Firewall & Intrusion Detection

  • 25 augustus 2015
  • 6 reacties
  • 604 keer bekeken

Beste,

Een aantal klanten van ons zijn ook klant bij jullie als internetleverancier en hebben een KPN Experiabox V9 (H368N) geleverd gekregen.

In sommige gevallen is het niet mogelijk om deze meegeleverde router ertussenuit te halen, bijvoorbeeld als de klant TV kijkt over de glasvezel of belt.

In deze gevallen zit de Experiabox dus tussen de internetverbinding en onze professionele Firewall, echter is dit niet wenselijk voor ons om verschillende redenen. We stellen nu onze firewalls als DMZ in op de Experiaboxen maar willen dit eigenlijk anders gaan instellen.

Wij vragen ons af waarom wij de volgende instellingen in de Experiabox niet kunnen aanpassen:

- Tabblad: Security, submenu item: Firewall Configuration, Firewall Level: High (Dit is een drop down menu maar is 'Greyed Out'.

- Tabblad: Security, submenu item: Intrusion Detection, Enable Intrusion Detection (Dit is een vinkje, wederom 'Greyed Out'.

Zojuist ook gebeld met jullie servicedesk en kreeg de tip om hier een thread te beginnen. Ik hoop dat jullie ons van een antwoord kunnen voorzien.

Met vriendelijke groet,

Tim Reijnen

Netwerkspecialist

                              

6 reacties

Reputatie 7
Badge +30
Hallo,

Je (prive)gegevens kan je het beste van het forum verwijderen. Dit is in strijd met de huisregels.

Overigens kunnen glasklanten een (VLAN) switch na de FTU/NTU plaatsen om de Experiabox (later in het netwerk) alleen voor telefonie te gebruiken.

kan je misschien hier iets meer over vertellen. Op Tweakers (KPN Glasvezel topic) en in dit topic is daar meer info over te vinden: http://forum.kpn.com/t5/Internet/Gebruik-een-eigen-router-achter-de-Experia-Box/td-p/164983

Op consumenten verbindingen staat firewall altijd op hoog, en in bijna alle gevallen is het voor de consument niet nodig om dit aan te passen. Volgensmij kan dit bij zakelijke verbinding wel anders afhankelijk van wat je afneemt e.d.

Robin
Hoi Robin,

Bedankt voor je reactie.

Ik weet dat we de Experiabox er inderdaad tussen weg kunnen laten en met VLAN tagging kunnen gaan werken, dit doen we ook al bij nieuwe uitrollen van KPN.

VLAN4 -> IPTV
VLAN6 -> Internet
VLAN7 -> VoIP

Echter is het in sommige situaties helaas uitgerold met de Experiabox er nog tussen, we kunnen dat dan helaas niet op afstand omzetten dus vandaar deze vraag richting de KPN specialisten.

Mvg,

Tim

Reputatie 7
Badge +30
Hallo,

In enkele dagen zal sowieso iemand van KPN WebCare reageren, maar ik verwacht dat zij niets aan de firewall kunnen (en mogen) doen. Dit zit naar mijn weten in de software.

Het lijkt er op dat je nu Bridged-Itv gebruikt? Want de verwachting is, is dat het in de toekomst allemaal routed-itv wordt.

Robin
Reputatie 7
Het level van de firewall van de Experia Box heeft geen enkele invloed op de werking van een firewall die als DMZ Host achter de Experia Box geplaatst wordt.

Het enige dat level high inhoudt is dat de Experia Box zelf niet zal reageren op pings vanaf Internet en dat er stateful package inspection van toepassing is.

De DMZ Host wordt in geen enkel opzicht "gehinderd" door de firewall van de Experia Box en zal achter elke Experia Box volledig kunnen functioneren.

Er is mijns inziens dan ook geen enkele noodzaak om het level aan te moeten passen.

Wat willen jullie bereiken waardoor jullie van mening zijn dat het level van de firewall aangepast zou moeten worden?

Waarom willen jullie de firewall niet als DMZ Host opnemen terwijl dit eigenlijk de enig juiste plek is voor een firewall achter een router?

Het gebruik van een managed switch tussen het glasvezelmodem en de Experia Box is af te raden omdat:

  • De Experia Box hierdoor geen firmware updates meer zal ontvangen.
  • KPN geen configuratie wijzigingen meer door kan voeren. (Ook niet voor telefonie.)
  • KPN overgaat van bridged ITV naar routed ITV waarbij de Experia Box ook een actieve rol gaat spelen voor de distributie van TV.
  • TV ontvangers geen firmware updates meer zullen ontvangen en ook geen gebruik zullen kunnen maken van nieuwe functionaliteit waarvoor Internet toegang nodig is zoals bijvoorbeeld "Meer TV".
Ik weet dat de Firewall niet van toepassing is op de DMZ, ik ben het er ook mee eens dat dit de correcte plek is voor onze firewalls.

Laat ik het anders formuleren:

Wij hebben een tijd terug bij een aantal klanten ervaren dat de MTU waarden van de internetverbinding lager zijn wanneer de Experia Box voor onze apparatuur blijft zitten.

Ik wou testen of dit door deze 2 settings zou kunnen komen maar dit kan ik dus niet aanpassen.

Moet ook eerlijk bekennen dat ik niet zeker weet of dit ook i.c.m. een V9 box was.

Als de settings niet aan te passen zijn mag dit topic dicht.

Reputatie 7
De MTU size is 1500 bytes (28 bytes ICMP/IP header en een payload van 1472 bytes).

De Experia Boxen accepteren geen fragmented packages en dus zal er altijd gecommuniceerd moeten worden met een MTU size van maximaal 1500 bytes.

Dit is niet aan te passen. 

Reageer