4 Tipps wie man die Internet Box sicherer macht

Sicherere Einstellungen für die Swisscom Internet Box

Hallo Zusammen. Ich begrüsse euch zum ersten Artikel von mir bezüglich gewisser Einstellungen der Internet Box.

Die Swisscom Internet Box ist nun mittlerweile auch für Kupferkunden verfügbar. Die Centro Router werden nur noch in der Centro Grande Ausführung angeboten und als Standard Gerät deklariert.

Die Internet Box gibt es momentan als vergünstigte Promotion bei einem Wechsel auf die neuen Vivo M-XL Angebote.

Da nun doch schon einige Fragen bezüglich der Internet Box aufgetaucht sind, so möchte ich zum Start einige kleine Security Tipps geben.

1. Automatische Portweiterleitung erlauben (UPnP IDG)

Automatische Portweiterleitung erlauben, nein das wollen wir eigentlich nicht :)
Bei der Internet Box ist diese Einstellung per Default aktiv. Damit können Geräte oder Programme automatische Portweiterleitungen konfigurieren. Wie in diesem Artikel schon erklärt halte ich dies nicht für so schlau.
Die Erklärung der Box selber lautet:

Das automatische Konfigurieren von Portweiterleitungs-Regeln durch Geräte im Heimnetzwerk wird oft von modernen Spielkonsolen oder IP-Kameras verwendet. Der Vorteil ist, dass diese Geräte alle benötigten Ports automatisch öffnen, ohne dass der Benutzer etwas konfigurieren muss.

Ok schön und gut. Die "Vorteile" die man haben könnte wiegen die Sicherheitsbedenken welche dadurch entstehen können keinesfalls auf. Ein schadhaftes Gerät oder ein Script auf einer Webseite können durch diese Funktion ungehindert Portweiterleitungen erstellen und somit das Tor für weitere Angriffe öffnen.

Mein Tipp also: Router auf die Werkseinstellungen zurücksetzen und diese Funktion gleich deaktivieren!
Ihr findet die Einstellung im Experten-Modus unter Netzwerk, Portweiterleitungen.

Diese Einstellung hat übrigens keinen Einfluss auf weitere UPnP Funktionen der Internet Box. Die Box macht auch mit deaktivierter Funktion weiterhin Ankündigungen im Netz um Mediengeräte zu finden oder das ganze Netzwerk für den Swisscom Support und weiteren Interessenten zu mappen.

2. Passwort-Wiederherstellung deaktivieren

Die Internet Box bietet eine Funktion um ganz einfach via Display das admin Passwort anzuzeigen.

Seit ihr wirklich solche Holzköpfe wie da angenommen wird? Nicht wirklich hoffe ich. Ansonsten sehen wir mal darüber hinweg und deaktivieren diese Funktion unter Internet-Box, Einstellungen > Internet-Box Login

Kleiner Tipp. Falls ihr das Passwort wirklich mal vergessen habt könnt ihr dieses im Kundencenter nachschauen. Falls diese Funktion das Passwort noch nicht korrekt im Kundencenter hinterlegt, keine Sorge, wird durch Swisscom in einem nächsten Release gefixt.

 3. Wireless Passwort auf dem Display anzeigen

Die Internet-Box bietet noch eine nützliche Funktion auf dem Display. Sicherheitstechnisch aber auch äusserst bedenklich. Die Wireless Passwörter lassen sich sowohl für den Gast wie auch für das normale Netzwerk ganz einfach anzeigen. Ganz einfach ist es aber auch diese Lücke zu schliessen.
Und zwar unter:
Internet-Box > Display: Deaktiviert dort gleich beide Punkte.

Aber Achtung. Leider lässt sich momentan WPS nicht deaktivieren. Damit kann ein Gast oder Fremder mit einem kurzen Klick auf den äusserst prominent platzierten + Knopf Zugriff auf das Netzwerk erlangen. Bis dies gefixt ist, bleibt das deaktivieren der Passwörter auf dem Display ziemlich fruchtlos. Gemeldet ist es, ich hoffe auf einen baldigen fix.

4. einen Fremdrouter verwenden

Leider bietet die Internet Box keine Möglichkeit den Zugriff durch die Swisscom und damit Potentiell anderen, zB. der Regierung, zu unterbinden.

Daher noch der mehr oder weniger ernst gemeinte Tipp: verwendet einen Fremdrouter. Wer mich kennt weiss dies einzuordnen :)

Es wäre utopisch zu glauben das ein eigener Router einem vor allen Möglichkeiten schützt. Es liegt aber an euch ein grosses FUCK YOU zu sagen und bis zum Umdenken des Herstellers, sprich der Swisscom, die Anwender zumindest mal gelegentlich darauf hinzuweisen. Ich vertrete meine ehrliche Meinung auch wenn es mich zum dirty 0ne macht :)

Schlussendlich überlasse ich jedem seine eigene Entscheidung. Ich weiss das dies aber ein Punkt ist welcher vielen nicht gefällt.

Fast die ganze Kommunikation läuft über Equipment von Swisscom. Daneben ist sie Nummer 1 im Festnetz sowie bei Mobile. Mit ihrem wirklich guten TV Angebot weiss sie nun zu den genannten Punkten auch noch auf die Sekunde was da konsumiert wird. Bluewin ist eine grosse wenn nicht die grösste News Seite der Schweiz. Mit kommenden Services hat man seine Daten auch gleich noch in der Swisscom Cloud. Mit Docsafe wissen sie auch noch wie hoch eure Rechnungen sind. BIG DATA!

Braucht es da noch einen Big Brother im eigenem Netz?

Wie sag ich so gern, heikel halt :D

Möge es den einen oder anderen trösten, das Goggle mit weniger Möglichkeiten bereits viel schon weiss...

Improve NAS Security - Synology

Erhöhung der NAS Sicherheit

Einleitung

Hersteller versprechen mit ihren NAS Geräten eine einfache Einbindung in Netzwerke, welche auch Laien zustande bringen sollen. Zudem rüsten die Hersteller ihre Geräte mit immer mehr multimedialen Möglichkeiten auf. Im Zeitalter der Cloud, muss ein Top-Modell natürlich auch gleich eine Cloud Lösung mitbringen.

Unlängst sind moderne NAS Geräte nicht nur netzangebundende Speicher. Hersteller wie Synology, Qnap, Netgear und diverse andere, haben bereits eine Vielzahl an Services integriert. NAS sind somit zu kleinen Servern herangewachsen.

Bei den vielfältigen Möglichkeiten sind aber einige Punkte zu beachten um ungebetene Gäste von den eigenen Daten fernzuhalten. Ich werde in diesem Beitrag einige auflisten und konkrete Beispiele anhand einer Synology Diskstation 4.2 aufzeigen.

Services und Pakete

Aktiviere nur die Services und Pakete welche du auch brauchst!

So macht es keinen Sinn SNMP zu aktivieren, wenn man keine Überwachung vor hat.

Aber auch proprietäre Services wie FileStation von Synology oder WebDAV werden immer wieder gerne aktiviert. Man sollte sich daher von Zeit zu Zeit hinterfragen, ob man nun die Services wirklich braucht. Habe ich den Zugriff auf FileStation gebraucht, nutze ich WebDAV, braucht es die Photo Station wirklich und greife ich regelmässig via SSH auf die Konsole des NAS?

Dienste DSM 4.2

Services und Pakete bedeuten Features, bedeuten aber auch Angriffsfläche, sind ein Pool für bekannte und unbekannte Sicherheitslücken.

Daher aktiviere nur das was du brauchst und deaktiviere so viel wie möglich!

Eine zentrale Verwaltung und Übersicht der Dienste findet man bei DSM unter Systeminformationen > Dienst.

Pakete verwaltet man im Paket-Zentrum.

Benutzer- und Gruppenverwaltung

Benutzerverwaltung DSM 4.2

Eine saubere Benutzer- und Gruppenverwaltung. Das A und O!

Eine richtige Benutzer- und Gruppenverwaltung regelt den Zugriff auf die verschiedenen Bereiche des NAS.

Hier konfiguriert man den Datenschutz innerhalb des NAS. Nicht jede Person im Netzwerk sollte Zugriff auf alles haben.

Sollen Gäste im Netzwerk meine Daten auf dem NAS sehen? Nein, so deaktiviert man einfach den Gast Account.

Benutze ich einen Service wie FTP, kann ich mir auch überlegen einen extra Benutzer zu generieren, welcher nur Zugriff auf den FTP Bereich hat. Wird der Account kompromittiert, so ist wenigstens nicht das ganze System betroffen.

In die Benutzerverwaltung gehört auch die Kennwort Sicherheit. Regelmässiges ändern des Kennworts mit der Beachtung gewisser Sicherheitsregeln gehören sowieso zum Umgang mit der Informatik. Eine Wegleitung dazu hier.

Bei DSM steuert man diese Einstellungen in der Systemsteuerung unter Benutzer oder Gruppe.

Es findet sich darin eine Übersicht wer auf was und welche Anwendung im NAS zugreifen darf.

Privilegieneinstellung DSM 4.2

Verschlüsselung

Verschlüsselte Services sind immer vorzuziehen!

Verschlüsselung ist ein wichtiger Punkt. Es ist in einem Datennetzwerk immer davon auszugehen, dass die Daten abgefangen werden können. Dies kann zu jedem Zeitpunkt geschehen, egal ob man sich in seinem wohligen Heimnetz befindet oder sich gerade mit einem Hotspot oder sonstigem Zugriffspunkt verbunden hat.

Verschlüsselung muss bereits bei der Benutzerauthentifizierung anfangen.

Nehmen wir das Beispiel FTP. Eine FTP Anmeldung alleine geschieht unverschlüsselt. Das bedeutet das sogar Benutzername und Passwort in Klartext übermittelt werden! Jetzt stelle man sich noch vor, dass der selbe Benutzername auch Zugriff auf sonstige Services hat. --> Richtig, diese unverschlüsselte Anmeldung wird von einer falschen Person nur einmal abgefangen. Die Konsequenzen kann man sich selber ausrechnen.

Eine unverschlüsselte Anmeldung ins besonderem über das Internet und auf zentrale Dienste wie DSM ist einfach nicht clever. Das Beispiel soll aber auch zeigen, dass die Tücken auch im Detail liegen können.

Daher empfehle ich immer die verschlüsselte Variante des Services zu verwenden und die unverschlüsselte Version bei Gelegenheit zu deaktivieren. Sogar FTP bietet verschiedene Varianten der verschlüsselten Übermittlung an.

Diesen Tipp kann man sich auch in anderen Bereichen zu Herzen nehmen. zB. bei der Anmeldung beim Mailprovider. Ist der Mail-Client so konfiguriert das er sich verschlüsselt anmeldet?

Unverschlüsselte Anmeldung an einen FTP Server
Benutzername und Passwort in Klartext!

Portweiterleitung

Die Öffnung des NAS von aussen. Sei dir bewusst was du tust!

Wer ein NAS hat, der möchte sicherlich auch gerne den Zugriff von aussen ermöglichen.

Kein Problem, aber leite nur die Ports weiter welche du auch brauchst.

Bei einem gewöhnlichen Internetzugang für Privatkunden hat man in der Regel eine öffentliche IPv4. An diese ist ein Router angeschlossen welche die Geräte im Heimnetz im einfachsten Fall mittels NAT mit dem Internet koppelt.

Grundsätzlich werden durch NAT, Anfragen aus dem Internet ohne eine Portweiterleitung oder aktive Verbindung verworfen. Der Router weiss nicht wohin er die Anfrage leiten soll. Dies ist schon mal ein rudimentärer Schutz um die Türen möglichst geschlossen zu halten.

Insofern ist es wichtig die Portnummer zu den benötigten Diensten ausfindig zu machen und nur diese weiterzuleiten! Eine Liste mit Portnummern von Synology findet man hier.

Die benötigten Dienste sollte man sich genau überlegen. Was man im internen Netzwerk braucht, ist auswärts noch lange nicht notwendig. Ist es wirklich nötig, dass man Zugriff auf die Diskstation hat? Reicht unter Umständen ein verschlüsselter WebDAV Zugriff?

Auf keinen Fall sollte man sich die Arbeit leicht machen und im Router Dienste wie Default-NAT oder IP Weiterleitung auf das NAS aktivieren! Richtig, der Zugriff auf das NAS funktioniert einwandfrei. In der Regel ist auf dem NAS aber die Firewall nicht aktiviert. Somit sind sämtliche Dienste auch im Internet verfügbar. Dinge wie UPnP und SMB gehören dort sicher nicht hin! Leider hat es auch in genateten Netzwerken wie bei Swisscom genügend schlechte Beispiele und es ist ein leichtes solche Ziele ausfindig zu machen. SMB gehört zu einem der meist abgefragtesten Protokolle im Internet. Dabei geht es meist gar nicht um das ergaunern von persönlichen Daten. Teilweise werden auf solchen Systemen Dateien eingeschleust, welche einen Trojaner beinhalten oder den PC zu einem Bot machen. Somit werden höhere Ziele verfolgt. Daher seien auch die Kiddies von solch offenen Honeypots gewarnt. Es ist  meist grundsätzlich weder erlaubt noch ratsam, nach solchen Systemen zu suchen!

Offene Windows Freigabe. Clever, eine Passwortdatei ist gleich auch noch auf dem NAS. [IRONIE]

Firewall

Oben schon angesprochen ist die Firewall auf den NAS selten aktiviert. Oft umständlich zu bedienen und auf den ersten Blick unverständlich, kann man allerdings durch die Aktivierung der Firewall die Sicherheit nochmals erhöhen. Oft wird das Thema Firewall auf Clients vernachlässigt oder als unwichtig abgetan. Dies sollte aber nicht sein! Eine Firewall ist auch auf Client/Server Ebene ein wichtiges Element.

Bei Synology lässt sich die INCOMING IPv4 Firewall einfach konfigurieren.

So kann man hier nur die Dienste durchlassen welche man benötigt. Unterteilen kann man den Zugriff durch interne wie auch externe IP Bereiche (zB. auch der VPN Adressbereich)

Ein Firewallkonzept für das NAS ist nach einer kleinen Einarbeit schlussendlich schnell erstellt, hat aber nochmals eine positiven Einfluss auf die Sicherheit, gerade im Bezug auf andere kompromittierte Systeme im Heimnetz. Bei Synology ist die Firewall so konzipiert das man sich während der Konfiguration nicht mal aussperren kann ;) Also nur zu.

Die Firewall findet man bei Synology DSM unter Systemsteuerung > Firewall und QoS

Firewall DSM 4.2

Automatische IP Blockierung

Steter Tropfen höhlt den Stein. Ein Kennwort kann sicher sein. Doch mit einer Brute Force Attacke ist es möglich, dass auch dieses früher oder später fällt.

Wer Beispielsweise kein IDS/IDP zur Hand hat, der sollte bei seinem NAS die automatische IP Blockierung aktivieren.

Damit blockiert man auf einfachste Weise Brute Force Attacken.

Bei DSM findet sich diese Option unter Systemsteuerung > Automatische Blockierung

Automatische IP Blockierung DSM 4.2

VPN

Mit einem VPN ist es möglich sich von extern ins interne Heimnetz zu verbinden. Grundsätzlich ist es so möglich das NAS gegen aussen geschlossen zu halten und nur mittels VPN eine Verbindung zu erhalten.

Wenn der Router keine Möglichkeit zur VPN Verbindung ermöglicht, so ist als Alternative bei Synology ein OpenVPN und PPTP Server vorhanden.

Während von PPTP dringendst abzuraten ist, so funktioniert OpenVPN auf der Diskstation sehr gut.

Die VPN Server lassen sich in DSM via Paket-Zentrum als Anwendung installieren.

Als Zückerchen könnte man den Zugriff des VPN Subnets in der DSM Firewall noch granular steuern.

Auch hier an die Benutzerverwaltung denken.

Weiter Infos zum Thema VPN mit Synology findet man hier.

UPnP

UPnP ermöglicht die automatische Freigabe von Services und Daten und wird gerade im Multimedialen Bereich oft verwendet.

Mit Sicherheit ein Horror ;)

Dringendst abzuraten ist es, automatische Portweiterleitungskonfigurationen, welche gewisse NAS anbieten, zu verwenden. Tests mit kompatiblen Routern haben gezeigt, dass hier grundsätzlich alle Ports weitergeleitet werden. Auch solche die eigentlich nicht sollten. Daher UPnP falls vorhanden im Router deaktivieren und die Portweiterleitungen von Hand vornehmen.

Wer auf Medienservices mit UPnP/DLNA im Heimnetz nicht verzichten kann, sollte zumindest den Zugriff von neuen Geräten einschränken und diesen nur nach manuellem Eingriff gewähren.

Bei DSM einfach erreichbar mittels Medienserver > Zugriff auf Medienserver von neu erkannten UPnP/DLNA Geräten einschränken.

Medienserver DSM 4.2

Bewusstes Handeln ebnet einen sicheren Weg. Wer das Ziel nicht kennt, wird den Weg nicht finden.

Weitere Infos und How-to^s findet man unter folgenden Links:

http://www.synology.ch/support/tutorials_show.php?lang=deu&q_id=478

To do:
Softwareaktualisierung
Cloud
DMZ