Met firewall op 'hoog' in V12, geven alle commerciële zenders zwart beeld

Dat is onzin, tot de laatste firmware had de Experia/KPN Box zelfs helemaal geen uitgaande firewall en ook nu kan je die uitgaande firewall rustig op "Standaard" zetten.

Hoi ​@NulliusInVerba. De firewall die jij noemt is de uitgaande firewall. Die kun je gerust op Standaard/Laag zetten.

Wat betreft je tv probleem, reset je modem eens. We zien dat dit voldoende is om het probleem te verhelpen. 

Beste @Erik van KPN,

​@Erik van KPN  schreef:
Wat betreft je tv probleem, reset je modem eens. We zien dat dit voldoende is om het probleem te verhelpen

​@NulliusInVerba schreef:
"Ik heb de KPN Helpdesk gebeld, die als oplossing gaf:
- TV-tuner: "frisse start" (Firmware opnieuw installeren, en terug naar fabrieksinstellingen)
- Firewall: "Terug naar fabrieksinstellingen" (dan staat de firewall hierna op beveiligingsniveau "middel")
Dan werkt de TV tuner inderdaad weer naar behoren"

Ik bedoelde met “Firewall: Terug naar fabrieksinstellingen" de volgende optie: [192.168.2.254 (router/modem)\Instellingen\Systeem\Reset dit apparaat\Terug naar fabrieksinstellingen], daarna staat de firewall op niveau "middel", en werkt alles weer naar behoren.

​@Erik van KPN Erik van KPN schreef:
De firewall die jij noemt is de uitgaande firewall. Die kun je gerust op Standaard/Laag zetten

Malware op een PC/server kan e-mails (spam) verzenden via SMTP poort 25 (m.b.v. mailx+sendmail+Open relay SMTP Server), en een bestand ophalen via FTP (20+21) of FTPS (22+989+990).

Firefox kan verbinding maken met een HTTP-server (HTTP zonder SSL) over poort 443 (test: httpforever.com), maar APT (e.g.) heeft echt poort 80 nodig om een package (met malware) van een HTTP server op te halen, en SCP (copy app) werkt niet zonder een uitgaande poort 22 (SSH) verbinding.

KPN vindt het vast niet goed als ik een Open Relay SMTP server gebruik, dus ik ga het niet proberen, maar misschien kan jullie 2e lijns dat wel:

$ sendmail someone@kpn.com < /home/$USER/spam_mail.txt

Dus: uitgaande poorten zoveel mogelijk dicht. Slimme malware gaat over poort 443 naar buiten, maar goed...

​@NulliusInVerba schreef: "Welke TCP/UDP-poorten gebruikt de Arris VIP2952 V2 TV-tuner vanaf Firmware update 2.0.9?"

U geeft geen antwoord op deze vraag, dus heb ik een IP-pakket-scan gedaan van de Arris VIP2952-V2 tijdens het opstarten, maar daarin zie ik alleen er duizenden UDP-pakketen van 217.166.226.XXX:49152 (SagememcomBroa_49:F3:XX=laatste 6 postities van "base-sticker-MAC-adres" van mijn router) naar 224.0.252.128:7256 (nslookup: geen domain name), 1370 bytes, en dit blijft ook doorgaan als de tuner is opgestart:

Frame 134020: 1370 bytes on wire (10960 bits), 1370 bytes captured (10960 bits) on interface eth0, id 0
Ethernet II, Src: SagemcomBroa_49:f3:XX (XX:XX:XX:49:f3:XX), Dst: IPv4mcast_fc:80 (01:00:5e:00:fc:80)
Internet Protocol Version 4, Src: 217.166.226.XXX, Dst: 224.0.252.128
User Datagram Protocol, Src Port: 49152, Dst Port: 7256
Data (1328 bytes)

Er zit geen leesbare info in de pakketen.

Ik zie de adressen 224.0.250.64:9875 (SAP-aankondigings-adres) en 10.35.229.86 ("Interactieve TV is klaar voor gebruik via 10.35.229.86") niet in de scan.

Ik heb het opgelost met de volgende firewall rule:
IP-versie=IPv4, protocol=TCP/UDP, bron=192.168.2.1, bron poortnummer=1-65535, doel IP-adres=leeg (alle externe IP-adressen), doel poortnummer=1-65535, ID=TV-tuner, action=accept

zie afbeelding.

Misschien kunt u de vraag “Welke TCP/UDP-poorten gebruikt de Arris VIP2952 V2 TV-tuner vanaf Firmware update 2.0.9?" aan uw 2e-lijns-afdeling voorleggen?

MVG Nullius

Dan ben je dus al te laat, er staat dan immers al malware op een PC/server op jouw thuisnetwerk. En geloof me, als die kwaad willen dan is het voor dergelijk malware natuurlijk heel eenvoudig om, zoals je zelf ook al zegt, een andere poort te vinden die niet geblokkeerd is zoals poort 443.

Beste ​@Erik van KPN ,

Ik heb de IP-scan nog eens goed doorgeworsteld, en toch relevante frames gevonden:
(192.168.2.1=TV-tuner, KreatelCommu=TV-tuner, SagemcomBroa=router)

1. Internet Protocol Version 4, Src: 3.8.125.115, Dst: 192.168.2.1
Transmission Control Protocol, Src Port: 443, Dst Port: 58969, Seq: 1, Ack: 1, Len: 31 #TCP-58969 openzetten

2. Internet Protocol Version 4, Src: 3.14.178.229, Dst: 192.168.2.1
Transmission Control Protocol, Src Port: 80, Dst Port: 35367, Seq: 3, Ack: 1, Len: 30 #TCP-35367 openzetten

3. Ethernet II, Src: SagemcomBroa_XX:XX:XX (44:d4:XX:XX:XX:XX), Dst: KreatelCommu_XX:XX:XX (00:02:9b:XX:XX:XX) # Comm tussen router en tuner
Transmission Control Protocol, Src Port: 443, Dst Port: 60660, Seq: 1, Ack: 1, Len: 31 #TCP-60660 openzetten

4. IGMPv2    60    Membership Report group 224.0.250.64
Internet Protocol Version 4, Src: 192.168.2.1, Dst: 224.0.250.64
Multicast Address: 224.0.250.64 # aanmelding media server, IGMPv2 is geen TCP/UDP, dus poortnummer = n.v.t.

5. Heel veel van de volgende frames (vermoedelijk video-paketten):
Ethernet II, Src: SagemcomBroa_XX:XX:XX (44:d4:53:XX:XX:XX), Dst: IPv4mcast_fc:87 (01:00:5e:XX:XX:XX)
Internet Protocol Version 4, Src: 217.166.226.XXX, Dst: 224.0.252.135 #217.166.226.XXX=router, 224.0.252.135=vermoedelijk media server
User Datagram Protocol, Src Port: 49152, Dst Port: 7270 #UDP-49152 openzetten, (UDP-7270 hoeft niet, is extern)

6. IGMPv2    60    Leave Group 224.0.252.135
Internet Protocol Version 4, Src: 192.168.2.1, Dst: 224.0.0.2
Multicast Address: 224.0.252.135 # afmelding media server multicast, IGMPv2 is geen TCP/UDP, dus poortnummer is n.v.t.

7. IGMPv2    60    Membership Report group 224.0.252.128
Internet Protocol Version 4, Src: 192.168.2.1, Dst: 224.0.252.128
Multicast Address: 224.0.252.128 # aanmelding andere media server, IGMPv2 is geen TCP/UDP, dus poortnummer is n.v.t.

8. IGMPv2    60    Leave Group 224.0.252.128
Internet Protocol Version 4, Src: 192.168.2.1, Dst: 224.0.0.2
Multicast Address: 224.0.252.128 # afmelding media server multicast, IGMPv2 is geen TCP/UDP, dus poortnummer is n.v.t.

9. IGMPv2    60    Membership Report group 224.0.252.135
Internet Protocol Version 4, Src: 192.168.2.1, Dst: 224.0.252.135
Multicast Address: 224.0.252.135 # aanmelding oorspronkelijke media server. IGMPv2 is geen TCP/UDP, dus poortnummer is n.v.t.

(ik kan die roze kleur niet zwart krijgen ...)

De IGMPv2 frames zijn niet van belang voor de TCP/UDP-rules, maar misschien toch interessant.

Dus: de volgende poorten moeten intern openstaan voor TV-tuner (192.168.2.1): TCP-35367, UDP-49152, TCP-58969 en TCP-60660.

Ik heb nieuwe rules aangemaakt in de Firewall (niveau=”aangepast”):

1. IP-versie=IPv4, protocol=TCP, bron=192.168.2.1, bron poortnummer=35367, doel IP-adres=leeg (=alle externe IP-adressen), doel poortnummer=1-65535, ID=35367, action=accept

2. IP-versie=IPv4, protocol=UDP, bron=192.168.2.1, bron poortnummer=49152, doel IP-adres=leeg (=alle externe IP-adressen), doel poortnummer=1-65535, ID=49152, action=accept

3. IP-versie=IPv4, protocol=TCP, bron=192.168.2.1, bron poortnummer=58969, doel IP-adres=leeg (=alle externe IP-adressen), doel poortnummer=1-65535, ID=58969, action=accept

4. IP-versie=IPv4, protocol=TCP, bron=192.168.2.1, bron poortnummer=60660, doel IP-adres=leeg (=alle externe IP-adressen), doel poortnummer=1-65535, ID=60660, action=accept

Resultaat: met bovenstaande 4 rules werkt de TV-tuner ook naar behoren! TV-Tuner blijft wel weer lang op 98% hangen (geeft niet), maar SBS6 geeft WEL beeld, en programma terugkijken van SBS6=OK.

Groetjes, Nullius

Beste KPN,

Ter controle van de huidige status, heb ik de volgende akties uitgevoerd:

1. Arris VIP2952-V2 TV-tuner: opstarten; aan/uit-knop herhaaldelijk indrukken; [Systeem Menu\Software verwijderen] (="frisse start")
2. KPN Box 12 Router/modem: [192.168.2.254\Instellingen\Systeem\Reset dit apparaat\Terug naar fabrieksinstellingen]

Status router/modem:
[OK] Firewall-niveau is gewijzigd van "aangepast" naar "middel"
[?] het IP-adres bij [192.168.2.254\Overzicht\Televisie] is gewijzigd  van "10.35.229.86" naar "10.35.228.43"

Status TV-tuner:
[OK] TV-tuner werkt naar behoren, daarna:

3. Zet Firewall op niveau "hoog"
4. Herstart router/modem

Status router/modem:
[?] het IP-adres bij [192.168.2.254\Overzicht\Televisie] is gewijzigd  van "10.35.228.43" naar "10.35.228.60".

Status TV-tuner:
[OK] SBS6/Filmbox geeft beeld
[OK] terugkijken programma SBS6/Filmbox huidige dag =OK
[MISLUKT] terugkijken programma SBS6/Filmbox 2 dagen terug = zwart beeld

Dus: wel een stuk beter, maar nog niet helemaal goed.

Ik heb goede hoop!
MVG, Nullius

Systeeminformatie:
- Arris VIP2952-V2 TV-tuner: Firmware-versie=2.0.9 ("DBL-versie"), HTML-versie=6.205.202, NMC-versie=9.0.208_1, RBL-versie=1.2.2
- KPN Box 12 Router/modem: Firmware-versie=V12.C.24.05.08

Dit klinkt in ieder geval al een stuk beter ​@NulliusInVerba! Dank voor de updates met je bevindingen.

Beste ​@Erik van KPN , ​@Thomas van KPN  en ​@Maja van KPN ,

Misschien is het toch nuttig om dit even te lezen (want mijn woorden maken blijkbaar weinig indruk):

https://attack.mitre.org/techniques/T1571/

(NiV: de genoemde malware (behalve Rocke) is in 2024 geupdated, dus recent. C2 server =  externe command-and-control Server, die door de malware, vanaf de PC/Server in het klant-netwerk, wordt aangeroepen)

Malware authors often exploit non-standard TCP and UDP ports to evade detection by security systems that focus on typical ports like 443 (HTTPS). By utilizing uncommon ports, malicious traffic can blend in with legitimate network activity, making it harder to identify and block. For example, QuasarRAT has been observed using port 4782 for TCP callbacks, while Raspberry Robin communicates over HTTP using port 8080 for command and control (C2) traffic.

Similarly, RedLeaves malware has been known to use HTTP over non-standard ports such as 995 for C2 communications. Rocke (crypto miner) connects to a C2 server using port 51640. Pikabot utilizes non-standard ports like 2967 and 2223 for HTTPS C2 communication.

https://www.nexustek.com/blog/cyber-security-tip-detecting-attacks-over-low-traffic-ports

(NiV: artikel uit 2019, maar toch relevant)

The trend of malware using non-standard ports is significant. A study analyzing over 700 million malware attacks found that 19.2% targeted non-standard ports, with the number of such attacks increasing from 10.3 million in 2017 to 32.7 million in 2018.

https://www.infosecinstitute.com/resources/threat-hunting/threat-hunting-for-mismatched-port-application-traffic/

Attackers can employ various combinations of protocols and ports, such as using common protocols over uncommon ports or custom protocols over standard ports, to disguise their activities. This tactic helps them bypass perimeter defenses and avoid detection by blending malicious traffic with legitimate network activity.

To mitigate risks associated with non-standard port usage, it's essential to monitor network traffic for unusual patterns, enforce strict egress filtering, and maintain up-to-date intrusion detection systems capable of identifying anomalies across all ports.

De KPN Box 12 heeft geen packet monitoring-voorziening (om uitgaande IP-pakketten met malware te detecteren), dus denk ik, dat verstandig is om het advies "enforce strict egress filtering" (egress = uitgaand) op te volgen, en zoveel mogelijk uitgaande poorten dicht te zetten.

Groetjes,
Nullius

​@NulliusInVerba

jouw hele Engelstalige citaat gaat over inkomende poorten. Niet om uitgaand verkeer. Dus dat hele citaat is niet relevant.

Bedenk je even heel goed: de meeste andere consumentenrouters hebben helemaal geen uitgaande firewall. Kijk eens rond bij Ziggo of Odido ofzo. Die hebben dit niet eens. En KPN had het ook beter niet kunnen introduceren. Het is nutteloos en geeft alleen maar een hoop gezeik. Het aantal topics over niet werkende FTP bijvoorbeeld is inmiddels ook zowat ontelbaar.

Dat denk ik niet, het gaat in dat stuk mijns inziens weldegelijk om uitgaande poorten.

Nu monitort KPN 24x7 die uitgaande poorten en signaleert malware op basis van registratie van poorten en IP adressen in centrale malware databases. Daar heb je dus geen uitgaande firewall voor nodig en het is eigenlijk ook een beetje zinloos want je bent per definitie te laat in jouw defence immers de besmetting van een apparaat in jouw thuisnetwerk met malware heeft op dat moment al plaats gevonden en slimme malware weet altijd een weg naar buiten te vinden, juist door poorten te gebruiken die niet of nauwelijks geblokkeerd kunnen worden zoals bijvoorbeeld https (TCP poort 443).