Beveiligings- en DNS-probleem MijnKPN API (!)

  • 17 May 2019
  • 24 reacties
  • 1914 keer bekeken

Reputatie 4
Badge +1
Omdat de chatmedewerker aangaf hier niets mee te kunnen, plaats ik het maar op het forum (op advies van de chatmedewerker)...

Zojuist wilde ik de MijnKPN app gebruiken om het verbruik van mijn mobiele abonnement te bekijken. De app werkte niet. Na wat onderzoek blijkt het probleem te liggen bij de APIs die door de MijnKPN app gebruikt worden. Daarnaast liep ik tijdens het onderzoeken tegen twee beveiligingsproblemen aan...

De MijnKPN app gebruikt de volgende APIs:
https://api.kpn.com/
https://ws.api.kpn.com/

https://api.glb.kpn.com/
https://ws.api.glb.kpn.com/

Beveiligingsproblemen

Zowel https://api.glb.kpn.com/ als https://ws.api.glb.kpn.com/ maken gebruik van een ongeldig SSL certificaat! Dit lijkt mij niet wenselijk...

DNS-problemen

Ik heb in mijn netwerk Pi-hole draaien en gebruik dus niet de KPN DNS servers. Ik gebruik 8.8.8.8/8.8.4.4 en 1.1.1.1/1.0.0.1. De domeinnamen ws.api.kpn.com en ws.api.glb.kpn.com zijn alleen bereikbaar via de DNS servers van KPN zelf (195.121.1.34 en 195.121.1.66). Resultaat is dat de MijnKPN app niet werkt op een netwerk waar gebruik gemaakt wordt van andere DNS servers dan die van KPN zelf!

ws.api.kpn.com via KPN DNS servers:
nslookup ws.api.kpn.com 195.121.1.34 Server: 195.121.1.34 Address: 195.121.1.34#53 Non-authoritative answer: ws.api.kpn.com canonical name = ws.api.glb.kpn.com. Name: ws.api.glb.kpn.com Address: 145.7.170.86

nslookup ws.api.kpn.com 195.121.1.66 Server: 195.121.1.66 Address: 195.121.1.66#53 Non-authoritative answer: ws.api.kpn.com canonical name = ws.api.glb.kpn.com. Name: ws.api.glb.kpn.com Address: 145.7.170.86

ws.api.kpn.com via publieke DNS servers:
nslookup ws.api.kpn.com 8.8.8.8 Server: 8.8.8.8 Address: 8.8.8.8#53 ** server can't find ws.api.kpn.com: SERVFAIL

nslookup ws.api.kpn.com 8.8.4.4 Server: 8.8.4.4 Address: 8.8.4.4#53 ** server can't find ws.api.kpn.com: SERVFAIL

nslookup ws.api.kpn.com 1.1.1.1 Server: 1.1.1.1 Address: 1.1.1.1#53 ** server can't find ws.api.kpn.com: SERVFAIL

nslookup ws.api.kpn.com 1.0.0.1 Server: 1.0.0.1 Address: 1.0.0.1#53 ** server can't find ws.api.kpn.com: SERVFAIL

ws.api.glb.kpn.com via KPN DNS servers:
nslookup ws.api.glb.kpn.com 195.121.1.34 Server: 195.121.1.34 Address: 195.121.1.34#53 Non-authoritative answer: Name: ws.api.glb.kpn.com Address: 145.7.170.86

nslookup ws.api.glb.kpn.com 195.121.1.34 Server: 195.121.1.34 Address: 195.121.1.34#53 Non-authoritative answer: Name: ws.api.glb.kpn.com Address: 145.7.170.86

ws.api.glb.kpn.com via publieke DNS servers:
nslookup ws.api.glb.kpn.com 8.8.8.8 Server: 8.8.8.8 Address: 8.8.8.8#53 ** server can't find ws.api.kpn.com: SERVFAIL

nslookup ws.api.glb.kpn.com 8.8.4.4 Server: 8.8.4.4 Address: 8.8.4.4#53 ** server can't find ws.api.kpn.com: SERVFAIL

nslookup ws.api.glb.kpn.com 1.1.1.1 Server: 1.1.1.1 Address: 1.1.1.1#53 ** server can't find ws.api.kpn.com: SERVFAIL

nslookup ws.api.glb.kpn.com 1.0.0.1 Server: 1.0.0.1 Address: 1.0.0.1#53 ** server can't find ws.api.kpn.com: SERVFAIL

Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

24 reacties

Hoi @JorisV. . Dank voor je alertheid.
Ik kreeg een seintje van mijn webcare collega. Jij hebt dit issue ook via twitter aangekaart en mijn collega heeft actie ondernomen. Om te voorkomen dat we dubbel werk gaan doen en achterliggende partijen dubbel gaan aansturen leg ik de regie nu eerst bij hen. Jullie staan in contact.
Als het onverhoopt misgaat of je wilt via het forum meer info, laat het weten!
Reputatie 4
Badge +1
Dankjewel @Erwin_ 👍

Voor de mensen die hier voorbij komen voor een oplossing; als je geen gebruik maakt van de KPN DNS servers, kun je het probleem omzeilen door deze twee KPN DNS-servers tijdelijk in te stellen:
195.121.1.34 (primair)
195.121.1.66 (alternatief)
Reputatie 1
Briljant! Bij mij werkte de app via wifi niet. Wel via 4g connectie.
Er lijkt wel meer niet goed geregeld te zijn met de beveiliging. Een snelle check via www.internet.nl .... een score van 27% van de 100.
Snel aan de slag dan maar.
https://internet.nl/site/api.glb.kpn.com/533051/#
Reputatie 4
Badge +1
De DNS-problemen lijken inmiddels door KPN opgelost te zijn; de MijnKPN app werkt bij mij weer.
Nu de SSL-certificaten nog. 😛
Hi @JorisV. Even een vraag tav je DNS instellingen. Wanneer ik vanuit de experia v10 de DNS laat verwijzen naar de Rapsb waar Pi-hole op draait (192.168.1.60), en in PI-hole de dns van OpenDNS gebruik, dan stoppen de settopboxen ermee. Alles hangt in hetzelfde domein. Ben erg benieuwd hoe jij dit hebt opgelost.
Reputatie 4
Badge +1
Hi @JorisV. Even een vraag tav je DNS instellingen. Wanneer ik vanuit de experia v10 de DNS laat verwijzen naar de Rapsb waar Pi-hole op draait (192.168.1.60), en in PI-hole de dns van OpenDNS gebruik, dan stoppen de settopboxen ermee. Alles hangt in hetzelfde domein. Ben erg benieuwd hoe jij dit hebt opgelost.

Ik heb achter de Experia Box een eigen router ( Ubiquiti EdgeRouter X ) hangen met daarachter weer twee (Ubiquiti) access points. De Experia Box setup is zoals KPN die standaard levert (dus ook met ISP DNS), met een paar kleine aanpassingen. In mijn geval wordt de EB enkel nog gebruikt voor VoIP en IPTV dus ook WiFi staat uit.

De EdgeRouter krijgt via een DHCP binding van de Experia Box een vast IP en staat als DMZ geconfigureerd. Al het internetverkeer (behalve dat van VoIP en IPTV) gaat dus rechtstreeks naar de EdgeRouter, die het verdeelt in een reeks VLANs met eigen DHCP server en DNS verwijzing naar Pi-hole. Ik heb alles ook goed dichtgetimmerd met firewall regels zodat KPN niet verder komt dan de Experia Box. 😋
Reputatie 7
Badge +24
De DNS-problemen lijken inmiddels door KPN opgelost te zijn; de MijnKPN app werkt bij mij weer.
Nu de SSL-certificaten nog. 😛

Ik heb er nog niet goed naar gekeken, maar het zijn wellicht self-signed certificaten. Daar is niets mis mee. Windows update gebruikt ook self-signed certificaten ☺️

Ik gebruik pfsense. Met pfblocker. En snort. 😎
Reputatie 4
Badge +1
Hey @Nick83, als ik het me goed herinner, waren/zijn (heb nu niet meer gekeken) het inderdaad zelfondertekende certificaten.
Dat daar niets mis mee is, is tot op zekere hoogte waar. Hier een mooie uitleg over MITM: https://security.stackexchange.com/a/8112
Reputatie 7
Badge +24
Hey @Nick83, als ik het me goed herinner, waren/zijn (heb nu niet meer gekeken) het inderdaad zelfondertekende certificaten.
Dat daar niets mis mee is, is zeker niet waar. Hier een mooie uitleg: https://security.stackexchange.com/a/8112

Hier word gesproken over gebruikers die in de browser een ca zouden moeten accepteren waarvan ze niet zeker kunnen weten of dat het juiste vertrouwde ca is. Dat is idd niet veilig. In de KPN app is dat echter niet van toepassing. Gebruikers hoeven geen ca te accepteren, die zit in de app ingebakken.
Reputatie 4
Badge +1
@Nick83 Laten we hopen dat KPN dat ingebakken heeft en niet blindelings het certificaat accepteert bij het aanroepen van de API 😁

Hi @JorisV. Even een vraag tav je DNS instellingen. Wanneer ik vanuit de experia v10 de DNS laat verwijzen naar de Rapsb waar Pi-hole op draait (192.168.1.60), en in PI-hole de dns van OpenDNS gebruik, dan stoppen de settopboxen ermee. Alles hangt in hetzelfde domein. Ben erg benieuwd hoe jij dit hebt opgelost.Ik heb achter de Experia Box een eigen router ( Ubiquiti EdgeRouter X ) hangen met daarachter weer twee (Ubiquiti) access points. De Experia Box setup is zoals KPN die standaard levert (dus ook met ISP DNS), met een paar kleine aanpassingen. In mijn geval wordt de EB enkel nog gebruikt voor VoIP en IPTV dus ook WiFi staat uit.

De EdgeRouter krijgt via een DHCP binding van de Experia Box een vast IP en staat als DMZ geconfigureerd. Al het internetverkeer (behalve dat van VoIP en IPTV) gaat dus rechtstreeks naar de EdgeRouter, die het verdeelt in een reeks VLANs met eigen DHCP server en DNS verwijzing naar Pi-hole. Ik heb alles ook goed dichtgetimmerd met firewall regels zodat KPN niet verder komt dan de Experia Box. 😋


@JorisV. Dank je wel! Dat is waarschijnlijk ook de config waar ik heen ga. Ik vraag me alleen af of je op deze manier de settopboxen en versterker en powerline adapters nog in je netwerk ziet. Wil ze namelijk wel bereikbaar (in hetzelfde domein) houden ivm mijn domotica (Home Assistant). Ik had namelijk de EB in 192.168.2.x hangen en de rest in 192.168.1.x vanuit m'n apple timecapsule (aangezien KPN/EB niet meer dan 10 vaste ip's geeft) en daar zag ik ze niet. Maar wel tevreden dus over de Ubiquity dus?
Reputatie 4
Badge +1
@rkroon Zeker tevreden over Ubiquiti, hoewel het wel spul is wat voor de gemiddelde consument te ingewikkeld is om te configureren. Vooral het stukje VLANs en firewall. Ik heb voor IoT ook een apart VLAN en een verborgen SSID overigens. Vervolgens een mDNS (Bonjour) repeater zodat ik wel gewoon de printer vanuit het andere VLAN kan detecteren en gebruiken. Heb daarnaast een NUC hangen in de meterkast waar UNMS, Unifi SDN, Pi-Hole, DSMR Reader (‘slimme’ meter uitlezen) en een thuisservertje (Apache in Docker) op draait.

Ik begrijp alleen niet wat je met die settopboxen en powerline adapters wilt binnen het netwerk? In principe kun je (afhankelijk van de firewall rules) gewoon van het ene naar het andere VLAN.

Enne, ik heb nog een EdgeRouter X nieuw in doos (ongebruikt) liggen, mocht je interesse hebben.😄
@rkroon Zeker tevreden over Ubiquiti, hoewel het wel spul is wat voor de gemiddelde consument te ingewikkeld is om te configureren. Vooral het stukje VLANs en firewall. Ik heb voor IoT ook een apart VLAN en een verborgen SSID overigens. Vervolgens een mDNS (Bonjour) repeater zodat ik wel gewoon de printer vanuit het andere VLAN kan detecteren en gebruiken. Heb daarnaast een NUC hangen in de meterkast waar UNMS, Unifi SDN, Pi-Hole, DSMR Reader (‘slimme’ meter uitlezen) en een thuisservertje (Apache in Docker) op draait.

Ik begrijp alleen niet wat je met die settopboxen en powerline adapters wilt binnen het netwerk? In principe kun je (afhankelijk van de firewall rules) gewoon van het ene naar het andere VLAN.


@JorisV. Mooie setup! Ik wilde juist even wegblijven van de firewall rules en zo alles binnen 1 VLAN houden. Dank voor je reactie...geeft weer wat "food for thought". Ik ga nog even verder op zoek hoe ik verder moet met die #@#$@!!! DNS instellingen.... Fijne avond.
Reputatie 7
Badge +24
Vervolgens een mDNS (Bonjour) repeater zodat ik wel gewoon de printer vanuit het andere VLAN kan detecteren en gebruiken.
Ja dat heb ik op mn pfsense ook. Het werkt ook. Maar voor de Canon drivers werkt het niet. Die vinden de printer echt alleen als die in hetzelfde subnet zit. En je kunt geen ip handmatig invoeren ofzo. Dus een beetje flut. In Windows kan ik echter wel gewoon de printer toevoegen via het configuratiescherm.
Reputatie 7
Als je een glasvezelaansluiting hebt dan kan je ook de Experia Box vervangen door een eigen router.
Reputatie 4
Badge +1

Vervolgens een mDNS (Bonjour) repeater zodat ik wel gewoon de printer vanuit het andere VLAN kan detecteren en gebruiken.Ja dat heb ik op mn pfsense ook. Het werkt ook. Maar voor de Canon drivers werkt het niet. Die vinden de printer echt alleen als die in hetzelfde subnet zit. En je kunt geen ip handmatig invoeren ofzo. Dus een beetje flut. In Windows kan ik echter wel gewoon de printer toevoegen via het configuratiescherm.

Apart, met de Canon drivers voor macOS werkt het wel in een apart subnet. 😛
Met Windows heb ik het niet getest, maar wellicht ligt de oorzaak binnen pfSense?
Als je een glasvezelaansluiting hebt dan kan je ook de Experia Box vervangen door een eigen router.
@wjb ik heb je stuk gelezen. Goed stuk. Weet je toevallig ook of de Ubiquiti EdgeRouter X de Experia kan vervangen? Lijkt me in het verlengde liggen van jouw Router, niet? En heb je zelf ervaring met Pi-hole? Als dhcp server of dns server?
Reputatie 4
Badge +1
Als je een glasvezelaansluiting hebt dan kan je ook de Experia Box vervangen door een eigen router.
Dat is mijn uiteindelijke doel (inderdaad glasvezelklant), maar ik ben er nog niet aan toegekomen om daar eens mee te gaan klooien. 😛

Als je een glasvezelaansluiting hebt dan kan je ook de Experia Box vervangen door een eigen router.@wjb ik heb je stuk gelezen. Goed stuk. Weet je toevallig ook of de Ubiquiti EdgeRouter X de Experia kan vervangen? Lijkt me in het verlengde liggen van jouw Router, niet? En heb je zelf ervaring met Pi-hole? Als dhcp server of dns server?


Oh Sjit.... zie de configuratie van de X nu staan... Sorry
Reputatie 7
Als je een glasvezelaansluiting hebt dan kan je ook de Experia Box vervangen door een eigen router.Dat is mijn uiteindelijke doel (inderdaad glasvezelklant), maar ik ben er nog niet aan toegekomen om daar eens mee te gaan klooien. 😛
En dan te bedenken dat ik het je zo makkelijk maak met die configuratiescripts die vol automatisch een EdgeRouter configureren voor gebruik op het netwerk van KPN. 😉

Zelf heb ik nu alweer een jaar naar alle tevredenheid een EdgeRouter Lite 3 in gebruik.
De EdgeRouter Lite 3 is wel wat krachtiger dan de X en heeft ook meer hardware offloading mogelijkheden die de throughput ten goede komen.
Reputatie 4
Badge +1

:smile: klopt, hoewel die niet 1-op-1 bruikbaar zijn voor de ER-12 en ik het e.e.a. iets anders wil opzetten. Zo is de bridge met het VoIP-VLAN waarschijnlijk niet noodzakelijk omdat de ER-12 (ER-X/ER-X SFP ook trouwens) een ingebouwde hardware switch chip heeft met de mogelijkheid om per interface de VLANs te configureren. Bij de ER-X (MediaTek) is bridging ook offloaded maar dat is bij de ER-12 (Cavium) helaas niet het geval.

Overigens zal dat absoluut geen probleem zijn omdat de ER-12 zo’n beetje de top-of-the line is momenteel (buiten de duurdere rackmount-only modellen, maar dat is zwaar overkill voor mijn situatie).

Reputatie 7

Zo is de bridge met het VoIP-VLAN waarschijnlijk niet noodzakelijk omdat de ER-12 (ER-X/ER-X SFP ook trouwens) een ingebouwde hardware switch chip heeft met de mogelijkheid om per interface de VLANs te configureren. 

Als je de Experia Box als "veredelde ATA" blijft gebruiken dan ontkom je niet aan een bridge. Aan de WAN zijde moet op vlan 7 dan immers door de Experia Box een pppoe verbinding opgezet worden.

Maar niet getreurd, heel binnenkort heb je de Experia Box niet meer nodig voor vaste telefonie van KPN en kan je gewoon een eigen VoIP ATA gaan gebruiken.

Reputatie 4
Badge +1

Oh, dat wist ik niet. Ik dacht dat de VoIP data gewoon via VLAN7 via de PPPoe verbinding kon lopen die al door de EdgeRouter opgezet was. Dan zou de bridge niet nodig zijn als ik het goed begrijp.

Hopelijk is het inderdaad ‘heel binnenkort’ niet meer nodig want dan kan ik het gelijk helemaal goed doen. :-)

Reputatie 7

Oh, dat wist ik niet. Ik dacht dat de VoIP data gewoon via VLAN7 via de PPPoe verbinding kon lopen die al door de EdgeRouter opgezet was. Dan zou de bridge niet nodig zijn als ik het goed begrijp.

Zie dit bericht.

 

Hopelijk is het inderdaad ‘heel binnenkort’ niet meer nodig want dan kan ik het gelijk helemaal goed doen. :-)

Ik ben er van overtuigd dat het niet lang meer zal duren. :wink: