abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 
Gelöst
  • Der Fragesteller hat diesen Beitrag als gelöst markiert.

Internet-Box: Sicherheit?

Super User
1 von 14

Da in einem anderen Thread bei diesem schlechten Wetter bereits darüber diskutiert wird, ob es nun besser „4G“ oder „LTE“ heissen sollte, ist es doch wieder einmal an der Zeit über das Thema Sicherheit der Internet-Box zu diskutieren.

 

Einsteigen kann man mal hier:AD6057F8-827F-46CE-A27A-967861555002.jpeg

 Im Ist-Zustand ist:

- der User auf „admin“ fixiert

- kein HTTPS-Zugang

- Passwort nur erforderlich falls in der Verwaltung „+“-Taste explizit ausgeschaltet

- WPS und UPnP-Portweiterleitungen aktiv, falls in der Verwaltung nicht explizit ausgeschaltet

 

Kurz zusammengefasst: So wie die Internetbox an den Kunden ausgeliefert wird, ist sie eigentlich offen wie ein Scheunentor.

 

Falls sie jetzt noch unter gewissen Umständen über die WAN-Schnittstelle und das Internet von aussen erreichbar wäre, könnte jemand also einiges an Unsinn anrichten.

 

Wenn man Artikel über Routersicherheit liest und die ensprechenden Empfehlungen umsetzen möchte, bemerkt man relativ schnell, dass die Internet-Box da nicht überall folgen kann. Beginnt schon beim: „Wechseln Sie den Standarduser...“

 

Was meint Ihr: Sind die Sicherheitsfeatures der Internet-Box überhaupt noch zeitgemäss, oder müsste da die Swisscom in einem der nächsten Releases mal einen Sprint zu diesem Thema starten?

 

Klar stehen stehen Sicherheit und Bequemlichkeit manchmal im Widerspruch und so wie es jetzt ist, kann jeder der physisch zur Internet-Box Zugang hat einfach ins Netz rein ohne dass er irgendwelche Sicherheitscodes kennen muss, aber ist das nicht doch ein wenig zu blauäugig?

 

 

 

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
HILFREICHSTE ANTWORT

Akzeptierte Lösungen
Super User
7 von 14

Zum Thema Firewall: die Auffassungen, was zu einer "richtigen Firewall" gehört, gehen sehr weit auseinander. Die Internetboxen implementieren eine simple Paketfilterfirewall, die alle ausgehenden Pakete rauslässt und alle nicht zu einer bereits aufgebauten Verbindung oder einem Portforwarding gehörenden eingehenden Pakete verwirft. Sicherheitsmässig ist das in Ordnung, da braucht man (für den vorliegenden Einsatzzweck) IMO nichts zu verbessern.

 

Mit Backdoors meine ich die diversen undokumentierten Hintertürchen, die auch schon mal in den Softwaren sehr renommierter Hersteller wie Cisco, Juniper, Brocade etc. gefunden wurden. Auch im Linux-Kernel werden immer wieder Bugs entdeckt, die im ungünstigsten Fall zu einem ungewollten Remotezugriff führen können. Zwar bin ich zuversichtlich, dass das Internetbox-Team bei Entdeckung eines solchen Problems rasch reagieren wird, dennoch kann das Risiko nicht völlig ausgeschlossen werden. TR-069 sehe ich in diesem Zusammenhang weniger als Backdoor, da es sich ja immerhin um eine einigermassen offen ausgewiesene Zugriffsmethode handelt. 

  

@Shorty schrieb:

[...] Wenn wie bei mir selbst die Überlegung noch ein wenig weiter geht, nämlich dass ich die Swisscom gar nicht in meinem eigenen Netzwerk drinhaben will, sondern ich will eigentlich von einem auch austauschbaren Provider an der Grenze zu meinem eigenen Netzwerk wirklich nur den Internetanschluss mit den auf Ethernetschnittstelle angebotenen Services Internet, Telefonie und TV, dann stellt sich schon die Frage, wie weit soll der Providerzugriff in mein eigenes Netzwerk hineinreichen dürfen, und wie setzt man in seinem eigenen Heimnetzwerk auch wirksame Grenzen, z.B. um sich selbst auch vor dem Provider zu schützen...


Nun ja... man kann sich ja mal überlegen, wie weit ein solcher Zugriff denn geht bzw. gehen kann. Den Internettraffic inkl. DNS-Queries kann der Provider auch völlig ohne Eingriff ins Kundennetzwerk vollständig anschauen, somit fällt dieses Argument schon mal weg. Einzig der interne Netzwerkverkehr (WLAN/LAN) würde durch einen Providerrouter zusätzlich einsehbar, und man könnte vom Router aus Portscans machen und anderen Unfug treiben. Mein interner und externer Netzwerkverkehr ist grösstenteils verschlüsselt und der Rest eher uninteressant. Vom Router initiierte Portscans und ähnliches würden auch rasch auffallen.

 

Meines Erachtens ist der Hauptgrund, weshalb viele technisch versierte Kunden einen umfassenderen Zugriff auf den Router wünschen, dass man einfach aus Prinzip die volle Kontrolle über ein Gerät haben möchte, das eine sehr zentrale Rolle im eigenen Haushalt spielt. Geht mir selbst auch so, auch wenn ich an der Sicherheit der Internetboxen eigentlich keine Zweifel habe.

13 Kommentare
Super User
2 von 14

Bezüglich HTTPS ist das halt so eine zweischneidige Sache. Das Zertifikat, das es dazu braucht, müsste entweder von einer externen Stelle signiert oder selbstsigniert sein. Ersteres wäre für den Hersteller (Swisscom) mit immensen Kosten verbunden, letzteres hat Warnmeldungen im Browser zur Folge. Wohl aus diesen Gründen sind die Web-GUIs vieler Geräte wie Router, Switches, Webcams etc. standardmässig unverschlüsselt erreichbar. Da das Passwort aber nur innerhalb des lokalen (Heim)Netzwerks an einem mirrored Port (Hubs hat wohl niemand mehr im Einsatz) gesnifft werden kann, würde mir das jetzt keine schlaflosen Nächte bereiten.

Anders bei UPnP-IGD, da bin ich mit dir einig dass das bei Auslieferung deaktiviert sein sollte.

Wirklich Sorgen würde ich mir jetzt nicht mal so sehr wegen eines möglicherweise geleakten Passworts machen. Die schlimmeren Sicherheitsprobleme der letzten Zeit wurden viel eher durch Backdoors und sicherheitsrelevante Bugs in den Betriebssystemen von Netzwerkhardware jeglichen Kalibers verursacht.

Super User
3 von 14

@PowerMac

 

Meinst Du mit Backdoor z.B. das Fernwartungsprotokoll TR-069 (https://de.wikipedia.org/wiki/TR-069) welches vor einiger Zeit z.B. bei den Routern der deutschen Telekom ja zu expliziten Sicherheitsproblemen geführt hat?

 

Gegen dieses Risiko glaube ich übrigens einigermassen geschützt zu sein indem ich direkt hinter der Internet-Box einen eigenen Breitbandrouter mit separiertem Netzwerk für alle internen Ressourcen betreibe und neben dem Heimrouter nur noch die TV-Box direkt an der Internet-Box hängt.

 

Auf diese Weise hoffe ich eigentlich die TR-069 Zugriffe aus meinem Heimnetz ausgesperrt zu haben, weil sich dann im eigenen Netz gar keine Swisscom-Geräte befinden, welche auf TR-069 antworten könnten.

 

Bin mir da aber auch nicht ganz sicher, ob die Routerkaskade mit der zusätzlichen NAT-Grenze und der zweiten Routerfirewall da wirklich ausreichen um ein „eventuell angriffig gewordenes“ TR-069 definitiv auszusperren.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Highlighted
Expert
4 von 14

also ich nehme heute abend mein pfsense auf hp elitedesk 800 mini in betrieb und mache „die schotten dicht“.

 

hat zwar viel zeit für recherche gekostet und das setup wird etwas komplizierter.

 

wäre das nicht eine marktlücke für swisscom: router mit richtiger firewall integriert?

Super User
5 von 14

Eine richtige Firewall zu konfigurieren ist für normale Anwender nicht so einfach und würde dann die Support Anfragen massiv erhöhen.

Super User
6 von 14

Bevor die Diskussion hier ev. abgleitet noch eine zusätzliche Präzisierung zu meinem Post:

Die aktuellen Swisscom-Router dürfen sich zur Zeit nach dem aktuellen Wissenstand sicher als „sicher“ bezeichnen.

 

Es gibt also keinerlei Grund zu einer noch so kleinen Panik in irgendeiner Richtung.

 

Aber auch wenn etwas soweit okay ist, und das gilt besonders für das Thema Sicherheit, kann es nicht schaden sich mal Gedanken zu machen, wie man es noch besser machen könnte.

 

Bei Geräten von Internet Service Providern (ISP) kommt einfach noch eine zusätzliche Dimension dazu.

Da es sich bei den Swisscom-Routern nicht um reine Modems, sondern im Normalfall um steuernde Bestandteile des jeweiligen Kundennetzwerks handelt, gibt es eigentlich einen Architekturbedingten Interessenkonflikt zwischen Abschottung nach aussen (Kundeninteresse) und Offenheit für Fernwartung (Interesse des ISP).

 

Gehen wir mal davon aus, dass die Swisscom ihre Fernwartungsfeatures im Griff hat, und damit Dritten keine ungewollten Einfallstore in die Heimnetzwerke ihrer Kunden bietet, aber dass dieses Risiko potentiell vorhanden ist, sollte man auch nicht verheimlichen.

 

Wenn wie bei mir selbst die Überlegung noch ein wenig weiter geht, nämlich dass ich die Swisscom gar nicht in meinem eigenen Netzwerk drinhaben will, sondern ich will eigentlich von einem auch austauschbaren Provider an der Grenze zu meinem eigenen Netzwerk wirklich nur den Internetanschluss mit den auf Ethernetschnittstelle angebotenen Services Internet, Telefonie und TV, dann stellt sich schon die Frage, wie weit soll der Providerzugriff in mein eigenes Netzwerk hineinreichen dürfen, und wie setzt man in seinem eigenen Heimnetzwerk auch wirksame Grenzen, z.B. um sich selbst auch vor dem Provider zu schützen...

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Super User
7 von 14

Zum Thema Firewall: die Auffassungen, was zu einer "richtigen Firewall" gehört, gehen sehr weit auseinander. Die Internetboxen implementieren eine simple Paketfilterfirewall, die alle ausgehenden Pakete rauslässt und alle nicht zu einer bereits aufgebauten Verbindung oder einem Portforwarding gehörenden eingehenden Pakete verwirft. Sicherheitsmässig ist das in Ordnung, da braucht man (für den vorliegenden Einsatzzweck) IMO nichts zu verbessern.

 

Mit Backdoors meine ich die diversen undokumentierten Hintertürchen, die auch schon mal in den Softwaren sehr renommierter Hersteller wie Cisco, Juniper, Brocade etc. gefunden wurden. Auch im Linux-Kernel werden immer wieder Bugs entdeckt, die im ungünstigsten Fall zu einem ungewollten Remotezugriff führen können. Zwar bin ich zuversichtlich, dass das Internetbox-Team bei Entdeckung eines solchen Problems rasch reagieren wird, dennoch kann das Risiko nicht völlig ausgeschlossen werden. TR-069 sehe ich in diesem Zusammenhang weniger als Backdoor, da es sich ja immerhin um eine einigermassen offen ausgewiesene Zugriffsmethode handelt. 

  

@Shorty schrieb:

[...] Wenn wie bei mir selbst die Überlegung noch ein wenig weiter geht, nämlich dass ich die Swisscom gar nicht in meinem eigenen Netzwerk drinhaben will, sondern ich will eigentlich von einem auch austauschbaren Provider an der Grenze zu meinem eigenen Netzwerk wirklich nur den Internetanschluss mit den auf Ethernetschnittstelle angebotenen Services Internet, Telefonie und TV, dann stellt sich schon die Frage, wie weit soll der Providerzugriff in mein eigenes Netzwerk hineinreichen dürfen, und wie setzt man in seinem eigenen Heimnetzwerk auch wirksame Grenzen, z.B. um sich selbst auch vor dem Provider zu schützen...


Nun ja... man kann sich ja mal überlegen, wie weit ein solcher Zugriff denn geht bzw. gehen kann. Den Internettraffic inkl. DNS-Queries kann der Provider auch völlig ohne Eingriff ins Kundennetzwerk vollständig anschauen, somit fällt dieses Argument schon mal weg. Einzig der interne Netzwerkverkehr (WLAN/LAN) würde durch einen Providerrouter zusätzlich einsehbar, und man könnte vom Router aus Portscans machen und anderen Unfug treiben. Mein interner und externer Netzwerkverkehr ist grösstenteils verschlüsselt und der Rest eher uninteressant. Vom Router initiierte Portscans und ähnliches würden auch rasch auffallen.

 

Meines Erachtens ist der Hauptgrund, weshalb viele technisch versierte Kunden einen umfassenderen Zugriff auf den Router wünschen, dass man einfach aus Prinzip die volle Kontrolle über ein Gerät haben möchte, das eine sehr zentrale Rolle im eigenen Haushalt spielt. Geht mir selbst auch so, auch wenn ich an der Sicherheit der Internetboxen eigentlich keine Zweifel habe.

Contributor
8 von 14

@@PowerMac schrieb:

Nun ja... man kann sich ja mal überlegen, wie weit ein solcher Zugriff denn geht bzw. gehen kann. Den Internettraffic inkl. DNS-Queries kann der Provider auch völlig ohne Eingriff ins Kundennetzwerk vollständig anschauen, somit fällt dieses Argument schon mal weg.


Gegen die Einsicht in die DNS-Queries hilft imho, einen "vertrauenswürdigen" DNS-Server auf dem Router / der Firewall

hinter der Internet-Box einzutragen. Mehr Infos dazu in diesem Beitrag (bitte Kommentare beachten!):

https://www.borncity.com/blog/2018/04/01/cloudflare-startet-dns-dienst-mit-der-ip-1-1-1-1/

 

Ich gehe im Übrigen mit dem TE einig, dass die Standard-Einstellung der Internetboxen nicht wirklich sicherheitsfördernd sind, was mit ein Grund ist, dass ich IB etc stromlos setze, wenn ich sie nicht verwende bzw ausser Haus bin (es ist immer noch recht aufwändig, ein stromloses Gerät von remote zu hacken)

Und ja: Bevor die Frage nach den "verpassten" Firmware-Updates aufkommt; dafür gibt es diese informative Seite und die Möglichkeit, die Firmware selber einzupflegen:

https://www.swisscom.ch/de/privatkunden/hilfe/internet/firmware-aktualisierungen-fuer-ihre-internet-...

Nettes Detail am Rande: Mit "meinen" Einstellungen klappt das Einspielen der Firmware nicht - ich muss jeweils erst die Default-Einstellungen herstellen, dann die Firmware updaten und anschliessend "meine" Einstellungen zurück laden.

(wenn die Manipulation nicht mal vom lokalen Netz über Kabel geht, mache ich wohl ein paar Dinge "richtig")

 

Super User
9 von 14

@eat_spam schrieb:

@@PowerMac schrieb:

Nun ja... man kann sich ja mal überlegen, wie weit ein solcher Zugriff denn geht bzw. gehen kann. Den Internettraffic inkl. DNS-Queries kann der Provider auch völlig ohne Eingriff ins Kundennetzwerk vollständig anschauen, somit fällt dieses Argument schon mal weg.


Gegen die Einsicht in die DNS-Queries hilft imho, einen "vertrauenswürdigen" DNS-Server auf dem Router / der Firewall

hinter der Internet-Box einzutragen. Mehr Infos dazu in diesem Beitrag (bitte Kommentare beachten!):

https://www.borncity.com/blog/2018/04/01/cloudflare-startet-dns-dienst-mit-der-ip-1-1-1-1/


Dann gehen die DNS-Queries halt unverschlüsselt zu 1.1.1.1 oder einem beliebigen anderen DNS-Betreiber, bezüglich der Mithörmöglichkeiten ändert das rein gar nichts. Um die DNS-Queries geheim zu halten müsste man DNS over TLS nutzen, was derzeit noch so gut wie kein Resolver unterstützt.

Contributor
10 von 14

@PowerMacschrieb:

Dann gehen die DNS-Queries halt unverschlüsselt zu 1.1.1.1 oder einem beliebigen anderen DNS-Betreiber, bezüglich der Mithörmöglichkeiten ändert das rein gar nichts. Um die DNS-Queries geheim zu halten müsste man DNS over TLS nutzen, was derzeit noch so gut wie kein Resolver unterstützt.


Danke für den Hinweis auf DNS  over TLS! Und ich wollte wirklich in keinster Weise 1.1.1.1  (oder 6.6.6.6 etc) als Alternative zu den Swisscom DNS-Servern bewerben! - Das hiesse ja direkt, den Teufel mit Beelzebub austreiben zu wollen.

Trotzdem bietet imho ein non-logging DNS-Server gewisse Vorteile, sofern der eigene Internet Gateway nicht bereits gehacked wurde.

Ich gehe in meiner grenzenlosen Naivität einfach davon aus, dass Swisscom (noch) nicht den kompletten Internet-Traffic aller Kunden mitschneidet (hätte ja auch eine gewisse "Kostenfolge", um den Kram abzuspeichern).

Super User
11 von 14

@eat_spam

 

Danke für Deinen Feedback.

Das mit dem DNS ist klar.

Den von der Swisscom verwende ich schon lange nicht mehr.

 

Mir geht es in diesem Thread auch nicht wirklich darum, ob jetzt Google oder Swisscom die grössere Datenkrake ist, sondern ob die vom Provider gestellten Geräte und Softwaremechanismen modernen Sicherheitsstandards entsprechen und ob sie unnötig in die Privatsphäre eindringen, oder ob es da noch zukünftig  zu hebende Potentiale gibt.

 

Dass meine eigenen Schutzmassnahmen restriktiver sein sollen (richte mich da nach Best Practice der Businesswelt) als diejenigen der von der Swisscom für den vielzitierten 0815-Kunden standardmässig vorgesehenen ist mir schon lange klar.

 

Wenn ich könnte würde ich übrigens den Swisscom Router für meine Bedürfnisse durch ein reines Swisscom Modem ersetzen - dieses minimale CPE will die Swisscom aber seit längerem partout nicht mehr anbieten, also scheint da ein echtes Interesse zu bestehen Bestandteil der privaten Netze zu sein.

 

Und allen „Fritten-Fans“ sei gleich noch gesagt: Um den technischen Low-Level der Leitungsverbindung und der Signale wie VDSL2, G.Fast, Vectoring und Glasfaser-Protokolle etc. soll sich der ISP doch gefälligst selbst kümmern, da werde ich nicht mit privatem Equipment freiwillig hinterherhecheln, mein eigener Verantwortungsbereich soll bei einer WAN-Schnittstelle mit Ethernetanschluss beginnen...

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Super User
12 von 14

Gemäss dem revidierten "Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs" mit der wohlklingenden Abkürzung "BÜPF" sind alle Telekomanbieter gesetzlich verpflichtet, zumindest die sogenannten Randdaten der Kommunikation ihrer Kunden zu speichern. Ob der Inhalt der DNS-Queries zu Drittanbietern unter diese Randdaten fällt, entzieht sich meiner Kenntnis. Die Datenschutzerklärung von Swisscom äussert sich dazu nicht ins letzte technische Detail, und ein neulicher Beitrag des SRF zeigt auf, dass zur Erfüllung gesetzlicher Bestimmungen eventuell doch eine ziemliche Menge an Informationen gesammelt werden muss. 

Super User
13 von 14

Man ist also 4 Jahre später immer noch nicht wirklich weiter 😴 https://www.tuxone.ch/2014/06/4-tipps-wie-man-die-internet-box.html

 

Befolgt man Tipp 4:

Kein Zugriff durch Swisscom möglich✔️

Eigener Resolver möglich mit DNSSSEC Validation im Router ✔️ DNS Hijacking unmöglich (DNS o. TLS) ✔️

lokaler Resolver ✔️

Werbefreies surfen und ein generell massiv reduziertes Tracking auf Router Ebene  ✔️

Netzwerkaufbau mit Interfaces, Subnetting, VLAN ✔️✔️✔️

Firewall was auch eine ist ✔️

Man kann IPv6 richtig nutzen ✔️

Side to Side VPN ✔️

Roadwarrior VPN mit Zertifikaten ✔️

VPN in jeglicher Form ✔️

Nomadische IPv6 Nutzung✔️

Geofence ✔️

Erkennung von Sicherheitslücken und angriffen bevor Patches von den Herstellern geliefert werden möglich (Snort, Surricata) ✔️

Patching von Sicherheitslücken je nach Grad innert Stunden, Tages oder Wochenfrist✔️

öffentliches Bugtracking ✔️

 

Ok gut. Das war jetzt nur ein kleiner Teil von pfSense welchern man als durchaus altagstauglich und nützlich erachten kann. Keine Dinge die ab der Welt sind...

Klar ist vieles nicht Plug n' play. Das ist auch gut so. Die Bedürfnisse sind individuell und sollen so bedient werden können. Für alle durchnummerierten oder wen man keine Ahnung hat, gibt es die Swisscom Router.

 

Aber es ist wie beim surfen. Genügt einem da noch ein Windows XP oder Vista, muss man da nicht weiter argumentieren wollen. 

 

 


Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Selbstdeklaration


Swisscom spezifische Kenntnisse in Sales/Tech:

inOne/inOne KMU > In allen Rollen sowie own Gateway, own SIP Device

Smart Business Connect: Business Internet Services > CB2 Router Konfig in allen Rollen, Business Communication Services > Hosted, Trunk direct, UCC

BNS Business Network Solutions: Managed LAN > Switches, Access Points. Managed Security > Antivirus, Webfilter. RAS, PWLAN, DCS Anbindung

Generell: L1-L7, Firewall, DMZ, VPN Client/Site-Site, 802.1x, SIP, ISDN, Mivoice400, DNS, Dual Stack uvm. wie zB. Fachkundigkeit nach NIV.
Expert
14 von 14

Also ich bin nach rund einer Woche pfSense sehr zufrieden. Der initiale Konfigurationsaufwand ist relativ gering und gut machbar. Ich bin nun am schauen mit Snort und Proxy. Läuft soweit schon ganz gut. Mein kleiner Webserver ist auf Port 80 von aussen auch schon erreichbar. VPN habe ich noch nicht geschafft. Aber das kommt schon. Das Ziel ist, die letzten beiden Dienste mit No-Ip und VPN auch noch von der IB-2 auf pfSense zu zügeln. Dann läuft auf der IB-2 nur noch das absolute Minimum.

 

Kann pfSense jedem nur empfehlen. Mit entsprechender Hardware mit geringem Energieverbrauch auch vom ökologischen Gewissen vertretbar 👍.