Tr 069 что это в роутере
Перейти к содержимому

Tr 069 что это в роутере

  • автор:

Удалённое управление через TR-069

Мы поставляем устройства с поддержкой спецификации TR‑069, позволяющей выполнять их кастомизируемое удалённое управление. Легко интегрируйте устройства TP‑Link с поддержкой TR‑069 в текущую систему или создайте собственную систему ACS для масштабирования сети в будущем.

Что такое TR-069?

TR-069 (или CWMP — CPE WAN Management) — это техническая спецификация структурированного удалённого управления абонентским оборудованием (CPE). Для коммуникации между сервером автоматического конфигурирования (ACS) и абонентским оборудованием (CPE) используется XML/SOAP, что упрощает обслуживание. Для повышенной защиты TP‑Link рекомендует использовать шифрование SSL/TLS.

Абонентское оборудование
«Привет, ACS. Вот моя аутентификация. Запрашиваю параметры».
«Принято. Первое: настройки профиля PPPOE . Второе: настройки IPTV . Третье: . ».

Первичная коммуникация между абонентским оборудованием и ACS.

Полноценное удалённое управление

Автоконфигурирование

При включении абонентское оборудование автоматически запросит настройки у ACS. При необходимости ACS также инициирует применение настроек. Таким образом у провайдера есть контроль над включением/выключением сервиса.

Обновление прошивки

TR-069 помогает распространять новые функции среди текущих абонентов. Через ACS провайдеры могут определять версию прошивки абонентского оборудования и обновлять его прошивку.

Удалённая диагностика

Для профилактики лучше периодически выполнять диагностику системы. TR-069 позволяет провайдерам отслеживать сетевое состояние и производительность абонентского оборудования, чтобы предотвратить утечки в системе.

Устранение неполадок

С помощью TR-069 провайдеры могут удалённо выявлять проблемы в абонентском оборудовании и сократить число выездов мастеров.

Группирование устройств

Если абонентских устройств много, то для упрощения работы с помощью TR‑069 можно выполнить их группирование.

Archer AX23

Двухдиапазонный гигабитный Wi‑Fi роутер AX1800 с поддержкой Mesh

Archer AX1500

Двухдиапазонный гигабитный Wi‑Fi роутер AX1500

Archer C86

Двухдиапазонный гигабитный Wi-Fi роутер AC1900 с поддержкой Mesh и MU‑MIMO

Archer C80

Двухдиапазонный гигабитный Wi-Fi роутер AC1900 с поддержкой Mesh и MU‑MIMO

Двухдиапазонный гигабитный Wi‑Fi роутер AC1300 с поддержкой Mesh и MU‑MIMO

Archer C64

Двухдиапазонный гигабитный Wi-Fi роутер AC1200 с поддержкой Mesh и MU‑MIMO

Archer A6 *EU/RU

AC1350 MU-MIMO Wi-Fi гигабитный роутер

Archer C24 *EU/US/RU/ES

Двухдиапазонный Wi‑Fi роутер AC750

Archer C20

Двухдиапазонный Wi-Fi роутер AC750

Показать все 9 Все роутеры

AX3000 Домашняя Mesh Wi‑Fi система

AX1800 Домашняя Mesh Wi-Fi система

Mesh-система AC1200

Двухдиапазонный гигабитный Wi‑Fi роутер AX1800

Двухдиапазонный гигабитный Wi‑Fi роутер AC1200

Mesh-система AX1800

Mesh-система AC1200

Подписаться на рассылку Мы с ответственностью относимся к вашим персональным данным. Полный текст положения об обработке персональных данных доступен здесь. С нашими условиями использования и программой улучшения пользовательского опыта можно ознакомиться здесь.

  • Сведения о компании
  • Контакты
  • Конфиденциальность
  • Новости
  • Блог
  • Партнерская программа
  • Обучение и сертификация
  • Оборудование SOHO
  • Оборудование SMB
  • Технологии

© TP-Link Corporation Limited, 2023 г.. Все права защищены.

Get products, events and services for your region.

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Cookie Settings Accept All Cookies

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

These cookies are necessary for the website to function and cannot be deactivated in your systems.

accepted_local_switcher, tp_privacy_base, tp_privacy_marketing, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom

__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Analysis and Marketing Cookies

Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.

The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.

Google Analytics & Google Tag Manager & Google Optimize

_gid, _ga_, _ga, _gat_gtag_

Google Ads & DoubleClick

Спецификация TR-069 для управления CPE

Попробовал найти на Хабре статьи на эту тему. Но, что странно — не нашёл упоминаний. Поделюсь тогда своими знаниями об этом я. Это моя вторая попытка написать статью на Хабре.
Итак. Последние несколько лет наблюдается тенденция смещения функций контроля и настройки конечных сетевых устройств от пользователей к провайдерам. Они берут на себя заботу по конфигурации и обновлению устройств, а пользователь получает просто коробку с оборудованием, которое достаточно включить, чтобы начать работать.
Современные производители понимают это и предоставляют собственные протоколы для управления. Но не каждый оператор позволит себе работать только с одним вендором и практически полностью от него зависеть.
Для управления тысячами абонентских устройств нужен гибкий механизм, не привязанный к конкретному производителю. Этот механизм должен быть универсальным и достаточно простым в реализации для производителей сетевого оборудования.

Так в 2004 году была опубликована TR-069 — техническая спецификация, описывающая протокол управления абонентским оборудованием через глобальную сеть -CWMP (CPE WAN Managmet Protocol). CWMP является протоколом прикладного уровня, использующий в качестве инструмента передачи информации SOAP (Service Oriented Protocol) — надстройку над HTTP. Все данные передаются в формате XML. Продвижением стандарта занимается консорциум dslforum. Цель — стандартизация и унификация принципов и подходов к управлению абонентским оборудованием различных производителей.

Протокол предполагает расположение на территории провайдера сервера автоконфигурации (ACS), организующего взаимодействие с абонентским оборудованием, осуществляющего обработку запросов от устройств и способного подключать дополнительные сервисы, в зависимости от выбранной политики.
Сессия может быть инициирована как со стороны CPE, так и со стороны ACS.
Для того, чтобы было возможно управление устройством, оно должно иметь IP-адрес независимо от типа этого устройства (Bridge, Router, IP-Phone). Для обеспечения защищённого соединения в TR-069 используется SSL и TLS.

TR-069 поддерживает следующие функции
1.Конфигурация. Речь идёт как о начальной конфигурации, так и автоконфигурации уже работающего устройства или внесении изменений в настройки.
2.Управление версиями ПО и его обновление.
3.Анализ log-файлов, производительности и диагностика устройства.
4.Выполнение хранимых процедур

Выбор СРЕ для обслуживания может осуществляться по различным условиям. Например, конкретное устройство, по вендору, модели или версии ПО.

Использовать автоконфигурацию возможно при любом способе приобретения устройств:
1.Оборудование предоставляется при подписании договора.
2.Оборудование покупается абонентом в виде комплекта подключения к сети оператора.
3.Оборудование покупатеся абонентом самостоятельно и не имеет предварительных настроек на сеть оператора.

Я работаю в новом провайдере WiMAX и, возможно, у нас будет внедрение этого механизма в будущем. Если всё получится, то смогу рассказать об этом более подробно.

UPD. Спецификация в формате pdf
P.S. За этот топик я получил инвайт. Спасибо доброму человеку!

What is TR-069?

satellite_banner.jpg

A TR-069 client is a software application that allows service providers and equipment manufacturers to manage, configure, and update their customers’ network-connected devices remotely. The TR-069 protocol was developed by the Broadband Forum to standardize the way in which this data is exchanged between the client and the device.

TR-069 clients are important for both service providers and equipment manufacturers because they provide a simple and efficient way to manage a large number of devices remotely. By using a TR-069 client, service providers can quickly and easily configure new devices, update firmware, and troubleshoot problems without having to dispatch a technician to the customer’s premises. Similarly, equipment manufacturers can use TR-069 clients to deploy.

The CWMP (CPE Wan Management Protocol) specification defines how devices communicate over networks and are able to send data between themselves as well as receive commands from an admin station console or headend server via HTML5 web browser.

TR069 Client Technician roles change from reactive to preventive

The CPE WAN Management Protocol (CWMP Protocol)

CPE WAN Management Protocol (CWMP) TR-069 was designed by the Broadband Forum (BBF) to standardize management of devices. BBF´s Technical Reports (TRs) are strictly numbered documents, which are dependent on each other.

CWMP is a sophisticated protocol that allows you to provision your device(s) with ease. The order of events unfolds as follows: When the user sends an instruction over WiFi, it’s sent wirelessly and received by an HTTP or HTTPS connection from a secure auto-configuration server which acts exclusively in control mode during this entire period — handling all interactions between CPE (Client PCE), A Garmin Device Identifier Number (GIDF) and eventually any number/string depending upon what type GIDS requests are made.

TR-069 uses the CWMP to provide support for auto-configuration, software management and diagnostics. If you’d like to view all CPE Wan management Protocols refer to the guide provided by the broadband forum.

Functionalities & Settings of
CWMP

Axiros AXESS is the Axiros flagship product for the management of CPEs with Broadband Forum-compliant CWMP (TR-069) stacks and also other open management protocols. It enables highly flexible and scalable interactions with a large number of devices for the purposes of (re-)configuration, mass firmware downloads, fault clearance and general real-time subscriber support.

  • Device provisioning for internet access, WiFi, VoIP, video and data services
  • Quality of Service (QoS) management
  • Security management
  • Configuration management
  • Firmware upgrades management
  • Performance monitoring
  • Diagnostics and troubleshooting
  • Local management application

How does TR-069 work?

TR-069 is a technical specification that defines how to manage customer-premises equipment (CPE) connected to an Internet Protocol (IP) network. It allows the automatic configuration, management, and monitoring of CPEs. TR-069 is based on the client-server model, with the CPE acting as the client and an Auto Configuration Server (ACS) acting as the server. The ACS provides a central point from which all TR-069 clients can be managed. TR-069 clients communicate with the ACS using the Hypertext Transfer Protocol (HTTP) or Simple Object Access Protocol (SOAP) over HTTP. TR-069 defines a number of parameters that can be used to manage CPEs.

How does TR069 work? Smart Things

Deliver A Competitive Service For Triple Play Offerings

Delivering a competitive (voice, video, data and wireless) service is an enormous technical, operational and business challenge for today’s service providers. To attract new customers as well as to reduce customer churn, service providers must be able to offer these services with the best user experience possible at a competitive price point.

Couple that with the need to support legacy systems and it becomes obvious that to absorb this dynamic growing complexity, a carrier-grade Device Management platform must not only

This is the motivation and claim of TR-069, which is one central building block in a carrier-grade Device Management solution architecture.

TR-069 Management Functions

  • Device provisioning for internet access, WiFi, VoIP, video and data services
  • Quality of Service (QoS) management
  • Security management
  • Configuration management
  • Firmware upgrades management
  • Performance monitoring
  • Diagnostics and troubleshooting
  • Local management application

TR-069 and the connected User Services Platform

Is TR-069 Secure?

Yes, TR-069 is secure. TR-069 is a scalable, flexible and secure model that provides the high degree of security required while remaining simple to use.

SSL is a widely-used protocol that provides an essential layer of security for all data passed between CPE and ACS (auto-configuration server). When SSL/TLS protection has been enabled, only those who should have access to your network can see what’s happening to connected devices.

TR-069 is an important security protocol that helps to keep your devices and data safe. This protocol was designed to help service providers manage customer equipment remotely. In order to do this, TR-069 uses a secure connection that is encrypted and authenticated.

This ensures that only authorized personnel can access the data on your devices. Additionally, TR-069 uses a variety of other security measures, such as device certificates and digital signatures, to further protect your data. As a result, TR-069 is a highly secure protocol that you can rely on to keep your devices and data safe.

TR-069 Data Model

Data models are used to describe the many different functions and capabilities available on WAN manageable devices. These data-driven descriptions can be accessed using TR-069 Amendment 6 (provided by the broadband forum), which defines several model objects that provide parameters for each type of device or service in order to manage them more effectively with CWMP.

A TR-069 data model is a way of representing data in XML. It uses an XML schema to define the data elements and their relationships. TR-069 data models can be used for many different purposes, such as exchanging data between devices, storing data in a database, or providing a web interface to data. TR-069 data models are often used in network management systems to allow administrators to view and modify data on devices remotely.

The TR-069 specification defines a number of standard data models for commonly-used device data, such as system configuration, WiFi configuration, and device status. In addition, vendors can create custom data models to represent any other device data that they wish to make available through the TR-069 protocol.

Домашние роутеры, поставляемые провайдерами, могут быть массово скомпрометированы

ПО, использующееся службами поддержки для устранения проблем на устройствах пользователя, содержит ряд критических уязвимостей.

Специализированные сервера, используемые интернет-провайдерами для управления роутерами клиентов уязвимы к кибератакам и могут дать злоумышленникам полный контроль над ними.

Получив доступ к таким серверам, хакеры или сотрудники спецслужб могут скомпрометировать миллионы устройств и домашних сетей. Об этом говорит Шахар Тал (Shahar Tal), исследователь компании Check Point Software Technologies. В субботу, 9 августа, Тал выступил на конференции DefCon в Лас-Вегасе.

Проблема связана с протоколом TR-069 (он же CWMP), который используется в технической поддержке провайдеров для удаленной поддержки пользователей и их устройств.

По статистике 2011 года, существует 147 миллионов устройств с поддержкой протокола TR-069. 70% из них используются в домашних сетях. Просканировав адресное простанство IPv4, Тал пришел к выводу, что при задействовании этого протокола чаще всего применяется порт 7547.

Устройства с поддержкой TR-069 соединяются с серверами автоматической конфигурации (ACS) провайдеров. На этих серверах установлено постороннее ПО, выполняющее настройку и сервисное обслуживание устройств пользователей.

Большинство пользователей даже не догадываются о том, что провайдеры контролируют их роутеры. На большинстве устройств, поставляемых провайдерами, установлена модифицированная версия прошивки, скрывающая опции протокола TR-069 в меню управления роутером. Даже если пользователь и знает об этой функции, в большинстве случаев он не может ее отключить, поскольку у него нету для этого полномочий.

Если хакер скомпрометирует ACS-сервер, он сможет получить информацию с подконтрольных серверу роутеров, в том числе имена и пароли беспроводных сетей, MAC-адреса аппаратного обеспечения, данные учетных записей VoIP, логины и пароли администраторских учетных записей. Злоумышленник также сможет заставить роутер использовать поддельный DNS-сервер, передавать весь трафик через скомпрометированный туннель, создать невидимую беспроводную сеть или удалить пароль из существующей сети. Более того, хакеру удастся обновить прошивку на этих устройствах, внедрив в нее вредонос или бэкдор.

Спецификации протокола TR-069 рекомендуют использование HTTPS с шифрованием SSL при соединении между ACS-сервером и подконтрольным устройством, но проведенные исследования показывают, что в 80% случаев это шифрование не используется. В некоторых случаях при использовании HTTPS ACS-сервер использует собственные сертификаты, что в случае атаки «человек посередине» позволит злоумышленнику выдавать себя за ACS-сервер.

Протокол также требует, чтобы аутентификация выполнялась по схеме «устройство-ACS», но имя и пароль пользователя передаются между устройствами. Таким образом эти данные можно извлечь из взломанного устройства, изменив URL ACS-сервера на URL злоумышленника.

Исследователь и его коллеги проверили несколько программ, обеспечивающих работу ACS-серверов, и нашли ряд критических уязвимостей, позволяющих злоумышленнику удаленно выполнять произвольный код на устройствах под управлением этого ПО.

К сожалению, конечные пользователи не смогут исправить ситуацию, поскольку для отключения протокола TR-069 им понадобится получить root-доступ. Единственный вариант – приобретение другого роутера.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *