Staat UPnP IGD aan of uit op jouw Experia/KPN Box?

Welke port-forwardings heb je gedefinieerd op jouw Experia/KPN Box?

Geen! Er draait geen experiabox en ook geen fortigate. Alle porten staan dicht upnp staat uit. Het is echt een forward vanuit het Kpn Netwerk op port 8015 waardoor mijn server monitoring flipt vanwege vermeende vindbaarheid op shodan. Maar de vermelding op shodan is dus een Kpn gateway/BGC voor mijn fysieke aansluiting 

De services die op de port draait serveert een fortigate certificaat En dat is niet mijn firewall 

admin: privacygevoelige informatie verwijderd

Wat voor een router heb je dan wel in gebruik?

Heb je wellicht een zakelijk abonnement?

Begint jouw IPv4 adres met 92.64 tot 92.71?

En wat voor een router heb je in gebruik?

de vraag waarom Kpn port 8015 hijackt komt vaker voor op forum voor en blijft ook daar onbeantwoord 

En voor de allerlaatste keer de vraag wat voor een router je in gebruik hebt.

Als je geen antwoord wilt geven dan scheiden hier onze wegen en moet je jouw vraag maar op het zakelijke forum van kpn gaan stellen.

Waarom wil je dat weten Ik heb al verteld wat het niet is. 
het vragen naar een bepaalde Kpn ip range is in dit geval eigenlijk al ongewenste maar snap ik nog als daarop technische onderscheid in Netwerk word gemaakt. Maar waarom onze Perimeter software voor relevant is waarom je dat wil weten is mij raadsel 

leg eerst maar eens uit waarom dat relevant is voordat dat ik met een niet Kpn medewerker in ga zeer security gevoelige vragen 

Ik vroeg naar dat subnet om er zeker van te zijn dat jouw IP adres aan kpn toebehoort en er geen sprake is van een VPN verbinding.

En aangezien het enige door kpn beheerde subnet beginnend met 92 het subnet 92.64.0.0/13 is wilde ik dat met die vraag even verifiëren.

Die vragen zijn helemaal niet zeer security gevoelig.

Het is ofwel jouw eigen router waarop die poorten inkomend naar de router zelf open staan ofwel dat jij de zakelijke dienst "extra veilig internet" afneemt.

Een ander forum ook prima maar dit is het forum waar ik op uitkom waneer ik met mijn account inlog waar nergens staat aangeven dat er meerdere forums zijn het enige wat er staat is stel een vraag. 

Ik houd er mee op, dit brengt ons niet verder en is dus zonde van de energie.

Ik zou je willen vragen om jouw vraag op het zakelijke forum van kpn te gaan stellen.

En o ja, ik gebruik op zowel mijn privé als zakelijke aansluiting een EdgeRouter 4.

Ik houd er mee op, dit brengt ons niet verder en is dus zonde van de energie.

Ik zou je willen vragen om jouw vraag op het zakelijke forum van kpn te gaan stellen.

 

En o ja, ik gebruik op zowel mijn privé als zakelijke aansluiting een EdgeRouter 4.

 

Alleen ben jij geen financiële instellingen of grote ICT die interessant is voor een supply chain aanval.  Ubnt edge routers zijn inderdaad heel leuk speelgoed voor thuis maar niet geschikt als serieuze bedrijfs firewall.  Beide CVE’S zijn trouwens wel serieus nasty waneer niet gepatcht of gefixed door Ubiquiti 

shodan je zelf 4n klanten eens voor de grap geeft onverwacht dingen 

https://enterprise.shodan.io

Wow…

Dat zijn ze dan uiteraard ook.

Geen enkel onverwacht resultaat. Precies de poorten die ik open heb staan worden vemeld en that's it.

80 procent van je verkeer is ssl encrypted. Hier kan de edge router net zo als de udm geen dpi en firewalling op uitvoeren en dat is momenteel echt een must. Het is namelijk 99 procent zeker dat hacker en maleware over ssl binnen komt 

Geen enkel onverwacht resultaat. Precies de poorten die ik open heb staan worden vemeld en that's it.

Top en ook handmatig snel gedaan trouws voor al je klanten is dat altijd wel behoorlijke klus. Eigenlijk zou je helemaal geen helemaal vermelding moeten/ willen hebben.  Een vermelding betekent dat niet publieke bedoelde functie en bedrijfseigen oplossing voor het grote publiek dus wel aanspreekbaar en benaderbaar zijn. Met een beetje pech vermeld Shodan de software version en bijhorende CVE’s en met extra pech de login credentials om / hoe een cve te misbruiken 

Nee, dat heb ik niet gedaan voor al mijn klanten en ik zou ook niet weten waarom ik dat zou moeten doen. Binnen de site-2-site VPN verbindingen met mijn klanten wordt geen van buitenaf geïnitieerde communicatie geaccepteerd. Firewall staat inkomend volledig dicht. Ook uitgaand staat de firewall voor de site-2-site VPN verbindingen volledig dicht uitgezonderd de poorten benodigd om onze werkzaamheden bij onze klanten uit te kunnen voeren.

Dat hoop je maar is waar nooit zomaar op kan vertrouwen dat moet monitoren en daar zit nu net het een issue dat de Kpn fortigate zorgt voor false positive zonder documentatie waarom? 

Btw ubnt edge routers zijn hier vatbaar voor waneer je ftp, torrents en voice over ip (conntrack) gebruikt op je netwerk. 

Maak je geen zorgen, ik weet precies wat er door de site-2-site VPN verbindingen loopt.

Dat Fortigate voor false positives zorgt is inderdaad heel vervelend.

Heb je Fortigate cloud management in gebruik?

Blijkbaar niet je wat een edge kan/doet geen ssl inspection.  Die hele grote balk met gedecreteerd als ssl verkeer is niet alleen je bank  .
 

Voel je niet aangevallen Ik probeer je alleen te helpen met een veiligere wereld en geef aan waarom edge router te kort schiet als serieuze firewall.
Maar maakt niet dat het prijs kwaliteit geen geweldige routers zijn. Ik heb hier thuis voor hobby ook doos (tientallen) vol liggen, zeker de X met nat offloading zijn geweldige als routering device voor je firewall. 
 

Dat Fortigate voor false positives zorgt is inderdaad heel vervelend.

Heb je Fortigate cloud management in gebruik?

Wij niet, Wat er op locatie precies bij Kpn hebben aangevraagd ga ik uitzoeken. Het is een locatie waar ze aan de hand van specificaties zelf de zakelijk aansluiting en telefoonie regel

En dat is ook niet nodig bij die site-2-site VPN verbindingen immers het end-point van de VPN verbinding is de EdgeRouter zelf. Vervolgens komt het verkeer gewoon in mijn firewall terecht en kan er (indien gewenst) gewoon DPI op uitgevoerd worden.

Wat is dat anders dan wat net aangeef? Alleen hebben het juiste over de firewall en inspectie die juist weer niet door de edgerouter of UDM moet laten doen.
Dom dat simple gezegd niet krachtig genoeg is dat hij de ssl van het verkeer kan strippen om te kijken wat voor verkeer het werkelijk is. Maar daar is nogmaals de prijs ook naar. 

Vpn is routeren en wat ik in mijn bericht aan geef is een edge router x  vanwege nat offloading daar heel geschikt en super goedkope oplossing voor waneer je hem inderdaad voor je firewall plaatst 

Jij geeft aan dat de EdgeRouter geen DPI op SSL verbindigen doet.

Ik geef aan dat dat ook niet nodig is voor die site-2-site VPN verbindingen omdat het end-point van de VPN tunnel de EdgeRouter zelf is en de firewall en dpi geen "last" meer hebben van SSL aangezien deze al decrypted is voordat de firewall en dpi er mee aan de gang gaan.

SSL inspection 🧐 

ipsec voor vpn heeft ook niets met je firewall van je Netwerk te maken maar meer met routering van intern verkeer buiten langs naar andere interner netwerk locatie vandaar dat ik ook een beetje negeerde in de discussie over DPI en ssl inspection van het verkeer dat je netwerk binnen komt 

Waar wil je nu toch naartoe @post-it, mijn firewall op mijn EdgeRouter weet precies welke communicatie door die site-2-site VPN verbindingen loopt en is prima in staat om deep packet inspection te doen op dat verkeer omdat deze nog niet encrypted is op het moment dat deze door de firewall en/of dpi opgepakt wordt.

Nogmaals, ik heb het over de site-2-site VPN verbindingen, niet over bijvoorbeeld https of ssh verbinding vanaf een werkstation. De discussie is immers naar aanleiding van dit bericht.

Ik wil nergens heen jij verandert het onderwerp. Wij hadden het over het hoe en waarom ik onze firewall niet wilde noemen omdat een security risico / aanval opervlakte geeft. En daarna  hadden we over jouw zakelijke en bij klanten ingezeten edgerouter omdat jij met ‘wow” reageerde dat ik het het geen volwaardige bedrijfs gateway / firewall oplossing maar leuke thuis hobby gateway of infrastructure router (dus geen firewall) vind. Daar is IPsec en l2tp van mijn kant nooit te spraken gekomen. Daar zit je/het beveiligings problem (mag ik hopen ) bij de meeste netwerken en edgerouter ook helemaal niet. Bij vpn (IPsec)  praat je namelijk over verkeer aan LAN zijde van de firewall en dan heeft er als het goed al ssl inspectie (wat Ubiquiti dus niet kan ) door de firewall plaats gevonden en daardoor is het  niet relevant in het hele dpi verhaal waar we het over hadden 

Mijn klanten gebruiken helemaal geen EdgeRouters, ik weet niet waar je dat vandaan haalt.