Diskussion:TR-069
Widersprüchlich
BearbeitenDer Satz "Kritische Daten, wie Passwörter, können ebenso wenig mittels TR-069 ausgelesen werden wie besuchte Webseiten oder die Tageszeiten, in denen der Endanwender im Internet surft" ist definitiv falsch.
Wem das Recht eingeräumt wurde Software bereitzustellen die eventuell sogar unbeaufsichtigt heruntergeladen und installiert wird dem wurde Tür und Tor geöffnet jegliche Schadsoftware die auf dem Zielsystem lauffähig ist einzuspielen. Jede der übelsten Befürchtungen sind mit TR-069 definitiv möglich, hier ist nur der vorhandene Speicherplatz das Limit.
Firmwareimages sind Archive in denen Installationsscripts und Checksummen der begleitenden Binärdateien enthalten sind. Die Installationsscripts selbst entscheiden was wie verarbeitet wird. Diese Scripts werden ausgeführt egal was sie enthalten und egal ob wirklich Firmware beiliegt oder nicht, hier liegt ein potentielles Sicherheitsloch erster Güte.
TR-069 lebt davon das die Geheimniskrämerei um ihren detaillierten Aufbau, die partielle Aufzählung ihres Funktionsumfangs und die grundsätzlich in Closed-Source implementierten Clients es sehr schwer machen zu Beweisen das die ausweichenden Kernaussagen gegenüber jeglichen Sicherheitsbedenken nicht stimmen. Hier ist erst eine Menge Reverse-Engineering nötig um die Legenden um dieses riesige Sicherheits- und Privatsphäre-Loch zu enttarnen.
-- 93.128.94.145 00:18, 10. Jul. 2010 (CEST)
Das Datenmodel hinter TR-069 (TR-098) erlaubt nicht das Auslesen von Passwörtern oder Nutzungsverhalten. Hersteller können sogenannte Vendor-Extensions entwickeln über die es dann möglich ist. Aber es besteht kein Unterschied zu anderen Verfahren bei denen der Router die Daten auch sonstwie sammeln und übertragen kann. Eine mit Spyware bestückte Software könnte auch schon bei Lieferung enthalten sein. Was macht das Remote-Upgrade da für einen Unterschied. Ich verstehe die Panikmache nicht. Für die Vielzahl der Nutzer, die eben mit der Installation oder einem Sicherheitsupgrade Probleme haben (schätzungsweise > 90% der Nutzer) ist TR-069 ein hilfreiches Mittel.
Ksteuernagel 23:29, 17. Sep. 2010 (CEST)
Der Benutzer ist niemals hingewiesen das es dieses Protokoll gibt, und wie er es ausschalten kann oder das er dank ein im Handel erhältlichen Router oder einer nach der Box geschalteter Firewall die Sicherheitslücke schliessen kann. Egal was behauptet wird TR-098 IST eine Backdoor, und das sie nicht benutzt wird ist Glaubenssache. Klar ist, wenn die Polizei (die auch politisch motiviert sein kann!!!) es will kann sie ohne Probleme sich ein zugang ins Heim/Firmennetz schaffen.
Kritik
BearbeitenLeider kein Wort darüber, dass die Konfiguration und das Verständniss zum Teil auch schwerer wird wenn die Geräte die automatisch erhaltene Konfiguration nicht anzeigen. Kann man denn überhaupt noch manuelle Änderungen vornehmen (z.B. das hinzufügen eines SIP-Providers.) ohne TR-069 abzustellen? Wenn die Geräte (Router) von außen automatisiert eine Konfiguration bekommen, können sie nicht mehr gleichzeitig eine zuverlässige Firewall mehr darstellen, da von außen die Firewall abgestellt werden kann. (nicht signierter Beitrag von 188.105.113.136 (Diskussion | Beiträge) 16:56, 6. Feb. 2010 (CET))
Okay, hier kann man überarbeiten. In Kürze hier die Funktionen:
Prinzipiell können
- Parameter verändert werden die über das Web Interface nicht erreichbar sind - Parameter die im Web-Interface enthalten sind auch wieder verändert werden - Änderungen an bestimmten Parametern sofort oder beim nächsten IMFORM-Request vom CPE an den ACS gemeldet werden - vom ACS wieder auf den voirher eingestellten Wert zurückgesetzt werden.
Oftmals sind nicht alle Parameter die einstellbar sind auch über das Webinterface erreichbar. Einige Provider sind sehr regide und erlauben eben nicht die Veränderung des SIP Registrars - aus zwei Gründen:
- Änderungen können unbeabsichtigte Verbindungsverluste herbeiführen (SIP Einstellungen sind meist recht kompliziert für den Laien) und bedeuten Kosten für den Anbieter (Support-Anruf, Fehlersuche, ..) - Man möchte nicht dass das (evtl. subventionierte) CPE mit einem fremden Dienst benutzt wird
Ja, die Firewall ließe sich "von außen" abstellen. Aber "von außen" läßt sich nachweisen da nur der Provider dieses getan haben kann. Und die Provider sind sich über diese Verantwortung bewusst. Man könnte nun über das Abhören spekulieren, aber dazu muss man nicht an das CPE sondern lediglich an den Netzanschluss. Da bringt das Abschalten von TR-069 keine Sicherheit. Behörden die mit dem Abhören beauftragt sind werden nicht das Riskio eingehen dass das CPE nicht über TR-069 gemanaged wird.
Werbelinkliste oder Artikel?
BearbeitenIch tendiere zu ersterem... 16 Weblinks empfinde ich als zuviel. --Andrew [?] 07:55, 29. Mai 2006 (CEST)
Werbelinkliste? Schon möglich aber trotzdem hilfreich.
BearbeitenWenn man zu einem speziellen Thema wie TR-069 recherchiert, welches vor kurzem erst standardisiert worden ist und keine weitere Plattform hat weil es ein zu spezielles Thema ist, dann ist es hilfreich auch eine Liste mit Links zu den Firmen zu erhalten die mit diesem Protokoll arbeiten. Wirtschaftliches Hintergrundwissen ist für mich wertvoll. Sollte es in 1-2 Jahren kein top-aktuelles Thema mehr sein, dann finde ich allerdings auch das man die Links löschen kann. Aber mir helfen Sie z.B. im Moment die Übersicht zu bewahren wer überhaupt was zu TR-069 beiträgt. Ist für mich ein wertvolles Recherche-Hilfsmittel. Lass Dir doch noch 12 Monate Zeit mit dem löschen.
- Das ist richtig, ausserdem sind die entsprechenden Firmen über Google nicht so leicht zu finden. Suchstrings, die "TR-069" enthalten, liefern auch viel Müll, der nichts mit dem Thema zu tun hat.
ich hab die linkliste rausgenommen, sie ist auch nicht hilfreich. WP:WEB, WP:WWNI.--Löschkandidat 13:58, 14. Dez. 2006 (CET)
"Die Entwicklung des Standards und aller Nebenstandards wird vom DSL-Forum betreut." wird von welchem dsl-forum betreut? es impliziert, dass es EIN dsl forum gibt.
- Es gibt nur eine Körperschaft mit dem Namen "DSL Forum".--Bonzai44 10:34, 26. Nov. 2007 (CET)
Im Artikel steht, dass diese Standards nur gegen Gebür erhälltlich sind. Allerdings veröffentlicht das DLS-Forum verabschiedete TRs. Zu sehen unter http://www.dslforum.org/techwork/treports.shtml.
Sollte man dies nicht entsprechend ändern mk
PS: Außerdem empfand ich die Linkliste sehr Informativ
Antwort:
Die verabschiedeten Standards sind beim Broadbandforum (www.broadbandforum.org) frei erhältlich. Die Hersteller halten sich mit den Infos zu Ihren Produkten sehr bedeckt, sind die Kunden doch die Service Provider und nicht die Endkunden der Service Provider. Daher sind die Links nur für jene interessant, die eine Implementierung planen - und die haben hoffentlich auch andere Quellen.
Bildbeschreibung fehlt bei [[Bild:Remote_CPE_Controle_via_TR-069.jpg]]
BearbeitenDer Artikel enthält ein Bild, dem eine Bildbeschreibung fehlt, überprüfe bitte, ob es sinnvoll ist, diese zu ergänzen. Gerade für blinde Benutzer ist diese Information sehr wichtig. Wenn du dich auskennst, dann statte bitte das Bild mit einer aussagekräftigen Bildbeschreibung aus. Suche dazu nach der Textstelle [[Bild:Remote_CPE_Controle_via_TR-069.jpg]] und ergänze sie.
- Wenn du eine fehlende Bildbeschreibung ergänzen willst, kannst du im Zuge der Bearbeitung folgende Punkte prüfen:
- Namensraum Datei: Bilder sollte im Namensraum Datei liegen. Bitte ändere die alten Bezeichnungen
Bild:
undImage:
inDatei:
. - Skalierung: Außerhalb von Infoboxen sollten keine festen Bildbreiten (zum Beispiel 100px) verwendet werden. Für den Fließtext im Artikelnamensraum gibt es Thumbnails in Verbindung mit der automatischen Skalierung. Um ein Bild/eine Grafik in besonderen Fällen dennoch größer oder kleiner darzustellen, kann der „upright“-Parameter verwendet werden. Damit erfolgt eine prozentuale Skalierung, die sich an den Benutzereinstellungen orientiert. --SpBot 10:32, 2. Mär. 2009 (CET)
- Namensraum Datei: Bilder sollte im Namensraum Datei liegen. Bitte ändere die alten Bezeichnungen
Bildbeschreibung hinzugefügt Ksteuernagel 23:46, 17. Sep. 2010 (CEST)
Neutralität
BearbeitenDie echte "Plug-n-Play"-Erfahrung und andere Formulierungen lassen schon auf Marketing schließen. Ich habe daher eine Neutralitätswarnung eingefügt, um auf das Problem aufmerksam zu machen. Hierzu sollte vielleicht in der Diskussion zu einer neuen Formulierung gefunden werden.
--195.54.164.17 12:52, 15. Aug. 2010 (CEST)
Geändert: Ich habe diesen teil vor einigen Jahren editiert. Plug-n-play sollte die Vereinfachung der Installation beschreiben. Aber ich gebe zu es ist zu schwammig. Den Link zu 2Wire habe ich ebenfalls entfernt da die beschriebene Funktionalität nicht mehr direkt unter dem Link zu finden ist.
Ksteuernagel 23:20, 17. Sep. 2010 (CEST)
- Sieht nach diesen (und eventuellen weiteren seither getätigten) Änderungen noch jemand die Neutralität des Artikels als nicht gegeben an? (Kandidaten dafür wären wohl höchstens die Abschnitte Sicherheit und Von TR-069 unterstützte Funktionen, die mir auf einen oberflächlichen Blick aber durchaus in Ordnung erscheinen.) Wenn nicht, werde ich den Baustein demnächst entfernen. --YMS (Diskussion) 13:03, 21. Mär. 2012 (CET)
- Entfernt. --YMS (Diskussion) 11:34, 25. Mär. 2012 (CEST)
Green-IT
BearbeitenDer Abschnitt der Green-IT zitiert und die Referenz dazu mag sicher eine gelungene Marketingkampagne sein, in einer Enzyklopädie gehört aber sowas nicht rein. Green-IT könnte man die Tatsache nennen *das* eine Firmware aktualisierbar ist oder das Branding entfernbar ist, welches Mittel man dazu verwendet ist irrelevant.
Man kann auch per FTP eine Gerät aktualisieren, trotzdem würde niemand auf die Idee kommen dem Protokoll einen Umweltaspekt anzudichten. Automatische Firmwareaktualisierung gibt es auch nicht erst seit TR-069 und bedarf dieses Protokolls nicht, zudem sind die Gegenstellen bei TR-069 immer Provider, deren Firmware i.d.R. für den Betrieb in ihren Netzen spezialisiert ist, wogegen die vom Hersteller vorgesehenen Automatiken immer neutrale Firmware liefern, was weit mehr Green-IT Aspekte hat als diese Promo.
Ich finde der Satz sollte entfernt werden, zur Dokumentation des Themas trägt er maximal verzerrend bei.
Bildherkunft
BearbeitenKann jemand sagen, woher das Bild Datei:Remote CPE Control via TR-069.jpg stammt? Es wurde ursprünglich von Sternagel kommentarlos eingefügt (der es auch hochgeladen hat, vermutlich ohne Quellenangabe in der Bildbeschreibung, zumindest ist auf der heutigen Commons-Version keine zu finden), und Jahre später von Kurt subzero mit einem Einzelnachweis versehen. Auf der darin angegebenen Website (und der Internet-Archive-Version davon) findet sich die Grafik nicht (mehr), sehr wohl aber sehr ähnliche. Beide Nutzer sind seit Jahren nicht mehr aktiv, ebenso der (ausweislich der Diskussion hier) mutmasslich mit Benutzer:Sternagel identische Benutzer:Ksteuernagel. Wenn das Bild aber von einer fremden Website übernommen wurde, sollte das zumindest auf der Bildbeschreibungsseite vermerkt sein (statt im Artikel), und selbst angesichts der wohl relativ geringen Schöpfungshöhe wäre eine selbsterstellte oder offiziell freigegebene Version davon vorzuziehen. Wenn die Grafik natürlich bereits selbst erstellt ist, erübrigt sich meine Anfrage hier weitgehend - es müsste dann nur noch geklärt werden, was uns die Fussnote sagen will. --YMS (Diskussion) 13:18, 21. Mär. 2012 (CET)
Das Bild wurde von mir erstellt. Grüße Sternagel PS: Ksteuernagel kenne ich nicht. (nicht signierter Beitrag von 178.7.180.79 (Diskussion) 22:23, 21. Mär. 2012 (CET))
- Die Aussage dürfte authentisch sein (ich hatte unmittelbar nach diesem Posting Sternagel und Ksteuernagel gemailt). Die offenbar also falsch angegebene Quelle im Artikel habe ich also entfernt. --YMS (Diskussion) 11:37, 25. Mär. 2012 (CEST)
Konkreter Ablauf?
BearbeitenWie läuft denn nun das Protokoll ab, wann wird was gesendet/empfangen/geändert? (nicht signierter Beitrag von 78.35.199.216 (Diskussion) 12:56, 3. Jan. 2014 (CET))
Versionshistorie?
BearbeitenHallo WP-Community, bitte ergänzt doch die Versionshistorie mit den jeweiligen Neuerungen, so wie das auch bei Software passiert. Besten Dank. --80.153.90.252 17:29, 16. Jun. 2015 (CEST)
Defekter Weblink
BearbeitenDer folgende Weblink wurde von einem Bot („GiftBot“) als nicht erreichbar erkannt. |
---|
|
- http://www.bmj.bund.de/files/-/2047/RegE%20TK%DC.pdf
- Im Jahr 2012 bereits defekt gewesen.
Sicherheit TR-069 und TR-064
Bearbeitenweitere Quelle: http://www.golem.de/news/telekom-ausfall-router-botnetz-ueber-luecke-in-fernwartungsinterface-tr-064-1611-124751.html --BlueBreezeWiki (Diskussion) 09:52, 29. Nov. 2016 (CET)
Die Aussage zu dem Massenhack bei der Telekom ist nicht korrekt
BearbeitenDas Einschleusen von Shell-Code gelang über TR-064, besser bekannt als UPnP IGD, nicht wie fälschlicherweise behauptet über TR-069. TR-069 erlaubt keine Ausführung von Kommandos über den offenen Port, der für den sogenannten Connection Request verwendet wird. Die anfälligen Geräte scheinen den für TR-069 Zwecke reservierten Port 7547 sowohl für den Connection Request wie auch für das TR-064 Protokoll zu verwenden, welches der Bestimmung nach nicht über das Internet zugänglich sein sollte. Das Einzige was dieser Angriff mit TR-069 verbindet ist der offiziell TR-069 zugewiesene Port. (nicht signierter Beitrag von 88.217.248.30 (Diskussion) 15:01, 29. Nov. 2016 (CET))
- Da muss ich der IP recht geben. Leider taugen viele News-Meldung zu dem Thema leider überhaupt nichts - die schon von Heise schonmal gar nichts (mehr). Hier mal eine etwas vernünftigtere Quelle als Heise-Bild:
- Leider wird das ganze in vielen Berichten nur auf TR-069 heruntergebrochen, was durchaus ein Teil des Problems sein kann - hier aber nicht ist.
- Gruß --WikiPimpi (Diskussion) 22:25, 29. Nov. 2016 (CET)
Verwendete Ports
BearbeitenIm Artikel fehlt die Angabe der vom TR069 verwendeten Ports. Möglicher Weise hat TCP port 7547 etwas mit TR069 zu tun, siehe https://www.computerworld.com/article/3145003/blame-the-isps-rather-than-the-routers.html Es sieht so aus als ob die beiden Ports von TR069 verwendet werden: Port 5555 TR-069, undokumentiert und Port 7547 TR-069, Fernwartung Quelle: https://www.heise.de/security/dienste/portscan/test/do.shtml?ports=7170&scanart=7&ip_ok=1&rm=scan&submit=Scan+starten