TR-069 bei gebrandeten Fritzboxen mit Bordmitteln abschalten / deaktivieren

ACHTUNG: Der hier beschriebene Trick funktioniert ab der Fritz!OS Version 6.50 nicht mehr. Er ist aber auch nicht mehr nötig. Man kann ab der 6.50 kann man TR-069 auch bei der 1&1 Firmware im Menü abschalten: Internet –> Zugangsdaten –> Anbieterdienste; hier den Haken entfernen. Wenn das Menü nicht da ist, benutzt Euer DSL Anbieter kein TR-069.

Es gibt viele Fritzbox Modelle und Versionen am Markt, die „gebrandet“ sind. D.h. sie sind für einen DSL Anbieter konfiguriert bzw. mit spezieller Firmware versehen. Ich verwende beispielsweise eine Fritzbox 7362SL, ein Modell das der 7360SL ähnlich aber nur über 1&1 erhältlich ist.
Bei den gebrandeten Modellen sind vom Anbieter abhängig häufig bestimmte Einstellungen nicht möglich. Es gibt nun Tipps im Netz, wie man das Branding entfernen kann. Das mag auch funktionieren, erfordert aber, dass es für die entsprechende Box eine normale, „ungebrandete“ Firmware gibt. Das ist bei der 7362SL nicht der Fall.
Die gebrandete Firmware ist an sich auch kein Problem. Bei der 7362SL ist der einzige Unterschied zur normalen Firmware offenbar die Unmöglichkeit TR-069 abzuschalten. Auch hier gibt es wieder Tipps im Netz, welche in den Interna der Box herumfummeln (Stichwort ar7.cfg etc) und damit nicht offiziell unterstützte Änderungen an der Firmware vornehmen.

Es geht aber auch viel einfacher und mit den normalen Bordmitteln.

Bevor es losgeht: Was ist eigentlich TR-069?
Kurzversion: Über das TR-069 Protokoll kann der Internetanbieter den DSL-Router (um-)konfigurieren und hat weitgehende Rechte in das Heimnetzwerk hinein. Es gibt auch viele Diskussionen im Netz darüber, ob das Ganze nicht eine große Sicherheitslücke ist.
Wer mehr Infos möchte, findet diese hier Heise oder Wikipedia

Die Idee:
Auf den Fritzboxen läuft TR-069 über Port 8089. Bei Portscans wird dieser Port als geschlossen angezeigt, weil von der Fritzbox keine Antwort erfolgt. Dennoch lauscht die Box hier auf Daten. Die Basisidee ist nun ganz simpel: Was passiert eigentlich, wenn wir für Port 8089 eine Portweiterleitung anlegen?
(Eine Portweiterleitung ist eine in der Box konfigurierbare Anweisung, auf welches Netzwerkgerät im Heimnetzwerk eine Anfrage auf dem jeweiligen Port weitergeleitet werden soll.)

Also habe ich einen Test gemacht. Port 8089 wird auf Port 80 meines Raspberry Pi weitergeleitet. Port 80 ist der Webserver auf dem ich eine kleine Seite im Heimnetz anzeige und die normalerweise von außen unzugänglich ist. So sieht die Testkonfiguration aus:
fritz_antitr069_test
Die Probe habe ich dann mit dem Mobiltelefon vorgenommen (WLAN aus). Und siehe da: http://meine-ip-adresse:8089 zeigt die Webseite vom Rasperry Pi. Heißt konkret, dass die normale per Webinterface in der Fritzbox angelegte Portweiterleitung den Zugang zu Port 8089 umlenken kann. Damit ist TR-069 nicht mehr möglich.

Die Umsetzung:
Nach dem erfolgreichen Test stellt sich die Frage, wohin wir Port 8089 dauerhaft und sicher umlenken könnten. Auch hier ist die Idee wieder simpel. Ins Nirwana. Die Fritzboxen vergeben bei normaler Konfiguration per DHCP nur Netzwerkadressen zwischen 192.168.178.20 und 192.168.178.200. Also wird 192.168.178.255 unser Ziel. Und als Zielport nehmen wir Port 22. Falls doch jemand mal an den DHCP Einstellungen dreht und doch ein Netzwerkgerät auf dieser Adresse liegen sollte, landen wir auf dem SSH Port. Das dürfte sicher sein.

Konkret habe ich also folgende Portweiterleitung in der Fritzbox konfiguriert:
fritz_antitr069_config
Nun ist TR-069 aus – mit Bordmitteln und mit einer Konfiguration, die ganz offiziell unterstützt wird.

Getestet mit einer Fritzbox 7362SL Firmware Version 6.20.

P.S.: Wer kein DHCP verwendet, die IP Adressen geändert hat muss sich ggf eine andere Ziel-IP überlegen. Die Regel ist einfach: Dahin, wo nix passieren kann. Im Zweifelsfall auf IP/Ports die es gibt, aber die sicher sind.

21 Gedanken zu „TR-069 bei gebrandeten Fritzboxen mit Bordmitteln abschalten / deaktivieren

  1. Henning

    Moin,
    ist 192.168.178.255 nicht die Broadcast Adresse bei einer 24er Subnetmaske? Somit wäre es nicht ins Nirvana, sondern ein Broadcast an alle Netzwerkteilnehmer im Subnetz.

    Gruß

    Henning

    Antworten
    1. ST Beitragsautor

      Da hast Du Recht, Danke für den Hinweis. Mit 192.168.178.254 sollte es wirklich auf niemandem zeigen. Bei .255 dürfte in dem Subnetz auf Port 8089 normalerweise auch keiner antworten.

      Antworten
        1. ST Beitragsautor

          Du musst eine IP nehmen, die nicht benutzt wird. Mit dem fritz.nas habe ich mich offen gesagt nie auseinander gesetzt.

          Antworten
    1. ST Beitragsautor

      Weil es diese Einstellung bei gebrandeten Fritz boxen nicht gibt (s. o.) Weiterhin gibt es für einige Boxen wie beispielsweise die 7362 keine ungebrandete Firmware.

      Gruss Stefan

      Antworten
      1. Joseph

        Das ist Quatsch, dass es für die 7362 SL keine ungebrandete Firmware gibt. Das Branding wird so wie bei allen anderen FritzBoxen über die Brandingvariable im Bootloader-Environment festgelegt und ist unabhängig von der installierten Firmware, die Firmware bei der 7362 SL ist eine ganz normale de-version von AVM (es gibt keine spezielle 1&1 Firmware) die auch mit der Brandingvariable avm arbeitet (ungebrandet).

        Das einzige was es für die 7362 SL nicht gibt ist eine internationale Firmware-Version (Brandingvariable = avme).

        Antworten
        1. ST Beitragsautor

          Hallo Joseph,

          eine ungebrandete Firmware ist keine, die man per Hack auf der Box aus einer gebrandeten erzeugt. Es gibt die 7362 auch nur als 1&1 Version am Markt und damit keine ungebrandete FW.
          1&1 hatte bis zur 6.5er Firmware spezielle Funktionen in der Firmware festgeklopft, die auch mit der Branding Entfernung noch aktiv waren. Das Ganze hat sich aber mit der 6.5er Firmware erledigt (s.o.). Bei TR069 haben sie nachgegeben und das Menü freigeschaltet.

          Gruss Stefan

          Gruss Stefan

          Antworten
  2. Denis

    Bei einer Fritzbox 7312 mit FritzOS 6.30 schient dieses nicht zu funktionieren. Ich bekomme eine Fehlermeldung, was ich eigentlich auch erwarten würde:

    „Die Portfreigabe kann nicht erstellt oder aktiviert werden, da die Regel im Konflikt mit einer internen Regel steht.“

    Antworten
  3. Andreas WERNER

    FritzBox 7490 sunrise.ch FRITZ!OS 06.23 geht nicht mit Port 8089.

    Portfreigabe 8090 an 192.168.178.254 Port 22 geht. Aber nicht mit Port 8089. Konflikt mit interner Regel!

    Port 8089 scheint jetzt gesperrt zu sein.

    Antworten
  4. Gabylot

    Klickt oben rechts auf die 3 Punkte. Erweiterte Einstellung aktivieren. Dann auf Internet->Zugangsdaten->Anbieterdienste; Haken entfernen.

    Antworten
    1. ST Beitragsautor

      Hallo Gabylot,

      diese Einstellung gibt es bei der 7362 nicht. Für die Box gibt es leider auch keine ungebrandete Firmware – die 7362 gibt es nur bei 1&1 und die haben TR-069 fest einschalten lassen.

      Gruss Stefan

      Antworten
      1. Gabylot

        Hallo Stefan,

        die Fritzbox 7362SL steht bei mir im Wohnzimmer. Habe vorgestern meinen oben beschriebenen Weg auf der Box ausgeführt, nachdem der Herr von der Hotline ihn mir gezeigt hatte. Habe diesen Unterpunkt auch erst nicht gefunden. Firmware ist 06.50, der Router kam von 1&1. Die Funktion ist also definitiv vorhanden, wie gesagt, hab’s vorgestern erst eingestellt.

        Antworten
          1. ST Beitragsautor

            Danke Dir. Das ist interessant, weil AVM und 1&1 dann mit der 6.50 komplett das Vorgehen geändert haben. Ich habe mittlerweile eine T-Com Anschluss. Da gibt es das entsprechende Menü definitiv nicht. Der Port 8089 ist nicht nutzbar. Die Telekom nutzt TR069 für die 7362 auch nicht. Wenn das Menü bei 1&1 erscheint, dann erlauben die jetzt offenbar das Abschalten. Das ist dann mit der 6.50 neu und eine gute Neuerung.

  5. Uwe

    Nach den neuesten Vorfällen: reicht es aus, den Zugriff von außen zu sperren?
    Weil der Port ja nicht angesprochen werden muß, sondern nach außen lauscht, ob was für ihn kommt.

    Antworten
    1. ST Beitragsautor

      Hallo Uwe,

      aktuell sind keine Fritzboxen betroffen. Wenn Du bei der akutellen Firmware von AVM keinen TR069 Eintrag hast, ist TR069 auch aus.

      Gruss Stefan

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.