Modems auch ssh Zugang als root, d.h. auch der Kauf eines eigenen DOCSIS Routers loest das Privatsphaerenproblem nicht zuverlaessig.

 

[UNDERESTIMATED]

hat der ISP bei DOCSIS Modems auch ssh Zugang als root

Hört sich interessant an, hast du dafür mal eine Lesequelle? Ist mir so nicht bekannt.

 

[pufferueberlauf]

Zu lesen habe ich nichts, auch wenn ich vermute die DOCSIS Standards geben etwas her. Aber fuer Auge und Ohr gibt es einen Vortrag: https://media.ccc.de/v/32c3-7133-beyond_your_cable_modem

 

[Nizakh]

Bei Mietgeräten des Providers stimmst du dem ganzen automatisch zu. Ein Abschalten der Funktion ist dann idR nicht zulässig/vorgesehen. Bei den Telekom Speedports ist das zwar technisch möglich, aber dort kommt auch der Hinweis, dass dies nur bei Kaufgeräten zulässig ist. Man kann es natürlich trotzdem machen. Wo kein Kläger, da kein Richter. Da du in deinem Fall eine Vodafone Station nutzt, kannst du dagegen vermutl. nichts machen, da es diesen Router nicht als Kaufgerät gibt.
Wenn du TR069 abschalten möchtest kaufe dir einen eigenen Router. Dann ist das auch zulässig, allerdings mit den bekannten Nachteilen im Supportfall.

• AVM FRITZ!Box 6660
• AVM FRITZ!Box 6690

 

[NerdmitHerz]

allerdings mit den bekannten Nachteilen im Supportfall.

ganz ehrlich bei vodafone arbeiten keinen wirklich techniker die ahnung von AVM produkte haben. dafür gibts jedoch den AVM Kundensupport mit Kollegen (von mir) die sich bestens mit den AVM produkten auskennen und bei fehlern auf der Seite von AVM gerne helfen wenn es zu problemen kommen sollte.

ich persönlich hab seit 10 jahren internet in meiner wohnung und als router immer eine fritzbox gehabt. egal ob dsl, kabel, dsl und evtl zukünftig bald glasfaser-internet. ich seh es gar nicht ein ne provider box nutzen

 

[pufferueberlauf]

dafür gibts jedoch den AVM Kundensupport mit Kollegen (von mir) die sich bestens mit den AVM produkten auskennen und bei fehlern auf der Seite von AVM gerne helfen wenn es zu problemen kommen sollte.

Frage, haben die AVM Kabel-Router auch einen SSH/Telnet Zugang fuer den ISP?

 

[NerdmitHerz]

in sämtlichen FB kann man TR-069 aktivieren und deaktvieren

ansonsten hat ne FB ne gute Firewall

 

[robert_s]

Frage, haben die AVM Kabel-Router auch einen SSH/Telnet Zugang fuer den ISP?

Du hast doch selbst den Link zu dem CCC-Video gepostet, wo diese Frage beantwortet wird!?

 

[Holzkopf]

In Zukunft wird da auf Opensync von Plume gesetzt.
Damit Erhält der Kunde mehr Features, aber der ISP auch Einsicht und Informationen über das eigene Netz.

"Wir bieten aggregierte Analysedaten von mehr als 800 Millionen Geräten, die in der Plume-Cloud verwaltet werden."

In Europa wären das Liberty Global und Vodafone.

 

[pufferueberlauf]

Ich erinnere mich nicht, dass es in dem Vortrag eine klare Antwort zur Frage "gibt es den SSH Zugang fuer den ISP auch auf AVM Geraeten" gibt. Welchen Zeitstempel soll ich mir nochmal genau ansehen? Das Video sagt nur, dass Fritzboxen Telnet abgeschaltet haben... und dass der Firmware-Updateprozess etwas anders laeuft, aber nicht ob SSH laeuft under ISP dafuer Zugang hat.
Ein Schnelldurchlauf durch die DOCSIS3.1 Standards deutet zumindest nicht an, dass SSH-Server auf CMs vorgeschrieben seien....

 

[robert_s]

Ich erinnere mich nicht, dass es in dem Vortrag eine klare Antwort zur Frage "gibt es den SSH Zugang fuer den ISP auch auf AVM Geraeten" gibt. Welchen Zeitstempel soll ich mir nochmal genau ansehen? Das Video sagt nur, dass Fritzboxen Telnet abgeschaltet haben... und dass der Firmware-Updateprozess etwas anders laeuft, aber nicht ob SSH laeuft under ISP dafuer Zugang hat.

Die Aussagen zu Fritz!Boxen finden sich bei 14:50 und 42:50. Letzteres ist vielleicht sogar aussagekräftiger, weil er betont, dass bei den Firmwares bei den anderen Boxen jeder nur seinen Kram dazupackt, während AVM sich das "ganzheitlich" angeschaut zu haben scheint.

Daraus schließe ich mal, dass "einer in der Kette" gerne den Debug-Zugang zu den Boxen hat (oder der vielleicht auch im SDK einfach per Default aktiviert ist) und der dann eben aktiviert zu den Kunden geht, während AVM das nicht im Endergebnis haben wollte.

Im Übrigen gibt es zumindest bei den Puma-Chipsätzen seit 2015 noch eine entscheidende Änderung: Früher lief die Firmware komplett auf dem ARM-Core, und der später mit dem Puma6 hinzugebaute ATOM-Core wurde anfangs gar nicht genutzt, ja teilweise sogar komplett abgeschaltet. Inzwischen ist das anders: Der ARM-Core konzentriert sich auf die Funktion des Kabelmodems, während der "kundenseitige Kram" auf dem ATOM-Core läuft, und ich habe den Eindruck, dass die recht gut voneinander abgeschottet sind. Möglicherweise aus dem primären Grund, dass der Kunde, selbst wenn er in eine shell auf dem ATOM-Core kommen sollte, dann nicht in den Kabelmodemteil reinschauen kann, aber das dürfte umgekehrt genauso gelten. Sprich: Selbst wenn es noch einen ssh/telnet-Zugang auf den ARM-Core gibt, sieht man dort möglicherweise nicht mehr so viel vom Kunden-LAN wie früher...

 

[pufferueberlauf]

Persoenlich wuerde ich trotzdem dazu neigen Geraete mit ISP Zugang wie ONTs und CMs so weit wie moeglich zu isolieren, den externen Traffic sieht der ISP so oder so (zumindest die aeussere Verkapselung bei verschluesselten Verbindungen) aber das innere Netzwerk kann man ja einfach schuetzen....
Wie so oft subjektive Bewertung kann und darf man anders sehen.

 

[robert_s]

Persoenlich wuerde ich trotzdem dazu neigen Geraete mit ISP Zugang wie ONTs und CMs so weit wie moeglich zu isolieren,

Warum zählst Du nur diese beiden Gerätegattungen auf? DSL- und Mobilfunkmodems haben ebenso Management-Kanäle von der Netzseite. Die einzigen Zugangstechnologien, die man ausnehmen könnte, dürften Ethernet und Analogmodems sein.

 

[pufferueberlauf]

Bei DSL gehen IMHO die Management-Kanäle nicht über den Firmwareblob hinaus, soweit ich weiss*, das ist bei DOCSIS aufgrund des komplexeren Provisionierungsmodel deutlich anders*... so kann mein ISP z.B. mein DSL-Modem aussperren, aber er kann kein Update der Firmware auslösen... (TR-069 sehe ich erst mal getrennt vom der Zugangstechnik das kann ueberall eingestzte werden**)
Aber ja, ich betreibe ein Lantiq-Modem-Router unter OpenWrt als Bridge-Modem konfiguriert und dahinter meinen Hauptrouter als PPPoE-Endpunkt (die Motivation war allerdings nicht so sehr die Furcht der ISP koennte per Speicherauslesen in mein Netzwerk schauen, sondern schlicht, dass die XRX200 Generation (z.B. FB7490) etwas zu schwachbruestig dimensioniert ist fuer die Konfiguration/Dienste die ich verwende).


*) Das kann gut einer Luecke in meinem Wissen geschuldet sein...

**) Zertifikathandling, Provisionierungsfile Download und Evaluation, ... das soll keine Kritik an der DOCSIS-Provisionierung sein, ich habe da nicht tief genug reingeschaut um eine klare Meinung zu haben, und im Prinzip finde ich es gut existierende Techniken zu nutzen statt das Rad neu zu erfinden.

***) Um zum Thema zurueckzukommen, auch TR-069 kann akzeptabel sein, nur halt nicht im Kontext mit meinem Heimnetzwerk und meinem ISP