ACHTUNG: Der hier beschriebene Trick funktioniert ab der Fritz!OS Version 6.50 nicht mehr. Er ist aber auch nicht mehr nötig. Man kann ab der 6.50 kann man TR-069 auch bei der 1&1 Firmware im Menü abschalten: Internet –> Zugangsdaten –> Anbieterdienste; hier den Haken entfernen. Wenn das Menü nicht da ist, benutzt Euer DSL Anbieter kein TR-069.
Es gibt viele Fritzbox Modelle und Versionen am Markt, die „gebrandet“ sind. D.h. sie sind für einen DSL Anbieter konfiguriert bzw. mit spezieller Firmware versehen. Ich verwende beispielsweise eine Fritzbox 7362SL, ein Modell das der 7360SL ähnlich aber nur über 1&1 erhältlich ist.
Bei den gebrandeten Modellen sind vom Anbieter abhängig häufig bestimmte Einstellungen nicht möglich. Es gibt nun Tipps im Netz, wie man das Branding entfernen kann. Das mag auch funktionieren, erfordert aber, dass es für die entsprechende Box eine normale, „ungebrandete“ Firmware gibt. Das ist bei der 7362SL nicht der Fall.
Die gebrandete Firmware ist an sich auch kein Problem. Bei der 7362SL ist der einzige Unterschied zur normalen Firmware offenbar die Unmöglichkeit TR-069 abzuschalten. Auch hier gibt es wieder Tipps im Netz, welche in den Interna der Box herumfummeln (Stichwort ar7.cfg etc) und damit nicht offiziell unterstützte Änderungen an der Firmware vornehmen.
Es geht aber auch viel einfacher und mit den normalen Bordmitteln.
Bevor es losgeht: Was ist eigentlich TR-069?
Kurzversion: Über das TR-069 Protokoll kann der Internetanbieter den DSL-Router (um-)konfigurieren und hat weitgehende Rechte in das Heimnetzwerk hinein. Es gibt auch viele Diskussionen im Netz darüber, ob das Ganze nicht eine große Sicherheitslücke ist.
Wer mehr Infos möchte, findet diese hier Heise oder Wikipedia
Die Idee:
Auf den Fritzboxen läuft TR-069 über Port 8089. Bei Portscans wird dieser Port als geschlossen angezeigt, weil von der Fritzbox keine Antwort erfolgt. Dennoch lauscht die Box hier auf Daten. Die Basisidee ist nun ganz simpel: Was passiert eigentlich, wenn wir für Port 8089 eine Portweiterleitung anlegen?
(Eine Portweiterleitung ist eine in der Box konfigurierbare Anweisung, auf welches Netzwerkgerät im Heimnetzwerk eine Anfrage auf dem jeweiligen Port weitergeleitet werden soll.)
Also habe ich einen Test gemacht. Port 8089 wird auf Port 80 meines Raspberry Pi weitergeleitet. Port 80 ist der Webserver auf dem ich eine kleine Seite im Heimnetz anzeige und die normalerweise von außen unzugänglich ist. So sieht die Testkonfiguration aus:
Die Probe habe ich dann mit dem Mobiltelefon vorgenommen (WLAN aus). Und siehe da: http://meine-ip-adresse:8089 zeigt die Webseite vom Rasperry Pi. Heißt konkret, dass die normale per Webinterface in der Fritzbox angelegte Portweiterleitung den Zugang zu Port 8089 umlenken kann. Damit ist TR-069 nicht mehr möglich.
Die Umsetzung:
Nach dem erfolgreichen Test stellt sich die Frage, wohin wir Port 8089 dauerhaft und sicher umlenken könnten. Auch hier ist die Idee wieder simpel. Ins Nirwana. Die Fritzboxen vergeben bei normaler Konfiguration per DHCP nur Netzwerkadressen zwischen 192.168.178.20 und 192.168.178.200. Also wird 192.168.178.255 unser Ziel. Und als Zielport nehmen wir Port 22. Falls doch jemand mal an den DHCP Einstellungen dreht und doch ein Netzwerkgerät auf dieser Adresse liegen sollte, landen wir auf dem SSH Port. Das dürfte sicher sein.
Konkret habe ich also folgende Portweiterleitung in der Fritzbox konfiguriert:
Nun ist TR-069 aus – mit Bordmitteln und mit einer Konfiguration, die ganz offiziell unterstützt wird.
Getestet mit einer Fritzbox 7362SL Firmware Version 6.20.
P.S.: Wer kein DHCP verwendet, die IP Adressen geändert hat muss sich ggf eine andere Ziel-IP überlegen. Die Regel ist einfach: Dahin, wo nix passieren kann. Im Zweifelsfall auf IP/Ports die es gibt, aber die sicher sind.
Moin,
ist 192.168.178.255 nicht die Broadcast Adresse bei einer 24er Subnetmaske? Somit wäre es nicht ins Nirvana, sondern ein Broadcast an alle Netzwerkteilnehmer im Subnetz.
Gruß
Henning
Da hast Du Recht, Danke für den Hinweis. Mit 192.168.178.254 sollte es wirklich auf niemandem zeigen. Bei .255 dürfte in dem Subnetz auf Port 8089 normalerweise auch keiner antworten.
Irre ich mich oder 254 nicht für Fritz.Nas?
Du musst eine IP nehmen, die nicht benutzt wird. Mit dem fritz.nas habe ich mich offen gesagt nie auseinander gesetzt.
Wieso nicht so?
Fritzbox einloggen
Diagnose/Sicherheit
Port 8089 – Bearbeiten
Häckchen deaktivieren
Weil es diese Einstellung bei gebrandeten Fritz boxen nicht gibt (s. o.) Weiterhin gibt es für einige Boxen wie beispielsweise die 7362 keine ungebrandete Firmware.
Gruss Stefan
Das ist Quatsch, dass es für die 7362 SL keine ungebrandete Firmware gibt. Das Branding wird so wie bei allen anderen FritzBoxen über die Brandingvariable im Bootloader-Environment festgelegt und ist unabhängig von der installierten Firmware, die Firmware bei der 7362 SL ist eine ganz normale de-version von AVM (es gibt keine spezielle 1&1 Firmware) die auch mit der Brandingvariable avm arbeitet (ungebrandet).
Das einzige was es für die 7362 SL nicht gibt ist eine internationale Firmware-Version (Brandingvariable = avme).
Hallo Joseph,
eine ungebrandete Firmware ist keine, die man per Hack auf der Box aus einer gebrandeten erzeugt. Es gibt die 7362 auch nur als 1&1 Version am Markt und damit keine ungebrandete FW.
1&1 hatte bis zur 6.5er Firmware spezielle Funktionen in der Firmware festgeklopft, die auch mit der Branding Entfernung noch aktiv waren. Das Ganze hat sich aber mit der 6.5er Firmware erledigt (s.o.). Bei TR069 haben sie nachgegeben und das Menü freigeschaltet.
Gruss Stefan
Gruss Stefan
Bei einer Fritzbox 7312 mit FritzOS 6.30 schient dieses nicht zu funktionieren. Ich bekomme eine Fehlermeldung, was ich eigentlich auch erwarten würde:
„Die Portfreigabe kann nicht erstellt oder aktiviert werden, da die Regel im Konflikt mit einer internen Regel steht.“
Danke für die Rückmeldung. Klappt es auch nicht, wenn Du eine andere Ziel IP nimmst? – z.B. 192.168.178.250?
Tolle Lösung. Bin amtlich beeindruckt.
Version war wichtig. Mußte erst updaten.
FritzBox 7490 sunrise.ch FRITZ!OS 06.23 geht nicht mit Port 8089.
Portfreigabe 8090 an 192.168.178.254 Port 22 geht. Aber nicht mit Port 8089. Konflikt mit interner Regel!
Port 8089 scheint jetzt gesperrt zu sein.
Danke für die Info. Dann AVM das wohl spitz bekommen.
Klickt oben rechts auf die 3 Punkte. Erweiterte Einstellung aktivieren. Dann auf Internet->Zugangsdaten->Anbieterdienste; Haken entfernen.
Hallo Gabylot,
diese Einstellung gibt es bei der 7362 nicht. Für die Box gibt es leider auch keine ungebrandete Firmware – die 7362 gibt es nur bei 1&1 und die haben TR-069 fest einschalten lassen.
Gruss Stefan
Hallo Stefan,
die Fritzbox 7362SL steht bei mir im Wohnzimmer. Habe vorgestern meinen oben beschriebenen Weg auf der Box ausgeführt, nachdem der Herr von der Hotline ihn mir gezeigt hatte. Habe diesen Unterpunkt auch erst nicht gefunden. Firmware ist 06.50, der Router kam von 1&1. Die Funktion ist also definitiv vorhanden, wie gesagt, hab’s vorgestern erst eingestellt.
Unter Diagnose->Sicherheit verschwindet dann auch der automatisch freigeschaltete Port.
http://www.fotos-hochladen.net/view/fritzbox36gz1rl9d20.png
Danke Dir. Das ist interessant, weil AVM und 1&1 dann mit der 6.50 komplett das Vorgehen geändert haben. Ich habe mittlerweile eine T-Com Anschluss. Da gibt es das entsprechende Menü definitiv nicht. Der Port 8089 ist nicht nutzbar. Die Telekom nutzt TR069 für die 7362 auch nicht. Wenn das Menü bei 1&1 erscheint, dann erlauben die jetzt offenbar das Abschalten. Das ist dann mit der 6.50 neu und eine gute Neuerung.
Habe mal einen Screenshot gemacht, damit hier keiner glaubt, ich erzähle Quatsch.
http://www.fotos-hochladen.net/view/fritzbox0vf92bh7d4.png
Nach den neuesten Vorfällen: reicht es aus, den Zugriff von außen zu sperren?
Weil der Port ja nicht angesprochen werden muß, sondern nach außen lauscht, ob was für ihn kommt.
Hallo Uwe,
aktuell sind keine Fritzboxen betroffen. Wenn Du bei der akutellen Firmware von AVM keinen TR069 Eintrag hast, ist TR069 auch aus.
Gruss Stefan
Für die 6660 Cable habe ich keine Lösung gefunden, den Port 8089 zu deaktivieren.