Freitag, 19. April 2013

Swisscom Mobile TV History

TV auf dem NATEL - Die Geschichte


Der Anfang

Am 1. April 2001 wurde Swisscom Mobile zu einer Aktiengesellschaft. 75% der Aktien behielt Swisscom, 25% kaufte Vodafone. Diese strategische Partnerschaft eröffnete Swisscom den Zugang zu neuen Services, bekannt als Vodafone live!.
Es dauerte allerdings 2 Jahre bis Mitte November 2003 Vodafone live! als interaktives Portal für Swisscom Mobile Kunden an den Start ging. Dieses Portal verwandelten die Vodafone gebrandeten Geräte zu einer kleinen farbigen Spielkonsole, Fotoapparat und -album, Unterhaltungs- und Informationszentrale. Manch einer wird sich heute wohl eher mit grauen an diese Rot-Weisse Ära erinnern ;)

Im Juli 2004 wurde UMTS auf dem Swisscom Mobile Netz verfügbar. Damit konnte man 200-350kbit/s übertragen. Eine neue Technologie ist mit der entsprechenden Anwendung auch immer ein Verkaufsargument. Somit startete die TV Revolution auf dem NATEL am 16.November 2004. Damit konnten entsprechende Handys bereits Live-TV, Videoclips und Videotelefonie nutzen.
Vorausgesetzt es war UMTS oder EDGE Empfang vorhanden.
Zu den damaligen live Sendern gehörten:
  • SF1
  • SF2
  • SF Info
  • Eurosport
  • TSR1
  • TSR2
  • TF1
  • TSI1
  • TSI2
Für Fr. 1.50 konnte man diesen Service 1h lang nutzen. Einen ganzen Tag schaltete man sich für Fr. 4.- frei und eine Monatsflat kostete Fr. 16.-

Replay-TV

Replay TV ist nicht erst seit Swisscom TV ein Begriff. Nein, Replay TV gab es schon im Jahre 2005 und zwar bei Swisscom Mobile! ;)
Am 31.August 2005 wurde das TV Angebot über Vodafone live! aufgestockt.
Zu den bereits verfügbaren Sendern, wurden folgende dazugeschaltet:

  • RTL
  • SAT1 Schweiz
  • PRO7
  • VOX
  • RTL2
  • N-TV
  • ARD
  • ZDF

Das sogenannte Replay TV startete am 8. November 2005: Was dazumals mit Replay TV gemeint war, zeigt dieser Auszug aus der damaligen Medienmitteilung:
  SF DRS zeigt die Tagesschau im Fernsehen täglich um 13.00 und 19.30 Uhr. Vierzig Minuten nach der Ausstrahlung im Fernsehen sind die Sendungen in allen drei Landessprachen auf dem Vodafone live! Portal zum Abruf bereit. Die Wiederholung der 13.00 Uhr-Tagesschau läuft jeweils ununterbrochen bis zur Aktualisierung durch die Hauptausgabe 19.30 Uhr. Die Hauptausgabe ist dann bis am nächsten Tag um 13.00 Uhr auf dem Vodafone live! Portal abrufbar. Analog verhält es sich mit den beiden Meteo-Ausgaben von 12.55 und 19.50 Uhr.

Daneben bietet Swisscom Mobile einen Comedy- und einen Lifestyle-/Boulevard-Kanal mit Inhalten aus SAT1/Pro7-Sendungen an. Der Comedy-Kanal zeigt die besten Szenen aus "Genial Daneben", "Was guckst du?!", "Tramitz and friends", "Kalkofes Mattscheibe", "Comedystreet" und "Headnut TV". Der Lifestyle- und Boulevard-Kanal beinhaltet drei- bis vierminütige Sequenzen aus "Blitz", "Sam", "Taff" und "Talk, Talk, Talk". Beide Kanäle werden täglich aktualisiert und sind in deutscher Sprache erhältlich.

Tagesschau in 100s

Ab dem 30. November 2006 wurde ein speziell für die Mobile TV Nutzung gefertigtes Format der Tagesschau produziert.
Ziel dieses Formats waren stündlich aktualisierte (zwischen 07:00 - 23:00) 100s Versionen der Tagessschau.
Wer Zugriff auf diese 100s Clips wünschte, konnte diese im Monatspaket für Fr. 9.- kaufen.
Man kann sich vorstellen wie hoch die Produktionskosten für diese stündlich aktualisierten Miniclips waren...


Der Dienst wurde Ende August 2010 wieder eingestellt.


Bluewin TV

Bluewin TV, auf dem Festnetz im Jahre 2006 offiziell lanciert, blühte passend zur Euro 2008 am 14. April 2008 auch auf den NATEL Netz auf.

Bluewin TV Mobile Standard

baute auf der bekannten (Pixel) Technik über Edge und UMTS auf. Verwendung fand immer noch das Vodafone live! Portal, verfügte aber mittlerweile doch bereits über ein Portfolio von 30 Sendern!

Bluewin TV Mobile HD

Nokia N77
wurde dazumals neu lanciert. Aufgebaut wurde das sogenannte DVB-H Netz. Wie beim bekannteren DVB-T wurden die TV Signale mittels Rundfunk ausgestrahlt. Natürlich brauchte es dafür auch ein entsprechendes Empfangsgerät. Dick mit dabei war zu dieser Zeit noch Nokia, welches den Swisscom Kunden gleich 2 Geräte liefern konnte.
DVB-H fähige Geräte zu diesem Zeitpunkt waren:
  • Nokia N77
  • Samsung SGH-P960
  • Nokia N96


Neben der natürlich besseren Qualität der TV Bilder (20 der 30 Sender in "HD Qualität), stand auch ein TV Guide zur Verfügung und es wurde mit der schnellen TV Verfügbarkeit mittels Kopfdruck geworben.
Während 99% der Bevölkerung mittels EDGE/UMTS abgedeckt waren, begrenzte sich der DVB-H Empfang auf 44%.
Hierzu eine offizielle Karte der Swisscom:
Den ganze Spass gab es für Fr 2.- pro Tag oder für Fr. 16.- im Monatsabo.


Swisscom TV Air

2 Jahre nach einer EM kommt ja schon bald die WM. Gut das Swisscom rechtzeitig zu solchen Events wieder ein neues Produkt bringen kann um es gleich mit Erfolg ins Rollen zu bringen.
Am 23. April 2010 wurde TV Air lanciert. TV Air startete gleich zu Beginn auf der PC Plattform via Wireline Zugang, als auch für das NATEL Netz. Somit wurde die Marke Swisscom TV auf der ganzen Linie lanciert und man konnte sich von Vodafone live! und DVB-H verabschieden.
Vorraussetzung für den Empfang war ein Streamingfähiges Handy, welches die via EDGE, UMTS, HSPA oder WLAN gelieferten Daten verarbeiten konnte. Bekanntester Vertreter zu dieser Zeit, das iPhone. 

Das Angebot umfasste nun über 30 Sender. Zudem war es erstmals möglich Teleclub Sport Events via Mobile abzurufen.

Durch die Verknüpfung der Swisscom TV Plattform war es nun auch möglich, Fernprogrammierungen für die Swisscom TV Box zu Hause zu machen. Dazu gab es die TV Guide App.





Senderliste:
SF1, SF2, SFinfo, Pro Sieben, RTL, Sat.1, VOX, Nickelodeon, ARD, ZDF, ORF1, DMAX, RTL2, Deluxe Music, MTV, Eurosport, n-tv, TSR1, TSR2, TF1, TV5, France 2, France 3, France 5, M6, NRJ 12, Teleclub Sportflash, RSI La 1, RSI La 2, Rai Uno, Italia1, Canale 5, CNN, Bloomberg TV, France 24, France 4, W9, Gulli, NT1, TV8 Mt Blanc, Rai Due, Rete 4, Cielo, Sky News

TV Air gab es für Fr. 9.- pro Monat, einzelne Live Sport Events für Fr. 5.-
Der grösste Vorteil von TV Air gegenüber anderen Anbietern, für Fr- 9.- war der gesamte TV Traffic via NATEL Netz inklusive. Somit kahmen keine weiteren Kosten für allfällige zusätzliche Datenvolumen hinzu!


Fernbedienung iPad

Das iPad welches zu dieser Zeit bereits das schönste TV Air Erlebnis bot, bekam im Februar 2012 als Zusatzfunktion die Fernbedienungsfunktion der STB.
Da konnten die Android Nutzer nur neidisch rüberblinzeln und sich damit trösten kein iOpfer zu sein.

Swisscom TV Online

Das Zeitalter der Konvergenz. Die Anforderungen der Kunden sind mittlerweile gestiegen. Die Streamingqualität befinden sich im allgemeinen auf hohem Niveau. Mit TV Air fallen keine zusätzlichen Datenkosten an, man will mehr.
Microsoft Mediaroom auf der Swisscom TV zu Hause aktuell basiert, wirb mit der Möglichkeit, Inhalte auf verschiedenen Geräten zu konsumieren und aus der STB auszubrechen.
Nun gut, Microsoft ist auch der gleiche Konzern der mit jeder neuen Windows Version das beste Windows aller Zeiten herausbringt *hüstel*
Nichts desto trotz war es mit der Lancierung von Swisscom TV Online, zumindest für apple Devices, ab dem 2. Juli 2012 möglich, gewisse Aufnahmen sowohl auf der STB wie auch ab TV Online Speicher anzuschauen. 

Replay


Im Oktober 2012 kam der nächste Paukenschlag. UPC Horizon war auf Ende Jahr angekündigt. Swisscom hat in gewisser Hinsicht darauf auch weitere Features in Swisscom TV implementiert. So zB. Replay TV welches zeitversetztes Fernsehen ermöglicht. Neu war dies ab Oktober ebenfalls mit den Mobile Applikationen möglich. Mittlerweile ist man auf eine Senderliste von gut 80 Sendern angekommen, wobei ca. 70 davon mittels Replay verfügbar sind. Trotz der Lancierung der Natel Infinity Abos und dem damit verbundenen Wegfall der Datenvolumen, bleibt Swisscom TV auch in der Mobilen Version ein Top Verkaufs- bzw. Bundelargument.


Next

Demnächst werden neue TV App Versionen für apple und Android erscheinen.
Ich konnte bei einer Vorführung bereits einen kurzen Blick auf die wesentlichen Neuerungen werfen.
So kann man die heimische TV Box nun auch mit Android! und dem iPhone steuern.
Da diese Geräte einen kleineren Touchscreen als das iPad haben, wird es einen Navigationsscreen mit einem "Rollrad" geben. Eine spezielle Android Tablet Version steht zu Beginn noch aus. Zu Windows Phone Unterstützung gab es noch keine Infos.
Ebenfalls wir es die Möglichkeit geben einen Take-Over zwischen dem TV und der App zu machen. So ist es möglich laufende Sendungen welche man auf dem Mobile Device anschaut via Knopfdruck über die STB auf den TV Bildschirm zu bringen. Umgekehrt ist dies ebenfalls möglich, sofern man zB. die Sendung auf dem Häuschen weiterverfolgen möchte. Take-Over ist prinzipiell auch mit Aufnahmen möglich, allerdings startet die Sendung beim Mediumswechsel jeweils von Anfang an. Hier macht sich noch die Unterscheidung zwischen den lokalen Aufnahmen und den Cloud Streams, welche nicht den gleichen Timestamp aufweisen können, bemerkbar.
Ebenfalls revolutionär: In Zukunft wird man zumindest die Aufnahmen aus der Cloud auch offiziell im Ausland nutzen können!

Future

strictly confidential ;D

Freitag, 5. April 2013

Improve NAS Security - Synology

Erhöhung der NAS Sicherheit

Einleitung

Hersteller versprechen mit ihren NAS Geräten eine einfache Einbindung in Netzwerke, welche auch Laien zustande bringen sollen. Zudem rüsten die Hersteller ihre Geräte mit immer mehr multimedialen Möglichkeiten auf. Im Zeitalter der Cloud, muss ein Top-Modell natürlich auch gleich eine Cloud Lösung mitbringen.
Unlängst sind moderne NAS Geräte nicht nur netzangebundende Speicher. Hersteller wie Synology, Qnap, Netgear und diverse andere, haben bereits eine Vielzahl an Services integriert. NAS sind somit zu kleinen Servern herangewachsen.

Bei den vielfältigen Möglichkeiten sind aber einige Punkte zu beachten um ungebetene Gäste von den eigenen Daten fernzuhalten. Ich werde in diesem Beitrag einige auflisten und konkrete Beispiele anhand einer Synology Diskstation 4.2 aufzeigen.

Services und Pakete

Aktiviere nur die Services und Pakete welche du auch brauchst!

So macht es keinen Sinn SNMP zu aktivieren, wenn man keine Überwachung vor hat.
Aber auch proprietäre Services wie FileStation von Synology oder WebDAV werden immer wieder gerne aktiviert. Man sollte sich daher von Zeit zu Zeit hinterfragen, ob man nun die Services wirklich braucht. Habe ich den Zugriff auf FileStation gebraucht, nutze ich WebDAV, braucht es die Photo Station wirklich und greife ich regelmässig via SSH auf die Konsole des NAS?

Dienste DSM 4.2
Services und Pakete bedeuten Features, bedeuten aber auch Angriffsfläche, sind ein Pool für bekannte und unbekannte Sicherheitslücken.
Daher aktiviere nur das was du brauchst und deaktiviere so viel wie möglich!
Eine zentrale Verwaltung und Übersicht der Dienste findet man bei DSM unter Systeminformationen > Dienst.
Pakete verwaltet man im Paket-Zentrum.






Benutzer- und Gruppenverwaltung

Benutzerverwaltung DSM 4.2
Eine saubere Benutzer- und Gruppenverwaltung. Das A und O!

Eine richtige Benutzer- und Gruppenverwaltung regelt den Zugriff auf die verschiedenen Bereiche des NAS.
Hier konfiguriert man den Datenschutz innerhalb des NAS. Nicht jede Person im Netzwerk sollte Zugriff auf alles haben.
Sollen Gäste im Netzwerk meine Daten auf dem NAS sehen? Nein, so deaktiviert man einfach den Gast Account.
Benutze ich einen Service wie FTP, kann ich mir auch überlegen einen extra Benutzer zu generieren, welcher nur Zugriff auf den FTP Bereich hat. Wird der Account kompromittiert, so ist wenigstens nicht das ganze System betroffen.
In die Benutzerverwaltung gehört auch die Kennwort Sicherheit. Regelmässiges ändern des Kennworts mit der Beachtung gewisser Sicherheitsregeln gehören sowieso zum Umgang mit der Informatik. Eine Wegleitung dazu hier.
Bei DSM steuert man diese Einstellungen in der Systemsteuerung unter Benutzer oder Gruppe.
Es findet sich darin eine Übersicht wer auf was und welche Anwendung im NAS zugreifen darf.

Privilegieneinstellung DSM 4.2


Verschlüsselung

Verschlüsselte Services sind immer vorzuziehen!

Verschlüsselung ist ein wichtiger Punkt. Es ist in einem Datennetzwerk immer davon auszugehen, dass die Daten abgefangen werden können. Dies kann zu jedem Zeitpunkt geschehen, egal ob man sich in seinem wohligen Heimnetz befindet oder sich gerade mit einem Hotspot oder sonstigem Zugriffspunkt verbunden hat.
Verschlüsselung muss bereits bei der Benutzerauthentifizierung anfangen.
Nehmen wir das Beispiel FTP. Eine FTP Anmeldung alleine geschieht unverschlüsselt. Das bedeutet das sogar Benutzername und Passwort in Klartext übermittelt werden! Jetzt stelle man sich noch vor, dass der selbe Benutzername auch Zugriff auf sonstige Services hat. --> Richtig, diese unverschlüsselte Anmeldung wird von einer falschen Person nur einmal abgefangen. Die Konsequenzen kann man sich selber ausrechnen.
Eine unverschlüsselte Anmeldung ins besonderem über das Internet und auf zentrale Dienste wie DSM ist einfach nicht clever. Das Beispiel soll aber auch zeigen, dass die Tücken auch im Detail liegen können.

Daher empfehle ich immer die verschlüsselte Variante des Services zu verwenden und die unverschlüsselte Version bei Gelegenheit zu deaktivieren. Sogar FTP bietet verschiedene Varianten der verschlüsselten Übermittlung an.
Diesen Tipp kann man sich auch in anderen Bereichen zu Herzen nehmen. zB. bei der Anmeldung beim Mailprovider. Ist der Mail-Client so konfiguriert das er sich verschlüsselt anmeldet?

Unverschlüsselte Anmeldung an einen FTP Server
Benutzername und Passwort in Klartext!

Portweiterleitung

Die Öffnung des NAS von aussen. Sei dir bewusst was du tust!

Wer ein NAS hat, der möchte sicherlich auch gerne den Zugriff von aussen ermöglichen.
Kein Problem, aber leite nur die Ports weiter welche du auch brauchst.
Bei einem gewöhnlichen Internetzugang für Privatkunden hat man in der Regel eine öffentliche IPv4. An diese ist ein Router angeschlossen welche die Geräte im Heimnetz im einfachsten Fall mittels NAT mit dem Internet koppelt.
Grundsätzlich werden durch NAT, Anfragen aus dem Internet ohne eine Portweiterleitung oder aktive Verbindung verworfen. Der Router weiss nicht wohin er die Anfrage leiten soll. Dies ist schon mal ein rudimentärer Schutz um die Türen möglichst geschlossen zu halten.
Insofern ist es wichtig die Portnummer zu den benötigten Diensten ausfindig zu machen und nur diese weiterzuleiten! Eine Liste mit Portnummern von Synology findet man hier.
Die benötigten Dienste sollte man sich genau überlegen. Was man im internen Netzwerk braucht, ist auswärts noch lange nicht notwendig. Ist es wirklich nötig, dass man Zugriff auf die Diskstation hat? Reicht unter Umständen ein verschlüsselter WebDAV Zugriff?

Auf keinen Fall sollte man sich die Arbeit leicht machen und im Router Dienste wie Default-NAT oder IP Weiterleitung auf das NAS aktivieren! Richtig, der Zugriff auf das NAS funktioniert einwandfrei. In der Regel ist auf dem NAS aber die Firewall nicht aktiviert. Somit sind sämtliche Dienste auch im Internet verfügbar. Dinge wie UPnP und SMB gehören dort sicher nicht hin! Leider hat es auch in genateten Netzwerken wie bei Swisscom genügend schlechte Beispiele und es ist ein leichtes solche Ziele ausfindig zu machen. SMB gehört zu einem der meist abgefragtesten Protokolle im Internet. Dabei geht es meist gar nicht um das ergaunern von persönlichen Daten. Teilweise werden auf solchen Systemen Dateien eingeschleust, welche einen Trojaner beinhalten oder den PC zu einem Bot machen. Somit werden höhere Ziele verfolgt. Daher seien auch die Kiddies von solch offenen Honeypots gewarnt. Es ist  meist grundsätzlich weder erlaubt noch ratsam, nach solchen Systemen zu suchen!

Offene Windows Freigabe. Clever, eine Passwortdatei ist gleich auch noch auf dem NAS. [IRONIE]

Firewall

Oben schon angesprochen ist die Firewall auf den NAS selten aktiviert. Oft umständlich zu bedienen und auf den ersten Blick unverständlich, kann man allerdings durch die Aktivierung der Firewall die Sicherheit nochmals erhöhen. Oft wird das Thema Firewall auf Clients vernachlässigt oder als unwichtig abgetan. Dies sollte aber nicht sein! Eine Firewall ist auch auf Client/Server Ebene ein wichtiges Element.

Bei Synology lässt sich die INCOMING IPv4 Firewall einfach konfigurieren.
So kann man hier nur die Dienste durchlassen welche man benötigt. Unterteilen kann man den Zugriff durch interne wie auch externe IP Bereiche (zB. auch der VPN Adressbereich)

Ein Firewallkonzept für das NAS ist nach einer kleinen Einarbeit schlussendlich schnell erstellt, hat aber nochmals eine positiven Einfluss auf die Sicherheit, gerade im Bezug auf andere kompromittierte Systeme im Heimnetz. Bei Synology ist die Firewall so konzipiert das man sich während der Konfiguration nicht mal aussperren kann ;) Also nur zu.
Die Firewall findet man bei Synology DSM unter Systemsteuerung > Firewall und QoS


Firewall DSM 4.2

Automatische IP Blockierung

Steter Tropfen höhlt den Stein. Ein Kennwort kann sicher sein. Doch mit einer Brute Force Attacke ist es möglich, dass auch dieses früher oder später fällt.
Wer Beispielsweise kein IDS/IDP zur Hand hat, der sollte bei seinem NAS die automatische IP Blockierung aktivieren.
Damit blockiert man auf einfachste Weise Brute Force Attacken.
Bei DSM findet sich diese Option unter Systemsteuerung > Automatische Blockierung

Automatische IP Blockierung DSM 4.2

VPN

Mit einem VPN ist es möglich sich von extern ins interne Heimnetz zu verbinden. Grundsätzlich ist es so möglich das NAS gegen aussen geschlossen zu halten und nur mittels VPN eine Verbindung zu erhalten.
Wenn der Router keine Möglichkeit zur VPN Verbindung ermöglicht, so ist als Alternative bei Synology ein OpenVPN und PPTP Server vorhanden.
Während von PPTP dringendst abzuraten ist, so funktioniert OpenVPN auf der Diskstation sehr gut.
Die VPN Server lassen sich in DSM via Paket-Zentrum als Anwendung installieren.
Als Zückerchen könnte man den Zugriff des VPN Subnets in der DSM Firewall noch granular steuern.
Auch hier an die Benutzerverwaltung denken.
Weiter Infos zum Thema VPN mit Synology findet man hier.

UPnP

UPnP ermöglicht die automatische Freigabe von Services und Daten und wird gerade im Multimedialen Bereich oft verwendet.
Mit Sicherheit ein Horror ;)
Dringendst abzuraten ist es, automatische Portweiterleitungskonfigurationen, welche gewisse NAS anbieten, zu verwenden. Tests mit kompatiblen Routern haben gezeigt, dass hier grundsätzlich alle Ports weitergeleitet werden. Auch solche die eigentlich nicht sollten. Daher UPnP falls vorhanden im Router deaktivieren und die Portweiterleitungen von Hand vornehmen.
Wer auf Medienservices mit UPnP/DLNA im Heimnetz nicht verzichten kann, sollte zumindest den Zugriff von neuen Geräten einschränken und diesen nur nach manuellem Eingriff gewähren.
Bei DSM einfach erreichbar mittels Medienserver > Zugriff auf Medienserver von neu erkannten UPnP/DLNA Geräten einschränken.

Medienserver DSM 4.2




Bewusstes Handeln ebnet einen sicheren Weg. Wer das Ziel nicht kennt, wird den Weg nicht finden.


Weitere Infos und How-to^s findet man unter folgenden Links: