KPN Abuse Team meldt zich per email met het volgende bericht;
Vanaf uw internetverbinding kan in korte tijd veel data naar andere internetgebruikers worden gestuurd. Kwaadwillenden kunnen deze vloedgolf aan informatie misbruiken en daarmee een internetverbinding vrijwel geheel platleggen.
Nou vraag ik me af wat concreet het probleem zou kunnen zijn, ik gebruik geen Experiabox maar een USG-4. Dit doe ik al jaren probleemloos. Toevallig heb ik onlangs een aantal port forwards toegevoegd, voor de rest kan ik zo even niet bedenken wat er veranderd is. Ik heb voor de configuratie van de USG de instructie van @coolhva gevolgd. Recente constatering daarbij is dat ik de firmware niet moet upgraden want dan werkt IPTV niet meer. Ubiquiti heeft iets aangepast wat voor problemen zorgt bij de verbinding van de TV decoders.
Op mijn verzoek kreeg ik van het abuse team de volgende aanwijzing:
Het beveiligingsprobleem wordt veroorzaakt doordat:
U een apparaat in DMZ heeft staan welke SSDP diensten aanbiedt.
U gebruik maakt van een eigen modem welke SSDP diensten aanbiedt.
U gebruik maakt van UPnP dat automatische portforwards mogelijk maakt.
Eeehhhmmm….
Bladzijde 1 / 2
1 van uw computers, laptops of misschien een mobiel apparaat is geïnfecteerd met een virus, malware of hoe je het ook noemt. Welke dat is, dat is aan u om dat uit te zoeken.
Met een Online Pentest tool een scan op TCP en UDP vind ik geen open poorten (op dit moment) Is dit een goede test om zelf te onderzoeken of het afdoende is beveiligd? https://pentest-tools.com
Mijn advies zou zijn om de poort van SSDP dicht te zetten of uPNP uit te zetten, daarmee is ‘t probleem opgelost.
Abuse maakt gebruik van een poortscannetje en ziet als die open staat :)
Uit een hertest blijkt dat de problemen zijn verholpen, aldus KPN. Ik heb inderdaad ook uPNP uitgezet…
Om SSDP poort dicht te zetten dan UDP poort 1900 ?
Bizar!
Mijn vrienden van het KPN abuse team melden zich ineens weer.
Uiteraard meteen gecheckt of de uPNP setting nog uit staat, dit blijkt het geval.
Voor de zekerheid heb ik nu in de firewall regels toegevoegd bij WAN in en WAN uit om verkeer op poort 1900 tegen te houden.
Maar wat kan er nu toe hebben geleid dat ze zich weer melden? Het bericht is evenals voorheen niet veel zeggend, het zou zeker kunnen helpen als ze het resultaat van de poortscan eens zouden delen. Hoe zou ik die test zelf kunnen doen? Zoals gezegd, ik heb een USG-4 Pro
Kan je het bericht van het Abuse team met ons delen?
Wat geven ze als reden?
Dit is de strekking van het verhaal;
Een veilig internet is in ieders belang. Wij maken ons als KPN sterk om internetverbindingen veilig te houden. Hiervoor vragen wij uw medewerking. Wij verzoeken u onderstaande stappen vandaag nog uit te voeren en ons hierover een bericht te sturen.
Waarom is mijn medewerking nodig? Wij hebben een beveiligingsprobleem aangetroffen op uw internetverbinding. Hier merkt u zelf meestal niets van. Toch is het belangrijk om hier iets aan te doen.
Wat is er aan de hand en hoe kan ik dit oplossen? Vanaf uw internetverbinding kan in korte tijd veel data naar andere internetgebruikers worden gestuurd. Kwaadwillenden kunnen deze vloedgolf aan informatie misbruiken en daarmee een internetverbinding vrijwel geheel platleggen.
@Dennis ABD,
Waarom geeft het abuse team zo weinig informatie?
Wat moet je nu als klant beginnen met dat mailtje van het abuse team?
Geef dan in ieder geval aan op welke poorten het beveiligingsprobleem geconstateerd wordt.
Kan jij meer informatie verstrekken?
@marmachine,
Welke stappen zou je vandaag nog uit moeten voeren of staat daar echt niets over in dat mailtje?
@wjb 99% van de klanten heeft niets aan meer informatie en raakt er alleen maar van in de war. Meer informatie is altijd opvraagbaar. Zowel de specifieke problemen als, indien gewenst, log informatie.
Ik had dus inderdaad om meer info gevraagd, en zojuist gekregen;
Bedankt voor uw bericht. Wij hebben de onderstaande melding ontvangen over uw verbinding, ten tijden van deze melding was uw Synology NAS misbruikbaar voor het uitvoeren van (D)dos aanvallen.
Wij adviseren u om dit in uw Synology te controleren en aan te passen waardoor misbruik niet meer mogelijk is. Indien benodigd kunt u ook contact opnemen met de leverancier voor ondersteuning.
Het lijkt mij best duidelijk, ook voor de mensen die minder verstand hebben van zaken, dit geeft duidelijk richting in waar het probleem zich bevind. En er lijkt mij ook niets mis met een beetje hulp vanuit KPN. In ieders belang immers! ;-)
Uiteindelijk lijkt mij dus het blokkeren van port 1900 toch best relevant en de oplossing in dit geval. Uiteraard zal ik ook UPNP op de Synology eens uitzetten.
Bedankt voor jullie toelichting, ik hoop dat dit ook iemand helpt.
99% van de klanten heeft niets aan meer informatie en raakt er alleen maar van in de war. Meer informatie is altijd opvraagbaar. Zowel de specifieke problemen als, indien gewenst, log informatie.
Toch denk ik dat iets meer informatie zeer zeker gewenst is, ook bij de technische minder onderlegde abonnees.
Ik denk dat door het gebrek aan informatie mensen juist onzeker worden en zich zorgen gaan maken ook als dat niet nodig is.
Uiteindelijk lijkt mij dus het blokkeren van port 1900 toch best relevant en de oplossing in dit geval. Uiteraard zal ik ook UPNP op de Synology eens uitzetten.
Ook ik heb een Synology NAS staan en gebruik al geruime tijd een EdgeRouter zonder UDP poort 1900 uitgaand te blokkeren.
@wjb Daar vergis je je in. Wij hebben de waarschuwing juist heel erg versimpelt omdat een iets uitgebreidere waarschuwing een hoop klanten in de war bracht.
@wjb Daar vergis je je in. Wij hebben de waarschuwing juist heel erg versimpelt omdat een iets uitgebreidere waarschuwing een hoop klanten in de war bracht.
Vreemd, want als je alleen de onderstaande tekst uit de details al zou opnemen in het eerste bericht dan zou dat mijns inziens toch echt verhelderend moeten werken.
Wij adviseren u om uw routeren Synology te controleren op het gebruik van upnp en aan te passen waardoor eventueel misbruik voorkomen kan worden. Indien nodig kunt u ook contact opnemen met de leverancier voor ondersteuning.
Maar goed, wie ben ik ...
Ik ben het zelf met je eens, ik vind het ook onvoldoende informatie. Wij snappen de materie echter en dat geeft een nogal vertekent beeld. Voor de overgrote meerderheid van de klanten is een simpele “reset het modem” melding voldoende en soms zelfs nog te veel.
Dat blijkt toch nog lastiger dan gedacht… vandaag weer een melding van abuse@kpn
Informatie opgevraagd en kreeg onderstaande toegestuurd;
Detail van het laatste rapport:
Abuse Report
Extracted Details ip XX.XXX.X.XXX send_date 2020-12-04T03:33:04Z received_date 2020-12-04T03:33:07Z format shadowserver Incident part timestamp: 2020-12-03 13:36:35 ip: XX.XXX.X.XXX protocol: udp port: 1900 hostname: XX-XXX-X-XXX.fixed.kpn.net tag: ssdp header: HTTP/1.1 200 OK asn: 1136 geo: NL region: PROVINCIE city: WOONPLAATS cache_control: max-age=1900 location: http://synology.intern.ip.adres:5050/ssdp/desc-DSM-eth0.xml server: Synology/DSM/synology.intern.ip.adres search_target: upnp:rootdevice unique_service_name: uuid:-128-bit number used to identify information-::upnp:rootdevice naics: 517311 Evidence part content-disposition: inline
Nu nog eens op zoek hoe dit in het netwerk (of op de Synology) op te lossen, want in de USG port 1900 blokkeren op WAN in en WAN uit blijkt dus niet afdoende…
Dit heb ik gisteren ingesteld op WAN IN en WAN UIT in de veronderstelling dat ik daarmee verkeer op port 1900 volledig blokkeer, inkomend en uitgaand dus.
Meldingen in de Unifi controller:
Aanvullende reactie van KPN op de inrichting van Synology:
Bedankt voor uw bericht. Poort 1900 UDP is in dit geval gebruikt maar indien uw Synology NAS de vrijheid heeft (middels UPnP of DMZ) om zelf poorten at will open te zetten dan zal er ongetwijfeld een andere poort gebruikt gaan worden.
Tip: Wanneer u uw Synology server configureert zoals Synology adviseert via QuickConnect, dan loopt de connectie via Synology en niet via open poorten op uw modem.
Dit geldt alleen voor stap 2 (QuickConnect inschakelen). Wanneer u kiest voor stap 3 of 4, dan zet u zelf UPnP of poorten open en wordt (meestal) ook UDP poort 1900 geopend. De configuratie dient dan nauwkeurig te worden afgesteld.
Om het probleem op te lossen adviseren wij u deze poort te sluiten of een fabrieksreset uit te voeren op uw KPN modem:
kpn.com/reset-kpn-experiabox
Hierna kunt u QuickConnect van Synology gebruiken om uw server te bereiken.
Abuse team schreef:
Tip: Wanneer u uw Synology server configureert zoals Synology adviseert via QuickConnect, dan loopt de connectie via Synology en niet via open poorten op uw modem.
Dit geldt alleen voor stap 2 (QuickConnect inschakelen). Wanneer u kiest voor stap 3 of 4, dan zet u zelf UPnP of poorten open en wordt (meestal) ook UDP poort 1900 geopend. De configuratie dient dan nauwkeurig te worden afgesteld.
Om het probleem op te lossen adviseren wij u deze poort te sluiten of een fabrieksreset uit te voeren op uw KPN modem:
kpn.com/reset-kpn-experiabox
Hierna kunt u QuickConnect van Synology gebruiken om uw server te bereiken.
QuickConnect is iets wat je mijns inziens niet wilt gebruiken.
Zelf vermijd ik zoveel mogelijk services waarbij een externe server een rol speelt.
Zo zou ik mijn Foscam bewakingscamera's via een dergelijke constructie eenvoudig kunnen benaderen maar de keerzijde is dat ik daarmee dus ook een deel van de beveiliging buiten de deur leg en dat is voor mij uit den boze.
Er zijn twee diensten waarbij ik wel gebruik maak van een dergelijke constructie en dat zijn diensten t.b.v. mijn zonnepanelen en het aansturen mijn alarminstallatie.
Quickconnect staat bij mij niet geconfigureerd op mijn Synology NASsen en zal ook niet geconfigureerd worden.
Wat ik nu niet kan volgen is waarom er niet gesproken wordt over het uit laten staan van UPnP-IGD op de Experia Box zelf immers dan zou de Synology NAS absoluut niet in staat mogen zijn om middels UPnP poorten te openen.
Dat je geen UPnP op de Synology zelf zou moeten gebruiken vind ik overigens zeer verstandig al is het alleen maar om zicht te houden op de diensten die je vanaf Internet benaderbaar wilt maken.
Ik heb gevonden dat het default firewall profiel in Synology uPNP lijkt toe te staan.
Wellicht zit daar een issue? Die heb ik dus maar eens op “weigeren” gezet.
Desondanks snap ik nog niet helemaal hoe deze toch bereikt kan worden ondanks voorgaande settings voor WAN in de USG?
Wat betreft de USG durf ik niets te zeggen maar Synologies zijn wel vaker een drama. Zeker als je ze zelf laat “denken” zoals @wjb eigenlijk al zegt.
Het gaat niet zozeer om de firewall van de Synology, maar om het uit laten staan van UPnP IGD op jouw USG.
Op een EdgeRouter kan je dat instellen via de GUI.
Hoe dat op een USG gaat weet ik niet.
“het uit laten staan van UPnP IGD”
Ik heb voor deze functionaliteit dus een setting gevonden in de firewall in de Synology.
Voor uPNP is in de synology ook een setting, die heb ik een maand geleden uitgezet, daarna was KPN stil dus ik had de verwachting dat het probleem was opgelost. Nu begrijp ik dat de Synology zelf ook nog weer poorten kan openen ergens… met voorgaande moet dat stuk nu zijn voorkomen.
Het verhaal van QuickConnect… ik heb dat ooit aangezet omdat dat de enige manier leek om de synology te bereiken in combinatie met de ExperiaBox. Feitelijk is dat een manier om de consument te ontzorgen, maar kun je het ook zien als het verleggen van het risico. Mijn indruk is dat via dat kanaal er een flinke hoeveelheid poortscans binnen komen, sinds de introductie van de USG in mijn netwerk vangt die de meeste al af op basis van IP. Voorheen verzamelde ik zelf IP adressen die ik na mislukte pogingen op een blacklist zette… dat leek een onophoudelijke stroom.
Kortom, QuickConnect is zeker niet een veilige keuze, opmerkelijk advies dus eigenlijk.
@Dennis ABD Dank voor de scan link, die is behulpzaam om te verifiëren of het na aanpassing nu werkelijk goed is!
“het uit laten staan van UPnP IGD”
Ik heb voor deze functionaliteit dus een setting gevonden in de firewall in de Synology.
Nogmaals, het gaat niet om de de firewall op jouw Synology maar om de UPnP instelling op de USG.
“het uit laten staan van UPnP IGD”
Ik heb voor deze functionaliteit dus een setting gevonden in de firewall in de Synology.
Nogmaals, het gaat niet om de de firewall op jouw Synology maar om de UPnP instelling op de USG.
De USG is de voordeur, dat is duidelijk.
abuse@kpn.com verwijst echter wel naar de Synology, ik wil eigenlijk helemaal niet dat ze die bereiken, ook daarin zit een firewall en die moet doen wat ie moet doen. Daarnaast moet ook de voordeur dicht, de USG dus. Begrijpen we elkaar nu goed?
De USG heb ik een maand geleden al het piefje uitgezet voor UPnP;
Als ik de scan doe via de link die @Dennis ABD stuurde, dan heb ik toch het idee dat er ergens iets nog niet goed gaat…
Wat is het ticket nummer? Dan kan ik de case erbij pakken en heb een wat vollediger beeld.
Edit: Ik heb je gevolgt dus het kan evt per PB.
Wat is het ticket nummer? Dan kan ik de case erbij pakken en heb een wat vollediger beeld.
PB gestuurd.
Misschien lees ik de scanresultaten niet goed en is de status ‘Open | Filtered’ juist goed?
Dat is het en ik kan de XML met device informatie ook niet meer bereiken. Het lijkt dus opgelost.
Omdat UDP stateless is, is er eigenlijk niet te zeggen of de poort dicht is of dat er iets fout gaat, daarom zal er open/filtered komen te staan als de resultaten onduidelijk zijn. In dit geval wijst dat op dicht. Staat de poort wel open zal er enkel Open aangegeven worden.
Doe vanaf die site maar eens een scan op de Google DNS en poort 53, je ziet dan enkel Open staan (wat klopt, in geval van de Google DNS).
De Kennisbank
Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
Bestand scannen voor virussen
Sorry, we zijn de inhoud van dit bestand nog aan het controleren om er zeker van te zijn dat het veilig is om te downloaden. Probeer het nog een keer over een paar minuten.
