Spamflut: Swisscom weitet Gegenmassnahmen aus

Port 25 Redirect Network anti spam

Per 17.06.2013 hat die Swisscom offiziell informiert, dass ihre Massnahmen gegen Spam ausgeweitet werden.

Hierzu die offizielle Mitteilung:

Mehr als 10 Millionen Spam-Mails werden täglich übers Swisscom Netz verschickt. Swisscom erweitert den Schutz für ihre E-Mail-Kunden, indem sie einen speziellen Spam-Filter einsetzt. Dieser prüft Mails auf Spam und Viren. Diese Massnahme wird schrittweise umgesetzt, sodass nach und nach alle DSL-Kunden vom neuen Filter profitieren können. Dieses Vorgehen wird international auch von anderen Providern erfolgreich umgesetzt.
Was merkt der DSL-Kunde von dieser Massnahme? Für 98 Prozent ändert sich nichts. Dies gilt zum einen für alle Kunden, die eine Mailadresse von Swisscom haben. Zum anderen gibt es keine Änderungen für Kunden, welche über den Internetbrowser (bspw. hotmail.ch) auf ihre Mails zugreifen.

Swisscom Kunden hingegen, die ihre Mails über ein Mail-Programm wie Outlook verwalten und für ihre ausgehenden Mails den Server eines anderen Anbieters verwenden, wie etwa Google, GMX oder Hotmail, müssen möglicherweise ihre E-Mail-Einstellungen beim Postausgangsserver (SMTP) von Port 25 auf den dafür vorgesehenen Port 587 ändern. Hilfeleistungen dafür gibt es auf folgender Swisscom Seite: http://www.swisscom.ch/p25/.
Der Spam-Filter wird langfristig dafür sorgen, dass sich das Spam-Problem nicht weiter ausweitet und andere Internet-Benutzer weniger Spam aus dem Swisscom Netz erhalten.

Technisch wird dazu ein Mail Proxy dazwischen geschaltet. Sämtlicher Verkehr über Port 25 wird also über diesen Proxy geführt. Hat man in einem Mailprogramm wie Outlook zB. smtp.hispeed.ch Port 25 (UPC Cablecom) als Postausgangsserver eingetragen, wird das Mails zuerst über den Swisscom Proxy geführt. Dieser prüft das Mail auf Spam und Schadsoftware. Erst nach bestandener Prüfung wird das Mail weitergeleitet.
Ob der Proxy bereits aktiv ist, lässt sich mit einer einfach Telnet Sitzung auf Port 25 eines fremden SMTP-Servers erkennen. Falls ja, wird auf jeden Fall der Proxy von Swisscom antworten.

Noch antwortet hier direkt der SMTP Server

Nach der Umstellung ist man mit dem Proxy der Swisscom verbunden

Bisher war dieser zusätzliche Spam-Schutz erst auf PPP terminierten Anschlüssen von Swisscom DSL geschaltet, also bei Kunden mit ADSL Anschluss. Neu werden auch sukzessive die DHCP terminierten Anschlüsse dazugeschaltet. Dies trifft auf die VDSL und FTTH Anschlüsse der Swisscom zu.
Die Umsetzung dieser Massnahme findet zwischen dem 19.Juni 2013 und 31.Januar 2014 statt.

Grundsätzlich ist der Mailversand über Port 25 immer noch möglich, solange der Empfangsserver den Empfang über Port 25 noch erlaubt. Unmöglich wird dagegen der Versand über Port 25 und Authentifizierung sein. In solch einem Fall wird man ein automatisch generiertes Mail zur Problemlösung bekommen. Als Lösung des Problems ist die Mail Submission zu verwenden.

Falls das System einen Anschluss als Spam- und oder Virensender erkennt, wird der Anschluss automatisch gesperrt. Dies funktioniert präzise und schon fast unglaublich schnell :)

Um die Zusammenhänge besser zu verstehen und Lösungen zu finden, habe ich bereits einen ausführlichen Post über Mail Submission geschrieben.

pfSense 2.1 mit Swisscom Access

pfSense 2.1

Was ist pfSense?

pfSense ist eine freie, open source Firewall, basierend auf freeBSD. Als Paketfilter verwendet man pf. Daher auch der Name pfSense. Diese Distribution kann und wird, als Router und Firewall für kleine Heimnetzwerke, wie auch für grosse Unternehmen gebraucht.

pfSense startete als Fork von M0n0wall. Während M0n0wall vor allem auf embedded Systeme ausgerichtet ist, wurde pfSense auch für grössere PC Architekturen konzipiert um zusätzliche Leistungen zu erbringen. Trotzdem ist pfSense auch noch als Image für embedded Systeme zu haben. Mein Blog Post bezieht sich auf ein solches System. Für den Test verwende ich ein ALIX Board 2D13 und beschränke mich auf Routing und Firewalling Funktionen. Proxy, IDS/IDP usw. wäre für die pfSense auch kein Problem. Hierzu habe ich leistungsfähigere Systeme zur Hand.

Als Heimrouter ist ALIX aber auch heute noch eine gute Wahl.

pfSense 2.1

pfSense 2.1 ist momentan noch in der Entwicklung. Die Entwickler von pfsense hofften bis zum IPv6 Launch Day den offiziellen Release bereit zu haben. Leider hat dies nicht geklappt.

Die Snapshots sind hier erhätlich. Auf Produktivsystemen ist der Einsatz dieser Snapshots nicht empfohlen. Grundsätzlich gibt es hier mehrere Releases pro Tag! Darunter gibt es auch Tage bei denen man ein schlechtes Ei erwischen kann :)

Für den Heimgebrauch gibt es beim Einsatz dieser Snapshots nichts einzuwenden. Hier ist jeder sein eigener König.

Gerade der volle IPv6 Support in dieser Version hat schon seinen Reiz. Und genau darum geht es in diesem Blog Post.

 IPv6 mit Swisscom

Die grundlegende Konfiguration einer pfSense um IPv6 Konnektivität mit Swisscom zu erlangen ist relativ simpel. Der Spielplatz dahinter aber umso grösser :)

Ich führe hier die nötigen Schritte auf.

Wie schon erwähnt muss das System mit der Version 2.1 laufen. Der aktuelle Release 2.0.1 ist dazu noch nicht fähig. 

WAN

Zuerst wird das WAN Interface konfiguriert. Wie bereits bekannt, verwendet Swisscom momentan das Tunnelprotokoll 6RD. Dementsprechend setzt man den IPv6 Configuration Type auf 6rd.

Dadurch öffnet sich innerhalb der WAN Interface Konfiguration ein neuer Abschnitt: "6RD Rapid Deployment". Diesen füllt man mit den Swisscom relevanten Daten aus.

6RD Prefix: 2a02:1200::/28

6RD Border Relay: 193.5.122.254 193.5.29.1 (Wechselt per 09.04.2013)

6RD IPv4 Prefix lenght: 0

 Save und Apply, WAN ist erledigt.

LAN

Damit IPv6 auch im LAN bekannt wird, muss nun das LAN Interface konfiguriert werden.

Auch bei diesem hat es in Version 2.1 einen Punkt mit IPv6 Configuration Type. Diesen setzt man im Falle eines Tunnels wie 6to4 oder eben 6RD auf Track Interface.

Dadurch wird der Abschnitt Track IPv6 Interface verfügbar. In unserem Fall tracken wir das WAN Interface und geben als IPv6 Prefix ID 0 an.

Save und Apply!

Im Dashboard sollte nun bereits die IPv6 Verbindung ersichtlich sein. Falls nicht, hilft ein release / renew des WAN Interfaces oder ein simpler Reboot.

Firewall Regeln

pf blockt per Default sämtlichen nicht aus dem LAN initiierten Verkehr. Damit surfen via IPv6 möglich ist, muss wie bei IPv4, im Minimum eine Regel erstellt werden, welche den ausgehenden Verkehr erlaubt.

Natürlich lassen sich auch Regeln zum Erlauben von Services auf Host's oder Netzwerke einrichten. Hier bietet pfSense 2.1 volle IPv6 Unterstützung.

Damit steht dem sicheren surfen via IPv6 über die pfSense nichts mehr im Wege.

Swisscom TV

Spricht man vom Swisscom Access, so ist auch Swisscom TV immer wieder mal ein wichtiges Thema.

Auch hier. pfSense lässt sich so konfigurieren, dass Swisscom TV dahinter betrieben werden kann!

Auch wenn es in den pfSense Foren offensichtlich nicht ganz klar ist, hier die funktionierende Konfiguration.

Damit Swisscom TV betrieben werden kann, ist ein IGMP Proxy von Nöten. Während dieser unter Linux schon lange hervorragend läuft, hatte man unter BSD ein wenig Mühe. Trotz allem. Seit der Version 2.0.1 hat auch pfSense einen IGMP Proxy und diesen sogar per Default mit an Bord.

IGMP proxy

Der IGMP Proxy ist unter Services > IGMP Proxy schnell konfiguriert.

Benötigt wird ein Upstream und ein Downstream Interface.

Dem Downstream weist man das LAN Interface zu und gibt das lokale Netzwerk oder falls man möchte, die entsprechende IP der Swisscom TV Box(en) an. Threshold ist 1.

Dem Upstream weist man das WAN Interface zu. Hier werden das Multicast Netz 224.0.0.0/4 und die Swisscom TV Infrastruktur 195.186.0.0/16 benötigt. Ergänzung: Für die neue TV 2.0 Plattform wird das Netz 213.3.72.0/24 benötigt!

Verwendet man anderer Service Strukturen oder andere Provider ist hier eine andere IP nötig.

Dies lässt sich aber problemlos ausfindig machen, indem man via ssh igmpproxy -d -c /tmp/igmpproxy.conf nach Source Adressen sucht, welche geblockt werden.

Threshold ist auch hier 1.

Damit ist der IGMP Proxy bereits konfiguriert.

Firewall Regel LAN

Damit Swisscom TV funktioniert muss man ausgehend Multicast erlauben. Am einfachsten geht dies, wenn man bei der Regel welche ausgehenden IPv4 Verkehr erlaubt, unter Advanced Options:"This allows packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic.", markiert.

Die LAN Regel Übersicht sollte nun so aussehen:

Firewall Regeln WAN

Zudem benötigt man 2 Regeln für WAN.

Gebraucht wird eine Regel welche UDP Traffic durchlässt. In diesem Fall am bestem noch auf die Beschränkung der Swisscom Infrastruktur.

Ebenfalls muss man noch IGMP erlauben. Auch hier aktiviert man unter Advanced Options:"This allows packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic."

Die WAN Regel Übersicht sollte sich nun so darstellen:

Wichtig! Bei sämtlichen Änderungen am Ruleset bezüglich Swisscom TV / Multicast ist es wichtig, danach einen sauberen Reboot der Firewall zu machen!

Somit steht ab sofort auch dem Swisscom TV Vergnügen nichts mehr im Wege.

Damit das Netzwerk nicht mit Multicast bzw eben Broadcast Traffic geflutet wird, empfiehlt sich so oder so ein Switch, welcher igmp snooping beherrscht.

Günstig und gut kann dies der GS105E von Netgear. Auch bei Swisscom erhältlich.

http://shop.swisscom.ch/Onlineshop/Pages/ProductDetail/ProductDetail.aspx?cat=OS_Internet&subcat=OS_Router_Zubehoer&drilldown=7&id=000000000010019540

Ich hoffe ich konnte mit diesem Post ein wenig teuflisches Gedankengut verbreitet :D

Wenn nicht, who cares!

Special thanks to people like Seth Mos!

ipfire, eine kurze Vorstellung

ipfire - an open source firewall solution

Ich möchte in diesem Beitrag ipfire vorstellen.

ipfire ist eine Linux Firewall Distribution welche für kleine bis mittlere Netzwerke gedacht ist, sowohl im Geschäftsbereich, wie auch für Heimanwender wie mich :)

ipfire bietet diverse Addons, welche die auf die wichtigsten Firewall Funktionalitäten basierte Grundgerüst um diverse Möglichkeiten erweitert.

Unter anderem könnte man ipfire so zu einem NAS erweitern. Aber für eine Firewall wichtiger, bzw. interessanter sind sicher Funktionen wie IDS/IDP und Proxy Anwendungen.

Einer der absolut wichtigsten Punkte für mich war, das ipfire durch das Addon igmpproxy, Swisscom TV unterstützt.

Klar gibt es diverse Möglichkeiten eine Firewall mit Swisscom TV zu betreiben (IP-Passtrough, DMZ..)

"Cooler" ist es aber schon denn ganzen Traffic durch die Firewall zu leiten :)

Ich werde also einige Dinge zeigen um diese Firewalllösung schmackhaft zu machen.

ipfire mit Swisscom TV

Das Wichtigste für mich erwähne ich hier gleich mal zuerst.

Swisscom TV ist für die Live Streams darauf angewiesen das Multicast Traffic gehandelt werden kann.

Dazu bietet ipfire eine Addon namens igmpproxy.

Die Konfiguration ist simpel. Grundsätzlich installiert man das Paket und passt dazu noch die configs an.

Dazu habe ich in der Swisscom Support Community schon einen Beitrag geschrieben.

Es würde den Rahmen des Beitrags sprengen hier nochmals detailliert darauf einzugehen.

Dies werde ich eventuell mal in einem eigenen Beitrag machen. Darum genügt hier fürs Erste mal der Link zur Community.

give me logs

Wer eine Firewall betreibt möchte auch wissen was so geht. Hier bietet ipfire natürlich diverse Logs und Grafiken.

Auf einen Blick lassen sich so die Verbindungen anzeigen, lässt sich die Hardware überwachen und man kann Statistiken bezüglich des Datenverkehrs anschauen.

Die hilft uA. bei der Störungssuche wenn das Internet mal lahmt.

In den Logs lassen sich Portscans und Muster anzeigen. Selbst Wochen oder Monate später. Abhängig davon wie man ipfire konfiguriert und was der Speicher hergibt.

Webproxy - aber richtig

ipfire hat schon einen Webproxy an Bord. Basierend auf Squid gibt es den Advanced Web Proxy.

Dazu gibt es ein eigenes Manual welches zwar für IPCop geschrieben ist, aber auch für ipfire gilt.

(IPCop ist quasi die Mutter von ipfire)

Hier mal eine kleine Übersicht für was so ein Webproxy gut ist.

• Caching: Websiten werden im Cache von ipfire gehalten. So wird Traffic reduziert und die Surfgeschwindigkeit kann erhöht werden.
• Content Filter: Whitelists, Blacklists, Filterlisten. Dies kann als Werbeblocker benutzt werden und wenn gewünscht Inhalte und Anwendungen (P2P) zB als Kinderschutz ausfiltern. Dies kann Zeitgesteuert, Account und oder Maschinenbasiert geschehen. Es ist also eine Individualisierung möglich welche bei einfachen Lösungen wie einer Fritzbox 7390 nicht erreicht werden kann (bei weitem nicht :) ) 

• Update Accelerator: Hier hat man die Möglichkeit das ipfire zB Windows oder Linux Updates speichert. Dies hat der Vorteil das Software nur einmalig heruntergeladen werden muss und sich die Clients die Updates mit LAN Geschwindigkeit direkt von der ipfire besorgen!

IDS/IDP

Natürlich hat man mit ipfire auch die Möglichkeit ein IDS Intrusion Detection System zu verwenden.

Dazu lassen sich Regeln von http://www.snort.org/ und oder http://emergingthreats.net/ verwenden.

Falls es gewünscht ist das erkannte Angriffsversuche oder Muster geblockt werden, kann man Guardian aktivieren und hat so ein IDP Intrusion Detection and Prevention System.

Abschluss

Ich hoffe ich konnte in dieser kurzen Zusammenstellung einigen ipfire schmackhaft machen und zeigen das es auch möglich ist  eine Firewall und Swisscom TV zu haben und man nicht eine teure Lösung kaufen muss die nicht mal funktioniert :)

Auf einige Themen in diesem komplexen Bereich werde ich in künftigen Beiträgen genauer eingehen.

Wenn ihr Wünsche oder Fragen habt steht die Kommentar Funktion offen.

In dem Sinne viel Spass!!!