Swisscom und der Malware-Schutz

duffy · 2025-12-13T22:56:33+00:00

Hi … 😉 Wie viele andere vertraue ich bzgl. Datensicherung keinen externen Clouds und habe deshalb ein kleines NAS laufen (Synology DS 918+). Und da ich etwas paranoid bin, ist zwischen der IB5 und dem Heimnetzwerk noch ein zusätzlicher Router geschaltet (Synology RT6600ax), der über "Emerging Threats" jegliche Malware herausfiltert. Über Monate war es da völlig ruhig, es mussten kaum relevante Angriffe gefiltert werden. Seit 2 bis 3 Wochen hat sich das allerdings geändert. Es werden täglich mehrere relevante Angriffe registriert: * [ET WEB_SPECIFIC_APPS React Server Components React2Shell Unsafe Flight Protocol Property Access (CVE-2025-55182)](https://securitylabs.datadoghq.com/articles/cve-2025-55182-react2shell-remote-code-execution-react-server-components/) * ET WEB_SERVER Possible XXE SYSTEM ENTITY in POST BODY. * [ET EXPLOIT Zimbra <8.8.11 - XML External Entity Injection/SSRF Attempt (CVE-2019-9621)](https://www.cvedetails.com/cve/CVE-2019-9621/) * ET HUNTING Terse Unencrypted Request for Google - Likely Connectivity Check * ET INFO Python aiohttp User-Agent Observed Inbound Diese Angriffe auf den Router oder die NAS betreffen mich zwar nicht und könnten keinen Schaden anrichten. Allerdings wundert es mich schon sehr, dass die Swisscom diese Schadcodes nicht schon auf Hoster-Ebene filtert. Insbesondere die Angriffe auf die React-Server sind extrem bedenklich. Hängt die Swisscom da einfach hinterher, was aktuelle Malware angeht? Habt Ihr da ähnliche Erfahrungen? LG

duffy

Werner

Vielen Dank für die Erläuterungen, das ist mir schon klar!
Meine IB leitet tatsächlich alles per DMZ an den 2. Router weiter. Die definitive Portweiterleitung erfolgt erst dort.
"Panik" deswegen besteht auch gar nicht; Ich möchte nur die Abläufe dahinter verstehen!

Deshalb meine 2 Fragen:

Wird bei aktiviertem DMZ die IB-interne Firewall deaktiviert?
Das kann ich mir eigentlich nicht vorstellen, wäre ja unsinnig, oder?
Wenn aber die IB-Firewall (strikt) weiter aktiv bleibt, dann bedeutet das doch, dass diese Angriffsversuche, die mir der 2. Router meldet, von der IB nicht erkannt und nicht gefiltert werden. D.h. jeder Nutzer, der sich nur auf die IB-Firewall verlässt, ist diesen Angriffsversuchen ungeschützt ausgesetzt, oder?
Interessant dabei ist auch, dass spezielle Angriffsvektoren wellenartig kommen: Vor ein paar Monaten war es Schadcode für Zyxel-Router, jetzt die Angriffe auf React-Server.
Warum wird dieser eindeutige Schadcode nicht schon auf Swisscom-Ebene gefiltert?

In der Regel hören diese spezifischen Angriffe dann nach 1-2 Monaten auf.
Hat die Swisscom dann doch reagiert? Oder wurde die Firewall der IB aktualisiert?

Wie gesagt, mir geht's nur um Verständnis!

GuidoL

duffy

Vielleicht liest du in der IB mal die Texte zu den Einstellungen und auch die Texte hinter dem "i im Kreis".
Eine Firewall ist kein Filter für Inhalte (Malware) sondern für Ports. Wenn du alle Ports an ein weiteres Gerät weiterleitest, dann muss sich dieses Gerät darum kümmern. Die IB-Firewall-Einstellung "Strickt" sorgt dann höchstens noch darum das nichts auf die IB selber zugreifen kann.

Darum hat dir Werner empfohlen nur einzelne Portweiterleitungen einzurichten und nicht gleich alles weiterzuleiten.

https://de.wikipedia.org/wiki/Firewall

duffy

GuidoL

Das steht dort aber anders bzw. ist missverständlich:

Sie überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden.

Für das Aufspüren von Angriffen sind sogenannte IDS-Module zuständig, die durchaus auf einer Firewall aufsetzen und Bestandteil des Produkts sein können.

Der Normalo-User geht doch davon aus, dass auch vor Angriffen geschützt wird.

Und genau das behauptet auch das Info-Fenster der IB:

Und zusätzlich hast Du wohl überlesen, dass eine dezidierte Portweiterleitung auf dem 2. Router eingerichtet ist.

GuidoL

duffy

Ja das ist das was ich schrieb. Natürlich schützt die FW gegen Angriffe, aber nicht aufgrund des Inhalts eines Datenpakets. Sie kann keine Malware erkennen sonder nur den Zugriff. Was dessen Pakete enthalten wird nicht erkannt.

Zitat:
Je nach Absender, Zustelladresse, Protokoll und Sendevorgang erlaubte Datenpakete dürfen passieren (engl. pass), verbotene werden abgelehnt (reject) oder verworfen (deny, drop).

duffy

GuidoL

Okay, eine FW schützt also nicht vor Schadcode.

Also passiert dieser Schutz allein auf Swisscom-Ebene?

GuidoL

duffy

Natürlich schützt eine Firewall gegen Schadcode, sie weiss es nur nicht 😀. Wenn ich niemanden ins Haus lasse, kommt auch kein Dieb herein. Ich weiss das aber nicht, weil ich der Person den Dieb nicht ansehe. Ich lass sie nur aufgrund einer Regel (z. Bsp. nicht eingeladen) nicht herein, nicht aufgrund ihrer Absicht.

duffy

GuidoL

Cooles Beispiel!

Beantwortet aber leider nicht meine Frage:
Überprüft die Swisscom (oder jeder andere Provider) den Strafregisterauszug meiner Besucher, bevor sie meine Adresse weitergibt?

Wenn "nein", dann müsste ich doch viel mehr ungebetene Besucher haben, oder?
Wenn "ja", warum klingeln dann trotzdem diverse Straftäter?

WalterB

duffy

Swisscom schützt seine DNS-Server hauptsächlich durch den kostenlosen "Internet Guard", der Nutzer vor schädlichen Webseiten warnt (Phishing, Malware) und sie blockiert, indem er gefährliche Adressen über Blacklists erkennt und umleitet, sowie durch Sperrlisten für Inhalte wie Kinderpornografie (KOBIK), um Betrug und Missbrauch zu verhindern und die Privatsphäre zu erhöhen . Technisch wird dies durch netzwerkbasierte Filterung und die Nutzung externer Bedrohungsquellen realisiert, um das gesamte Swisscom-Netzwerk sicherer zu machen.

duffy

WalterB

Vielen Dank für die Antwort.

Lass mich aber nochmal nachfragen:
DNS-Sperren haben ja nichts mit Schadcode zu tun, oder?
D.h. es wird der Netzverkehr NICHT auf Schadcode gescannt? Sondern nur auf ausgehende schädliche IP-Adressen?

WalterB

duffy

Was sonst noch mehr gefiltert wird kann ich Dir nicht sagen es hat hier im Community sicher ein paar Anwender welche mehr Info haben , jedenfalls die eigenen DNS Server Adressen erfüllen sicher einen grossen Teil ihrer Aufgabe, es kann aber selten passieren das gewisse Link gesperrt werden und man das halt melden muss.

GuidoL

Es muss auch noch unterschieden werden was die Swisscom an ihrem Engang scannt um ihr Netz sauber zu halten, und was die IB macht. Nach meinem Wissensstand hat die IB keinen Inhalte Scanner/Filter. Die Firewall prüft nur Port, Absender Adresse, Zustelladresse, und sonst noch ein paar Dinge. Wie der Pöstler, er schaut nur aussen aufs Packet nicht hinein, das würde der Geheimdienst machen ☺, bzw. der Malware/Virenscanner. Das ist dann Sache deiner Anwendung.

Falls du mit Windows arbeitest, kannst du dessen Firewall mal ansehen. Auch dort kannst du vieles konfigurieren.

duffy

GuidoL

Soweit verstanden!

Mein 2. Router arbeitet mit "Thread Prevention" über "ET Open".

Trotzdem wäre es interessant, was die Swisscom selber scannt. Und dass sie scannt, liegt auf der Hand, weil diverse Angriffe irgendwann aufhören.
Meine Vermutung deshalb: Die Swisscom scannt auch nach Schadcode, ist dabei aber leider nicht aktuell.

Testweise habe ich mal die Firewall der IB deaktiviert … Mal schauen, was passiert ….

Werner

duffy Meine Vermutung deshalb: Die Swisscom scannt auch nach Schadcode, ist dabei aber leider nicht aktuell.

Wenn Du denkst irgend ein Internet-Provider irgendwo auf der Welt würde realtime den kompletten eingehenden oder ausgehenden Internettraffic nach irgendwelche Muster-Erkennungs-Kriterien inhaltlich nach Schadcode scannen, dann liegst Du leider total falsch.

Mal abgesehen davon, dass es schon ein Riesenproblem ist überhaupt eindeutig festzulegen, was Schadcode überhaupt ist, würde das die technische Kommunikations-Infrastruktur jedes Internet-Anbieters schon rein mengenmässig schlichtweg total überfordern.

Das wichtigste hat @GuidoL eigentlich schon sehr gut beschrieben, denn für eine hohe Sicherheit lässt man am besten gar keine Anfrager aus der Aussenwelt in sein eigenes Netz rein, und dann macht man bei einem echten Bedarf, welchen die meisten Internetbenutzer eigentlich gar nicht haben, einzelne bewusste Ausnahmen für einzelne „Besucher“, welchen man dann bewusst eine Zutrittsgenehmigung erteilt.