TR-069 auf Fritzbox ausschalten und Ergebnis prüfen
Eigentlich sollte das über die GUI gehen, aber auf meiner Fritzbox kann ich das nicht finden. Also per Hand ...
Diese Woche gibt es etwas Aufregung um TR-069, weil Sicherheitsforscher entdeckt haben, dass viele Provider es unsicher implementieren. Zeit, sicher zu stellen, ob TR-069 auf meiner Fritzbox aktiv ist.
Meine Kurzanleitung findet sich weiter unten
Mein Vorgehen
Bei einer Suche bin ich auf eine Anleitung gestoßen, die den TCP-Port für TR-069 in der Firewall abklemmt. Nett, aber kompliziert einzurichten. Außerdem suche ich den Ein-/Ausschalter. Leider kann ich den nicht in der Web-Oberfläche meiner Fritzbox finden.
Diese Anleitung zeigt, wie man TR-069 per telnet ausschaltet. Weder per netstat (List der offenen Netzwerkports) noch per ps (Liste der laufenden Prozesse) konnte ich keinen Unterschied feststellen zwischen aus- und eingeschaltet – auch wenn ich die Fritzbox dazwischen neu gestartet habe. Also brauche ich einen anderen Weg, um herauszufinden, ob das Kommando wirklich tut, was es soll.
Auf der Fritzbox habe ich ein Programm Names tr069starter gefunden. Das inoffizielle Wiki zur FRITZ!Box hat eine detaillierte Beschreibung dazu. Dieses Programm macht aber etwas anderes als gedacht: es kopiert eine TR-069-Konfiguration von einem USB-Stick. Nach etwas stöbern in diesem Wiki habe ich die Beschreibung für tr069.cfg gefunden. Und dort ändert sich ein Eintrag, wenn man die in der ersten Anleitung genannten Kommandos absetzt.
Nun hat die Fritzbox mehrere Schichten von Konfigurationsdateien. Aktiv ist die in /var/flash/tr069.cfg (TFFS-Konfiguration). Die anderen beiden (SquashFS und Provider-Datenbank) werden beim Zurücksetzen auf Werkeinstellungen gelesen.
Nachtrag
Eben habe ich noch eine AVM-Hilfeseite entdeckt: die erklärt, weshalb ich die Einstellung nicht in der Web-Oberfläche sehe: »Die Seite "Anbieter-Dienste" ist in der Benutzeroberfläche der FRITZ!Box nur dann vorhanden, wenn Ihr Internetanbieter die automatische Einrichtung der FRITZ!Box nach TR-069 unterstützt«. Alles klar!
Kurzanleitung
Und so kann man TR-069 ausschalten und das Ergebnis prüfen:
Telnetd auf der Fritzbox aktivieren: #96*7* auf einem angeschlossenen Telefon eingeben. Das Passwort ist das der Weboberfläche.
Per telnet auf die Fritzbox: telnet fritz.bos
TR-069 ausschalten: ctlmgr_ctl w tr069 settings/enabled 0
Config-Datei ausgeben, um Ergebnis zu prüfen: cat /var/flash/tr069.cfg
Dort steht fast am Anfang die Zeile "enabled = no".
Telnetd auf der Fritzbox wieder ausschalten: #96*8* auf einem angeschlossenen Telefon eingeben