Sonntag, 1. Juni 2014

4 Tipps wie man die Internet Box sicherer macht

Sicherere Einstellungen für die Swisscom Internet Box


Hallo Zusammen. Ich begrüsse euch zum ersten Artikel von mir bezüglich gewisser Einstellungen der Internet Box.
Die Swisscom Internet Box ist nun mittlerweile auch für Kupferkunden verfügbar. Die Centro Router werden nur noch in der Centro Grande Ausführung angeboten und als Standard Gerät deklariert.
Die Internet Box gibt es momentan als vergünstigte Promotion bei einem Wechsel auf die neuen Vivo M-XL Angebote.
Da nun doch schon einige Fragen bezüglich der Internet Box aufgetaucht sind, so möchte ich zum Start einige kleine Security Tipps geben.

1. Automatische Portweiterleitung erlauben (UPnP IDG)

Automatische Portweiterleitung erlauben, nein das wollen wir eigentlich nicht :)
Bei der Internet Box ist diese Einstellung per Default aktiv. Damit können Geräte oder Programme automatische Portweiterleitungen konfigurieren. Wie in diesem Artikel schon erklärt halte ich dies nicht für so schlau.
Die Erklärung der Box selber lautet:
Das automatische Konfigurieren von Portweiterleitungs-Regeln durch Geräte im Heimnetzwerk wird oft von modernen Spielkonsolen oder IP-Kameras verwendet. Der Vorteil ist, dass diese Geräte alle benötigten Ports automatisch öffnen, ohne dass der Benutzer etwas konfigurieren muss.
Ok schön und gut. Die "Vorteile" die man haben könnte wiegen die Sicherheitsbedenken welche dadurch entstehen können keinesfalls auf. Ein schadhaftes Gerät oder ein Script auf einer Webseite können durch diese Funktion ungehindert Portweiterleitungen erstellen und somit das Tor für weitere Angriffe öffnen.

Mein Tipp also: Router auf die Werkseinstellungen zurücksetzen und diese Funktion gleich deaktivieren!
Ihr findet die Einstellung im Experten-Modus unter Netzwerk, Portweiterleitungen.




Diese Einstellung hat übrigens keinen Einfluss auf weitere UPnP Funktionen der Internet Box. Die Box macht auch mit deaktivierter Funktion weiterhin Ankündigungen im Netz um Mediengeräte zu finden oder das ganze Netzwerk für den Swisscom Support und weiteren Interessenten zu mappen.

2. Passwort-Wiederherstellung deaktivieren

Die Internet Box bietet eine Funktion um ganz einfach via Display das admin Passwort anzuzeigen.
Seit ihr wirklich solche Holzköpfe wie da angenommen wird? Nicht wirklich hoffe ich. Ansonsten sehen wir mal darüber hinweg und deaktivieren diese Funktion unter Internet-Box, Einstellungen > Internet-Box Login
Kleiner Tipp. Falls ihr das Passwort wirklich mal vergessen habt könnt ihr dieses im Kundencenter nachschauen. Falls diese Funktion das Passwort noch nicht korrekt im Kundencenter hinterlegt, keine Sorge, wird durch Swisscom in einem nächsten Release gefixt.


 3. Wireless Passwort auf dem Display anzeigen

Die Internet-Box bietet noch eine nützliche Funktion auf dem Display. Sicherheitstechnisch aber auch äusserst bedenklich. Die Wireless Passwörter lassen sich sowohl für den Gast wie auch für das normale Netzwerk ganz einfach anzeigen. Ganz einfach ist es aber auch diese Lücke zu schliessen.
Und zwar unter:
Internet-Box > Display: Deaktiviert dort gleich beide Punkte.



Aber Achtung. Leider lässt sich momentan WPS nicht deaktivieren. Damit kann ein Gast oder Fremder mit einem kurzen Klick auf den äusserst prominent platzierten + Knopf Zugriff auf das Netzwerk erlangen. Bis dies gefixt ist, bleibt das deaktivieren der Passwörter auf dem Display ziemlich fruchtlos. Gemeldet ist es, ich hoffe auf einen baldigen fix.

4. einen Fremdrouter verwenden

Leider bietet die Internet Box keine Möglichkeit den Zugriff durch die Swisscom und damit Potentiell anderen, zB. der Regierung, zu unterbinden.
Daher noch der mehr oder weniger ernst gemeinte Tipp: verwendet einen Fremdrouter. Wer mich kennt weiss dies einzuordnen :)
Es wäre utopisch zu glauben das ein eigener Router einem vor allen Möglichkeiten schützt. Es liegt aber an euch ein grosses FUCK YOU zu sagen und bis zum Umdenken des Herstellers, sprich der Swisscom, die Anwender zumindest mal gelegentlich darauf hinzuweisen. Ich vertrete meine ehrliche Meinung auch wenn es mich zum dirty 0ne macht :)
Schlussendlich überlasse ich jedem seine eigene Entscheidung. Ich weiss das dies aber ein Punkt ist welcher vielen nicht gefällt.
Fast die ganze Kommunikation läuft über Equipment von Swisscom. Daneben ist sie Nummer 1 im Festnetz sowie bei Mobile. Mit ihrem wirklich guten TV Angebot weiss sie nun zu den genannten Punkten auch noch auf die Sekunde was da konsumiert wird. Bluewin ist eine grosse wenn nicht die grösste News Seite der Schweiz. Mit kommenden Services hat man seine Daten auch gleich noch in der Swisscom Cloud. Mit Docsafe wissen sie auch noch wie hoch eure Rechnungen sind. BIG DATA!
Braucht es da noch einen Big Brother im eigenem Netz?
Wie sag ich so gern, heikel halt :D
Möge es den einen oder anderen trösten, das Goggle mit weniger Möglichkeiten bereits viel schon weiss...





Kommentare:

snap hat gesagt…

Hallo TuxOne

Ist denn jetzt auch das "Feature" IP-Weiterleitung hinzugekommen?
Oder kann man die InternetBox in einen Bridge-Mode schalten?
Bei mir hängt aktuell eine ZyXEL USG200 hinter dem Centro Grande.
So kann ich mit der IP-Weiterleitung meine benötigten VPN-Verbindungen gut handeln.

Daher würden mich diese zwei Features bei der Internet Box brennend interessieren.


Danke für jegliche Hinweise !

Gruss

snap

Anonym hat gesagt…

Würde mich auch interessieren da ich Hinter dem CentroGrande eine ZyXEL USG110 betreibe. Nach dem Letzten Bild aber frag ich mich ob es in dieser InternetBox anders heisst? Ich sehe die Option "DMZ-Option für das Gerät aktivieren", das würde doch die IP-Weiterleitung sein oder?
Lohnt sich der Wechsel vom CentroGrande zur neuen Box? und wie stabiel läuft es auf Kupferbasis?

Gruess, FLU

Tux0ne hat gesagt…

Die Internet Box hat nur die Funktion "DMZ" Damit werden fast alle Ports direkt an das Gerät in dieser DMZ geleitet. Das Gerät in der DMZ muss im internen IP Range der Box sein. Die öffentliche IP wird darauf nicht abgebildet noch ist es möglich die Box im transparenten Bridge Modus zu betreiben!

Wenn man so was möchte muss man andere Geräte verwenden.

Falls man den Swisscom Router nur als Gateway braucht bietet die Internet Box kaum Mehrwert gegenüber den Centros. Bei ftth ist man mit der Internet Box natürlich schneller unterwegs, da würde sich aber ein Mediaconverter eher anbieten!
Bei Vectoring gäbe es mit den Centros auch noch Einschränkungen. Geschwindigkeiten ab 80Mbps werden nur mit der iB erreicht. Das so als einziges Pro für den Router.

HB9FIX hat gesagt…

Ich habe eine Zywall USG 100Plus hinter der Internetbox. Was bei der Centro Grande mit IP-Passthrough funktionierte, muss bei der Internetbox mit der DMZ-Funktion gelöst werden. Die Internetbox ist ein recht grosser Fortschritt gegenüber der Centro Grande. Mich stört lediglich, dass beim Heise-Securitycheck der Port 443 als offen entdeckt wird.

Neandertaler hat gesagt…

Hallo TuxOne
Wie ist der Stand dazu heute? Ich würde geren die Site-to-Site VPN (IPsec) mit Zyxel USG welche heute über ISDN VDSL-Router (Motorola7347-84) und CentroPiccolo(Motorola 7640-47) läuft, auch mit den InternetBoxen benutzen. Ist da nun möglich?
Zur Zeit mache ich das mit IP-Passthrough Funktion.

Tux0ne hat gesagt…

Die Internet-Box leitet die öffentliche IPv4 nicht an ein Gerät weiter.
So lange die Zywall eine öffentliche IP braucht, kannst du das VPN damit nicht bewerkstelligen.
Swisscom wird in Kürze die Centro (RES) Router auch durch andere Geräte ersetzten. Auch hier habe ich in einer (sehr sehr sehr) frühen Phase die fehlende Transparenz bezüglich der IP Weiterleitung bemängelt.
Die Anwort: Auf solche Fälle können wir nicht auch noch Rücksicht nehmen.

Gott oder wer auch immer gab mir die Fähigkeit auch ohne Berufsausbildung oder Studium in diesem Bereich sehr vieles im IT Netzwerkbereich zu erreichen. Somit bin ich nicht auf Geräte der Swisscom angewiesen.
Besorg dir ein L2 fähiges Fibergateway und ein ipfire System und du hast solche Sorgen nicht ;)

Neandertaler hat gesagt…

Da hast du wohl Recht... aber wie kriege ich damit das Swisscom-VoIP zum laufen, mit allen Komfortmerkmalen. Ich meinte gelesen zu haben, dass es nur mit der InternetBox geht, zB mit dem Arosa Telefon. Ich muss ja in den nächste zwei Jahren weg von ISDN :-(
Ahh, und nochwas... mit Fibergateway wirds wohl auch nichts, wir haben immer noch VDSL auf Cu.. und keine Pläne wann endlich Fiber kommt.(Nein, wir sind nicht auf dem Land, unser "Dorf" hat 13'000 Einwohner)