FRITZ!Box 5530 Fiber

Mikrotik, Ubiquity… worden geleverd met keuze firewall enable/disable. Heb hier een EdgeRouter X SFP van Ubiquity en firewall is een keuze. En rules mag je zelf definiëren. Ik zie het al voor me, zet alles maar open want wel zo makkelijk… duurt dan een kwartier en dan Ben je de pineut. Ik zie portscans op poort telnet, ssh, sip, http, https, smb, ad, etc. etc. … dus duizenden per dag.

Klopt, vandaar ook dat mijn configuratiescript voor de EdgeRouters allemaal standaard de firewall instellen als volledig gesloten.

Dat je daarna de firewall volledig open kunt zetten geldt ook voor de Experia/KPN Boxen.

Overigens noem je precies merken die wat complexer zijn in het beheer.

Mooi verhaal @Ernst-Jan klopt

Maar de meeste mensen zullen gewoon het bruikleen modem/router van de provider gebruiken 

Een vrije router keuze is er net voor mensen die een stap verder willen

Ik verwacht dat de ONT ook vrij te kiezen zal zijn nadat de beleidsregel netwerkaansluitpunt definitief is. In de concept beleidsregel en ook in de Europese richtsnoeren van het BEREC is locatie A als de locatie van het netwerkaansluitpunt beschreven.

Als locatie B gekozen zou worden dan hebben ze bij Ziggo een groot probleem immers op de markt zijn nauwelijks losse DOCSIS 3.1 modems te verkrijgen, het zijn vrijwel altijd DOCSIS 3.1 modemrouter combinaties. Er zal dan dus een leverancier bereid moeten zijn om voor Ziggo DOCSIS 3.1 modems te ontwikkelen, anders heeft de consument er nog niets aan.

In de Europese richtsnoeren is vastgelegd dat alleen op zwaarwegende technische gronden een lidstaat van locatie A af mag wijken.

De ACM zal heel binnenkort (deze zomer) eindelijk de definitieve versie van de beleidsregel netwerkaansluitpunt publiceren. Vanaf dat moment hebben de providers minimaal 3 maanden de tijd om te voldoen aan die beleidsregel.

Wat ook nog kan gebeuren is dat een provider bezwaar maakt tegen de beleidsregel en deze voorlegt aan het College van Beroep voor het bedrijfsleven (CBb). In dat geval.zijn we zo weer een jaar (of twee) verder. 

Gelukkig hebben we daar bij KPN geen last van, daar kunnen we al ruim een jaar een (modem)router kiezen.  En dat de ONT (nog) niet vrij te kiezen is mag mijns inziens de pret niet drukken want echt, functioneel heeft het geen enkel nut om de in bruikleen gegeven ONT te vervangen. De enige die daar beter van wordt is de leverancier van de router, als gebruiker schiet je er echt niets mee op.

Wat voor een voordelen zie je dan en ik stel die vraag echt serieus.

Ik weet ook 100% zeker dat ik ze allemaal kan weerleggen tenzij je begint over marginale besparing van stroom of het lelijke kastje.

Nogmaals, het heeft mijns inziens absoluut geen enkele zin om de ONT (of NTU) te vervangen.

Moest er wel een beetje om lachen. Nee, niets op de kerfstok. Gewoon consument met een abo glas bij Caiway voor zakelijk gebruik, Teams en zo. Tussen de 6000 en 8000 dropped packets per dag in iptables, dus TCP/UDP packets die een destination port hebben die de router niet toestaat. En de meeste mensen zien dat niet omdat ze geen logging aan hebben staan op de firewall in de router. De Experiabox kent die functie niet eens. Ik exporteer de log naar Excel, doe wat geolocatie om de bron te achterhalen en maak wat tabelletjes. Via abuseipdb doe ik reporting zodat de bad boys in ieder geval bekend worden in de community.

Kijk maar eens op www.abuseipdb.com, er gaat een wereld voor je open; vele miljoenen IP adressen in de database die gebruikt worden door criminelen voor poort scans, ddos attacks en nog veel meer.

Wellicht zijn om de een of andere reden de Caiway (Delta) IP adressen interessant?

Hoe denk je dat al die hacks waar je over leest o.a. ontstaan? Gewoon criminelen en script kiddies die scripts draaien op zoek naar openstaande poorten. Sprak laatst een IT bedrijf die honderden klanten host, die zien op de Fortigate firewall tienduizenden van dergelijke portscans, per uur!

Dat maatje van jou moet de logs maar eens wat scherper zetten dan komt het naar voren, vaak gebeurt dat niet omdat gedropte packets natuurlijk niet interessant zijn. Die hebben immers geen gevolgen, de FW doet gewoon zijn werk.

Zet maar eens een honeypot op internet. Gewoon een Linux doosje met telnet open met een simpel wachtwoord, ik schat dat binnen een kwartier je zult zien dat men binnen is. Ik zie een paar honderd keer een klop op de deur op poort 23. Niet voor niets is telnet volledig uit de boze.

Bij de fritzbox 5490 niet hoor

En toch vervang je daarmee de NTU door eenzelfde module alleen dan ingebouwd in die FRITZ!Box. Winst: een kastje minder, that's it. Risico: Onbruikbaar als je gaat verhuizen naar een woning met een GPON aansluiting of, erger nog, met alleen coax van Ziggo.

Dat valt me nog reuze mee, ook van een veelvoud daarvan zou ik niet opkijken.

In de tijd dat ik thuis op mijn Synology NAS nog een mail server draaide kwamen er per dag enkele tientallen IP adressen in mijn blacklist bij van sites die probeerde in te loggen op de mail server en na drie foutieve pogingen automatisch permanent geblokkeerd werden.

Mensen zien inderdaad niet dat hun aansluiting continue bestookt wordt door malafide personen van over de hele wereld.

Ben je al over naar DSM 7?

Off-topic:

Best wel een aanrader. T.a.v. beveiliging zijn er weer wat stapjes gezet. Zo kunnen 3rd party packages geen root rechten meer verkrijgen waardoor ik mijn Synology Wake on LAN Gateway heb moeten aanpassen. Deze luisterde op UDP poort 9 naar WoL magic packets maar voor de lage poortnummers (met "standaard" functionaliteit) zijn root rechten vereist en die krijg je dus niet meer. Nu luistert mijn Synology Wake on LAN Gateway op UDP poort 19999 naar WoL magic packets.