| | |
|
|
|
|
TP-Link TD-8840: TR-069 wirklich deaktivieren... |
|
|
|
Über die neueste Hardware Version 4 vom TD-8840T Modem habe ich kürzlich schon etwas geschrieben. Dort bin ich bereits auf einen Firmware Bug eingegangen. Leider scheint es davon noch weitere zu geben, dieses Mal ist die TR-069 Funktion betroffen.
Normalerweise sollte man annehmen, dass der dazugehörende Port 7547 bei Deaktivierung der Funktion geschlossen bleibt. Leider ist das ein Trugschluss! Und durch die bekannt gewordenen Sicherheitslecks im häufig verwendeten RomPager HTTP-Server fühlt man sich etwas unwohl. Bei diesem Gerät wird im User-Agent zwar keine betroffene Version ausgegeben (nur "tr069 http server"), da die Hardware Version 2 aber eine verwundbare Version von RomPager enthielt und bis heute von TP-Link nicht gefixt wurde, ist mein Vertrauen gegenüber einem öffentlichen TR-069 Serviceport etwas eingebrochen. Wer weiß, welche Sicherheitslecks sich da noch verbergen, unabhängig von der verwendeten Software...
Soweit so schlecht! Der Port ist offen, DMZ oder erfundene Portweiterleitungen ändern daran offenbar auch nichts. Der Router fühlt sich weiterhin für den Port zuständig. Mein persönlicher Workaround sieht nun so aus, dass ich unter System Tools » CWMP Settings nachfolgende Einstellungen eingetragen habe. Seitdem ist Port 7547 nur mehr im LAN sichtbar, der neue erfundene Port 55755 weder im LAN noch über WAN. Er sollte somit geschlossen sein! Zur Sicherheit wurden für diverse Parameter noch irgendwelche Zufallspasswörter eingetragen, die z.B. hier generiert werden können.
- CWMP: Disable
- Inform: Disable
- Inform Interval: 3600
- ACS URL: http://127.0.0.1:8080/
- ACS Username: <ZUFALLSPASSWORT>
- ACS Password: <ZUFALLSPASSWORT>
- Interface used by TR-069 client: LAN
- Display SOAP messages on serial console: Disable
- Connection Request Username: <ZUFALLSPASSWORT>
- Connection Request Password: <ZUFALLSPASSWORT>
- Connection Request Path: /<ZUFALLSPASSWORT> (mit führendem Slash; maximal 16 Zeichen!)
- Connection Request Port: 55755 (oder irgendein anderer hoher Zufallsport...)
Die relevanteste Änderung dürfte sein, wenn man den Port abändert. Aber die anderen Einstellungen schaden auch nicht! Ein Portscan (aus dem LAN und WAN) hat keine weiteren Auffälligkeiten mehr ergeben. Wenn man sehr paranoid ist, kann man auch noch UPnP deaktivieren (braucht normalerweise eh keiner) und neben einem komplexen Passwort auch noch einen benutzerdefinierten Benutzernamen für das Webinterface wählen.
Irgendwo muss man bei diesen billigen Modem/Router Kombinationen halt Abstriche machen. Da aber auch die teureren Geräte immer wieder von solchen Problemen betroffen sind, nimmt man das bei günstigen Geräten noch leichter in Kauf, sofern es Workarounds gibt...
|
Dieser Beitrag wurde insgesamt 1 mal geändert. Zuletzt am 25.05.2015, 13:26. |
Nach oben |
|
Kommentare: 0 |
Kommentare sind deaktiviert |
|
Autor |
Nachricht |
Für diesen Beitrag können zur Zeit keine neuen Kommentare verfasst werden. Kontaktiere den Autor des Beitrages, falls du Fragen dazu hast. |
Verwendete Zeitzone: CET (Europe/Berlin ) Aktuelles Datum & Uhrzeit: 11.12.2024, 02:22 |
Nach oben |
|
|
|
|
|
|
| | |