Beantwoord

Experiabox v10a vragen security


Ik hoop dat iemand mij deze zaken kan uitleggen:

Graag wil ik de modem zo veilig mogelijk instellen, zo zijn de ssid en wachtwoorden aangepast, wps en upnp uit.
Zijn er nog meer tips om deze modem zo veilig mogelijk te gebruiken?

tevens snap ik deze dingen niet:

1: firewall -> webfilter feautures.
Hier staan 4 opties: proxy, java, Activex, Cookies.
Ik snap niet wat het doet als het staat aangevinkt. Bijvoorbeeld proxy aangevinkt. Wat filtert het?

2: wat betekent nu precies de access control. Stel ik wil een zo veilig mogelijke modem. Bijvoorbeeld telnet service uitzetten.
Of geen website kunnen openen die zonder het slotje zijn (http ipv https). Doe ik dan hier “add rule”? En ip address voor elke gewoon, dus 0 t/m 224? Wat betekent het user define service?

3: in de uitleg staat ook de optie “remote management”, die op elke modem te zien is. Maar ik zie hem nergens. Waar staat deze optie?
icon

Beste antwoord door Erik_ 15 februari 2019, 17:11

Hey Drindel, welkom op het forum! De V10A is van zichzelf al goed beveiligd en dichtgetimmerd. Je hebt verder zelf al de aanpassingen gedaan die verder nog aan te bevelen zijn. Let er wel op dat als je nog eens wilt gaan gamen, dat je dan de UPnP wel aanzet.

Wat betreft je overige vragen:

1: De firewall staat standaard aan en op High, daarmee is ook het Intrusion Detection System actief en het WEB filter. De Intrusion Detection dient ervoor om DDoS aanvallen en WAN pings tegen te houden. WEB filter controleert de inhoud van de data pakketjes die langskomen. Als er datapakketjes langskomen die gevaarlijk zijn, of anderszins niet toegestaan, worden deze tegengehouden.

De vier opties die daaronder nog aan te vinken zijn, zijn onderdeel van het WEB filter. Deze bepalen wat het WEB filter allemaal wel en niet controleert.Standaard wordt gekeken naar de url en de host server, daarnaast kun je dan zelf nog een of meer van de aanvullende opties aanzetten.

  • Proxy controleert op de algemene http-poorten (80, 3128, 8080, 8000) of er proxy services draaien
  • Java controleert of websites javabestanden proberen te downloaden
  • ActiveX controleert of websites activeX bestanden proberen te downloaden
  • Cookies controleert of er een cookie-verzoek wordt gedaan door de website

De vraag is wel of je dergelijke dingen door de Experia Box wilt laten doen. Vaak kun je die dingen prima door de softwarefirewall op je apparaat, of door extensies/instellingen van je browser laten doen.

2: Access Control bepaalt welke apparaten wat mogen doen via wifi. Als je een bepaald apparaat wilt blokkeren kies je voor add rule. Je vult dan het interne IP-adres van dat apparaat in en kunt vervolgens alles aanvinken wat dat apparaat niet mag. Onder user define service kun je dan zelf nog specifieke poorten toevoegen die dat apparaat niet mag. Zo zou je, bijvoorbeeld, kunnen instellen dat een mobiele telefoon wel op je wifi mag, maar geen e-mail mag versturen of ontvangen (E-mail Sending en E-mail Receiving) en dat de telefoon daarnaast geen gebruik mag maken van een service die jij op TCP poort 3000 hebt lopen (wat je dan invult onder user define service).

Onderaan de pagina kun je dan in de dropdown de schedule rule uitkiezen. Deze bepaalt wanneer er geblokkeerd wordt. Onder Firewall - Schedule Rule kun je zelf de bestaande schedule rules aanpassen, of nieuwe maken.

3: Remote Management is een manier om je modem te kunnen benaderen als je niet thuis bent om op die manier instellingen aan te passen. Deze vind je normaalgesproken onder Management, maar ik meen dat het een feature is die wij eruit hebben laten halen in onze firmware omdat dit veiliger is. Dat check ik even voor je, kom ik op terug.
Edit: zie mijn reactie onderaan voor meer over Remote Management

Bekijk origineel

6 reacties

Reputatie 7
Badge +27
Hey Drindel, welkom op het forum! De V10A is van zichzelf al goed beveiligd en dichtgetimmerd. Je hebt verder zelf al de aanpassingen gedaan die verder nog aan te bevelen zijn. Let er wel op dat als je nog eens wilt gaan gamen, dat je dan de UPnP wel aanzet.

Wat betreft je overige vragen:

1: De firewall staat standaard aan en op High, daarmee is ook het Intrusion Detection System actief en het WEB filter. De Intrusion Detection dient ervoor om DDoS aanvallen en WAN pings tegen te houden. WEB filter controleert de inhoud van de data pakketjes die langskomen. Als er datapakketjes langskomen die gevaarlijk zijn, of anderszins niet toegestaan, worden deze tegengehouden.

De vier opties die daaronder nog aan te vinken zijn, zijn onderdeel van het WEB filter. Deze bepalen wat het WEB filter allemaal wel en niet controleert.Standaard wordt gekeken naar de url en de host server, daarnaast kun je dan zelf nog een of meer van de aanvullende opties aanzetten.
  • Proxy controleert op de algemene http-poorten (80, 3128, 8080, 8000) of er proxy services draaien
  • Java controleert of websites javabestanden proberen te downloaden
  • ActiveX controleert of websites activeX bestanden proberen te downloaden
  • Cookies controleert of er een cookie-verzoek wordt gedaan door de website

De vraag is wel of je dergelijke dingen door de Experia Box wilt laten doen. Vaak kun je die dingen prima door de softwarefirewall op je apparaat, of door extensies/instellingen van je browser laten doen.

2: Access Control bepaalt welke apparaten wat mogen doen via wifi. Als je een bepaald apparaat wilt blokkeren kies je voor add rule. Je vult dan het interne IP-adres van dat apparaat in en kunt vervolgens alles aanvinken wat dat apparaat niet mag. Onder user define service kun je dan zelf nog specifieke poorten toevoegen die dat apparaat niet mag. Zo zou je, bijvoorbeeld, kunnen instellen dat een mobiele telefoon wel op je wifi mag, maar geen e-mail mag versturen of ontvangen (E-mail Sending en E-mail Receiving) en dat de telefoon daarnaast geen gebruik mag maken van een service die jij op TCP poort 3000 hebt lopen (wat je dan invult onder user define service).

Onderaan de pagina kun je dan in de dropdown de schedule rule uitkiezen. Deze bepaalt wanneer er geblokkeerd wordt. Onder Firewall - Schedule Rule kun je zelf de bestaande schedule rules aanpassen, of nieuwe maken.

3: Remote Management is een manier om je modem te kunnen benaderen als je niet thuis bent om op die manier instellingen aan te passen. Deze vind je normaalgesproken onder Management, maar ik meen dat het een feature is die wij eruit hebben laten halen in onze firmware omdat dit veiliger is. Dat check ik even voor je, kom ik op terug.
Edit: zie mijn reactie onderaan voor meer over Remote Management
Bedankt voor je uitgebreide en informatieve antwoord!

graag zou ik nog wat willen vragen, voor nr1:
als ik dus bijv proxy aanvink, dan is dit veiliger? Het web filter controleert nu ook dat?
en gaat aanvinken van een van deze ook informatie naar kpn en ten koste van de privacy op deze manier?

voor nr 2:
En als ik nu een bepaalde block wil voor alle tijden en elk mogelijk apparaat dat verbinding maakt met de wifi, welke interne IP adressen vul ik dan in?
Wat worden trouwens de interne IP adressen van apparaten op het gastnetwerk?

nr 3 wacht ik je antwoord graag af. Nogmaals bedankt +1
Reputatie 7
Badge +27
Hoi Drindel, Erik is een paar dagen vrij dus je krijgt vast reactie van mij :)

Ja, het is in theorie veiliger het proxy filter in te schakelen. Er wordt geen informatie naar KPN verstuurd door deze instellingen aan te passen, dit wordt allemaal lokaal op het modem gedaan. De enige instelling waarbij iets naar KPN wordt verstuurd is WLAN > Wifi Defaults. Met deze knop worden WiFi instellingen in het KPN netwerk verwijderd. De WiFi instellingen worden in het netwerk opgeslagen als je de Servicetool: wijzig je WiFi naam & wachtwoord | KPN gebruikt.

Het IP adres van het gastnetwerk weet ik zo niet uit mijn hoofd. Je kunt het even inschakelen en verbinding maken om dat te achterhalen.

Als je filters wil toepassen voor elk apparaat dat met WiFi verbinding maakt vul je bij de vrije vakjes "1" en "200" in. Dit moet overeen komen met de IP Address Pool die je op het LAN tabblad vindt.

Hoewel je een hoop instellingen kunt aanpassen is de WPA sleutel het belangrijkst. Kies een sterk wachtwoord en hou deze voor jezelf. Laat gasten gebruik maken van het gastnetwerk. Het gastnetwerk is gescheiden van jouw thuisnetwerk. Verander het wachtwoord van de webinterface van de Experia Box, anders kunnen mensen met fysieke toegang de sleutel alsnog achterhalen door de sticker te lezen.

Wat #3 betreft weet ik niet zeker hoe/waar Erik dit heeft nagevraagd, dus daar komt hij zelf later even op terug.
bedankt weer.
zou je me ook nog kunnen zeggen wat networl -> WAN is?
en of het password ergens voor nodig is en veranderd kan worden? Ik zie alleen stipjes
Reputatie 7
Badge +27
Dat zijn de DSL inloggegevens, dat is waarmee de Experia Box inlogt op het KPN netwerk. Ik geloof dat het wachtwoord niet uitmaakt, de gebruikersnaam weet ik niet helemaal zeker. Dat onderdeel kun je in ieder geval gewoon negeren 🙂
Reputatie 7
Badge +27
Erik_ schreef:

3: Remote Management is een manier om je modem te kunnen benaderen als je niet thuis bent om op die manier instellingen aan te passen. Deze vind je normaalgesproken onder Management, maar ik meen dat het een feature is die wij eruit hebben laten halen in onze firmware omdat dit veiliger is. Dat check ik even voor je, kom ik op terug.



Ik heb terugkoppeling op het Remote Management. Dat was inderdaad nog niet aanwezig in de V10A. Maar met de firmwareupdate van afgelopen week (build190) is dit nu ook beschikbaar. Als je nu in het linkermenu op Administration klikt en dan in de bovenbalk op Remote Management krijg je pagina met de instellingen. Je kunt daar dan instellen of je met een apparaat van buiten je netwerk kunt inloggen op de Experia Box om instellingen aan te passen etc...

Reageer