Swisscom und der Malware-Schutz

duffy · 2025-12-13T22:56:33+00:00

Salut… 😉 Comme beaucoup d'autres, je ne fais pas confiance aux clouds externes pour la sauvegarde de mes données et j'utilise donc un petit NAS (Synology DS 918+). Et comme je suis un peu paranoïaque, j'ai ajouté un routeur supplémentaire (Synology RT6600ax) entre l'IB5 et le réseau domestique, qui filtre tous les logiciels malveillants via « Emerging Threats ». Pendant des mois, tout était calme, il n'y avait pratiquement aucune attaque pertinente à filtrer. Mais cela a changé depuis 2 à 3 semaines. Plusieurs attaques pertinentes sont enregistrées chaque jour : * [ET WEB_SPECIFIC_APPS React Server Components React2Shell Unsafe Flight Protocol Property Access (CVE-2025-55182)](https://securitylabs.datadoghq.com/articles/cve-2025-55182-react2shell-remote-code-execution-react-server-components/) * ET WEB_SERVER Possible XXE SYSTEM ENTITY in POST BODY. * [ET EXPLOIT Zimbra <8.8.11 - XML External Entity Injection/SSRF Attempt (CVE-2019-9621)](https://www.cvedetails.com/cve/CVE-2019-9621/) * ET HUNTING Terse Unencrypted Request for Google - Likely Connectivity Check * ET INFO Python aiohttp User-Agent Observed Inbound Ces attaques contre le routeur ou le NAS ne me concernent pas et ne pourraient causer aucun dommage. Cependant, je suis très surpris que Swisscom ne filtre pas ces codes malveillants au niveau de l'hébergeur. Les attaques contre les serveurs React sont particulièrement préoccupantes. Swisscom est-elle simplement à la traîne en matière de logiciels malveillants actuels ? Avez-vous vécu des expériences similaires ? LG

Werner

Was über eine Internetbox auf Dein internes Netz weitergeleitet wird, hängt weitgehend davon ab, ob Du Deinen eigenen Router einfach generell in die DMZ der Internetbox gestellt hast, so das wirklich alle eingehenden Ports (mit ganz wenigen Ausnahmen) einfach durchgelassen werden, oder ob Du Dir die Mühe gemacht hast, nur die wirklich echt benötigten Ports einzeln in der Internetbox an Deinen eigenen Router weiterzuleiten.

Solange Dein eigener Router mit seiner eigenen Firewall sehr gut mit dem WAN-Angriffs-Risiko umgehen kann, ist der generelle DMZ-Modus kein wirkliches Sicherheitsrisiko, aber mit ev. Warn- und Bedrohungsmeldungen musst Du dann einfach leben, oder sie durch die eventuell mögliche Herunterstufung eines Message-Levels Deines eigenen Routers einfach ausschalten.

Selbst benötige ich auf meiner eigenen Internetbox übrigens lediglich vier einzelne Portweiterleitung aus dem privaten Bereich für vier unterschiedliche VPN-Server und deshalb habe ich auch bewusst auf die Einschaltung des generellen DMZ-Modus verzichtet.
Falls ich aber, was ich als Test gelegentlich mache, z. B. den SSL-Port TCP 443 weiterleite, dauert es keine Viertelstunde bis die Portscannerbots aus dem Internet dies entdecken mit der Konsequenz, dass ich dann anschliessend regelmässig mit 5-10 Angriffsversuchen pro Stunde über den SSL-Port beharkt werde.

duffy

Werner

Vielen Dank für die Erläuterungen, das ist mir schon klar!
Meine IB leitet tatsächlich alles per DMZ an den 2. Router weiter. Die definitive Portweiterleitung erfolgt erst dort.
"Panik" deswegen besteht auch gar nicht; Ich möchte nur die Abläufe dahinter verstehen!

Deshalb meine 2 Fragen:

Wird bei aktiviertem DMZ die IB-interne Firewall deaktiviert?
Das kann ich mir eigentlich nicht vorstellen, wäre ja unsinnig, oder?
Wenn aber die IB-Firewall (strikt) weiter aktiv bleibt, dann bedeutet das doch, dass diese Angriffsversuche, die mir der 2. Router meldet, von der IB nicht erkannt und nicht gefiltert werden. D.h. jeder Nutzer, der sich nur auf die IB-Firewall verlässt, ist diesen Angriffsversuchen ungeschützt ausgesetzt, oder?
Interessant dabei ist auch, dass spezielle Angriffsvektoren wellenartig kommen: Vor ein paar Monaten war es Schadcode für Zyxel-Router, jetzt die Angriffe auf React-Server.
Warum wird dieser eindeutige Schadcode nicht schon auf Swisscom-Ebene gefiltert?

In der Regel hören diese spezifischen Angriffe dann nach 1-2 Monaten auf.
Hat die Swisscom dann doch reagiert? Oder wurde die Firewall der IB aktualisiert?

Wie gesagt, mir geht's nur um Verständnis!

GuidoL

duffy

Vielleicht liest du in der IB mal die Texte zu den Einstellungen und auch die Texte hinter dem "i im Kreis".
Eine Firewall ist kein Filter für Inhalte (Malware) sondern für Ports. Wenn du alle Ports an ein weiteres Gerät weiterleitest, dann muss sich dieses Gerät darum kümmern. Die IB-Firewall-Einstellung "Strickt" sorgt dann höchstens noch darum das nichts auf die IB selber zugreifen kann.

Darum hat dir Werner empfohlen nur einzelne Portweiterleitungen einzurichten und nicht gleich alles weiterzuleiten.

https://de.wikipedia.org/wiki/Firewall

r00t

Hi duffy

Was du da siehst, ist das Internet "Grundrauschen". Hier mal eine Auswertung aller 115'060 gemessener "blocks" meiner Firewall der letzten Woche:

Aber: Jetzt bitte nicht in Panik verfallen 😉 - denn genau dafür wurden ja die Firewalls erfunden! Wenn deine Firewall etwas blockt, dann macht sie ihren Job.

Ich fokussiere mich auf "echte" Angriffe, also das, was "durch" kommt bzw. darauf, dass eben so wenig wie möglich durchkommt, z.B. eine Minimierung der Angriffsfläche durch die Nutzung eines VPNs anstelle von Portforwardings. Wenn du nämlich das ganze Internet nach Hause einlädst, wird das ganze Internet auch vorbeischauen.

r00t

duffy

GuidoL

Das steht dort aber anders bzw. ist missverständlich:

Sie überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden.

Für das Aufspüren von Angriffen sind sogenannte IDS-Module zuständig, die durchaus auf einer Firewall aufsetzen und Bestandteil des Produkts sein können.

Der Normalo-User geht doch davon aus, dass auch vor Angriffen geschützt wird.

Und genau das behauptet auch das Info-Fenster der IB:

Und zusätzlich hast Du wohl überlesen, dass eine dezidierte Portweiterleitung auf dem 2. Router eingerichtet ist.

GuidoL

duffy

Ja das ist das was ich schrieb. Natürlich schützt die FW gegen Angriffe, aber nicht aufgrund des Inhalts eines Datenpakets. Sie kann keine Malware erkennen sonder nur den Zugriff. Was dessen Pakete enthalten wird nicht erkannt.

Zitat:
Je nach Absender, Zustelladresse, Protokoll und Sendevorgang erlaubte Datenpakete dürfen passieren (engl. pass), verbotene werden abgelehnt (reject) oder verworfen (deny, drop).

duffy

GuidoL

Okay, eine FW schützt also nicht vor Schadcode.

Also passiert dieser Schutz allein auf Swisscom-Ebene?

GuidoL

duffy

Natürlich schützt eine Firewall gegen Schadcode, sie weiss es nur nicht 😀. Wenn ich niemanden ins Haus lasse, kommt auch kein Dieb herein. Ich weiss das aber nicht, weil ich der Person den Dieb nicht ansehe. Ich lass sie nur aufgrund einer Regel (z. Bsp. nicht eingeladen) nicht herein, nicht aufgrund ihrer Absicht.

duffy

GuidoL

Cooles Beispiel!

Beantwortet aber leider nicht meine Frage:
Überprüft die Swisscom (oder jeder andere Provider) den Strafregisterauszug meiner Besucher, bevor sie meine Adresse weitergibt?

Wenn "nein", dann müsste ich doch viel mehr ungebetene Besucher haben, oder?
Wenn "ja", warum klingeln dann trotzdem diverse Straftäter?

WalterB

duffy

Swisscom schützt seine DNS-Server hauptsächlich durch den kostenlosen "Internet Guard", der Nutzer vor schädlichen Webseiten warnt (Phishing, Malware) und sie blockiert, indem er gefährliche Adressen über Blacklists erkennt und umleitet, sowie durch Sperrlisten für Inhalte wie Kinderpornografie (KOBIK), um Betrug und Missbrauch zu verhindern und die Privatsphäre zu erhöhen . Technisch wird dies durch netzwerkbasierte Filterung und die Nutzung externer Bedrohungsquellen realisiert, um das gesamte Swisscom-Netzwerk sicherer zu machen.

duffy

WalterB

Vielen Dank für die Antwort.

Lass mich aber nochmal nachfragen:
DNS-Sperren haben ja nichts mit Schadcode zu tun, oder?
D.h. es wird der Netzverkehr NICHT auf Schadcode gescannt? Sondern nur auf ausgehende schädliche IP-Adressen?

WalterB

duffy

Was sonst noch mehr gefiltert wird kann ich Dir nicht sagen es hat hier im Community sicher ein paar Anwender welche mehr Info haben , jedenfalls die eigenen DNS Server Adressen erfüllen sicher einen grossen Teil ihrer Aufgabe, es kann aber selten passieren das gewisse Link gesperrt werden und man das halt melden muss.

GuidoL

Es muss auch noch unterschieden werden was die Swisscom an ihrem Engang scannt um ihr Netz sauber zu halten, und was die IB macht. Nach meinem Wissensstand hat die IB keinen Inhalte Scanner/Filter. Die Firewall prüft nur Port, Absender Adresse, Zustelladresse, und sonst noch ein paar Dinge. Wie der Pöstler, er schaut nur aussen aufs Packet nicht hinein, das würde der Geheimdienst machen ☺, bzw. der Malware/Virenscanner. Das ist dann Sache deiner Anwendung.

Falls du mit Windows arbeitest, kannst du dessen Firewall mal ansehen. Auch dort kannst du vieles konfigurieren.

duffy

GuidoL

Soweit verstanden!

Mein 2. Router arbeitet mit "Thread Prevention" über "ET Open".

Trotzdem wäre es interessant, was die Swisscom selber scannt. Und dass sie scannt, liegt auf der Hand, weil diverse Angriffe irgendwann aufhören.
Meine Vermutung deshalb: Die Swisscom scannt auch nach Schadcode, ist dabei aber leider nicht aktuell.

Testweise habe ich mal die Firewall der IB deaktiviert … Mal schauen, was passiert ….

Werner

duffy Meine Vermutung deshalb: Die Swisscom scannt auch nach Schadcode, ist dabei aber leider nicht aktuell.

Wenn Du denkst irgend ein Internet-Provider irgendwo auf der Welt würde realtime den kompletten eingehenden oder ausgehenden Internettraffic nach irgendwelche Muster-Erkennungs-Kriterien inhaltlich nach Schadcode scannen, dann liegst Du leider total falsch.

Mal abgesehen davon, dass es schon ein Riesenproblem ist überhaupt eindeutig festzulegen, was Schadcode überhaupt ist, würde das die technische Kommunikations-Infrastruktur jedes Internet-Anbieters schon rein mengenmässig schlichtweg total überfordern.

Das wichtigste hat @GuidoL eigentlich schon sehr gut beschrieben, denn für eine hohe Sicherheit lässt man am besten gar keine Anfrager aus der Aussenwelt in sein eigenes Netz rein, und dann macht man bei einem echten Bedarf, welchen die meisten Internetbenutzer eigentlich gar nicht haben, einzelne bewusste Ausnahmen für einzelne „Besucher“, welchen man dann bewusst eine Zutrittsgenehmigung erteilt.

WalterB

@duffy

Viel Schadcode wird bei den Anwender über Mail übertragen oder durch anklicken von irgend welchen Link , bei Windows oder Apple System wird ein grosser Anteil welche das System beschädigen könnten von der eigenen Überwachung gebremst, wegen dem sind Update das wichtigste.

Das Troyanische Pferd war nicht nur im Altertum vorhanden, sondern auch heute in der modernen Technik. 😉

duffy

WalterB

Oh, ja …. Werde nie vergessen, als bei meinem 2. Router alle Warnlichter anfingen zu blinken:
Ich hatte damals Diverses von MyStrom am Laufen (steuerbare Steckdosen, LED-Birnen, Lichtschalter etc.), war lange auch von Swisscom gepusht.
Eine der Steckdosen hat doch tatsächlich versucht, auf einen ukrainischen Server zuzugreifen, der als Maleware-Verteiler gelistet war.
Eigentlich müsste man alle diese trojanischen IoT-Pferde (Staubsauerroboter, Kaffeemaschine, Philips Hue, Sonos etc.) in einem separaten Netzwerk laufen lassen! … Wenn's nur nicht so unpraktisch wäre … 😥

Aber zurück zum Thema:
Für die Identifizierung von "Schadcode" gibt es umfassende, professionelle und immer aktuelle Rule-Sets.
Ich sehe da eigentlich kein "Riesenproblem", dass diese Rule-Sets vom Provider implementiert werden.
Ganz im Gegenteil macht es doch viel mehr Sinn, diese Filter an einem möglichst frühen Zeitpunkt einzusetzen.
Beispiel "das Klärwerk": In unserem Grundwasser landen viele Schadstoffe und Gifte aus Industrie, Landwirtschaft und Privathaushalten.
Was macht jetzt mehr Sinn:
1) Dieses Wasser an jeden Verbraucher weiterleiten, um die Entgiftung kümmert jeder sich dann selber.
2) Dieses Wasser wird erst durch ein Klärwerk laufengelassen, damit es bei jedem Verbraucher sauber ankommt.
Und deshalb bin ich mir auch sicher, dass die Provider alle derartige Rule-Sets implementiert haben … Nur leider nicht aktuell, denn das kostet natürlich auch Geld.

Kleines Update: Das Deaktivieren der IB5-FW hat tatsächlich keinen Unterschied gemacht bzgl. der Schadcode-Angriffe. Diese FW scheint tatsächlich darauf nicht ausgelegt zu sein.

r00t

Hi duffy
Soweit ich weiss, kann dein Router keine TLS-Inspection.

Sprich er kann nicht in verschlüsselte Pakete reinschauen. Entsprechend kann er dich nicht von dem von @WalterB erwähnten Usecase "Malwaredelivery via Email" schützen, weil die Verbindung zum Mailserver verschlüsselt stattfindet.

Und genau das ist auch das "Problem" mit solchen Blockings auf ISP Ebene. IMO tut da Swisscom schon viel, indem sie mit dem Internetguard den Zugriff auf schädliche Domains auf DNS-Ebene blockiert. Mit dem grossen Vorteil, dass man mit der Nutzung eines anderen DNS-Server einfach darauf verzichten kann.

Um in die Pakete reinzuschauen, müssten diese im Transit entschlüsselt werden, sprich die Verschlüsselung "brechen" - und dabei ist doch genau das Ziel dieser Technologie, dass eben niemand reinschauen kann und du sicher sein kannst, dass du tatsächlich mit dem Server sprichst, den er vorgibt zu sein.

Natürlich kann man mit SNI auch bei verschlüsseltem Traffic den besuchten Hostnamen herausfinden, aber das führt dann schnell zu "overblocking", wenn die Malware z.B. auf einem Content Delivery Network mit geteilter URL liegt. Da wäre z.B. https://unpkg.com ein Kandidat - blockst du diese URL werden viele Seiten nicht mehr ordnungsgemäss funktionieren.

Inspecten von unverschlüsseltem, geblocktem Traffic gibt schöne Statistiken - mehr aber auch nicht.

Wasser kann soweit ich weiss noch nicht verschlüsselt werden, entsprechend kann man dort deutlich besser messen, was man dort herausfiltern muss. Und auch das gelingt nicht immer 😉

r00t