Hi … 😉 Wie viele andere vertraue ich bzgl. Datensicherung keinen externen Clouds und habe deshalb ein kleines NAS laufen (Synology DS 918+). Und da ich etwas paranoid bin, ist zwischen der IB5 und dem Heimnetzwerk noch ein zusätzlicher Router geschaltet (Synology RT6600ax), der über "Emerging Threats" jegliche Malware herausfiltert. Über Monate war es da völlig ruhig, es mussten kaum relevante Angriffe gefiltert werden. Seit 2 bis 3 Wochen hat sich das allerdings geändert. Es werden täglich mehrere relevante Angriffe registriert: * [ET WEB_SPECIFIC_APPS React Server Components React2Shell Unsafe Flight Protocol Property Access (CVE-2025-55182)](https://securitylabs.datadoghq.com/articles/cve-2025-55182-react2shell-remote-code-execution-react-server-components/) * ET WEB_SERVER Possible XXE SYSTEM ENTITY in POST BODY. * [ET EXPLOIT Zimbra

@"duffy"#p902865 Swisscom schützt seine DNS-Server hauptsächlich durch den kostenlosen "Internet Guard", der Nutzer vor schädlichen Webseiten warnt (Phishing, Malware) und sie blockiert, indem er gefährliche Adressen über Blacklists erkennt und umleitet, sowie durch Sperrlisten für Inhalte wie Kinderpornografie (KOBIK), um Betrug und Missbrauch zu verhindern und die Privatsphäre zu erhöhen . Technisch wird dies durch netzwerkbasierte Filterung und die Nutzung externer Bedrohungsquellen realisiert, um das gesamte Swisscom-Netzwerk sicherer zu machen.

Was über eine Internetbox auf Dein internes Netz weitergeleitet wird, hängt weitgehend davon ab, ob Du Deinen eigenen Router einfach generell in die DMZ der Internetbox gestellt hast, so das wirklich alle eingehenden Ports (mit ganz wenigen Ausnahmen) einfach durchgelassen werden, oder ob Du Dir die Mühe gemacht hast, nur die wirklich echt benötigten Ports einzeln in der Internetbox an Deinen eigenen Router weiterzuleiten. Solange Dein eigener Router mit seiner eigenen Firewall sehr gut mit dem WAN-Angriffs-Risiko umgehen kann, ist der generelle DMZ-Modus kein wirkliches Sicherheitsrisiko, aber mit ev. Warn- und Bedrohungsmeldungen musst Du dann einfach leben, oder sie durch die eventuell mögliche Herunterstufung eines Message-Levels Deines eigenen Routers einfach ausschalten. Selbst benötige ich auf meiner eigenen Internetbox übrigens lediglich vier einzelne Portweiterleitung aus dem privaten Bereich für vier unterschiedliche VPN-Server und deshalb habe ich auch bewusst auf die Einschaltung des generellen DMZ-Modus verzichtet. Falls ich aber, was ich als Test gelegentlich mache, z. B. den SSL-Port TCP 443 weiterleite, dauert es keine Viertelstunde bis die Portscannerbots aus dem Internet dies entdecken mit der Konsequenz, dass ich dann anschliessend regelmässig mit 5-10 Angriffsversuchen pro Stunde über den SSL-Port beharkt werde.

Hi @"duffy"#p902765 Was du da siehst, ist das Internet "Grundrauschen". Hier mal eine Auswertung aller 115'060 gemessener "blocks" meiner Firewall der letzten Woche: [upl-image-preview uuid=02fa7326-810b-46da-bfd2-1c8e58f65dbd url=https://static.community.swisscom.ch/2025-12-14/1765706599-947765-image.png alt={TEXT?}] Aber: Jetzt bitte nicht in Panik verfallen 😉 - denn genau dafür wurden ja die Firewalls erfunden! Wenn deine Firewall etwas blockt, dann macht sie ihren Job. Ich fokussiere mich auf "echte" Angriffe, also das, was "durch" kommt bzw. darauf, dass eben so wenig wie möglich durchkommt, z.B. eine Minimierung der Angriffsfläche durch die Nutzung eines VPNs anstelle von Portforwardings. Wenn du nämlich das ganze Internet nach Hause einlädst, wird das ganze Internet auch vorbeischauen. LG r00t

@"Werner"#p902768 Vielen Dank für die Erläuterungen, das ist mir schon klar! Meine IB leitet tatsächlich alles per DMZ an den 2. Router weiter. Die definitive Portweiterleitung erfolgt erst dort. "Panik" deswegen besteht auch gar nicht; Ich möchte nur die Abläufe dahinter verstehen! Deshalb meine 2 Fragen: 1. Wird bei aktiviertem DMZ die IB-interne Firewall deaktiviert? Das kann ich mir eigentlich nicht vorstellen, wäre ja unsinnig, oder? Wenn aber die IB-Firewall (strikt) weiter aktiv bleibt, dann bedeutet das doch, dass diese Angriffsversuche, die mir der 2. Router meldet, von der IB nicht erkannt und nicht gefiltert werden. D.h. jeder Nutzer, der sich nur auf die IB-Firewall verlässt, ist diesen Angriffsversuchen ungeschützt ausgesetzt, oder? Interessant dabei ist auch, dass spezielle Angriffsvektoren wellenartig kommen: Vor ein paar Monaten war es Schadcode für Zyxel-Router, jetzt die Angriffe auf React-Server. 2. Warum wird dieser eindeutige Schadcode nicht schon auf Swisscom-Ebene gefiltert? In der Regel hören diese spezifischen Angriffe dann nach 1-2 Monaten auf. Hat die Swisscom dann doch reagiert? Oder wurde die Firewall der IB aktualisiert? Wie gesagt, mir geht's nur um Verständnis! LG

@"duffy"#p902845 Vielleicht liest du in der IB mal die Texte zu den Einstellungen und auch die Texte hinter dem "i im Kreis". Eine Firewall ist kein Filter für Inhalte (Malware) sondern für Ports. Wenn du alle Ports an ein weiteres Gerät weiterleitest, dann muss sich dieses Gerät darum kümmern. Die IB-Firewall-Einstellung "Strickt" sorgt dann höchstens noch darum das nichts auf die IB selber zugreifen kann. Darum hat dir @"Werner"#p902768 empfohlen nur einzelne Portweiterleitungen einzurichten und nicht gleich alles weiterzuleiten.

@"GuidoL"#p902848 Das steht dort aber anders bzw. ist missverständlich: > Sie überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand [festgelegter Regeln](https://de.wikipedia.org/wiki/Firewall-Regelwerk "Firewall-Regelwerk"), ob bestimmte [Netzwerkpakete](https://de.wikipedia.org/wiki/Datenpaket "Datenpaket") durchgelassen werden oder nicht. Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden. > Für das Aufspüren von Angriffen sind sogenannte [IDS](https://de.wikipedia.org/wiki/Intrusion_Detection_System "Intrusion Detection System")-Module zuständig, die durchaus auf einer Firewall aufsetzen und Bestandteil des Produkts sein können. Der Normalo-User geht doch davon aus, dass auch vor Angriffen geschützt wird. Und genau das behauptet auch das Info-Fenster der IB: [upl-image-preview uuid=b5215895-f618-46fe-b796-ba6e00e75843 url=https://static.community.swisscom.ch/2025-12-14/1765725496-891510-fw.jpg alt={TEXT?}] Und zusätzlich hast Du wohl überlesen, dass eine dezidierte Portweiterleitung auf dem 2. Router eingerichtet ist. LG

@"duffy"#p902849 Ja das ist das was ich schrieb. Natürlich schützt die FW gegen Angriffe, aber nicht aufgrund des Inhalts eines Datenpakets. Sie kann keine Malware erkennen sonder nur den Zugriff. Was dessen Pakete enthalten wird nicht erkannt. Zitat: *Je nach Absender, Zustelladresse, Protokoll und Sendevorgang erlaubte Datenpakete dürfen passieren (engl. pass), verbotene werden abgelehnt (reject) oder verworfen (deny, drop).*

@"GuidoL"#p902850 Okay, eine FW schützt also nicht vor Schadcode. Also passiert dieser Schutz allein auf Swisscom-Ebene?

@"duffy"#p902855 Natürlich schützt eine Firewall gegen Schadcode, sie weiss es nur nicht 😀. Wenn ich niemanden ins Haus lasse, kommt auch kein Dieb herein. Ich weiss das aber nicht, weil ich der Person den Dieb nicht ansehe. Ich lass sie nur aufgrund einer Regel (z. Bsp. nicht eingeladen) nicht herein, nicht aufgrund ihrer Absicht.

@"GuidoL"#p902860 Cooles Beispiel! Beantwortet aber leider nicht meine Frage: Überprüft die Swisscom (oder jeder andere Provider) den Strafregisterauszug meiner Besucher, bevor sie meine Adresse weitergibt? * Wenn "nein", dann müsste ich doch viel mehr ungebetene Besucher haben, oder? * Wenn "ja", warum klingeln dann trotzdem diverse Straftäter? LG

@"WalterB"#p902870 Vielen Dank für die Antwort. Lass mich aber nochmal nachfragen: DNS-Sperren haben ja nichts mit Schadcode zu tun, oder? D.h. es wird der Netzverkehr NICHT auf Schadcode gescannt? Sondern nur auf ausgehende schädliche IP-Adressen?

Swisscom und der Malware-Schutz

r00t

Hi duffy

Für 99.9% der Swisscomkunden trifft das nicht zu – ohne Portweiterleitung nach innen bzw. DMZ Modus kommt da nämlich kein Paket einfach so an der Internetbox vorbei 😉.

Darum jetzt vielleicht eine dumme Frage: Warum hast du den DMZ Modus aktiviert? Willst du auf deinem NAS Dienste dem ganzen Internet zugänglich machen? Falls nicht, nutze den integrierten VPN-Server auf der Internetbox oder deinem Router oder dem NAS - wenn du WireGuard machst, ist das von aussen sehr schwer zu finden (UDP Port) und du kannst alles andere schon ganz vorn am Rand deines Netzwerks blockieren. Wenn du das nicht möchtest, übernimmt Swisscom das gegen eine monetäre Zuwendung ebenfalls 😉.

Ich persönlich bin (wie du sicher schon gemerkt hast) dagegen, dass die ISPs da Pakete analysieren und Verbindungen abhacken. Ich bin der Meinung, dass das eine Büchse der Pandora öffnen würde, mit haufenweise false Positives, Privatsphärebedenken, viel zu geringem Impact (weil 99+% des Traffics verschlüsselt) und dem beliebten "warum soll ich den patchen? die WAF blockiert ja alles..".

Ich wünsche dir frohe Festtage! 🎄

r00t

duffy

Hi r00t … 😉

Vielen Dank für die Erklärungen. Genau deshalb nerve ich ja hier so rum: Ich möchte es verstehen!

r00t Warum hast du den DMZ Modus aktiviert?

Das hatte ich weiter oben erklärt:
Ich möchte z.B. sehen, welcher Netzwerkverkehr in meinem Heimnetz stattfindet oder wer was nach draussen schickt. Leider bietet die IB5 dazu gar nichts. Deswegen geht per DMZ alles an einen RT6600ac. Alle weiteren Portfreigaben etc. finden dann dort statt. Und natürlich laufen wichtige Anwendungen nur über VPN!

Aber meine Kernfrage bleibt: Filtert die Swisscom Schadcode auf ISP- oder Router-Ebene?
Dazu gab's jetzt hier viele verschiedene Aussagen:

Nein, wäre viel zu aufwändig (und sogar schädlich).
Ja, aber kostet extra.

Firewall der IB filtert nur Portzugriffe
Kein Paket kommt einfach so an der IB vorbei.

Ich bleibe verwirrt … 😜

Ebenfalls allen, die sich hier mit mir abgeben, ein paar wunderschöne Feiertage … 🎄

Werner

duffy r00t Warum hast du den DMZ Modus aktiviert?

Das hatte ich weiter oben erklärt:
Ich möchte z.B. sehen, welcher Netzwerkverkehr in meinem Heimnetz stattfindet oder wer was nach draussen schickt. Leider bietet die IB5 dazu gar nichts. Deswegen geht per DMZ alles an einen RT6600ac.

Du hast da vielleicht etwas missverstanden, denn der DMZ-Modus auf der Internetbox:

- hat überhaupt nichts zu tun mit Deinem Netzwerkverkehr innerhalb des Heimnetzes, sondern wirkt nur auf der WAN-Schnittstelle zum Internet indem er die Standardregel aufhebt, dass alle eingehenden Ports der Internetbox gegenüber der Aussenwelt sowieso blockiert sind

- der DMZ-Modus wirkt auch wirklich nur auf den eingehenden Verkehr, welcher direkt aus dem Internet eingeht und keine Antworten auf Deine eigenen Anfragen darstellt

Das Resultat, welches Du jetzt siehst ist wirklich ganz einfach damit zu erklären, dass Du die für den normalen Gebrauch einer Internetbox wirklich sehr sinnvolle Regel, dass alle eingehenden Ports für direkte Verbindungsaufnahmen aus dem Internet blockiert sind, bewusst aufgehoben hast und damit als Konsequenz nun auch wirklich alle BOT-Anfragen aus dem Internet direkt auf Deinen nachgelagerten eigenen Router durchschlagen.

Fazit: Ohne konkreten Bedarf seine eigene Internetbox gegenüber dem Internet vollständig zu öffnen und dem Bewusstsein der Konsequenzen daraus, empfiehlt es sich nicht den DMZ-Modus auf einer Internetbox zu aktivieren.
Auch der Betrieb eines eigenen zusätzlichen kaskadierten Routers hinter der Internetbox, der ja durchaus sinnvoll sein kann, stellt für sich alleine gesehen noch keinerlei Notwendigkeit eines aktivierten DMZ-Modus dar.

r00t

Hi duffy

Ich denke, wenn wir alle Antworten mal runterkochen, dann kommen wir zu folgendem Fazit:

Filtert die Swisscom Schadcode auf ISP- oder Router-Ebene?

Nein. Swisscom blockiert nämlich alle eingehenden Verbindungen standardmässig, unabhängig von deren Inhalt.

Es ist möglich, mittels DMZ Modus oder Portweiterleitungen eingehende Verbindungen zu erlauben. In diesem Fall wird aber ebenfalls der Inhalt nicht geprüft.

Für Geschäftskunden gibt es kostenpflichtige Angebote, welche mittels verschiedener Technologien Angriffe stoppen.

Kann gut sein, dass sich da in Zukunft das für Privatkunden Angebot verändern wird – das würde aber vermutlich eher auf den Routern laufen anstelle von einer zentralen Analysestelle.

r00t

duffy

Lieber Werner

Aber genau das möchte ich!
Ich möchte sehen, was da alles von aussen ankommt. Da hatte ich mich missverständlich ausgedrückt.
Der Syno-Router erkennt und filtert nicht nur alles von aussen, sondern loggt und steuert zusätzlich den ganzen internen Verkehr.

Und diese beiden Funktionen fehlen mir bei der IB:

Extern: Sobald ich einen Port öffne, kann jeder da durch, ohne dass ich es merke .. auch wenn es natürlich fast nie wirklich gefährlich ist.
Intern: Ich merke nicht, wenn irgendwelche IoT-Geräte oder Computer plötzlich ungewöhnliche Verbindungen aufmachen oder der Datenverkehr sprunghaft ansteigt.

Von daher finde ich diese Konfiguration immer noch sinnvoll.
Klar, das ist vielleicht völlig übertrieben! Aber Vertrauen ist gut, Kontrolle ist besser, oder?

Beispiel:
Immer mehr Kollegen schaffen sich kleine NAS an … als Backup-System, die persönliche Cloud, vielleicht für die eigene Website etc.
Da wird dann Port 80/443 aufgemacht. Der Kumpel möchte seine Daten gerne per FTP Port 21 sichern, für die eBook-Sammlung per Calibre wird noch ein Port gebraucht … und auch die Plex-Multimedia-Sammlung braucht einen Port … u.v.m.
D.h. es werden auf der IB etliche Ports geöffnet, über die man keinerlei Kontrolle hat.
Nein, dann fühle ich mich sicherer, wenn da noch eine zusätzliche Firewall / Thread Prevention zwischengeschaltet ist.

Und dieser zusätzliche Router hat (für mich) noch einen weiteren Vorteil:
Die Swisscom hat vollen Zugriff auf meine IB und das verbundene Netzwerk.
Ich will aber nicht, dass die Swisscom sehen kann, was sich alles in meinem Heimnetz befindet. Das geht sie überhaupt nichts an.
Und bei dieser Konfiguration sieht die Swisscom nur die IB und den angeschlossenen sekundären Router. Danach ist Schluss.

Ist das übertrieben? Habe ich da einen Denkfehler?

duffy

Lieber r00t

Ganz herzlichen Dank!
Ich glaube, ich hab's jetzt verstanden … ☺

Auf ISP-Ebene wird gar nichts gefiltert oder geblockt.
Auf Router-Ebene hat's (nur) die Port-Blockade bzw. Freigabe.

Wie eben an Werner geschrieben, halte ich das angesichts der zunehmenden privaten Nutzung von NAS aber für ungünstig, oder?

Allerletzte Frage … versprochen … 😂:
Bzgl. Portfreigabe
Bei aktiviertem uPNP öffnet z.B. die PS4 diverse Ports, also potenzielle Angriffsvektoren.
Bei deaktiviertem uPNP und geschlossenen Ports funktioniert die PS4 aber genauso.
Wofür und wann braucht es unbedingt uPNP?

Werner

duffy Ist das übertrieben? Habe ich da einen Denkfehler?

Nein, nicht wirklich denn Sicherheit ist immer ein Thema und das Thema Privacy ist auch immer eine Überlegung wert.

Trotzdem darfst Du nicht davon ausgehen, dass ein Internetprovider bereits im Backbone vor Deinem eigenen Internetanschluss einen grossen Schutz bieten würde, den seine Hauptaufgabe ist es Verbindungen durch das internet unbesehen des Inhaltes herzustellen, und nicht sie zu verhindern.

Auch mit der Aussage, dass viele Benutzer sich gar nicht bewusst sind, welche Risiken sie mit überflüssigerweise offenen Ports eingehen, hast Du sicher recht.

Mein eigener Netzwerk-Setup sieht übrigens so aus:
Internetbox ohne DMZ-Modus, aber mit 3 geöffneten einzelnen UDP-Ports im privaten 5-stelligen Bereich für drei verschiedene VPN-Server, welche sich auf und hinter einem zweiten kaskadierten eigenen Router befinden.
Vorteil dieser Lösung mit allen Verbindungen aus dem Internet nur über Ports im privaten Bereich und nur direkt auf speziell „gehärtete“ VPN-Server ist, dass diese Ports im Regelfall gar nie angegriffen werden, da es keine Standard-Ports sind und von den Scanner-Bots im Regelfall gar nie gesucht werden, und falls das dann doch mal der Fall sein sollte, ist dann trotzdem kein Durchkommen durch den VPN-Server möglich.

r00t

Hi duffy

Du stellst genau die richtigen Fragen 🙂.

uPnP: Das Idee von uPnP ist, dass Geräte selbstständig Ports öffnen und zu sich weiterleiten können. Bei Konsolenspielen kommunizieren diese im Multiplayer oft direkt untereinander. Das hält nebst der Latenz auch die Serverkosten bei den Anbietern tief (ein Schelm, wer böses denkt). Da man eben standardmässig aber nicht einfach durch die Firewall kommt, öffnet die Zielplaystation das Türchen in der Firewall selbst. Ebenso nutzt RemotePlay diesen Trick.

Die meisten Games können damit umgehen, wenn einige der partizipierenden Spieler nicht direkt erreicht werden können – wenn du aber mit einem Kollegen, der auch alles eingehend blockiert, spielen möchtest, kann es komplex werden.

Wie eben an Werner geschrieben, halte ich das angesichts der zunehmenden privaten Nutzung von NAS aber für ungünstig, oder?

Ich erkläre es den Leuten immer so:

Wenn das ganze Internet auf deinen Dienst zugreifen muss (z.B. Webserver): Mach eine Portweiterleitung
Wenn nur bestimmte Leute auf deinen Dienst zugreifen sollen: Mach ein VPN.

KISS - keep it simple and stupid!

Ich persönlich nutze WireGuard, wer es bequemer (dafür mit etwas mehr Cloud) haben möchte, sollte einen Blick auf Tailscale werfen.

r00t

« Vorherige Seite