Corporate Application Access (Public IP auf Mobile Abo) - Sicherheit

    • Hallo zusammen

    Weiss jemand gerade so spontan, wie dass eigentlich aussieht wenn ich die CAA-Option beim Mobile-Abo aktiviert habe, bezüglich Sicherheit?

    Die Swisscom kann die Option nicht pro SIM-Karte aktivieren, sondern muss gleich das ganze Abo (inkl. Multi-SIM Geräte) freischalten. Jetzt laufen zwar die Dienste auf den Mutli-SIM-Geräten, aber wie sieht es eigentlich mit der Sicherheit des Hauptgerätes aus?

    Egal ob Android oder iOS… Wie ist die OnBoard-Firewall auf den Geräten eingerichtet? Prinzipell WAN->LAN block?

    Weiss da jemand mehr?

    Vielen Dank 🙂

    P.S. Mir kam der gedanke, da mein Home-Internet heute eine fixe IPv4 Adresse von Init7 bekommen hat.

    Dieser Beitrag ist in Deutsch

    @Seumeustach92

    Ob Du nun mit einer “genatteten” IP hinter einem CGNAT eines Providers, einer dynamischen öffentlichen IPv4, oder mit einer statischen IP im Internet unterwegs bist, hat keinen wesentlichen Einfluss auf irgendwelche Sicherheitsaspekte, sondern lediglich einen minimalen Einfluss auf die Privacy.

    Minimal deshalb weil einerseits auch dynamisch vergebene IP’s durchaus über viele Monate stabil bleiben können, und andererseits weil alle Internetseiten, welche Dich als Benutzer tatsächlich wiedererkennen wollen, schon lange viel raffiniertere Verfahren als das reine Logging der verwendeten IP-Adresse anwenden.

    Falls Du tatsächlich im Internet aus Vertraulichkeitsgründen mal nicht wiedererkannt werden möchtest, braucht es völlig unabhängig von der eigenen IP ganz andere Zugriffsverfahren, wie z.B. die Verwendung des TOR Browser Bundles und ähnliches.

    Dieser Beitrag ist in Deutsch

    Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom

    Sali @Seumeustach92 Ich verstehe deine Anfrage nicht in Bezug auf Privacy, daher hier eine mögliche Antwort auf deine Frage.

    Mit der CAA Option hast du gegenüber einem normalen Anschluss eine direkte öffentliche IP auf dem Endgerät statt hinter einem NAT.

    Grundsätzlich ist das nicht so ein riesen Problem, wenn die Endgeräte Security in Ordnung ist. Denn NAT ist keine zusätzliche Sicherheitsstufe. Soweit so kurz.

    Etwas genauer betrachtet muss natürlich die Endgeräte Security in Ordnung sein. Iphones haben zB keine klassische Firewall. Das Konzept sieht vor das man aber möglichst wenige Dienste laufen lässt und keine unnötigen Ports offen hat. Greifen diese Sicherheitskonzepte nicht mehr, hat man aber auch bei einem NAT ein grosses Problem. Israelische Firmen machen damit ein Geschäft 😉

    Was aber bei Endgeräten mit direkter öffentlichen IP ist, das diese einen höheren Akku Verbrauch haben. Auch verworfene Pakete sind Pakete die bearbeitet werden. Dies hat man hinter einem NAT nicht.

    Noch weiter Gedacht ist das auch ein Problem warum ISP in diesem Land noch kein IPv6 auf den mobilen Netzen eingeführt hat. Der Laie sagt dazu Sicherheitsbedenken. In Tat und Wahrheit hat man auf diesen Netzen aber keine Firewall in Betrieb und das saugt an den Akkus. Weiter würde eine Firewall die nicht managebar ist auch wieder den Sinn von Ende zu Ende brechen. Im mobilen Netz aber nicht unbedingt ein Problem, weil über 99% aktuell eh nur eyeball Nutzung ist.

    Dieser Beitrag ist in Deutsch

    Wer sich für die Sicherheit seiner Netzwerke und Netzwerkteilnehmer interessiert:

    - Betreibt nach Möglichkeit alle Serverdienste in einem vom Internet abgeschotteten Netzwerk. Der Zugriff vom Internet auf Serverdienste sollte nur für einen genau bekannten Benutzerkreis über einen sicheren VPN-Tunnel möglich sein (keine Portweiterleitung/Port Forwarding).

    https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-via-android-client-t17229.html#p97795

    - Schützt alle Netzwerkteilnehmer (nach Möglichkeit) mit einer SPI-Firewall vor dem “bösen Internet”. Sowohl für IPv4 wie auch für IPv6! Die aktuelle Firewallkonfiguration und die Firewallregeln dieser SPI-Firewall müssen durch den Netzwerkadministrator einsehbar und anpassbar sein. Für Internetanschlüsse über Mobilfunk genügt bereits ein Raspberry Pi als SPI-Firewall.

    https://www.golem.de/news/it-sicherheit-auch-kleine-netze-brauchen-eine-firewall-1910-143624.html

    https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfaser-neuer-router-t17926.html#p101750

    - Netzwerkteilnehmer voneinander abschotten mit VLAN und sehr scharfen Firewallregeln.

    https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/externe-ntp-abfrage-von-ntp-pool-org-auf-interne-i-t16109.html#p90529

    https://www.lancom-forum.de/fragen-zum-thema-firewall-f15/schulnetzwerk-zoom-skype-co-aussperren-t18890.html

    Die CAA-Option ist nur für mangelhaft konfigurierte oder mit Designfehlern versehene Netzwerke respektive Netzwerkteilnehmer erforderlich. Siehe dazu:

    https://community.swisscom.ch/t5/Mobile/Mobile-Abo-mit-CAA-Option/m-p/567945#M5645

    Dieser Beitrag ist in Deutsch