BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

TR069 es el control remoto de tu router en manos de las operadoras

Luis
TR-069

Es uno de los grandes desconocidos en todo lo que envuelve al acceso a Internet comercial, pero su presencia es fundamental para administrar de forma masiva los routers de acceso de los clientes. El TR069 es el protocolo que utilizan las operadoras para configurar remotamente los routers ADSL o cablemódems de sus clientes.

El CPE WAN Management Protocol (CWMP), anteriormente conocido como Technical Report 069 (TR-069), es una tecnología desarrollada por el entonces DSL Forum (ahora Broadband Forum), que resulta muy útil para los operadores, ya que facilita la administración de los dispositivos que entregan a sus clientes para darles acceso a su red.

Se trata de un protocolo de nivel de aplicación que permite el acceso remoto a los routers domésticos para su puesta a punto inicial, mantenimiento o diagnóstico.

Esquema TR-069 y servidor ACS

Su creación resulta bastante justificada, teniendo en cuenta el enorme crecimiento del número de abonados a conexiones de Internet o servicios digitales variados (VoIP, IPTV…), y la dificultad de configurarlos manualmente por los técnicos o por los propios usuarios, normalmente sin los conocimientos técnicos necesarios para entender todos los conceptos que aparecen en los menús.

El funcionamiento de CWMP es bastante sencillo, ya que se basa en una comunicación SOAP sobre HTTP entre el servidor de autoconfiguración (ACS) y el equipo de usuario (CPE).

Una vez establecido el enlace, el servidor envía un fichero de configuración basado en XML para que el dispositivo destino (un router, set-top box, teléfono VoIP, NAS, femtoceldas…) lo procese y modifique su estado, y de este modo empezar a funcionar sin problemas en la red del operador.

Qué pueden hacer las operadoras con TR 069

La comunicación, como ya hemos dicho anteriormente, fluye gracias a llamadas remotas desde el operador o por generación de eventos, pudiendo leer o modificar el valor de algún parámetro en concreto, reiniciar el router del usuario, devolverlo a configuración de fábrica, transferir nuevas versiones de firmware o hacer copias de seguridad del existente, y hacer tests de rendimiento.

Echando un vistazo rápido a las especificaciones técnicas de los routers y cablemódems que los operadores en España utilizan actualmente, hemos detectado algunos casos en los que se hace mención explícita del protocolo TR-069 o CWMP. Por ejemplo, en el caso de Telefónica los routers se conectan periódicamente a la url https://main.acs.telefonica.net:7004/cwmWeb/WGCPEMgt para recibir actualizaciones o cambios de configuración.

El servidor utilizado por Jazztel lo podemos ver en las capturas que Ari dejó en el hilo en el que se discutía un posible problema de cifrado Wi-Fi en el router AR5381u. En la imagen se ven perfectamente los parámetros de configuración del protocolo TR-069.

tr069-jazztel.jpg

Esta característica desata frecuentemente la suspicacia de los usuarios de ADSL. El desconocimiento de la función del TR-069 propicia que muchos usuarios interpreten que este protocolo es una especie de puerta trasera con la que su ISP puede controlar su actividad en la red, aunque realmente este protocolo no se emplea para estos fines. Los operadores, en caso de hacerlo, pueden obtener estos datos por otros medios.

💬 Comentarios

Ari
0

Añadir que se puede eludir, o al menos intentarlo, con Jazztel el acceso por TR069 editando el archivo .config y cambiando los parámetros originales.

Aquí, editando el archivo .config (en rojo, los parámetros editados)

Y aquí, el resultado final, una vez editadoy subido el archivo de configuración modificado.

Saludos

🗨️ 5
BocaDePez
BocaDePez

Desde la plantilla se pueden hacer muchas más cosas :D

🗨️ 1
Ari
0

Alguna que otra "cosa" más, sí :D ;)

Antes, al empezar a configurar nada en nuestros entrañables CT536 + lo primero que hacíamos era entrar a la opción Internet acces–Acces service y deshabilitar el acceso a nuestra WAN desde fuera. Ahora no podemos ni siquiera ver (de forma ortodoxa al menos :P ) cómo está configurada esa opción en los actuales equipos que proporciona Jazztel.

Pues está así (captura del ar5381u, con uno de los firms no oficiales, pero con la configuración de Jazztel visible)

Cuando es así como nosotros, usuarios de a pie , la hemos configurado siempre

Eso es una de las cosas que también se pueden cambiar desde ahí y que teóricamente debería también impedir el acceso o el correcto funcionamiento, desde el punto de vista del ISP, del TR069.

Saludos ;)

BocaDePez
BocaDePez

Lo que más preocupa sin duda es la posibilidad de leer remotamente la tabla NAT y mediante la MAC de los dispositivos asociados poder determinar a quien pertenece cada equipo y todas las redes por las que has ido pasando.

BocaDePez
BocaDePez

¿no seria mas facil cerrar el puerto de salida 8443?

Suertechico

Hola muy buenas tardes,tengo un problema pues quisiera cambiar la Contraseña para Entrar al Nucleo del Wifi,Soy de Venezuela y Quiero Saber como cambiar la Clave para entrar al Nucleo.Ya que tengo unos vecinos que me molestan mucho y cuando le voy a dar la contraseña a un miembro ellos se meten en el Nucleo o la Pagina y Averiguan la Contraseña… Y me gustaria Cambiarle esa Contraseña de Autenticacion,Por decirlo Asi Seria de muy Gran Ayuda si me Ayudan con mi Situacion Saludos

ROSENDO

Imagino que será por eso por lo que a veces de la noche a la mañana los router wifi de Jazztel aparecen sin contraseña y sin cifrar, por lo que ahora lo tengo más claro, aunque ya podrían hacer las cosas bien, imagino que se puede actualizar los routers sin necesidad de quitar las personalizaciones de los clientes.

🗨️ 2
BocaDePez
BocaDePez

Otra compañía que usa el TR69 y que puedes deshabilitar o dificultad su uso es yacom, accediendo al nivel 2 del famoso arcadyan PW7518.

En vodafone también se utiliza TR069.

Saludos.

BocaDePez
BocaDePez

Hay unos operadores q te borran las contraseñas si las ven complicadas y sin pedirte permiso. Solo interpretan como posible fallo y actuan.

Mi experiencia...a veces, si son complicadas y las metes rapido fallan. Solucion, meterlas despacio

BocaDePez
BocaDePez
0

A mí los de Jazztel me cambiaron el SSID y contraseña por la cara. Me tocó mucho las pelotas y los debería de haber empurado por intromisión en mi red de área local y desprotección de los datos, mis datos, que circularan por mi red inalámbrica.

🗨️ 1
BocaDePez
BocaDePez
-1

¿Seguro que lo que te pasó no fue sencillamente un hard reset del router?

davidsm90

¿Y los de ONO utilizan el mismo protocolo?

Nunca se me olvidara hace 2 años cuando tuve una avería y la chica del callcenter dijo que mi cablemodem funcionaba correcta y que tenia ip etc etc, cuando la dije a la chica que estaba apagado no supo que decir xd

🗨️ 2
yomimmo
1

No, ellos configuran el equipo a través del fichero Docsis de configuración que se carga cada vez que enciendes el equipo. En el se incorporan configuraciones especificas y ordenes de actualización de firmware.

El resto de actuaciones se efectúan de modo individual, normalmente a través de snmp.

🗨️ 1
davidsm90

Gracias, siempre me había picado jaja y también por hay se sacan certificados y demas...xD e estado indagando estos dias..

BocaDePez
BocaDePez
-1

Trabajo en Telefónica. Sólo os comento que la configuración remota nos es muy útil. Tened en cuenta que de lo contrario (y aún sucede con bastantes modelos de router) las llamadas se alargarían mucho más (hay que decirle al cliente lo que tiene que hacer e interpretar lo que nos dice, cosa que a veces puede resultar desesperante), la mayoría de los clientes ni siquiera saben lo que es una IP, asi que como comprenderéis esto nos ahorra mucho tiempo y hace que los clientes estén mucho más contentos, porque les solucionamos los problemas rápido y de forma eficaz.

No sé en otras operadoras, pero en Telefónica no veo a nadie jodiendo a los clientes porque sí. Además de que se les puede pillar, es una estupidez, porque estamos desde que entramos a currar hasta que salimos haciendo cosas constantemente, no hay tiempo para estupideces. Y cuando lo hay (descansos) la gente sale escopeteada a fumar, a tomarse algo etc, sobre todo en los días con mucha carga de trabajo (que son de lunes a viernes, normalmente).

Si bloqueáis este tipo de protocolos lo único que vais a conseguir es hacernos la vida más complicada, y en consecuencia para vosotros también cuando tengáis un problema. Por otra parte no supone, a menos que se haya comprobado y tengamos constancia, ningún tipo de problema de seguridad, ya que sólo se puede acceder desde TFN, no desde casa de la Paqui.

La gente se suele quejar de que las llamadas son largas. Esto suele suceder cuando tenemos problemas con este tipo de protocolos que nos permiten acceder remotamente a routers y demás equipos. También sucede cuando el tráfico es altísimo y las aplicaciones que tenemos están saturadas (que desgraciadamente sucede con más frecuencia de lo deseable).

🗨️ 9
BocaDePez
BocaDePez

Buenas:

Lo primero en este foro venimos ha hablar del protocolo tr 069, yo tambien trabajo en telefonica en el departamento de soluciones grandes empresas.

Personalmente eso de que te puedan controlar remotamente tu router me parece correcto para solucionar incidencias, pero lo de toma esta version nueva o toma este parametro nuevo de configuracion no lo comparto.

Yo administro mi red de casa, cambio lo que yo quiera en el router, eso de que apliques una configuracion nueva damelo por escrito para que quieres aplicar el cambio, que mejora, en que influye, positividad de la config, partes negativas, etc...

Pero primero me informas y luego yo vere si quiero o no.

Lo de las llamadas es normal que os llame gente que no tiene ni idea, pero reconocer que vosotros andais por el estilo, porque cuando yo llamo por una incidencia hablo yo el operador escucha y solo de digna a pasarme con un supervisor que ese tambien hace lo mismo pero pasandome con el departamento tecnico en la cual dicho departamento tampoco te creas que hay un nivel experto de gestion tecnica.

En fin no quiero decir nada mas y respecto al protocolo pues ya sabeis mi opinion con mi escrito.

Saludos

🗨️ 4
BocaDePez
BocaDePez

Yo también trabajo en Telefónica (por cierto en ADSL) y creo que no has entendido bien la funcionalidad de la herramienta: no se trata de impedir que tú configures tu router como te dé la gana (había operadoras que no dejaban acceder a tu propio router y tenías que llamarlas incluso para que te abrieran puertos) ni de cambiar nada sin tu permiso, sino de poder ver y modificar la configuración en remoto por ejemplo cuando un cliente desea cambiar la encriptacion WEP de la red WIFI por WPA2 por seguridad, cambiar el canal, abrir puertos, cambiar la contraseña wifi etc y no sabe cómo hacerlo o no puede porque precisamente no tiene cable ethernet y no se puede conectar por wifi porque su equipo americano no detecta el canal 13 que viene configurado en su router (este caso sabrás que es irresoluble por teléfono).

hay dos alternativas:

  • Guiarle por teléfono durante media hora y rezar para que no se confunda y no tener la certeza de qué es lo que se ha hecho realmente
  • o entrar en remoto por medio de este protocolo y configurárselo en un minuto.

Los ejemplos de la utilidad son innumerables y nadie puede ver qué páginas estás visitando ni qué archivos tienes en tu ordenador ni nada parecido. Tampoco nadie te va a llamar para actualizar el firmware de tu router por capricho si no has reclamado una avería.

Operar de forma remota es algo que cada día se utiliza más, hay gente que usa foros como éste para dialogar a distancia con otras personas, otras configuran centralitas a kilómetros, reparan ordenadores o hablan por teléfono sin ver físicamente al interlocutor, otras controlan satélites artificiales desde la tierra.

La utilidad de operar remotamente sobre un equipo es innegable, el resultado depende de la preparación de quien lo utiliza y te aseguro que el personal de la empresa que lo utiliza lo está (si ciertamente eres empleado sabrás que se entra por oposición)

🗨️ 2
BocaDePez
BocaDePez

no se trata de impedir que tú configures tu router como te dé la gana (había operadoras que no dejaban acceder a tu propio router y tenías que llamarlas incluso para que te abrieran puertos) ni de cambiar nada sin tu permiso

Bueno.....cuando yo llamo porque hay una incidencia y ciertamente, la gente que te atiende tiene un nivel muy bajo, como ya han comentado, como no saben que hacer lo único que te dicen es que reinicies el router....pero ahora ya ni preguntan, te lo reinician por remoto que es lo que mas me toca las narices, sin ni siquiera preguntarme ni avisarme, perdiendo así cualquier configuración que tenga en mi router...Y eso siempre y cuando uses un router proporcionado por telefónica....porque si es propio muchas veces ni te dan soporte (ni saben).

BocaDePez
BocaDePez

Vale... Pero veo que ese protocolo tr-069 no tiene mas que 7 parámetros configurables muy concretos. Así que, la manera HONRADA de dar asistencia al usuario que te pregunta es, decirle que lo active, darle los 7 parámetros, ocuparte tu remotamente de su problema y, cuando acabes, advertirle que lo desactive para que nadie pueda acceder si su consentimiento. Y la manera TORTICERA y MALICIOSA es, dejarlo activado por sistema, no permitir que se pueda desactivar bajo ningún concepto y asi poder acceder cuando se quiera sin el conocimiento del usuario. No cuela...

BocaDePez
BocaDePez

Si trabajas en TESA, sabes muy bien cómo son los filtros de las subcontratas. Si un día entras en un CAT verás que hay todo tipo de gente. Hay gente con educación formal de teleco, hay gente que no, y hay gente autodidacta. Este es el resultado de ciertas políticas de precios, que no vamos a entrar a discutir en profundidad porque no vienen al caso, pero que sepas que todas esas personas que entran en el CAT adquieres sus conocimientos:

1) A través de cursos de formación, que normalmente son muy básicos (los que hace la empresa básicamente), y donde la mayoría de la información que se ofrece hay que sacársela a TESA con pico y pala. Si es que te la dan.

Es decir, para que te hagas una idea del panorama, el cliente te contrata para que des un servicio, y para poder dar ese servicio correctamente tienes que rogar. Así estamos que nos enteramos de muchas cosas antes por webs especializadas que por comunicaciones de TESA.

2) Lo que llaman cross-training. Que consiste básicamente en que me ponen un pobre chaval a mi lado, que lo máximo que sabe hacer es cacharrear y configurar los puertos del Emule, y por pena y solidaridad le tengo que explicar lo que es un rango DHCP y por qué estas IPs sí y estas otras no, y por qué este puerto funciona y este otro no.

Sistemas como ACS nos permiten tener a esta clase de gente contrastando la información de la consulta de datos directamente con las aplicaciones donde volcamos la operativa, reduciendo los errores y en general mejorando mucho la atención. El perfil medio del cliente sigue siendo alguien con unos conocimientos prácticamente nulos de redes. Es decir, la mayoría de la gente no sabe que existe siquiera el panel de control en Windows.

Es muy largo explicar por qué estos sistemas son necesarios, porque hasta que no te sientes en el CAT e internalizes su día a día, te va a resultar imposible, pero te pido al menos un pequeño esfuerzo intelectual. Esto es necesario para los operadores, y sin ello la atención sería mucho peor.

BocaDePez
BocaDePez

Y no es mas facil si reseteo router, con botón y podeis mirar lo q querais?

BocaDePez
BocaDePez

No si me parece bien, pero y lo de pedir primero permiso al usuario para hacerlo nos lo pasamos por el forro.

🗨️ 2
BocaDePez
BocaDePez

si el modem es de la empresa!y permiso para que si es configuracion del modem no le van a sacar nada de la pc ni del celular

🗨️ 1
BocaDePez
BocaDePez

El módem será de la emppresa (alquilado) o nuestro, pero ESTÁ DENTRO DE NUESTRAS CASAS. Es como ciertos televisores, móviles, etc... (alquilados o comprados) que se actualizan sin avisar (por defecto) y te cambian cosas que a lo mejor no querías que cambiaran.

Qué rabia da eso. ?

BocaDePez
BocaDePez
-1

a mi me parece muy bien que este esto, asi la compañia te soluciona los problemas sin preocuparte de nada, no tiene ningun inconveniente.

🗨️ 1
BocaDePez
BocaDePez

"Su creación resulta bastante justificada, teniendo en cuenta el enorme crecimiento del número de abonados a conexiones de Internet o servicios digitales variados (VoIP, IPTV…), y la dificultad de configurarlos manualmente por los técnicos o por los propios usuarios, normalmente sin los conocimientos técnicos necesarios para entender todos los conceptos que aparecen en los menús"

Esa creación NO me parece justificada cuando Vodafone, la operadora del que soy cliente, no me facilitan la contraseña para poder acceder todas las prestaciones capadas de mi router particular y configurarlos a mi gusto, y eso que saben de sobra de que soy programador y trabajo en una empresa informática. Está bien cuando lo pidan voluntariamente y cuenten con el permiso del cliente, recabando el pertinente consentimiento legal. Si el cliente quiere resolverlo por su cuenta o contratando a otra persona o empresa encargada del mantenimiento de su confianza, deberían lógicamente facilitarles el acceso a todas las características y prestaciones del Router. Prohibir a los clientes la posibilidad de gestionarlo por su cuenta y efectuar actualizaciones o modificaciones de las características de su red interna sin informar previamente ya supone un abuso que a la larga puede tener consecuencias nefastas para la operadora, empezando como poco la pérdida de clientes.

BocaDePez
BocaDePez

yo el control remoto del router lo tengo fuera del alcance del isp no me gusta que esten ojeando en mi router y mas cuando hoy los router ya vienen con usb poder acceder de forma remota alos dispositivos conectados al router desde resetearte el router por que si en fin si eres usuario avanzado esto no es una solucion sino un problema y mas cuando el que accede a tu router no tiene ni puta idea de lo que hace o toca sin tu permiso no ay que olvidar que esta gente son comerciales no tienen ningun titulo en redes le abran dado cursillo de lo que es una ip, puerto, puerta de enlace y poco mas. para lo unico que es bueno el tr 069 es para actualizacion de firmware

BocaDePez
BocaDePez

Hola ,

Esto no es para nada nuevo , trabajo desde hace casi de dos años en una plataforma con clientes como Orange , Movistar y Vodafone implementando una solucion TR069 y TR111 , ¿como os pensais que se hace un reset masivo de una plataforma?

Si deshabilitais el protocolo , muchas de las mejoras que implenten vuestros operadores no vais a poder disfrutarlas de forma automatica, por ejemplo , un canal nuevo para Imagenio , ya que los descos tb usan ese protocolo.

Por cierto muy bien explicado el funcionamiento ;)

BocaDePez
BocaDePez

Vodafone también lo hace: A mi me cambiaron el firmware (teniendo uno no oficial) e incluso una vez el técnico estuvo comentando conmigo el estado de la tabla de conexiones y la tabla de NATs del router. Si te fías de las operadoras es una gran herramienta, en este caso gracias al buen hacer del técnico (que sabía de lo que hablaba, cosa nada habitual) pude diagnosticar mis problemas.

Por el acento del técnico diría que era pucelano, supongo que veis la diferencia :-)

Saludos