News Bitdefender Box: Netzwerk- und Smart-Home-Schutz in 2. Generation

[Frank]

Bitdefender bietet mit der Bitdefender Box bereits seit 2015 eine Lösung, die Smart-Home- und andere vernetzte Geräte gegen unerlaubten Zugriff absichern soll. Auf der CES 2017 zeigt das Unternehmen nun die zweite Generation der Bitdefender Box.

Zur News: Bitdefender Box: Netzwerk- und Smart-Home-Schutz in 2. Generation

 

[Kormi]

Klingt gut, jedoch finde ich schade, dass es das Teil nicht als Rack-Version gibt.
Will man ein Haus Modern Vernetzen hat man als Consumer Schnell 2-3 NAS Systeme, Router, Firewall, Swiches und co beisammen.
Bleibt man jedoch in der Consumer Preisklasse hat man damit bald einen ganzen Raum voll gestellt, obwohl es als Rack-Varante alles in einem großen Rack untergebracht werden könnte.

 

[Kharne]

Bringt´s sowas?

Erster Schritt wäre ja erstmal, alles schön hinterm Router per NAT/PAT verstecken, statt jedem Gerät ne eigene öffentliche IP zu geben.

Idealerweise (aus Sicht der IT Sicherheit) legt man sicht natürlich erst garkeine smarten Alltagsgegenstände zu

 

[Hitomi]

Ist das jetzt ein neuer Trend bei den Antivirus Programme Herstellern? Erst Symantec, jetzt Bitdefender. Mit Virenscanner lässt sich scheinbar wohl kein Geld mehr machen. Wenn man einen solchen Router nutzt, braucht man sich über eine sichere Verschlüsselung wohl auch keine Gedanken mehr machen: Die wird dann eh gleich vom Router wieder aufgebrochen, wie es jetzt schon die normalen Virenscanner tun

 

[DFFVB]

Was Hitomi sagt... war auch sehr überrascht als Bitdefender meine komplette https Verschlüsselung versaut hat... Das macht mich skeptisch... auch das Augenmerk auf mehr Privatssphäre, das klingt mir sehr nach mitlesen und Daten verkaufen... Warum die Mühe machen überall Tracker, Cookies, Fingerprinting zu verwenden, wenn man auch einfach den ganzen Datenverkehr so mitlesen kann....

Nee dann lieber Sophos Home UTM...

 

[AAS]

Ist das jetzt ein neuer Trend bei den Antivirus Programme Herstellern? Erst Symantec, jetzt Bitdefender. Mit Virenscanner lässt sich scheinbar wohl kein Geld mehr machen. Wenn man einen solchen Router nutzt, braucht man sich über eine sichere Verschlüsselung wohl auch keine Gedanken mehr machen: Die wird dann eh gleich vom Router wieder aufgebrochen, wie es jetzt schon die normalen Virenscanner tun

Nein, gibt es schon seit Jahren und nennen sich Network Intrusion Detection System (NIDS) und Network Intrusion Prevention System (NIPS).
Virenscanner sind eh nur Schlangen-Öl.

Ergänzung (5. Januar 2017)

Was Hitomi sagt... war auch sehr überrascht als Bitdefender meine komplette https Verschlüsselung versaut hat... Das macht mich skeptisch... auch das Augenmerk auf mehr Privatssphäre, das klingt mir sehr nach mitlesen und Daten verkaufen... Warum die Mühe machen überall Tracker, Cookies, Fingerprinting zu verwenden, wenn man auch einfach den ganzen Datenverkehr so mitlesen kann....

Nee dann lieber Sophos Home UTM...

Wäre interessant zu Wissen wie die Mustererkennung abläuft, aber die ARM CPU ist dafür sicherlich zu schwach.

 

[wannabe_nerd]

Yeah cool - Plaste-router, Schlangenöl, Cloud, Smart-Home - BINGO! Da fehlt nur noch IoT :-P
Und dieser dolle "cloud-scanner" kostet dann ab dem zweiten Jahr wie bei Symantec 9$ pro Monat oder wie? Nicht nur, dass ich ALL meinen Traffic so seriösen Firmen wir Symantec oder Bitdefender gebe, nein, ich BEZAHLE auch noch dafür!!einself

Btw: würde mich ja mal interessieren, was Tavis Ormandy so alles in diesem Teil finden würde

Edit:

Nein, gibt es schon seit Jahren und nennen sich Network Intrusion Detection System (NIDS) und Network Intrusion Prevention System (NIPS).

mit dem Unterschied, dass die NIDS/NIPS nicht alles sofort an den Hersteller nachhause telefonieren (oder?)

 

[Cytrox]

Nein, gibt es schon seit Jahren und nennen sich Network Intrusion Detection System (NIDS) und Network Intrusion Prevention System (NIPS).

Nur das halt, sofern das Modem nicht versagt und eingehende Anfragen ins Heimnetzwerk rein lässt, es hier nicht viel an "Intrusions" zu "Detecten" und "Preventen" geben wird.

Ganz davon zu schweigen das eine sinnvolle Intrusion Detection Lösung hoffentlich nicht per WLAN angebunden irgendwo im Haus aufgestellt werden sollte.

Hinzu kommt dann noch dass das Ding vermutlich die Sicherheitslücke schlechthin ist, wenn es dann anfängt Daten aus vermeintlich sicheren SSL Verbindungen in irgendwelche Clouds hochzuladen und dort "analysiert".

 

[Nurve]

Snakeöl, nichts als Snakeöl. Braucht kein Mensch

 

[Atkatla]

Nein, gibt es schon seit Jahren und nennen sich Network Intrusion Detection System (NIDS) und Network Intrusion Prevention System (NIPS).
Virenscanner sind eh nur Schlangen-Öl.

Wieso? Weils keine 100%ige Sicherheit bietet? Das ist kein Argument, denn dass ist immer der Fall. Zu jeder größeren IDS/IPS-Lösung gehören auch flow- oder proxybasierte Virenscanner, die beim passieren des Traffics nach den Virenmustern im Traffic suchen bzw. Archive entpacken um darin zu schauen. IDS ist schliesslich nicht nur Verhaltenserkennung.

Diese Bitdefender Box scheint in diese Richtung zu gehen, nur eben in klein: den Traffic zwischen Internet-of-Things-Devvices und den anderen Geräten im Netzwerk zu scannen und nach Anomalien zu suchen.

Ergänzung (5. Januar 2017)

Bringt´s sowas? Erster Schritt wäre ja erstmal, alles schön hinterm Router per NAT/PAT verstecken, statt jedem Gerät ne eigene öffentliche IP zu geben.

Ein Gerät welches mit der Aussenwelt kommuniziert und sich hinter einem NAT-Router befindet, ist nicht versteckt. Denn es kann sich draussen kompromittieren oder durch andere Geräte im eigenen Netz kompromittiert werden.

In jedem größeren Unternehmen lässt man im Netzwerk daher Sicherheitssysteme auf den Traffic schauen, ob da Grütze mit bei ist und ein Netzwerkgerät sich vieleicht auffällig verhält.

@Hitomi: bei jeder vernünftigen Lösung sollte es konfigurierbar sein, ob das gerät https aufmacht oder nicht. Da es sehr Ressourcenhungrig ist und Zwischenzertifikate dafür eingerichtet werden müssen, damit https-Verbindungen überhaupt weiter funktionieren, ist eine optionale Auswahl dieser Funktion aus meiner Sicht absolutes Muss.

 

[AAS]

Wieso? Weils keine 100%ige Sicherheit bietet? Das ist kein Argument, denn dass ist immer der Fall. Zu jeder größeren IDS/IPS-Lösung gehören auch flow- oder proxybasierte Virenscanner, die beim passieren des Traffics nach den Virenmustern im Traffic suchen bzw. Archive entpacken um darin zu schauen. IDS ist schliesslich nicht nur Verhaltenserkennung.

Diese Bitdefender Box scheint in diese Richtung zu gehen, nur eben in klein: den Traffic zwischen Internet-of-Things-Devvices und den anderen Geräten im Netzwerk zu scannen und nach Anomalien zu suchen.

Arbeite auch in dieser Branche, ich bezog mich eher auf die klassischen Consumer-Virenscanner, welche den Browser durch ihre Plugins unsicher machen. Ich breche zu Hause auch meine verschlüsselten Verbindungen auf, jage sie durch 2 Scanner, jedes Gerät hat eigene Firwall-Regeln, IoT ist eh in einem anderen Netz und der Port vom Switch zum Router wird gespiegelt.

Ich installiere privat mittlerweile keine dedizierten Virenscanner mehr für meine Bekannten, AppLocker, SRP und ähnliches sind da viel effektiver für die User.

 

[DFFVB]

@Hitomi: bei jeder vernünftigen Lösung sollte es konfigurierbar sein, ob das gerät https aufmacht oder nicht. Da es sehr Ressourcenhungrig ist und Zwischenzertifikate dafür eingerichtet werden müssen, damit https-Verbindungen überhaupt weiter funktionieren, ist eine optionale Auswahl dieser Funktion aus meiner Sicht absolutes Muss.

Genau das war bei mir nicht voreingestellt... und es einen Tag gedauert, bis ich herausgefunden habe, dass es am Bitdefender lag, dass ich nur noch unsichere https Verbindungen hinbekommen habe... Otto normal findet das auf keinen Fall...

Und wenn man es stark vereinfacht wird hier die Sicherheit der Verschlüsselung der Sicherheit, dass Bedrohungen erkannt werden geopfert. Interessante Rechnung...

 

[Atkatla]

Was nützt dir denn die Sicherheit der Verschlüsselung, wenn in deinen Endgeräten eine Schadsoftware sitzt, die am Endpunkt vor der Verschlüsselung alles mitlesen kann und deine Daten (ironischerweise) in Verschlüsselung dann raus transportiert? Solange die Daten in deinem Netzwerk sind, solltest du auch die Hoheit darüber haben zu entscheiden, ob du in deinem Netzwerk da rein schaust oder nicht. Das Ziel der Verschlüsselung ist der Schutz der Daten draußen im Netz vor fremden und nicht vor dir in deinem eigenen Netz.

 

[AAS]

Genau! Und so abwegig ist es nicht, dass Malware verschlüsselt kommunizert. Gute Malware nutzt auch Steganographie.

 

[snaxilian]

Ich bezweifel aber mal stark, dass man das so selektiv einstellen kann: Also verschlüsselte Verbindungen meines Laptops sollen nicht aufgehebelt werden, die von meiner "smarten Kloschüssel" oder was auch immer aber schon? Was ist mit Geräten mit integrierter Kamera oder Mikrofon? Oder Anwesenheitssensoren, so als Beispiel für professionelle Einbruchsbanden. Okay weit hergeholtes Beispiel aber theoretisch möglich.
Was passiert, wenn mein Laptop kompromittiert wurde? Darf dann dieser Plaste-Router bei Erkennung von abnormalem Traffic meine Verbindungen aufbrechen und an den Hersteller senden?

Was passiert, wenn der Hersteller entweder ein pay to secure Modell einführt oder das Interesse an dem Produkt verliert in 1-2 Jahren? Oder in einem Jahr die nächste Box raus bringt und die jetzige dann EOL ist? Hab ich dann den weiteren unnötigen Router hier rumliegen?

@Kormi: Wenn du Rack willst, guck dir die Appliances von pfSense an oder bastel dir selbst eins mit nem Board von PC-Engines o.ä. oder eben ne Sophos UTM ider IPCop/IPFire oder eine der anderen unzähligen Firewall-Lösungen. Hardware bist dann relativ frei in der Wahl. Das ist natürlich wieder mehr Aufwand und man muss es selbst einrichten aber es gibt halt nunmal so gut wie keine fire-and-forget Lösung. Weitere Option wären einfach 2-3 Abstellböden in nem Rack oder einfach ein Regal deiner Wahl wo die zentrale IT rein kommt.

Der Grund für das Design dieser Box ist doch, dass man Sie sich ins Wohnzimmer neben den vorhandenen Plasterouter stellen kann. Als Keller-/Rackversion braucht man ja auch kein WLAN. Aber die meisten der technisch versierten User hier sind auch nicht die Zielgruppe für so etwas.

 

[Atkatla]

Ich bezweifel aber mal stark, dass man das so selektiv einstellen kann: Also verschlüsselte Verbindungen meines Laptops sollen nicht aufgehebelt werden, die von meiner "smarten Kloschüssel" oder was auch immer aber schon?

Dass man die Endgeräte unterschiedlichen Prüfprofilen zuweisen kann, ist doch mehr oder weniger eine Grundvoraussetzung an eine Sicherheitslösung. Ich weiss zwar nicht, ob das Teil aus der News hier das kann, aber ohne so etwas würde ich damit gar nicht anfangen. Egal ob es was gekauftes oder selbstgebautes ist.

Dein Laptop ist anderen Gefährdungen ausgesetzt aus die smarte Kloschüssel (wenn der Nutzer früh aufsteht, heize schon mal die Kloschüssel vor, hmm, interessanter use-case ^^). Ergo muss man diese unterschiedlichen Gefährdungen auch mit unterschiedlichen Einstellungen begegen können, was aber wiederum die usability für nicht-IT-affine erschwert.

 

[snaxilian]

Und genau da seh ich nämlich das Problem. Ich gehe einfach stark davon aus, dass zugunsten der Benutzbarkeit solche Zuweisungen pro Gerätegruppen entfallen, aber vielleicht ist der Hersteller ja so nett und lässt unsereins online auf einem Demo-System herum testen

 

[DFFVB]

Was nützt dir denn die Sicherheit der Verschlüsselung, wenn in deinen Endgeräten eine Schadsoftware sitzt, die am Endpunkt vor der Verschlüsselung alles mitlesen kann und deine Daten (ironischerweise) in Verschlüsselung dann raus transportiert? Solange die Daten in deinem Netzwerk sind, solltest du auch die Hoheit darüber haben zu entscheiden, ob du in deinem Netzwerk da rein schaust oder nicht. Das Ziel der Verschlüsselung ist der Schutz der Daten draußen im Netz vor fremden und nicht vor dir in deinem eigenen Netz.

Ich würde das gerne mal diskutieren. Ich bin sicherlich kein Experte und setze daher auf einem abstrakten Level an.

Meine Rechnung ist die, dass ich erstmal davon ausgehe keine Schadsoftware zu haben, also profitiere ich von der Verschlüsselung. Sollte ich Schadsoftware haben setzt die auf dem Endgerät an, die restlichen Netzwerkteilnehmer sind davon (hoffentlich) erstmal nicht betroffen.

Wenn ich nun den Router aber als zentrales System habe, dann hab ich nur noch einen Angriffspunkt, und wenn dort die Verschlüsselung aufgebrochen wird, dann ist ja mein ganzes Netzwerk angreifbar?

Wäre in dem Zusammenhang ja auch mal interessant wieviel Schadsoftware über https:// Seiten kommt?

Das nach draußen telefonieren von Schadsoftware halte ich für vernachlässigbar, ich glaube nicht, dass der Router das erkennt.

Und ja natürlich sollte ich in meinem Netzwerk die Daten haben, aber wenn meiN Rechner kompromittiert ist, kann ich Gkück haben und der meiner Freundin nicht, wenn aber der Router alles aufmacht, dann wäre es halt auch leichter anderen Netzverkehr mitzulesen.

Ich glaube auch nicht, dass da unterschieden wird, was aufgebrochen wird, und was nicht, es müsste eine Warnung geben, Achtung, wir haben Verdacht, und man kann dann selektiv Deep Packet Inspection machen... aber so sieht mir das eher nach mitlesen aus...

Ich meine ist ja auch klar: Google machts vor mit den Daten, Facebook zieht mit, Microsoft merkt, dass sie den Zug verpasst haben, verschenkt also Windows 10.

Jetzt denken sich die Sicherheitshersteller? Hey warum sollten wir nicht einfach den Verkehr mitlesen? Und als ob das dann nicht schlimm genug wäre, wollen sie dafür auch noch monatlich 10 EUR... also das ist schon frech, da kauf ich mir lieber nen Zotac Nano mit zwei NICS und fuxe mich einmal in Sophos Home und gut ist...