Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

222

TR069: el control remoto de tu router en manos de las operadoras

Es uno de los grandes desconocidos en todo lo que envuelve al acceso a Internet comercial, pero su presencia es fundamental para administrar de forma masiva los routers de acceso de los clientes. El TR069 es el protocolo que utilizan las operadoras para configurar remotamente los routers ADSL o cablemódems de sus clientes.

El CPE WAN Management Protocol (CWMP), anteriormente conocido como Technical Report 069 (TR-069), es una tecnología desarrollada por el entonces DSL Forum (ahora Broadband Forum), que resulta muy útil para los operadores, ya que facilita la administración de los dispositivos que entregan a sus clientes para darles acceso a su red.

Se trata de un protocolo de nivel de aplicación que permite el acceso remoto a los routers domésticos para su puesta a punto inicial, mantenimiento o diagnóstico.

comunicacion-tr-069.png

Su creación resulta bastante justificada, teniendo en cuenta el enorme crecimiento del número de abonados a conexiones de Internet o servicios digitales variados (VoIP, IPTV…), y la dificultad de configurarlos manualmente por los técnicos o por los propios usuarios, normalmente sin los conocimientos técnicos necesarios para entender todos los conceptos que aparecen en los menús.

El funcionamiento de CWMP es bastante sencillo, ya que se basa en una comunicación SOAP sobre HTTP entre el servidor de autoconfiguración (ACS) y el equipo de usuario (CPE).

Una vez establecido el enlace, el servidor envía un fichero de configuración basado en XML para que el dispositivo destino (un router, set-top box, teléfono VoIP, NAS, femtoceldas…) lo procese y modifique su estado, y de este modo empezar a funcionar sin problemas en la red del operador.

Qué pueden hacer las operadoras con TR 069

La comunicación, como ya hemos dicho anteriormente, fluye gracias a llamadas remotas desde el operador o por generación de eventos, pudiendo leer o modificar el valor de algún parámetro en concreto, reiniciar el router del usuario, devolverlo a configuración de fábrica, transferir nuevas versiones de firmware o hacer copias de seguridad del existente, y hacer tests de rendimiento.

Echando un vistazo rápido a las especificaciones técnicas de los routers y cablemódems que los operadores en España utilizan actualmente, hemos detectado algunos casos en los que se hace mención explícita del protocolo TR-069 o CWMP. Por ejemplo, en el caso de Telefónica los routers se conectan periodicamente a la url https://main.acs.telefonica.net:7004/cwm … Web/WGCPEMgt para recibir actualizaciones o cambios de configuración.

El servidor utilizado por Jazztel lo podemos ver en las capturas que Ari dejó en el hilo en el que se discutía un posible problema de cifrado Wi-Fi en el router AR5381u. En la imagen se ven perfectamente los parámetros de configuración del protocolo TR-069.

tr069-jazztel.jpg

Esta característica desata frecuentemente la suspicacia de los usuarios de ADSL. El desconocimiento de la función del TR-069 propicia que muchos usuarios interpreten que este protocolo es una especie de puerta trasera con la que su ISP puede controlar su actividad en la red, aunque realmente este protocolo no se emplea para estos fines. Los operadores, en caso de hacerlo, pueden obtener estos datos por otros medios.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • BocaDePez BocaDePez
    0

    Trabajo en Telefónica. Sólo os comento que la configuración…

    Trabajo en Telefónica. Sólo os comento que la configuración remota nos es muy útil. Tened en cuenta que de lo contrario (y aún sucede con bastantes modelos de router) las llamadas se alargarían mucho más (hay que decirle al cliente lo que tiene que hacer e interpretar lo que nos dice, cosa que a veces puede resultar desesperante), la mayoría de los clientes ni siquiera saben lo que es una IP, asi que como comprenderéis esto nos ahorra mucho tiempo y hace que los clientes estén mucho más contentos, porque les solucionamos los problemas rápido y de forma eficaz.

    No sé en otras operadoras, pero en Telefónica no veo a nadie jodiendo a los clientes porque sí. Además de que se les puede pillar, es una estupidez, porque estamos desde que entramos a currar hasta que salimos haciendo cosas constantemente, no hay tiempo para estupideces. Y cuando lo hay (descansos) la gente sale escopeteada a fumar, a tomarse algo etc, sobre todo en los días con mucha carga de trabajo (que son de lunes a viernes, normalmente).

    Si bloqueáis este tipo de protocolos lo único que vais a conseguir es hacernos la vida más complicada, y en consecuencia para vosotros también cuando tengáis un problema. Por otra parte no supone, a menos que se haya comprobado y tengamos constancia, ningún tipo de problema de seguridad, ya que sólo se puede acceder desde TFN, no desde casa de la Paqui.

    La gente se suele quejar de que las llamadas son largas. Esto suele suceder cuando tenemos problemas con este tipo de protocolos que nos permiten acceder remotamente a routers y demás equipos. También sucede cuando el tráfico es altísimo y las aplicaciones que tenemos están saturadas (que desgraciadamente sucede con más frecuencia de lo deseable).

    • BocaDePez BocaDePez
      6

      No si me parece bien, pero y lo de pedir primero permiso al…

      No si me parece bien, pero y lo de pedir primero permiso al usuario para hacerlo nos lo pasamos por el forro.

    • BocaDePez BocaDePez
      6

      Y no es mas facil si reseteo router, con botón y podeis mirar…

      Y no es mas facil si reseteo router, con botón y podeis mirar lo q querais?

    • BocaDePez BocaDePez
      6

      Buenas tardes, el motivo de este mail es haber si me puedes…

      Buenas tardes, el motivo de este mail es haber si me puedes hechar una mano. tengo un router 3g adsl zte de movistar, he intalado unas camaras ip, abriendo los puertos y configurando un servicio dyndns. Pero tengo el problema que las puedo ver desde mii wifi pero no desde otro lugar ni con el movil en 3g, solo dentro de mi wifi. Me podrias comentar que parametros tengo que poner al router para que se vea desde el exterior.

      Gracias

      • BocaDePez BocaDePez
        6

        Perdon si puedes responderme mi mail es ehikan@hotmail.com…

        Perdon si puedes responderme mi mail es ehikan@hotmail.com gracias por tu atencion

    • BocaDePez BocaDePez
      6

      Buenas: Lo primero en este foro venimos ha hablar del…

      Buenas:

      Lo primero en este foro venimos ha hablar del protocolo tr 069, yo tambien trabajo en telefonica en el departamento de soluciones grandes empresas.

      Personalmente eso de que te puedan controlar remotamente tu router me parece correcto para solucionar incidencias, pero lo de toma esta version nueva o toma este parametro nuevo de configuracion no lo comparto.

      Yo administro mi red de casa, cambio lo que yo quiera en el router, eso de que apliques una configuracion nueva damelo por escrito para que quieres aplicar el cambio, que mejora, en que influye, positividad de la config, partes negativas, etc...

      Pero primero me informas y luego yo vere si quiero o no.

      Lo de las llamadas es normal que os llame gente que no tiene ni idea, pero reconocer que vosotros andais por el estilo, porque cuando yo llamo por una incidencia hablo yo el operador escucha y solo de digna a pasarme con un supervisor que ese tambien hace lo mismo pero pasandome con el departamento tecnico en la cual dicho departamento tampoco te creas que hay un nivel experto de gestion tecnica.

      En fin no quiero decir nada mas y respecto al protocolo pues ya sabeis mi opinion con mi escrito.

      Saludos

      • BocaDePez BocaDePez
        6

        Yo también trabajo en Telefónica (por cierto en ADSL) y creo…

        Yo también trabajo en Telefónica (por cierto en ADSL) y creo que no has entendido bien la funcionalidad de la herramienta: no se trata de impedir que tú configures tu router como te dé la gana (había operadoras que no dejaban acceder a tu propio router y tenías que llamarlas incluso para que te abrieran puertos) ni de cambiar nada sin tu permiso, sino de poder ver y modificar la configuración en remoto por ejemplo cuando un cliente desea cambiar la encriptacion WEP de la red WIFI por WPA2 por seguridad, cambiar el canal, abrir puertos, cambiar la contraseña wifi etc y no sabe cómo hacerlo o no puede porque precisamente no tiene cable ethernet y no se puede conectar por wifi porque su equipo americano no detecta el canal 13 que viene configurado en su router (este caso sabrás que es irresoluble por teléfono).

        hay dos alternativas:

        • Guiarle por teléfono durante media hora y rezar para que no se confunda y no tener la certeza de qué es lo que se ha hecho realmente
        • o entrar en remoto por medio de este protocolo y configurárselo en un minuto.

        Los ejemplos de la utilidad son innumerables y nadie puede ver qué páginas estás visitando ni qué archivos tienes en tu ordenador ni nada parecido. Tampoco nadie te va a llamar para actualizar el firmware de tu router por capricho si no has reclamado una avería.

        Operar de forma remota es algo que cada día se utiliza más, hay gente que usa foros como éste para dialogar a distancia con otras personas, otras configuran centralitas a kilómetros, reparan ordenadores o hablan por teléfono sin ver físicamente al interlocutor, otras controlan satélites artificiales desde la tierra.

        La utilidad de operar remotamente sobre un equipo es innegable, el resultado depende de la preparación de quien lo utiliza y te aseguro que el personal de la empresa que lo utiliza lo está (si ciertamente eres empleado sabrás que se entra por oposición)

        • BocaDePez BocaDePez
          6
          no se trata de impedir que tú configures tu router como te dé…

          no se trata de impedir que tú configures tu router como te dé la gana (había operadoras que no dejaban acceder a tu propio router y tenías que llamarlas incluso para que te abrieran puertos) ni de cambiar nada sin tu permiso

          Bueno.....cuando yo llamo porque hay una incidencia y ciertamente, la gente que te atiende tiene un nivel muy bajo, como ya han comentado, como no saben que hacer lo único que te dicen es que reinicies el router....pero ahora ya ni preguntan, te lo reinician por remoto que es lo que mas me toca las narices, sin ni siquiera preguntarme ni avisarme, perdiendo así cualquier configuración que tenga en mi router...Y eso siempre y cuando uses un router proporcionado por telefónica....porque si es propio muchas veces ni te dan soporte (ni saben).

          • BocaDePez BocaDePez
            6
            Estas cosas no ocurren cuando se les explican las cosas a los…

            Estas cosas no ocurren cuando se les explican las cosas a los usuarios y se les trata con respeto. Todo lo del TR069 está también como lo de explicárselo al usuario para solicitarle permiso.

            Calladitos de qué, es mejor que la gente no se entere, que deseas ocultar

          • BocaDePez BocaDePez
            6
            Yo no trabajo en el ADSL de Movistar, pero no veo que estén…

            Yo no trabajo en el ADSL de Movistar, pero no veo que estén diciendo nada negativo. Es una reflexión sobre la utilización del protoco desde el punto de vista del soporte de un operador, lo veo interesante.

    • BocaDePez BocaDePez
      6

      "Su creación resulta bastante justificada, teniendo en cuenta…

      "Su creación resulta bastante justificada, teniendo en cuenta el enorme crecimiento del número de abonados a conexiones de Internet o servicios digitales variados (VoIP, IPTV…), y la dificultad de configurarlos manualmente por los técnicos o por los propios usuarios, normalmente sin los conocimientos técnicos necesarios para entender todos los conceptos que aparecen en los menús"

      Esa creación NO me parece justificada cuando Vodafone, la operadora del que soy cliente, no me facilitan la contraseña para poder acceder todas las prestaciones capadas de mi router particular y configurarlos a mi gusto, y eso que saben de sobra de que soy programador y trabajo en una empresa informática. Está bien cuando lo pidan voluntariamente y cuenten con el permiso del cliente, recabando el pertinente consentimiento legal. Si el cliente quiere resolverlo por su cuenta o contratando a otra persona o empresa encargada del mantenimiento de su confianza, deberían lógicamente facilitarles el acceso a todas las características y prestaciones del Router. Prohibir a los clientes la posibilidad de gestionarlo por su cuenta y efectuar actualizaciones o modificaciones de las características de su red interna sin informar previamente ya supone un abuso que a la larga puede tener consecuencias nefastas para la operadora, empezando como poco la pérdida de clientes.

  • Imagino que será por eso por lo que a veces de la noche a la…

    Imagino que será por eso por lo que a veces de la noche a la mañana los router wifi de Jazztel aparecen sin contraseña y sin cifrar, por lo que ahora lo tengo más claro, aunque ya podrían hacer las cosas bien, imagino que se puede actualizar los routers sin necesidad de quitar las personalizaciones de los clientes.

  • 6

    Añadir que se puede eludir, o al menos intentarlo, con…

    Añadir que se puede eludir, o al menos intentarlo, con Jazztel el acceso por TR069 editando el archivo .config y cambiando los parámetros originales.

    Aquí, editando el archivo .config (en rojo, los parámetros editados)

    Y aquí, el resultado final, una vez editadoy subido el archivo de configuración modificado.

    Saludos

    • BocaDePez BocaDePez
      6

      Lo que más preocupa sin duda es la posibilidad de leer…

      Lo que más preocupa sin duda es la posibilidad de leer remotamente la tabla NAT y mediante la MAC de los dispositivos asociados poder determinar a quien pertenece cada equipo y todas las redes por las que has ido pasando.

      • 6

        Alguna que otra "cosa" más, sí :D ;) Antes, al empezar a…

        Alguna que otra "cosa" más, sí :D ;)

        Antes, al empezar a configurar nada en nuestros entrañables CT536 + lo primero que hacíamos era entrar a la opción Internet acces--Acces service y deshabilitar el acceso a nuestra wan desde fuera. Ahora no podemos ni siquiera ver (de forma ortodoxa al menos :P ) cómo está configurada esa opción en los actuales equipos que proporciona Jazztel.

        Pues está así (captura del ar5381u, con uno de los firms no oficiales, pero con la configuración de Jazztel visible)

        Cuando es así como nosotros, usuarios de a pie , la hemos configurado siempre

        Eso es una de las cosas que también se pueden cambiar desde ahí y que teóricamente debería también impedir el acceso o el correcto funcionamiento, desde el punto de vista del isp, del TR069.

        Saludos ;)

  • BocaDePez BocaDePez
    6

    A mí los de Jazztel me cambiaron el SSID y contraseña por la…

    A mí los de Jazztel me cambiaron el SSID y contraseña por la cara. Me tocó mucho las pelotas y los debería de haber empurado por intromisión en mi red de área local y desprotección de los datos, mis datos, que circularan por mi red inalámbrica.

  • ¿Y los de ONO utilizan el mismo protocolo? Nunca se me…

    ¿Y los de ONO utilizan el mismo protocolo?

    Nunca se me olvidara hace 2 años cuando tuve una avería y la chica del callcenter dijo que mi cablemodem funcionaba correcta y que tenia ip etc etc, cuando la dije a la chica que estaba apagado no supo que decir xd

    • No, ellos configuran el equipo a través del fichero Docsis de…

      No, ellos configuran el equipo a través del fichero Docsis de configuración que se carga cada vez que enciendes el equipo. En el se incorporan configuraciones especificas y ordenes de actualización de firmware.

      El resto de actuaciones se efectúan de modo individual, normalmente a través de snmp.

      • Gracias, siempre me había picado jaja y también por hay se…

        Gracias, siempre me había picado jaja y también por hay se sacan certificados y demas...xD e estado indagando estos dias..

    • BocaDePez BocaDePez
      12

      A mi los mamones de ONO me han quitado la pagina de logs y…

      A mi los mamones de ONO me han quitado la pagina de logs y estado.

  • Yo desde luego tengo mi propio Router comprado en MM y a este…

    Yo desde luego tengo mi propio Router comprado en MM y a este lo configuro yo y solo yo.

  • BocaDePez BocaDePez
    6

    Vodafone también lo hace: A mi me cambiaron el firmware…

    Vodafone también lo hace: A mi me cambiaron el firmware (teniendo uno no oficial) e incluso una vez el técnico estuvo comentando conmigo el estado de la tabla de conexiones y la tabla de NATs del router. Si te fías de las operadoras es una gran herramienta, en este caso gracias al buen hacer del técnico (que sabía de lo que hablaba, cosa nada habitual) pude diagnosticar mis problemas.

    Por el acento del técnico diría que era pucelano, supongo que veis la diferencia :-)

    Saludos

  • BocaDePez BocaDePez
    6

    Hola , Esto no es para nada nuevo , trabajo desde hace casi…

    Hola ,

    Esto no es para nada nuevo , trabajo desde hace casi de dos años en una plataforma con clientes como Orange , Movistar y Vodafone implementando una solucion TR069 y TR111 , ¿como os pensais que se hace un reset masivo de una plataforma?

    Si deshabilitais el protocolo , muchas de las mejoras que implenten vuestros operadores no vais a poder disfrutarlas de forma automatica, por ejemplo , un canal nuevo para Imagenio , ya que los descos tb usan ese protocolo.

    Por cierto muy bien explicado el funcionamiento ;)

  • BocaDePez BocaDePez
    6

    yo el control remoto del router lo tengo fuera del alcance…

    yo el control remoto del router lo tengo fuera del alcance del isp no me gusta que esten ojeando en mi router y mas cuando hoy los router ya vienen con usb poder acceder de forma remota alos dispositivos conectados al router desde resetearte el router por que si en fin si eres usuario avanzado esto no es una solucion sino un problema y mas cuando el que accede a tu router no tiene ni puta idea de lo que hace o toca sin tu permiso no ay que olvidar que esta gente son comerciales no tienen ningun titulo en redes le abran dado cursillo de lo que es una ip, puerto, puerta de enlace y poco mas. para lo unico que es bueno el tr 069 es para actualizacion de firmware

    • BocaDePez BocaDePez
      6

      ¿Porque no ibas a poder acceder? Sin conocer este sistema en…

      ¿Porque no ibas a poder acceder?

      Sin conocer este sistema en concreto, parece que lo que estas haciendo es invocar de forma manual al sistema (puesto que la dirección origen de la petición será la dirección de tu router)

1