TR-069 - TR-069 - Wikipedia

Техникалық есеп 069 (TR-069) техникалық сипаттамасы болып табылады Кең жолақты форум бұл анықтайды қолдану қабаты қашықтықтан басқаруға арналған хаттама үйге арналған жабдық (CPE) an Интернет хаттамасы (IP) желі. TR-069 қолданады CPE WAN басқару хаттамасы (CWMP) автоматты конфигурация, бағдарламалық жасақтама немесе микробағдарламалық жасақтама кескінін басқару, бағдарламалық модульді басқару, күй мен өнімділікті басқару және диагностика үшін қолдау функцияларын ұсынады.

CPE WAN басқару хаттамасы екі бағытты болып табылады Сабын - және HTTP протоколға негізделген және CPE мен автоматты конфигурация серверлері (ACS) арасындағы байланысты қамтамасыз етеді. Хаттама әртүрлі санның өсуіне бағытталған Интернетке қосылу сияқты құрылғылар модемдер, маршрутизаторлар, шлюздер сияқты Интернетке қосылатын соңғы пайдаланушы құрылғылары сияқты үстіңгі жәшіктер, және VoIP - телефондар.

TR-069 алғаш рет 2004, мамырда жарық көрді, 2006, 2007, 2010, шілде 2011 өзгертулерімен (1.3 нұсқасы),^[1] және 2013 жылғы қараша (1.4 ам5 нұсқасы)^[2]

Сияқты басқа да техникалық бастамалар Үй шлюзі бастамасы (HGI), Сандық бейне тарату (DVB) және WiMAX форумы CWMP-ді тұрғын үй желісі құрылғылары мен терминалдарын қашықтықтан басқару хаттамасы ретінде мақұлдады.

Байланыс

Көлік

CWMP - бұл мәтінге негізделген протокол. Құрылғы (CPE) мен автоматты конфигурация сервері (ACS) арасында жіберілген тапсырыстар HTTP (немесе жиі HTTPS) арқылы тасымалданады. Осы деңгейде (HTTP) CPE клиент ретінде, ал ACS HTTP сервері ретінде жұмыс істейді. Бұл дегеніміз, ағынды бақылау дегенді білдіреді қамтамасыз ету сессиясы құрылғының жалғыз жауапкершілігі болып табылады.

Конфигурация параметрлері

Құрылғының серверге қосылуы үшін алдымен белгілі бір параметрлерді конфигурациялау қажет. Оларға құрылғының қосқысы келетін сервердің URL мекенжайы және құрылғы провизия сессиясын бастайтын интервал кіреді (PeriodicInformInterval). Сонымен қатар, егер қауіпсіздік мақсатында аутентификация қажет болса, пайдаланушы аты мен пароль сияқты деректерді беру қажет.^[3]

Қамсыздандыру сессиясы

Барлық байланыстар мен операциялар резервтік сессия шеңберінде жүзеге асырылады. Сеанс әрқашан құрылғы (CPE) арқылы басталады және an жіберуден басталады Хабарлау хабар. Оны қабылдау және сервердің сессияға дайындығы an арқылы көрсетіледі InformResponse хабар. Осымен сессияны инициализациялау кезеңі аяқталады. Келесі екі кезеңнің тәртібі жалаушаның мәніне байланысты HoldRequests. Егер мән жалған инициализация кезеңі құрылғының сұраныстарын жіберумен жалғасады, әйтпесе алдымен АБЖ тапсырыстары беріледі. Келесі сипаттама мәнді қабылдайды жалған.

Екінші кезеңде тапсырыстар құрылғыдан АБЖ-ға беріледі. Тіпті протокол АБЖ-де құрылғы шақыруы мүмкін бірнеше әдісті анықтаса да, тек біреуі ғана кездеседі - TransferComplete - бұл бұрын берілген Жүктеу немесе Жүктеу сұранысы бойынша басталған файлдарды тасымалдаудың аяқталғандығы туралы АБЖ-ны хабарлау үшін қолданылады. Бұл кезең беру арқылы аяқталады бос HTTP-сұраныс АБЖ-ге.

Үшінші кезеңде рөлдер CWMP деңгейінде өзгереді. Үшін HTTP-жауап бос HTTP-сұраныс құрылғыда АБЖ-ден CWMP-сұраныс болады. Одан кейін алдыңғы CWMP сұранысы үшін CWMP жауабын қамтитын HTTP сұранысы болады. Бірнеше тапсырыс бір-бірден берілуі мүмкін. Бұл кезең (және барлық дайындық сессиясы) an бос HTTP-жауап бұдан әрі тапсырыс күтілмейтіндігін көрсететін АБЖ-ден.

Сеанстың триггерлері

Жабдықтау сеансын бастайтын белгілі бір оқиғалар бар. Оларға мыналар жатады:

Bootstrap - құрылғы сервермен бірінші рет байланысқан кезде, сервердің URL мекенжайы өзгерген немесе құрылғы параметрлері әдепкіге қайта орнатылған;
Мерзімді - құрылғыға сәйкес мерзімді сессияны орындау жоспарланған PeriodicInformInterval параметрлер;
Қосылым сұранысы - құрылғы сервердің қосылуға сұранысына жауап береді;
Мәннің өзгеруі - бақыланатын параметр мәні өзгерді;
Жүктеу - құрылғы қалпына келтірілгеннен немесе қуат жоғалып, қайта қосылғаннан кейін;
Жоспарланған - құрылғы сервермен қосымша сеансты инициализациялауға бұған дейін нұсқау берген кезде Кесте команда;
Тасымалдау аяқталды - құрылғы сервер сұраған файлдарды жүктеуді немесе жүктеуді аяқтағаннан кейін;
Диагностикалық аяқталды - құрылғы диагностиканы аяқтағаннан кейін.^[3]

Қауіпсіздік және аутентификация

CWMP арқылы CPE-ге өмірлік маңызды деректер (мысалы, пайдаланушының аты-жөні мен парольдері) берілуі мүмкін, сондықтан қауіпсіз тасымалдау арнасын қамтамасыз ету және әрдайым ACE-ге қарсы CPE-дің түпнұсқалығын растау қажет. Қауіпсіз тасымалдауды және ACS сәйкестілігін растауды HTTPS пайдалану және ACS сертификатын тексеру арқылы оңай қамтамасыз етуге болады. CPE аутентификациясы анағұрлым проблемалы. Құрылғының сәйкестігі HTTP деңгейінде ортақ құпия (құпия сөз) негізінде тексеріледі. Құпия сөздерді тараптар (CPE-ACS) әр келісу сессиясында келісе алады. Құрылғы АБЖ-мен бірінші рет байланысқан кезде (немесе зауыттық қалпына келтіруден кейін) әдепкі парольдер қолданылады. Ірі желілерде әр құрылғының бірегей тіркелгі деректерін қолдануын қамтамасыз ету, олардың тізімі құрылғылардың өзімен бірге жеткізіліп, қорғалғанына кепілдік беру болып табылады.^{[дәйексөз қажет ]}.

Байланыс сұрауы

Реттеу сеансының ағынын инициализациялау және басқару тек құрылғының жауапкершілігінде, бірақ АБЖ үшін сеансты құрылғыдан бастауды сұрауға болады. Қосылуды сұрау тетігі HTTP-ге негізделген. Бұл жағдайда құрылғы (CPE) HTTP-сервер рөліне қосылады. ACS келісілген URL мекен-жайына кіру және HTTP аутентификациясын орындау арқылы құрылғыдан байланыс сұрайды. Дайындық серверіне (ACS) DDoS шабуылдары үшін CPE-ді пайдалануды болдырмау үшін, жалпы құпиямен құрылғы алдын-ала келісіледі (мысалы, алдыңғы дайындық сессиясы). Құрылғы растау жібергеннен кейін провизия сеансын мүмкіндігінше тез бастау керек және растағаннан кейін 30 секундтан кешіктірмей.

NAT арқылы қосылуға сұраныс

CWMP протоколы артта қосылған құрылғыларға жету механизмін де анықтайды НАТ (мысалы, IP-телефондар, Үстелге арналған қораптар ). Бұл механизм СТУН және UDP NAT травералы TR-069 құжатында, G қосымшасында анықталған (бұрын TR-111-де).

Хаттаманың 5-ші түзетуінде NAT арқылы қосылым сұранысын орындаудың балама әдісі енгізілген XMPP (К қосымшасын қараңыз) TR-069 5 түзету толығырақ).

Мәліметтер моделі

Конфигурация мен диагностиканың көп бөлігі құрылғы параметрлерінің мәнін орнату және алу арқылы жүзеге асырылады. Бұлар құрылғының барлық модельдері мен өндірушілеріне азды-көпті белгілі болатын иерархиялық құрылымда ұйымдастырылған. Кең жолақты форум өзінің деректер моделінің стандарттарын екі форматта шығарады - XML әрбір келесі деректер моделінің егжей-тегжейлі спецификациясы бар файлдар және олардың нұсқалары арасындағы барлық өзгерістер және адам оқи алатын мәліметтерді қамтитын PDF файлдары. Құрылғының деректер моделінде қолдау көрсетілетін стандарттар мен кеңейтімдер нақты белгіленуі керек. Бұл далада болуы керек Құрылғы. Құрылғының қысқаша мазмұны немесе InternetGatewayDevice.Құрылғының қысқаша мазмұны бастап талап етіледі Құрылғы: 1.0 және InternetGatewayDevice: 1.1 сәйкесінше. Егер өріс табылмаса InternetGatewayDevice: 1.0 көзделеді. Жағдай бойынша Құрылғы: 1.4 және InternetGatewayҚұрылғы: 1.6 жаңа өріс ( '' .ҚолдайтынДатамодель) қолдау көрсетілетін стандартты спецификация енгізілді.

Модель әрқашан аталған жалғыз кілтке негізделген Құрылғы немесе InternetGatewayDevice өндірушінің таңдауына байланысты. Құрылымның әр деңгейінде объектілер мен параметрлерге (немесе массив даналарына) рұқсат етіледі. Кілттер объектілердің атауларын және параметрін '.' (Нүкте) бөлгіш ретінде қолдану арқылы құрастырылады, мысалы. InternetGatewayDevice.Time.NTPServer1 .

Параметрлердің әрқайсысы жазылатын немесе жазылмайтын деп белгіленуі мүмкін. Бұл туралы құрылғы хабарлайды GetParameterNamesResponse хабар. Құрылғы тек оқуға арналған деп белгіленген кез-келген параметрдің өзгеруіне жол бермеуі керек. Мәліметтер моделінің сипаттамалары мен кеңейтімдері параметрлердің көпшілігінің қажетті мәртебесін анық белгілейді.

Параметр үшін қолданылатын мәндер, олардың түрі мен мағынасы стандартпен дәл анықталған.

Көп даналы нысандар

Мәліметтер моделінің кейбір бөліктері кіші ағаштың бірнеше көшірмесінің болуын талап етеді. Ең жақсы мысалдар - кестелерді сипаттайтындар, мысалы. Портты бағыттау кестесі. Массивті бейнелейтін объектінің даналары немесе лақап аттары болады.

Көп данадан тұратын объект, ол не бейнелейтініне байланысты, жазуға немесе оқуға арналған болуы мүмкін. Жазбаша нысандар балаларын динамикалық құруға және жоюға мүмкіндік береді. Мысалы, егер объект Ethernet қосқышындағы төрт физикалық портты көрсетсе, онда оларды деректер моделіне қосу немесе жою мүмкін болмауы керек. Егер объектке данасы қосылса, идентификатор тағайындалады. Тағайындалғаннан кейін идентификаторлар құрылғының қызмет ету циклы кезінде өзгере алмайды, тек зауыттық параметрлерді қалпына келтіруден басқа.

Жалпы мәселелер

Параметрлер мен олардың атрибуттарының тізімі жақсы анықталғанына қарамастан, құрылғылардың көпшілігі стандарттарға толық сәйкес келмейді. Көбіне кездесетін мәселелер қатарына жетіспейтін параметрлер, жіберілген даналар идентификаторлары (тек бір данасы бар көп даналы нысандар үшін), қате параметрлерге қол жеткізу деңгейі және тек анықталған мәндерді дұрыс пайдалану жатады. Мысалы, WLAN протоколдарының қолдайтын стандартын көрсететін өріс үшін 'g' мәні 802.11b және 802.11g қолдауын және тек 'g-тек' 802.11g қолдауын көрсетуі керек. Кең жолақты форум стандарттарына сәйкес 'bg' немесе 'b / g' сияқты мәндер заңды болмаса да, олар көбінесе құрылғының деректер модельдерінде кездеседі.

Жалпы операциялар

Бүкіл провизия қарапайым операциялардың анықталған жиынтығының үстіне салынған. Әрбір тапсырыс атомдық болып саналады, дегенмен транзакцияларға қолдау көрсетілмейді. Егер құрылғы тапсырысты орындай алмаса, дұрыс қате АБЖ-ға қайтарылуы керек - құрылғы резервтік сеансты ешқашан бұзбауы керек.

Хабар	Сипаттама
GetParameterNames	Құрылғыдан қолдау көрсетілетін параметрлер тізімін шығарып алыңыз.
GetParameterValues	Кілттермен анықталған параметр (лер) дің ағымдағы мәнін шығарып алыңыз. Бұл шақырудың өзгеруі нысанды өзінің кілті ретінде қабылдайды. Ол объектінің барлық параметрлерін шығарады
SetParameterValues	Бір немесе бірнеше параметрлердің мәнін орнатыңыз
GetParameterAttributes	Бір немесе бірнеше параметрлердің атрибуттарын шығарып алыңыз
SetParameterAttributes	Бір немесе бірнеше параметрлердің атрибуттарын орнатыңыз
Жүктеу	URL мекенжайы бойынша көрсетілген файлды жүктеу және пайдалану үшін CPE-ге тапсырыс беріңіз. Файл түрлеріне Firmware Image, Configuration File, Ringer файлы және т.б.
Жүктеу	Файлды көрсетілген межеге жүктеу үшін CPE-ге тапсырыс беріңіз. Файл типтеріне ағымдағы конфигурация файлы, журнал файлдары және т.б.
AddObject	Нысанға жаңа дананы қосыңыз
Нысанды жою	Нысаннан дананы алып тастаңыз

TR-069 арқылы жоғары деңгейлі операциялар мүмкін

Қызметті қосу және қайта конфигурациялау
- Қызметтің нөлдік түрту немесе бір түрту конфигурациясының бөлігі ретінде бастапқы конфигурациясы
- Қызметті қалпына келтіру (мысалы, құрылғы зауыттық қалпына келтірілгеннен кейін, ауыстырылған)
Абоненттерді қашықтан қолдау
- Құрылғының күйі мен функционалдығын тексеру
- Қолмен қайта конфигурациялау
Микробағдарлама және конфигурацияны басқару
- Микробағдарламаны жаңарту / төмендету
- Конфигурацияның сақтық көшірмесі / қалпына келтіру
Диагностика және бақылау
- Өткізгіштік (TR-143) және байланыс диагностикасы
- Параметр мәнін алу
- Журнал файлын іздеу

Қауіпсіздік

Рұқсат етілмеген тұлғалардың ISP ACS ымырасы немесе ACS пен CPE арасындағы байланыс TR-069 қолдайтын құрылғыларға қол жеткізе алады. қызмет көрсетуші барлық абоненттік база. Тұтынушы туралы ақпарат пен құрылғының жұмысы әлеуетті шабуылдаушыларға, соның ішінде клиенттің желілеріндегі басқа MAC мекен-жайларына қол жетімді болады. DNS сұрауларын жалған DNS серверіне қайта бағыттау мүмкін, тіпті артқы есік мүмкіндіктерімен жасырын микробағдарлама жаңартулары мүмкін.^[4] TR-069 ACS бағдарламалық қамтамасыздандыруы көбінесе қауіпті болып табылды.^[5] Тиісті қорғаныссыз қосылым сұраныстары үшін жалпы интернетте бірдей HTTP соңғы нүктесін қайта қолданған TR-064 (LAN тарапындағы DSL CPE конфигурациясы) және TR-069 (CWMP) кемшіліктері әртүрлі сатушылардың құрылғыларында табылған және оларды пайдаланған Мирайға негізделген ботнет және басқа зиянды бағдарламалар.^[6]^[7]

Сондай-ақ қараңыз

Сымсыз маршрутизатор

Әдебиеттер тізімі

^ «CPE WAN басқару хаттамасы» (PDF). TR-069 4 түзету. Кең жолақты форум. 2011 жылғы шілде. Алынған 16 ақпан, 2012.
^ «CPE WAN басқару хаттамасы» (PDF). TR-069 5 түзету. Кең жолақты форум. Қараша 2013. Алынған 3 наурыз, 2014.
^ ^а ^б «TR-069 (CWMP) апаттық бағыты». AVSystem. Алынған 16 қараша, 2020.
^ Интернет-провайдерлер ұсынатын көптеген үй маршрутизаторлары жаппай бұзылуы мүмкін дейді зерттеушілер
^ Check Point компаниясының зиянды бағдарламалары мен осалдығын зерттеу тобы ACS жеткізушілерінің шешімдеріндегі бірнеше кемшіліктерді анықтады
^ «Mirai үй маршрутизаторларына шабуыл және болжамды TR-069 осалдығы». www.qacafe.com. Алынған 25 сәуір, 2020.
^ «Маршрутизаторды дұрыс қолданбаудың практикалық тәсілдері». blog.ptsecurity.com. Алынған 16 маусым, 2017.

Сыртқы сілтемелер

TR-069 1-шығарылым. 6-түзету CPE WAN басқару протоколы v1.4
CPE WAN басқару хаттамасы CWMP XML схемалары және деректер моделінің анықтамалары
Маркетингтік есеп TR-069 орналастыру сценарийлері, Шығарылым: 1 тамыз 2010 ж
[1] TR-069 протоколы мен SNMP протоколына қарсы
TR-069 білім қоры TR-069 білім қоры
TR-069 кейін не болады? Бұл TR-369

Ашық көзді енгізу

[1] «CPE WAN басқару хаттамасы» (PDF). TR-069 4 түзету. Кең жолақты форум. 2011 жылғы шілде. Алынған 16 ақпан, 2012.

[2] «CPE WAN басқару хаттамасы» (PDF). TR-069 5 түзету. Кең жолақты форум. Қараша 2013. Алынған 3 наурыз, 2014.

[tr069-crashcourse-3] а ^б «TR-069 (CWMP) апаттық бағыты». AVSystem. Алынған 16 қараша, 2020.

[4] Интернет-провайдерлер ұсынатын көптеген үй маршрутизаторлары жаппай бұзылуы мүмкін дейді зерттеушілер

[5] Check Point компаниясының зиянды бағдарламалары мен осалдығын зерттеу тобы ACS жеткізушілерінің шешімдеріндегі бірнеше кемшіліктерді анықтады

[6] «Mirai үй маршрутизаторларына шабуыл және болжамды TR-069 осалдығы». www.qacafe.com. Алынған 25 сәуір, 2020.

[7] «Маршрутизаторды дұрыс қолданбаудың практикалық тәсілдері». blog.ptsecurity.com. Алынған 16 маусым, 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]