Die "TR" Protokolle

TR-069 und TR-369 sind Protokolle, die Fernwartung und allgemein den Fernzugriff ermöglichen. 

 

TR-069 ist ein etwas älteres Protokoll, das bald von TR-369 abgelöst wird.  Was kann man denn mit diesen Protokollen so machen?

 

Ihr habt euch eine neue Fritz!Box zugelegt oder euer Internetzugang wurde um eine Fritz!Box erweitert. Ihr verbindet die Box mit eurem Glasfaser-, DSL- oder Kabelanschluss, doch zunächst passiert nichts, da die Leitung noch aktiviert werden muss.  Endlich ist der große Tag gekommen, an dem die Leitung aktiviert wird. Ihr kommt von der Arbeit oder Schule zurück und wie von Zauberhand funktionieren Telefon und Internet. Jubel! 

 

Die aktuellen Fritz!Boxen und viele moderne Router unterstützen diese Protokolle standardmäßig. Sehr oft ist mindestens TR-069 beim Erststart aktiviert. Das führt zu Folgendem: 

 

Sobald die Leitung aktiviert ist, spielt der Internetanbieter (ISP, Internet Service Provider) automatisch Zugangsdaten, WLAN-Einstellungen oder VoIP-Konfigurationen auf.  Das funktioniert dank TR-069 ganz einfach und bequem. 

 

Wenn der Anbieter feststellt, dass auf der Box wichtige Updates fehlen, kann er eventuell sogar die Installation aus der Ferne veranlassen. 

 

Stellt euch vor, es ist Anschlusstag, aber leider läuft die Sache nicht ganz rund.  Keine Sorge, in den meisten Fällen kann man einfach eine Hotline kontaktieren, die gerne weiterhilft. Der Service Mitarbeiter oder die Mitarbeiterin kann dann über das TR-069 die Leitungswerte auslesen oder sogar den Router neu starten. Zusätzlich kann die Service Mitarbeiterin oder der Mitarbeiter überprüfen, ob die gebuchte Geschwindigkeit auch tatsächlich bei euch ankommt. Welche Funktionen dem Support zur Verfügung stehen, hängt übrigens auch vom Hersteller des Routers ab.  

 

Freut euch, denn das TR-369 ist da!  Auch bekannt als USP (User Services Platform), bietet es eine ganze Reihe von Funktionen. Was genau kann es denn nun?

 

Das TR-069 baut die Verbindung bei Bedarf oder in einem bestimmten Intervall auf, was manchmal zu Verzögerungen führen kann.  Diese Methode nennt man auch „Polling“.  Das TR-369 hingegen verwendet feste Verbindungen.  Auf dem Router wird dafür ein sogenannter „WebSocket“ oder „MQTT“ geöffnet, der die Kommunikation ermöglicht.  Genau!  Da läuft also ein kleines Programm, das den Zugriff ermöglicht.

 

Wenn über die TR-369-Verbindung eine Serviceverbindung hergestellt wurde, beispielsweise für den ISP, eine Smarthome-App oder einen Wartungstechniker, kann man damit letztendlich sogar das Smarthome steuern.  Allerdings unterstützen Fritz!Boxen nicht alle Smarthome-Geräte.  Trotzdem ist es schon praktisch, dass jemand auf eure Fritz!Box zugreifen und Einstellungen sehen und ändern kann, oder? Das TR-369 unterstützt übrigens mehrere Verbindungen. 

 

Kommen wir gleich zum Thema Sicherheit. Wenn ihr einen Router habt, den ihr selbst gekauft habt, also nicht von eurem Internetanbieter wie der Telekom oder 1&1, dann könnt ihr TR-069 und TR-369 wahrscheinlich deaktivieren.  Habt ihr aber einen Router vom Anbieter, dann sind die mittlerweile so eingerichtet, dass alles automatisch läuft und der Support schnell helfen kann. Das bedeutet leider, dass ihr vielleicht keine Möglichkeit habt, diesen Zugriff zu deaktivieren. 

 

Im schlimmsten Fall kann es passieren, dass Daten unverschlüsselt übertragen werden. Neuere Router bieten aber die Möglichkeit, Verschlüsselungen und Zertifikate zu verwenden, egal ob TR-069 oder TR-369. Das bedeutet, dass die Daten verschlüsselt übertragen werden und eine Authentifizierung erforderlich ist, bevor die Verbindung aufgebaut wird. Allerdings wird beim TR-069 manchmal auch eine unverschlüsselte Verbindung verwendet, hauptsächlich im Heimnetz oder Unternehmensnetz über verschiedene Programme. Aber ältere Router unterstützen generell oft nur unverschlüsselte Verbindungen! 

 

Normalerweise oder hauptsächlich nutzen Internetprovider (ISPs) ein spezielles Netz für diese „TR“-Verbindung, das auch nur vom Router akzeptiert wird.  Stellen wir uns aber mal vor, jemand würde versuchen, den ISP anzugreifen und hätte so die Möglichkeit, das zu umgehen (Netzwerk oder Server des ISP attackiert ..). Dann könnte man dem Gerät falsche Daten für die Internetverbindung schicken. Das könnte letztendlich dazu führen, dass man den Internetverkehr und die Telefonate mithören kann. Je nach den Möglichkeiten des Routers wäre es sogar denkbar, dass man die WLAN-Einstellungen ändert und so Zugriff auf das Unternehmens- oder Heimnetz bekommt. Das funktioniert aber wirklich nur, wenn man die Server des ISPs oder sein Netz hacken würde. Das wäre heute schon sehr viel Theorie, zum Beispiel sind Telefonie und viele Internetprotokolle oft verschlüsselt, dann ist da die Sache mit Glasfaser und die Server der ISP’s ähneln einem Tresor. Aber es ist nicht völlig ausgeschlossen! Und ja, es gibt tagtäglich Angriffe auf ISP's und deren Netzwerkstruktur.

 

Um TR-369 auf der Fritz!Box zu deaktivieren, geht man im Menü der Weboberfläche auf „Diagnose“ und dann auf „Sicherheit“. Mit der Eingabemaus auf dieser Seite nach ganz unten scrollen (das mittlere Rad der Maus verwenden oder den Balken am Rand nach unten ziehen),  um Informationen zum Verbindungsstatus von TR-369 und TR-069 zu finden. Hier kann man weitere Aktionen durchführen und zusätzliche Informationen einsehen. Um den Zugriff durch den Support zu sperren, geht man in den Interneteinstellungen der Box auf „Anbieterdienste“. Beachtet aber, dass dieses zu Problemen führen kann. Sollten Internet- oder Telefonieprobleme auftreten, könnte die Deaktivierung dieser Option die Ursache sein. In solchen Fällen muss man sich möglicherweise an den Support des Internetanbieters wenden, der möglicherweise zusätzliche Schritte durchführen muss, z. B. das Drücken einer oder zweier Tasten.

 

Unter „Netzwerk“ -> „Netzwerkeinstellungen“ -> „Erweiterte Einstellungen laden“ (ganz unten auf der Seite) findet man bei den Fritz!Boxen die Option „TR-064 deaktiveren/aktivieren“. Diese Funktion betrifft ausschließlich den Zugriff auf die Box innerhalb des Heimnetzwerks und stellt eine erweiterte Variante des „TR-069“ dar.  Mit entsprechenden Programmen, die diesen Zugriff nutzen, wie beispielsweise der MyFritz App, kann man im Normalfall etwas mehr tun als ein Internetdienstanbieter von außen. Ich kann euch versichern, dass ihr damit nicht alles erreichen könnt, was ihr euch vielleicht wünscht. Fritz! hat die Zugriffe teilweise eingeschränkt.  Vieles ist möglich, aber nicht alles.  Manche Unternehmen beschäftigen ihre Auszubildenden mit solchen Projekten.  Bei solchen Projekten sollte man jedoch immer im Hinterkopf behalten, dass Fritz! mit jedem Update die Bedingungen ändern kann!

 

Manche Internetanbieter, wie zum Beispiel die Telekom, nutzen bereits TR-369. Bei 1&1 bin ich mir da nicht so sicher.  Der Telekom Support soll dadurch angeblich einen ziemlich umfassenden Zugriff auf den Router haben, sogar bis ins Smarthome hinein.  Damit das funktioniert, muss TR-369 aktiviert sein und ein sogenannter „Connector“ auf dem Router eingerichtet worden sein.  Aktivierte Connectoren findet man auf den Fritz!boxen übrigens auch unter „Diagnose->Sicherheit“, ganz unten bei den Infos zu den „TR“ Protokollen.  Ähnlich sieht es beim „TR-064“ aus, wenn ihr eine aktuelle Fritz!box habt.  Dort könnt ihr dann die Freigaben für Apps einsehen, die Zugriff auf die Box haben. Ich habe neulich erst alles gelöscht, weil da noch einige ziemlich alte Geräte registriert waren.  Das heißt aber nicht, dass man keine neue Verbindung mehr aufbauen kann. 

 

Na, jetzt steht natürlich noch die Frage im Raum: Deaktivieren oder Aktivieren?  Die Entscheidung überlasse ich natürlich euch. Grundsätzlich ist es relativ sicher, bis mal etwas passiert. Falls ihr es deaktiviert habt, denkt bitte daran, wenn der Support euch mal helfen muss.  Dann könnte es sein, dass ihr bis zum Second Level Support oder noch weitergeleitet werdet, bis jemand darauf kommt, das “TR” zu aktivieren, um Zugriff zu erhalten. Oder ihr bekommt vielleicht eine neue Box, weil die alte augenscheinlich nicht mehr funktioniert.  Na ja, so ist das manchmal. Habt noch eine schöne Woche!

     

Infos, News und was sonst noch bleibt

 

Fritz!Boxen: sollen nach dem letzten 8.20 Update bei einigen Nutzern Probleme mit der Bandbreite haben.  Die Boxen verfügen über Funktionen, die die Internetverbindung beschleunigen, indem sie bestimmte Filter, wie z.B. Familienfilter, nur einmal anwenden.  Nachfolgende Daten werden dann im Zeitrahmen am Filter vorbeigeleitet, was die Internetbandbreite erhöht, da weniger Zeit für die Datenübertragung benötigt wird.  Darüber hinaus gibt es spezielle technische Beschleuniger (Hardwarebeschleuniger). Es scheint jedoch einen Fehler zu geben, der die Bandbreite reduziert. Als Alternative bietet sich die Laborversion (Testversion!) 8.24 an, aber keine Ahnung, ob das wirklich Sinn macht (Fritz! meint es könnte). Man kann die Box auch zwingen, ausschließlich die CPU für Berechnungen zu verwenden. Dies erhöht zwar die Bandbreite, verbraucht aber auch viel Rechenleistung, was dazu führen kann, dass die Box einfriert, abschaltet oder anderweitig nicht mehr richtig funktioniert. Diese Zwischenlösung aktiviert man über die support.lua. Fritzbox Oberfläche->Hilfe&Info->Support->Paketbeschleunigung->Hardwarebeschleunigung deaktivieren. Allerdings geht die Einstellung nach einem Neustart wieder verloren. Alternativ kann man das Problem auch einfach ignorieren und auf ein Update warten, das kommen wird. Es gibt wohl Berichte von Nutzern, die nach dem Update von einer 1000 Mbit/s Leitung auf nur noch 100 Mbit/s heruntergestuft wurden. Es soll wohl bestimmte Boxen hinter einem Glasfasermodem betreffen. Ein Downgrade des FritzOS ist zwar möglich, funktioniert aber nicht immer, insbesondere beim 8.20 Update. 

 

Synology: hatte ein Problem mit dem Speicher Manager auf den NAS-Geräten. Ein „GET“-Request konnte Informationen auslesen, siehe Security Blog auf xcomweb.de. Was genau ist ein solches Request?  Stellt euch vor, ihr öffnet euren Webbrowser und gebt „https://www.xcomweb.de“ in die Adresszeile ein. Das ist bereits ein „GET“-Request. Einfach, aber effektiv. :-)  Damit fordert ihr die Startseite von meiner Website auf dem Webserver an, der sie dann an euren Browser sendet bzw. zur Verfügung stellt. Solche Request können von Webservern auch als „GET“ protokolliert werden, inkl. eurer IP Adresse, vielleicht noch dem Webbrowser usw.. Synology NAS-Geräte verwenden eine Weboberfläche für alle ihre Programme. Im Grunde ist das eine umfangreiche Webapp, die auf dem Webserver der NAS läuft und im Browser angezeigt wird. Und eine Webapp ist letztendlich auch nur eine Webseite. Wenn ihr ein Programm in dieser Webapp aufruft, sendet ihr einen entsprechenden Request an den Webserver des Synology NAS. Die angepasste Zeichenkette ist Teil dieses Requests und teilt dem System mit, was zu tun ist oder angezeigt werden soll. Naja, das ist die vereinfachte Erklärung.

 

Der letzte Post: zur Blockade mit dem Webbrowser, siehe Security Blog xcomweb.de, der enthielt einen kleinen Fehler bzw. waren blöd formuliert. Richtig: Im Blockademodus kann man nur unter iOS ein paar Apps von der Blockade ausschließen (primär WebKit Apps). Das MacOS blockiert allerdings alles, bis auf ausgewählte Webseiten im Safari. Und das Scripting muss man im Safari immer selbst an- oder ausschalten (das mit dem Automodus war ein anderer Browser...).