E-mail van Abuse gekregen na openen poorten voor Synology RT6600ax NAS

Als je een vpn server gebruikt, dan zet je alleen die ene poort voor die vpn server open. Verder laat je alles dicht. Maar ik krijg de indruk dat jij ook poorten voor je printer open gezet hebt. Klopt dat? Dat moet natuurlijk niet.

Alleen in de NAS opengesteld naar de rest van het interne netwerk. Niet in de router naar buiten.

Waarom gebruik je 1337? Waarom niet gewoon de standaard poort 1194 voor OpenVPN?

Tja het mag van mij eigenlijk elke willekeurige port zijn. Ik kan ook poort 1742, 1234, 9876 kiezen of 5555. Het maakt mij niet uit. Het vinden van de juiste UDP port is natuurlijk wat lastiger als het niet de standaard poort is. Maarja 1337 is ook niet een echt willekeurige poort…

Maar met het poortnummer los ik verder het onderliggende probleem niet op.

Kun je eens met een port scanner app (Fing bijv) vanaf 4/5G je WAN IP eens scannen waar de NAS aanhangt en kijken wat er open staat? KPN controleert actief welke poorten er open staan op een aansluiting. Sommige poorten zijn namelijk standaard uitgesloten in de xperiabox om te kunnen configureren/open zetten, zoals SMB, SMTP 25 (in sommige gevallen) en nog een paar poort nummers. Wellicht dat er toch een poort open staat op je NAS waarvan KPN niet wil dat deze open staat.

Met Fing een port scan gedraaid, op dit moment 0 open poorten.

Dan zou ik morgen KPN even bellen om e.a. duidelijk te krijgen. Wellicht dat ze een check kunnen doen op aanvraag.

Dat gaat niet werken want je zult geen medewerker van het Abuse team aan de lijn krijgen.

Misschien dat ​@Dennis ABD wat licht in de duisternis zou kunnen brengen.

Ook ik vind de informatie die gegeven wordt uitermate summier, je zou toch tenmiste verwachten dat er wat gezegd wordt over wat er geconstateerd is. Met dergelijke vage mails wordt je mijns inziens toch een beetje met een kluitje het bos in gestuurd.

Ook dat heb ik gedaan. KPN zegt dat ik daarvoor alleen per mail bij KPN Abuse contact kan opnemen.
Als optie gaf KPN nog wel aan te overwegen een forum post, deze post dus, te plaatsen met de vraag.

Wat opvallend was is dat ik eerst een vrouw aan de lijn kreeg die mijn vraag te technisch vond. Mij door verwees naar een collega die mij na twee woorden onderbrak en vrij kortaf zei “Je hoeft het niet uit te leggen, KPN Abuse. Daar kunnen we niets mee. Moet je hun maar mailen” en hij hing al bijna op. Ik kon het gesprek nog een beetje redden door uit te leggen dat ik dat drie dagen geleden al gedaan had en geen antwoord kreeg. Toen bekoelde de KPN contactpersoon iets wat en kwam hij met het forum idee.

Niet een heel plezierige ervaring. Maar ja ik heb ook een privé modem, dus eigenlijk geen recht op support. Tegelijkertijd als KPN Abuse dit soort meldingen geeft zonder uitleg. Morgen probeer ik een andere random poort en kijk ik of ik dan geen abuse melding meer krijg.

Dat is dus precies wat ik bedoel. Ik heb mijn best gedaan het zo goed en veilig mogelijk op te zetten en dan krijg ik zo’n e-mail. Ik heb geen idee wat ik verkeerd doe en vertrouw vervolgens ook mijn eigen instellingen niet meer.

Als Abuse nu tijdig zou reageren en me uitlegt wat ik moet aanpassen… Ik kan nu al drie dagen niet, van buiten, bij mijn thuisnetwerk wat ook al gevolgen heeft gehad voor mijn werk… Het wordt echt een beetje vervelend.

Ik zie voor poort 1337:

menandmice-dns  1337/tcp                # menandmice DNS
menandmice-dns  1337/udp                # menandmice DNS

Nooit van gehoort, maar het schijnt een DNS/DHCP omgeving te zijn. Een DNS server op internet zou aan DDOS aanvallen kunnen meewerken, dus zou abuse aanslaan op 1337 ??? Jammer dat ze dat er niet bijzetten.

OpenVPN standaard poort is1194/udp, daarom een andere poort kiezen is een terechte extra beveiliging. Net een verkeerde gekozen? 

Als het gebruik van een port nummer een reden is voor KPN is om mijn verbinding af te sluiten eet ik mijn schoen op… Dat zou echt te bizar voor woorden zijn omdat ik dus al drie dagen niet bij mijn netwerk kan!

Normaal gesproken stuur je een mail terug, replay op hun mail, zij zien dan jouw mail welke aan een intern nummer is gekoppeld en geven je dan netjes antwoord op je vraag of vragen, heb je dit ook op die wijze gedaan?

Ja, echter zie ik wel dat ik een foutje heb gemaakt in het aantal dagen. De abuse melding was dinsdag en niet maandag! Mijn excuses wat dat betreft.

Wellicht dat ze vallen over mijn email adres. Ik gebruik namelijk random email aliassen. Voor elk bedrijf een eigen adres. Misschien dat dat argwaan wekt? Nog nooit eerder gehad maar het kan.

Zolang als in de subject maar hun referentie nummer staat vermeld, kunnen zij je helpen, dit staat, zover als ik weet ook in de ontvangen mail uitgelegd.

De mail van Abuse is inderdaad wel karig. Mijn vermoeden is dat je net een verkeerde poort hebt gegokt. Poort 1337 wordt ook gebruikt bij backdoors door hackers.

Dit is net een gereserveerde poort met nou niet bepaald een goede reputatie. Mijn vermoeden is dat KPN dagelijks dit soort poorten scant en automatisch die mail er uitgooit. Dat kan verklaren waarom het een standaard mail is.

Custom poort instellen altijd goed, maar beste is om iets hoger te zitten. Ik gebruik soms wel eens deze tool: https://it-tools.tech/random-port-generator (Heeft wel meer leuke tools)

Zelf zou ik mail sturen dat je alles hebt gecontroleerd en alles oke is en je dus denkt dat deze poortkeuze het probleem is. En dat je dus nu een andere gaat gebruiken voor je VPN. Je kan wachten op reactie, maar persoonlijk denk ik dat het wel goed zit. Zo niet, hoor je dat vast wel voor je écht afgesloten wordt.

Je zou nog even voor de zekerheid d.m.v. nmap kunnen controleren of er iets open staat wat niet de bedoeling is. Voor het gemak is er ook een GUI versie; https://nmap.org/zenmap/

​

Als die TCP 1337 poort werkelijk de oorzaak is, waarom vermeldt KPN dat dan niet gewoon in die mail?

Dan zou iedereen direct weten wat te doen en zou je veel onzekerheid, stress en ongemak wegnemen.

​@wjb Ik gok dat dit gewoon één check is met boel verschillende dynamische regels. Bij gepersonaliseerde mails kan d.m.v. trial en error die lijst achterhaalt worden. Dat kan onwenselijk zijn. Nadeel is minder klantvriendelijk ja.

Je bedoelt dat kwaadwillenden dan m.b.v. die mails een lijst zouden kunnen opstellen van de communicatie die door Abuse herkent wordt als "frauduleus"?

De kans daarop lijkt me zeer klein en al helemaal als die mail maar één soort communicatie (poort nummer of malware) vermeldt wat mijns inziens vrijwel altijd het geval zal zijn.

Tevens moet de abonnee zelf dan ook de kwaadwillende moeten zijn en dan zal die persoon vast veel vaker tegen de lamp lopen en er door Abuse uitgepakt worden.

Daarnaast moet je als abonnee natuurlijk vroeg of laat toch de werkelijke oorzaak weten zodat er gericht actie ondernomen kan worden.

Als Abuse constateert dat er een poort openstaat die niet open zou moeten staan dan zou mijns inziens de mail die poort gewoon moeten vermelden, dat scheelt een hoop ellende.

En als Abuse (uitgaande) communicatie ziet die duidt op malware dan zou die mail mijns inziens moeten vermelden om welke malware het gaat.

Misschien dat er toch iets anders mis is!?… gister avond nav dit topic openvpn op  UDP 7782 weer open gezet… vanochtend wordt ik wakker en is mijn verbinding in quarantaine geplaatst.

O en nog steeds geen response van KPN!

Stuur een mail naar Abuse en vraag om detaillering van de oorzaak.

Ik hoop oprecht dat ​@Dennis ABD zal reageren.

Tuurlijk reageer ik :)

De mail is met reden so summier. Voor 99% van de gevallen is “reset het modem” de oplossing, daar waar technische details alleen maar verwarring brengen. Alle technische details zijn wel aanwezig en geven we ook graag. Hier zitten een stel techneuten, maar jullie zijn niet echt representatief voor alle klanten :)

Onze KPI zit op binnen 4 (werk) uren reageren op alle klant vragen. Dit halen wij ook ruim. Ik kan dan ook alleen maar aannemen dat de mail ons nooit bereikt heeft of dat er iets anders vreemds gebeurt is. Kan je je profiel aanvullen met je gegevens? Dan kan ik een van de moderators vragen deze naar mij te sturen en even gaan graven.

Hey Dennis.

Ik heb inmiddels vandaag maar vrij genomen om het te kunnen oplossen.

1. De quarantaine is nu opgeheven
2. Het probleem van de in quarantaine plaatsing _nu_ was dat ik bij het problem solven gisteravond udp 53 open had gezet en vergeten was uit te zetten. Die kan ook voor ddos gebruikt worden. Die snap ik.
3. Mijn eerste twee mails zijn blijkbaar niet bij jullie aangekomen.

Ik ga nu eerst even alles nog een keer goed na lopen zodat alles weer goed staat en veilig werkt en dan reageer ik meer inhoudelijk.

Heb je het ticketnummer voor me? Ik ben namelijk nog steeds erg benieuwd wat er met je andere mails gebeurt is.