Firewall der Dreambox

  • Hallo,


    ich habe an meiner Dreambox einen Wlanstick angeschlossen. Die Verbindung scheint nur dann aufgebaut zu werden wenn das Internet benutzt wird, das ist schon mal gut weil man niemals nutzlos am Netz hängen sollte.

    Ich habe in den Einstellungen sinngemäß eingestellt daß man sich nur per Passwort anmelden kann aber ein sicheres Gerät braucht auch eine funktionierende Firewall, es gibt zahlreiche Medienberichte daß IOT- oder Abspielgeräte von außen gehackt werden können.


    Hat die Dreambox die beste und aktuellste für Linux existierende Firewall eingebaut oder kann man die Einstellungen der eingebauten Firewall verbessern oder gibt es schon eine bessere als Paket zum nachinstallieren?


    Daß das Wlan Passwort in der Dreambox im Klartext gespeichert wird schafft leider kein großes Vertrauen in die Gerätesicherheit. Gibt es hier z.B. eine Möglichkeit es als Hash zu speichern?

    • Official Post

    Ich bin davon überzeugt, dass ein Gerät welches nicht in einer DMZ hängt (und da gehört eine Dreambox mal so garnicht hin!) keine eigene Firewall benötigt.


    Das Firewalling in Richtung Internet ist Aufgabe des Routers oder eben einer dedizierten Firewall.

    Ohne dass der Router und die zum Internet gerichtete Firewall den Traffik aus dem Internet durchlassen und korrekt Routen ist die Box von außen schlicht "unsichtbar".


    Viel wichtiger ist, dass man solche Geräte korrekt in Richtung Internet öffnet.

    Ein https Reverse-Proxy mit ordentlichen Zertifikaten ist da meine persönliche "Mindestanforderung".


    Noch besser: nur über VPN von außen erreichbar.

  • Quote

    Gegen Hacker, Schadsoftware, die klassischerweise als E-Mail-Anhang oder Messenger-Nachricht bei uns eintrudelt oder alle möglichen anderen Internet-Gefahren helfen sie trotz aller Versprechen schlicht nicht.

    Golem VPN


    VPN sind Plazebos welche keinen Schutz vor Hackern bieten.

    In einem kabelgebundenem Netzwerk kann man die Meinung vertreten daß die Sicherheit die Aufgabe des Routers ist. Wenn eine Firewall aber auf jedem Gerät vorhanden ist dauert der Hackerangriff länger. Das BSI empfiehlt deshalb auf jedem Gerät eine Firewall und Versicherungen zahlen regelmäßig nicht wenn der Rechner nicht abgesichert war. Die Firewall ist im juristischen Alltag zwingend notwendig.


    In einem Funknetzwerk ist es aber anders:

    Der Hacker kommt nicht über den Router sondern hackt den WLAN Klient direkt. Technisch kann die Dreambox auch als Router arbeiten. Es gibt im Darknet Programme die einen WLAN Klienten übernehmen können. Wenn dann keine Firewall vorhanden ist sind sie auf der Dreambox und über diese bekommen sie Vollzugriff über das geamte Netzwerk.

    Man sagt daß jeder Intel Wlan Treiber einen Treiberfehler hat, es ist immer ein anderer aber er ist vorhanden. Die Treiber der Dreambox machen hier mit Sicherheit keine Ausnahme.


    Dieser Artikel ist für das nahe verwandte Bluetooth

    https://www.golem.de/news/braktooth-sicherheitsluecken-millionen-bluetooth-geraete-koennten-betroffen-sein-2109-159322.html


    Daß ein Router nicht schützen kann ist hier bewiesen:

    Heise IOT Sicherheit



    Technisch ist das wie beim Browser auf einem Windows Rechner:

    Der Hacker findet einen Windows Rechner, z.B. durch reines anpingen. Dessen Browser bekommt einen Schadcode, meistens Javascript, und dieser wird lokal ausgeführt. Weil Browser und Rechner Vollzugriff hat wird der Router den Angriff nicht verhindern können.


    Samsung baut sogar seit Jahren einen Virenschutz in seine Fernseher ein:

    https://praxistipps.chip.de/virenschutz-fuer-samsung-tv-das-sollten-sie-beachten_112588

    Daß es eine Firewall gibt ist dann zu vermuten.


    Selbst in Unternehmen, in denen mit Sicherheit bessere Router als die Fritzbox verwendet werden, sind IOT Geräte in nur 3 Minuten hackbar:

    IOT in 3 Minuten Hacken

    Quote


    Wird ein solches Gerät infiziert, können Hacker Hintertüren einrichten, um einen automatisierten IoT-Botnet-DDoS-Angriff zu entwickeln und zu starten....

    Anhand eines physischen Tests sowie der Analyse unabhängig begutachteter Branchenuntersuchungen gelangt Kamkar zu dem Schluss, dass diese Geräte für Unternehmen erhebliche Risiken mit sich bringen, da sie zumeist keine integrierten Sicherheitsfunktionen besitzen.

    Ein Gerät ohne eigene Sicherheitsarchitektur an das Internet anzubinden ist also offenkundig grob fahrlässig.


    Tatsache ist also daß die ungeschützte Dreambox, auch sie hat einen offiziellen Browser, das gesamte Netzwerk gefährdet. Selbst wenn man es also persönlich für nicht notwendig hält eine Firewall zu haben schadet es nicht sie trotzdem einzubauen. Man compiliert sie einmal durch und fertig.


    Von einem Endkunden den Betrieb eines https Reverse-Proxy zu verlangen halte ich schon für unverschämt. Weshalb steht dann nicht auf der Verpackung daß man die Dreambox nur dann kaufen darf wenn man einen https Reverse-Proxy besitzt?


    Viele, gerade auch Firmen, verwenden aber keine Router sondern haben nur Hubs auf der Hausebene. Der Router ist nur am Telefonausgang aber die Geräte sind über das Hub verbunden. Weshalb steht auf der Dreambox Verpackung nicht daß das Gerät ausschließlich bei einem vorhandenen Router betrieben werden darf? An einem Hub wäre aber das ganze Netzwerk angreifbar.


    Weshalb hält Dream es also trotz dieser Argumente nicht für notwendig eine Firewall in die Firmware einzubauen? Wie viel Arbeitsaufwand würde das machen wenn es offiziell angeboten oder von einem Hobbyentwickler bereitgestellt wird?

    Edited once, last by qwert1 ().

    • Official Post

    Ich meine es WIRKLICH nicht böse, aber:


    Ich habe das Gefühl dass hier mit etwas zuviel Halbwissen argumentiert wird.


    Das ist alles ziemlich wild durcheinander gewürfelt und irgendwie nicht sehr naja... Realitätsnah.


    Kein großes, auch nur ansatzweise modernes Netzwerk setzt noch auf Hubs - weil die Paketkollisionen exponentiell zu den Clients/Ports zunehmen, da jedes Paket auf jeden Port kopiert wird.

    Heutzutage benutzt man Switches und damit ARP (Address Resolution Protocol) um MAC-Adress-basiert Geräte direkt anzusprechen statt jedes Paket blind ins komplette Netzwerk zu senden.


    Kurze Begriffsklärung: DMZ - Demilitarisierte Zone - Geräte welche direkt aus dem Internet ansprechbar sind und technisch betrachtet eigentlich noch "Vor dem Router" (wenn das Internet vorne ist) hängen.


    Eine Firma welche alle Clients in eine DMZ hängt würde heute vermutlich keinen einzigen Tag überleben.


    Und ja, mit IPv6 haben wir tatsächlich den Fall dass jeder Client, auch in einem privaten Netzwerk, eine eigene, öffentlich erreichbare IP Adresse haben kann.

    Das Entscheidende ist aber, dass der gewöhnliche Router diese Geräte eben NICHT von außen erreichbar macht, jedenfalls nicht ohne Zutun des Nutzers.

    Sonst hätten wir nämlich direkt wieder eine DMZ.


    Bei IPv4 hat man als Privatnutzer i.d.R. neu genau eine IP Adresse. D.h. es benötigt AKTIVES routing zum Gerät damit dieses überhaupt aus dem Internet erreichbar ist.

    Das heißt auch, dass der Administrator des Routers das Ganze aktiv einstellen muss.


    Ein Switch/Hub ist dafür zuständig dass Geräte sich innerhalb eines Sub-Netzes & VLANs finden.

    Ein Router ist dafür Zuständig, dass sich Netzwerkgeräte über Subnetze und/oder auch VLANs hinweg unterhalten (oder auch eben gerade NICHT) können.


    Ein gewöhnliche Firewall wie sie jeder Haushaltsübliche Router einsetzt kann keine Angriffe auf Lückenhafte Client-Software unterbinden, das benötigt man Deep Packet Inspection.
    Sie kann lediglich steuern welcher Dienst (Port & Protokoll) von welcher "Quelle" aus erreichbar ist.


    So und damit sind wir beim entscheidenden Punkt:


    Wenn wir jetzt netfilter (die linux firewall) auf die Dreambox packen, könnte man damit nicht mehr filtern, wie es jeder normal Router ohnehin schon kann und macht.

    Man möchte die "Bösen" von Zugrauff aus das eigene Netzwerk fern halten, das gelingt am Besten an einem möglichst zentralen Punkt und das ist nun mal der Router.


    Alternativ kann man sich, wenn man einigermaßen paranoid ist, auch eine eigenständge Firewall hinter den Router und vor alle weiteren Clients hängen, welche den gesamten Traffic vom und ins Internet nochmal komplett filtert.

    Hier gibts es z.B. recht bekannte Open Source Linux Distributionen wie IPFire. Das kommt dann auch mit Firewall und Intrusion Prevention System welche für den Privategebrauch mehr als ausreicht.


    Und nochmal, auch in Unternehmensnetzwerken hat nicht jeder Client eine eigene Firwall (der Wartungsaufwand wäre unvorstellbar).

    Stattdessen man hat zentrale Instanzen die all Das voneinder trennen was getrennt sein muss (logisch über VLAN/routing oder auch physikalisch in Form komplett losgelöster lokaler Netze), und (hoffentlich) auch alles filtern was gefiltert werden muss.


    TLDR; Eine eigene Firwall ist nur auf Geräten interessant welche direkt, und ohne vorgeschalteten Schutz im Internet hängen. Sie ist dann z.B. notwendig um festzulegen welche Dienste nur aus dem lokalen Netz und welche aus dem öffentlichen Netz erreichbar sind.

    Das ist in einem gewöhnlichen Privatnetzwerk mit Glasfaser/Kabel/DSL und Router aber faktisch NIE der Fall.


    Und jeder, der so einen Fall privat konstruiert weiß in aller Regel was er treibt (oder handelt grob fahrlässig).


    PS: Diese Erläuterung hat absolut keinen Anspruch auf Vollständigkeit (dafür gibt's sehr gute Literatur in Büchern und im Netz).
    Das Thema KANN schnell unendlich komplex werden und ist dann für Laien auch sehr schnell nicht mehr nachvollziehbar.


    PPS: Bei einem erfolgreichen root exploit sind alle auf dem betroffenen Gerät getroffenen Sicherheitsmaßnahmen direkt und ausnahmslos vollständig unwirksam da man alles was eigentlisch schützen sollte "einfach so" abschalten kann.
    Lediglich externe Maßnahmen können ggf. noch schlimmeres verhindern (z.B. dass ein Client in der Finanzabteilung schlicht keine möglichkeit Hat irgendwie auf ein produktionskritisches Kernsystem zuzugreifen).

  • „….wenn man einigermaßen paranoid ist…“ – Herrlich! :thumbs_up:


    An den Threadersteller: Wenn man am Aufstellort der Dreambox keine Möglichkeit von LAN–Kabeln hat, kann man die Dreambox auch per LAN–Kabel mit zum Beispiel SOWAS verbinden. Der funkt dann auf Wunsch auch „schön sicher“ per WPA 3–Verschlüsselung zum Router…


    Und ja–das hat jetzt nicht direkt was mit Firewalls zu tun. Aber das wurde ja, denke ich, ausführlich beantwortet…

    • Official Post

    WPA2 ist weit davon weg kritisch unsicher zu sein.

    Ich würde mich da nicht verrückter machen lassen wie es sein muss.


    Man sollte aber halt ungefähr wissen welche Geräte im eigenen Netz was tun müssen und was vielleicht NICHT tun dürfen.

    Und welche Dienste man mit einigermaßen gutem Gewissen ins Netz hängen kann und welche nicht.


    Ich hatte privat in den letzten 20 Jahren keinen einzigen Zwischenfall.
    Und ich habe auch "nur" eine ganz normale Fritz!Box (zwischendurch mal kurz eine easy.box).


    Leider wird halt auch in der "Fachpresse" immer wieder mal Halbgares zum Lesen serviert.

  • Im übrigen gilt das nicht nur für Dreamboxen, Smart TV's kommen auch ohne Firewall aus und haben in der Regel auch Wlan.


    Für OE2.5 und OE2.6 gibt es auch iptables.

    Für arm64 hatte ich mal eine neuere Version gebaut.

    ufw (uncomplicated firewall) kommandozeilen-basiertes Frontend für iptables


    gruß pclin