Beantwoord

Klacht: Abuse team triggered op verkeer binnen een GRE tunnel

  • 5 August 2022
  • 4 reacties
  • 191 keer bekeken
R
Rank

Tijd om te vertrekken bij KPN. Jarenlang trouwe klant van XS4all geweest. Maar nu wordt je blijkbaar aangeschreven en wordt er gedreigd met afsluiten als je je verbinding geheel normaal gebruikt.

Wat doe ik wat volgens jullie wat niet zou mogen:

(a) Er werd eerder deze week netbios-ssn verkeer uitgewisseld binnen een GRE tunnel naar een ander, eigen netwerk. Let op: er staat dus niets “open”, dit betreft verkeer /binnen/ een private tunnel. Dit betekent dus dat KPN /in/ de tunnel meekijkt.. Daar maken we nu dus maar snel ipsec van, dan kunnen ze niet meer meekijken. Maar goed, hier is helemaal niets mis mee, dit is gewoon prive traffic naar een ander netwerk.

Het actief laten meekijken van software in getunneld traffic van een aansluiting van een klant, ook al is dit verkeer GRE en dus unencrypted, is m.i. een verregaande aantasting van de privacy en heeft geen enkele relatie tot de eigen dienstverlening van KPN. Dit valt onder het zeer omstreden DPI. Ik zal dan ook melding bij de AP doen.

Iets anders wat volgens jullie abuse clubje ook niet mag:

(b) Een authoritative nameserver draaien die bereikbaar is voor de hele wereld. Let op, dit is dus een nameserver proces dat niets anders doet dan authoritative queries voor een enkele domeinnaam beantwoorden. Sterker nog, hij krijgt alleen maar queries van een proxy en AXFR’s van een andere nameserver, ik zou het dus kunnen filteren maar dat is nergens voor nodig. In noodsituaties is het wel prettig als dit gewoon bereikbaar is.

Beide zaken zijn in het geheel niet in strijd met de algemene voorwaarcden danwel het normale gebruik van een internet verbinding en hebben in 15 jaar bij XS4All nog /NOOIT/ enig issue opgeleverd.

Ik verzoek dan ook allereerst een excuses voor de overlast die uw abuse afdeling heeft veroorzaakt. Het kost toch een hele ochtend en een enorme hoeveelheid frustatie om hier op te reageren. Ik heb wel betere dingen te doen.

En ik zou allang weg zijn richting Freedom Internet, ware het niet voor het feit dat zij nog steeds maar een telefoonnummer kunnen porteren per klant. Dat is dan ook de /enige/ reden dat ik niet direct na het slopen van XS4all weg ben gegaan. Nog steeds verbaas ik me erover hoe oerdom je als bedrijf kunt zijn. Kop in het zand en trots je eigen naam doordrukken, terwijl je een gouden produkt, merknaam en personeel in handen hebt. Want bij XS4All zat wel kennis en daar wordt je niet bedreigd met afsluiten omdat je je aansluiting voor meer gebruik dan alleen maar browsen.

icon

Beste antwoord door Dennis ABD 15 August 2022, 12:25

Bekijk origineel
Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

4 reacties

wjb
Rank
Reputatie 7

En ik zou allang weg zijn richting Freedom Internet, ware het niet voor het feit dat zij nog steeds maar een telefoonnummer kunnen porteren per klant. 

Waarom porteer je jouw telefoonnummers dan niet naar CheapConnect?

Be positive, avoid negativity, enjoy life and stay healthy!
H
Rank
Reputatie 5
Badge +5

Ik heb nog nooit GRE tunnels gebruikt en heb er zojuist een opgezet, maar ik zou dat niet als tunnel over het internet gebruiken. Monitor protocol 47 en alles ligt op straat. Dus als een extra headertje voor een IP pakket geplaatst wordt is het meteen een schending van de privacy als de rest zichtbaar wordt? Ik kan me voorstellen dat abuse hierop aanslaat.  Er zijn zoveel betere oplossingen om een tunnel over het internet te maken.

Van DNS is bekend dat het voor DDos aanvallen gebruikt wordt, maar het is op zich een volkomen legale toepassing. Hopelijk is daar met abuse uit te komen….

 

 

Erwin van KPN
Rank

Hoi @RoelB1 . Om eerlijk te zijn gaat dit een beetje boven mijn pet. Misschien kan @Raymondt hier nog iets over vertellen.

Blij met een antwoord? Geef een like! Is een bericht het beste antwoord op je vraag? Markeer het dan als oplossing.
Dennis ABD
Rank
Reputatie 7
Badge +7

Hoi,

 

Wij kijken niet in tunnels of naar welk verkeer dan ook. Indien je een waarschuwing ivm Netbios hebt gekregen hebben wij ook daadwerkelijke meldingen ontvangen van een open netbios poort. Wij kijken niet of er al dan niet verkeer naartoe gaat of vanaf komt en kunnen dit ook niet. Tunnels decrypten is uiteraard geheel uit den boze.

 

Je mag prima een authorative DNS draaien, echter dient er dan geen response te komen op DNS queries voor andere domeinen. Dus ook geen Servfail of NXDomain.

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Forumvoorwaarden