TR-069 / CWMP - CPE WAN Management Protocol

Die Spezifikation TR-069 wird auch CPE WAN Management Protocol, kurz CWMP, genannt. Der Technical Report 069, kurz TR-069, ist eine Spezifikation des DSL-Forums, dem Netzbetreiber, Provider und Endgerätehersteller angehören.
TR-069 definiert ein Kommunikationsprotokoll mit Parametermodell zur Autoprovisionierung und Fernkonfiguration von Routern, typischerweise an einem DSL-Anschluss.
Bei den Netzbetreibern und Herstellern werden gegenüber dem Kunden allerdings andere Bezeichnungen verwendet. Zum Beispiel „Easy-Support“ bei der Deutschen Telekom oder „Anbieter-Dienste“ bei AVM.

TR-069 beschreibt, wie Konfigurationsdaten in ein Teilnehmeranschlussgerät (Modem oder Router) an einem Breitbandzugang geladen werden. Nachdem der Kunde sein Endgerät eingesteckt hat, wird im Hintergrund die Konfiguration automatisch geladen. Der Kunde muss sich nicht mehr selber um die Konfiguration und Firmware-Aktualisierung kümmern.
Mit TR-069 wird jeder Router teil des Zugangsnetzes. Vorher war der DSL-Router im Verantwortungsbereich des Kunden.

Anwendungen von TR-069

  • Autokonfiguration und dynamische Dienste-Konfiguration
  • Software- und Firmware-Aktualisierung
  • Monitoring und Diagnose

Kommunikationsprotokoll

TR-069 nutzt eine eigene Terminologie. Der Server, den der Provider zur Fernkonfiguration nutzt, nennt sich Auto Configuration Server (ACS). Der Router beim Kunden ist das Customer Premise Equipment (CPE).

Obwohl die Kommunikation dem Client-Server-Modell folgt, können sich sowohl CPE als auch ACS innerhalb einer Verbindung gegenseitig Nachrichten schicken. Die Sitzung wird dann beendet, wenn beide Seiten keine weiteren Nachrichten mehr schicken müssen.

Die Kommunikation zwischen CPE und ACS geht in der Regel vom CPE aus. Es gibt verschiedene Gründe, warum sich ein CPE beim ACS meldet. Typisch wäre, wenn der Router neu gestartet wird oder der Router eine neue WAN-Adresse bekommen hat. Oder auch ein regelmäßiges Lebenszeichen.

Die Kommunikation erfolgt mit SOAP/XML-Nachrichten. Die Übertragung erfolgt wahlweise unverschlüsselt über HTTP oder verschlüsselt über HTTPS. In Deutschland erfolgt die Kommunikation in der Regel mit HTTPS bzw. SSL/TLS.

Ablauf der Autoprovisionierung

Ablauf der Autoprovisionierung

Die Autoprovisionierung beginnt schon bei der Bestellung des DSL-Anschlusses beim Netzbetreiber bzw. Provider. Dort wird vor der Auslieferung des DSL-Routers bzw. CPE dessen Kennung registriert. Die Kennung wird im ACS (Auto Configuration Server) gespeichert. Darüber ist das Gerät beim ersten Verbindungsaufbau erkennbar. Parallel zur Auftragsbearbeitung wird dem Kunden das CPE zugeschickt und der Schaltungstermin bestätigt.
Schließt der Kunde zu diesem Termin das CPE an seinem Anschluss an ("Zero Touch"), dann baut es eine Verbindung zum ACS auf. Die erste Verbindung wird als "First Connect" bezeichnet. Sie wird immer durch das CPE veranlasst. Der ACS erkennt das CPE anhand seiner Kennung. Bei der Kommunikation zwischen CPE und ACS teilt der CPE dem ACS seine Leistungsmerkmale mit. Anschließend wird das CPE konfiguriert, was nur wenige Sekunden dauert. Danach ist das CPE betriebsbereit und die Verbindung zum Internet kann hergestellt werden.

Parametermodell

Die Konfiguration des CPE erfolgt nicht über eine Konfigurationsdatei, sondern über einzelne Parameter. Der ACS hat die Möglichkeit per „GetParameterValues“ Werte aus dem CPE auszulesen oder per „SetParameterValues“ Werte eines Parameters zu setzen. Führt die Parameteränderung zu einem Fehler müssen diese Änderungen rückgängig gemacht werden (roll back). Damit wird ein inkonsistenter Zustand des CPEs verhindert.
Mit einem „Download“ kann ein Firmware-Update auf dem CPE durchgeführt werden.

TR-064 / LAN-Side CPE Configuration

TR-064 ist ein Protokoll, um auf der LAN-Seite mit dem Router zu kommunizieren. Beispielsweise um per URL die Konfiguration zu ändern oder Status-Abfragen zu machen.

TR-104 / Provisioning Parameters for VoIP CPE

TR-104 ist eine Spezifikation, um DSL-Router mit integrierter TK-Anlage aus der Ferne zu konfigurieren. Dabei werden die selben Mechanismen wie bei TR-069 verwendet. Es ist möglich Rufnummern und Leistungsmerkmale zu konfigurieren. Das ist wichtig, wenn über den DSL-Anschluss auch telefoniert wird.

TR-135 / Data Model for a TR-069 Enabled STB

TR-135 ist eine Spezifikation für die Fernkonfiguration von Settop-Boxen. Dabei werden die selben Mechanismen wie bei TR-069 und TR-106 verwendet.

Wie sicher ist TR-069?

Wie weit kann man diesem Protokoll trauen, so dass die Fernkonfiguration nicht zum Sicherheitsrisiko für den Router und das eigene LAN wird? Klären wir die Schwachstellen.

Teil der Kommunikation des Routers mit dem Fernwartungsserver ist der TCP-Port 7547, über den der DSL-Router vom Netzbetreiber eingerichtet und konfiguriert wird.
Funktional klopft der Fernwartungsserver des Netzbetreibers beim Router auf diesem Port an. Sofern die Kommunikation authentifiziert und verschlüsselt ist, ist ein Angreifer nicht in der Lage von außen in die Verbindung einzudringen.

Das Problem dabei ist, dass es sich um eine Angriffsfläche handelt, die nicht sein müsste. Es handelt sich um eine Schwachstelle, die je nach Implementierung und weiterer möglicher Schwachstellen als Sicherheitslücke missbraucht werden kann. Der Anklopf-Port kann theoretisch von jedem angesprochen werden. Das anklopfende System muss sich zwar authentifizieren, aber grundsätzlich ist der Port offen und nimmt generell Verbindungen an. Denkbare wäre es, dass ein Angreifer diesen Port benutzt, um manipulierte Nachrichten an den Router zu schicken.
Der offene Port kann auch für einen DDoS-Angriff missbraucht und damit der Internet-Zugang blockiert werden.

Aus Security-Sicht gilt jeder offene Port als Sicherheitsrisiko. In diesem Fall stellt das Schließen dieses Ports nur einen geringen Sicherheitsgewinn dar, weil umgehende Sicherheitsupdates wichtiger sind, als das Verhindern von Manipulationsversuchen. Denkbar ist, dass man die Verbindungsmöglichkeiten auf diesen Port einschränkt. Beispielsweise in dem dieser Port nur aus dem Provider-Netz und nicht aus dem öffentlichen Internet erreichbar ist.

Weil man als Kunde unter Umständen keine Möglichkeit hat auf den Router Einfluss zu nehmen, kann man nur die Sicherheit des eigenen LANs durch einen dahintergeschalteten Router zu erhöhen (DMZ durch Router-Kaskade). Bekommt ein Angreifer Zugang zum ersten Router, dann müsste er noch den zweiten Router überwinden, um ins LAN zu kommen.

Weitere verwandte Themen:

Frag Elektronik-Kompendium.de

Kommunikationstechnik-Fibel

Alles was Sie über Kommunikationstechnik wissen müssen.

Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.

Das will ich haben!

Kommunikationstechnik-Fibel

Alles was Sie über Kommunikationstechnik wissen müssen.

Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.

Das will ich haben!