Vraag

Onbekende port-forwarding TCP poort 9000

  • 9 februari 2017
  • 125 reacties
  • 20987 keer bekeken

Reputatie 7
Ik kom op mijn V10 de onderstaande IPv4 port-forwarding tegen:

De port-forwarding wijst naar een KPN Wifi "versterker" op LAN IP adres 192.168.2.244..

Mijn vragen zijn:
Wie heeft deze port-forwarding vastgelegd?
Waarom heb ik als contractant hier geen toestemming voor hoeven geven?
Waar dient deze port-forwarding toe?
Kan KPN mij garanderen dat hier geen misbruik van gemaakt kan worden?
Wat als TCP poort 9000 voor een andere service gebruikt wordt of moet gaan worden?

125 reacties

Badge
Om eerlijk te zijn sidder ik bij de gedachte dat KPN centraal geregeld poorten kan openzetten in de Experia boxen van klanten. Denk dat een uitleg hierover van KPN zeker wel op zijn plaats is!

Is deze forward overigens vanaf het internet benaderbaar of is dit alleen vanuit een "management" netwerk bereikbaar?
Reputatie 1
Badge +1
Mijn V10 heeft die port forwarding er niet in staan.
Reputatie 7
Badge +30
Hadden we hier laatst niet een discussie over m.b.t. devolos?
Reputatie 1
Badge +1
Je kunt wel met netstat zien wat er luistert op de betreffende poort.
Reputatie 7
Hadden we hier laatst niet een discussie over m.b.t. devolos?Klopt, maar in dit geval hebben we een port-forwarding naar een KPN Wifi "versterker".
Ik vermoed dat deze port-forwarding nodig is voor de recent geïntroduceerde automatische update functionaliteit voor de KPN Wifi "versterker".
Waar ik echter zeer grote moeite mee heb is dat er "zomaar" gaten in de beveiliging van mijn netwerk geschoten worden zonder dat ik daar goedkeuring aan heb hoeven geven.
Stel nu dat in dit geval op IP adres 192.168.2.244 geen KPN Wifi "versterker" meer staat, maar een NAS of PC waarop toevallig ook een service op TCP poort 9000 draait. Dan staat die service wel wagenwijd open op Internet. :@

Het enige wat ik hier aan KPN vraag is om opheldering te geven en mijn vragen te beantwoorden.
Reputatie 7
Badge +30
Ik betwijfel of de update functionaliteit het doel is. De "Versterker" kan zichzelf namelijk updaten. De versterker pollt namelijk deze site: https://wv-upgrade.wxs.nl/version.txt
Daarna download deze de firmware via de link op die pagina. Ik betwijfel of hier een forwarding voor nodig is.
Persoonlijk ben ik van mening dat apparaten zelf moeten updaten en dat dit niet door middel van een inkomende verbinding gaat.

Ik denk dat op poort 9000 een soort HTTP API actief is waarmee dat ding gereset ofzo kan worden. Onder het mom van "om klanten te helpen"

Robin
Reputatie 7
...Persoonlijk ben ik van mening dat apparaten zelf moeten updaten en dat dit niet door middel van een inkomende verbinding gaat...Helemaal eens.

...Ik denk dat op poort 9000 een soort HTTP API actief is waarmee dat ding gereset ofzo kan worden. Onder het mom van "om klanten te helpen"Zou prima kunnen. Ik ga er vanuit dat KPN hier op korte termijn zal reageren om opheldering te geven.
Reputatie 7
Badge +27
We hebben hier inderdaad eerder een discussie over gehad met de port forwardings voor de devolo. Naar aanleiding daarvan hebben we hier vragen over gesteld aan ontwikkeling. De antwoorden zijn nu binnen. Ik neem ze hieronder door. Blijf vooral vragen stellen als je meer wilt weten of dingen niet duidelijk zijn. Dan kunnen we die weer doorspelen intern.

Waar dient deze port-forwarding toe?Dit mechanisme met port forwarding laat ons, op verzoek van de klant (of door de klant zelf via een servicetool), het desbetreffende apparaat (deels) op afstand beheren waardoor we het bijvoorbeeld kunnen herstarten of resetten, updaten en beveiligen. Het achterliggende doel hiervan is een stukje extra service leveren. Uiteraard doen we dit alleen op apparaten die wij leveren zoals de devolosets en wifi versterker. Eigen apparatuur valt hier buiten.

Wat als TCP poort 9000 voor een andere service gebruikt wordt of moet gaan worden?Er worden geen vaste poorten geclaimd. Er wordt gekeken welke vrij is, en die wordt geselecteerd. Als een poort in gebruik blijkt probeert hij een volgende. Er worden drie pogingen gedaan. Het lijkt me dat hij het daarna opgeeft, maar ik heb verder gevraagd wat er precies gebeurt na die drie pogingen.

Kan KPN mij garanderen dat hier geen misbruik van gemaakt kan worden?Is deze forward overigens vanaf het internet benaderbaar of is dit alleen vanuit een "management" netwerk bereikbaar?Deze twee pak ik even samen. Het gebruik van de forwards is geautomatiseerd en volledig gesloten. Het managementsysteem leg de verbinding met automatisch gegenereerde inloggegevens. Deze zijn uniek per adapter. De gegevens worden ook alleen in dat systeem gebruikt, verborgen voor derden, inclusief medewerkers en klanten. Het systeem kan alleen de apparaatfuncties aanroepen (om zo te kunnen herstarten of updaten e.d.) en heeft geen inzicht in het verkeer.

Het managementsysteem voldoet aan alle security eisen van KPN. Daarnaast worden er regelmatig penetratietesten uitgevoerd op de verschillende mechanismen door onze ethical hackers.

Waarom heb ik als contractant hier geen toestemming voor hoeven geven?Wij zijn verplicht om aan wet- en regelgeving te voldoen, en dat doen we met hoe dit nu is ingericht. Er wordt op dit moment nog gekeken of dit ook expliciet in contractvoorwaarden staat.

Wie heeft deze port-forwarding vastgelegd?Ik begrijp niet helemaal wat je met deze vraag bedoelt, kun je die wat meer toelichten?

Wat verder ook nog relevant is: het verwijderen van de port forwards. Daar hebben we het in de devolo discussie kort over gehad. Het lijkt me goed dat hier ook nog even weer te noemen. De port forwards kunnen verwijderd worden maar ze worden automatisch weer hersteld door het managementsysteem. Het is op dit moment in ieder geval niet mogelijk om dat te voorkomen. Wellicht dat het nog verandert, maar omdat dit een wezenlijk onderdeel vormt van de serviceverlening acht ik die kans niet heel groot.
Reputatie 7
Badge +30
Kan ik ergens na lezen hoe die inloggegevens gegenereerd worden? Dit lijkt me namelijk een zwak punt.

Welke wet- en regelgeving betreft dit precies?

Hoe komen die forwardings er precies in? Wordt er door middel van TR-096 iets gedaan? Maakt de V10 actief verbinding met jullie servers om te kijken of ie iets moet forwarden? Hoe weet de V10 welk apparaat een WiFi-Versterker is?
Reputatie 7
Wie heeft deze port-forwarding vastgelegd?Ik begrijp niet helemaal wat je met deze vraag bedoelt, kun je die wat meer toelichten?Deze vraag is hiermee al beantwoord, het is KPN die deze port-forwarding heeft vastgelegd.

Kan KPN mij garanderen dat hier geen misbruik van gemaakt kan worden?Is deze forward overigens vanaf het internet benaderbaar of is dit alleen vanuit een "management" netwerk bereikbaar?Deze twee pak ik even samen. Het gebruik van de forwards is geautomatiseerd en volledig gesloten. Het managementsysteem leg de verbinding met automatisch gegenereerde inloggegevens. Deze zijn uniek per adapter. De gegevens worden ook alleen in dat systeem gebruikt, verborgen voor derden, inclusief medewerkers en klanten. Het systeem kan alleen de apparaatfuncties aanroepen (om zo te kunnen herstarten of updaten e.d.) en heeft geen inzicht in het verkeer.Dit beantwoord niet mijn vraag, hoe wordt voorkomen dat een hacker, (Rus, Chinees, Amerikaan, Griek, etc.) deze poort misbruikt om bijvoorbeeld een gemodificeerde firmware op de KPN Wifi "versterker" te plaatsen die voorzien is van bijvoorbeeld sniffer functionaliteit?.

Waarom heb ik als contractant hier geen toestemming voor hoeven geven?Wij zijn verplicht om aan wet- en regelgeving te voldoen, en dat doen we met hoe dit nu is ingericht. Er wordt op dit moment nog gekeken of dit ook expliciet in contractvoorwaarden staat. Dit is een onbevredigd antwoord. Wij voldoen aan de regeltjes dus niet zeu....
Reputatie 7
Badge +27
Excuses voor mijn late reactie. Dank voor de aanvullende vragen en opmerkingen! We hebben deze doorgezet naar ontwikkeling eerder van de week. Zodra we de nieuwe batch met antwoorden binnen hebben kom ik er op terug. Het kan iets langer duren, degene die de antwoorden moet aftikken heeft op het moment even vakantie.
Ik vind het zeer dubieus, daar er naar allerlei interne IP adressen wordt geforward welke niet onder KPN beheer vallen. Ik noem een NAS een Sonos en een slimme thermostaat. Waarom wordt daar naartoe geforward!?
Reputatie 7
Ik vind het zeer dubieus, daar er naar allerlei interne IP adressen wordt geforward welke niet onder KPN beheer vallen. Ik noem een NAS een Sonos en een slimme thermostaat. Waarom wordt daar naartoe geforward!?Zou het kunnen zijn dat op die IP adressen ooit een devolo of KPN wifi "versterker" heeft gestaan?
Je geeft overigens hiermee wel één van de enorme hiaten aan die KPN introduceert met deze twijfelachtige functionaliteit.
KPN kan namelijk niet garanderen dat zo'n port-forwarding ook werkelijk naar een "KPN device" blijft wiijzen.
Dat is mijns inziens dan ook een reden waarom KPN wat moet stoppen of anders de abonnee de mogelijkheid te geven nee te zeggen tegen deze port-forwardings. Wellicht dat ik op basis van deze functionaliteit mijn KPN Wifi "versterkers" maar ga verkopen. Heeft iemand interesse?
Reputatie 7
Badge +30
Oeh, hier wordt het mooi. Wat nu als ik in mijn eigen netwerk op poort 9000 (of welke nu dan ook) allemaal belangrijke informatie op een website heb draaien? Wie heeft hier nu toegang tot?
Reputatie 4
Badge +6
Hier hetzelfde als TS, ik maak via de EB v10 geen gebruik van een DVS en/of een KPN WiFi "versterker" of wat voor soort andere signaal versterkers ook, toch geopende poorten.

Vanmiddag bij mijn vriendin gekeken in de EB v8, DVS aangesloten en daar geen port forwards,,,

Ik ga de forwards verwijderen en zie wel wat er gebeurd. Mocht er het 1 en ander niet meer werken dan is het aan KPN om het op te lossen, ik heb er niet om gevraagd dan wel toestemming voor gegeven.

Dat het te maken zou kunnen hebben met het op afstand resetten van een EB is een broodje aap verhaal, KPN medewerkers kunnen dat al jaren...
Reputatie 4
Badge +6
Forwards verwijderd, EB v10 vanuit de interface een reset gegeven en alles werkt nog gewoon. In de EB ook geen IPv4 forwards meer.

Wanneer gaat KPN eens klanten op de hoogte houden van wijzigingen die doorgevoerd worden?
Ongevraagd wordt er nu weer iets doorgevoerd waar vele niet op zitten te wachten!
Reputatie 4
Badge +6
Wellicht dat ik op basis van deze functionaliteit mijn KPN Wifi "versterkers" maar ga verkopen. Heeft iemand interesse?

Stuur maar een PM, kan ik in mijn winkel wel gebruiken.
Ik vind het zeer dubieus, daar er naar allerlei interne IP adressen wordt geforward welke niet onder KPN beheer vallen. Ik noem een NAS een Sonos en een slimme thermostaat. Waarom wordt daar naartoe geforward!?Zou het kunnen zijn dat op die IP adressen ooit een devolo of KPN wifi "versterker" heeft gestaan?
Je geeft overigens hiermee wel één van de enorme hiaten aan die KPN introduceert met deze twijfelachtige functionaliteit.
KPN kan namelijk niet garanderen dat zo'n port-forwarding ook werkelijk naar een "KPN device" blijft wiijzen.
Dat is mijns inziens dan ook een reden waarom KPN wat moet stoppen of anders de abonnee de mogelijkheid te geven nee te zeggen tegen deze port-forwardings. Wellicht dat ik op basis van deze functionaliteit mijn KPN Wifi "versterkers" maar ga verkopen. Heeft iemand interesse?
Ik heb die Devolo's helemaal niet 🙂 dat maakt het nog mooier. Had de angst dat het één of andere router-hack betrof, maar kennelijk maakt de KPN die dingen automatisch (via een centrale management tool) aan? Ze zitten mij niet zo in de weg, ik word er alleen een beetje onrustig van.
Forwards verwijderd, EB v10 vanuit de interface een reset gegeven en alles werkt nog gewoon. In de EB ook geen IPv4 forwards meer.Ze blijven alleen automatisch terugkomen.
Reputatie 7
Forwards verwijderd, EB v10 vanuit de interface een reset gegeven en alles werkt nog gewoon. In de EB ook geen IPv4 forwards meer.Ze blijven alleen automatisch terugkomen.Dus jij geeft aan dat er van die port-forwardings gemaakt worden die verwijzen naar apparaten anders dan KPN devolo's en KPN wifi "versterkers", klopt dat?
Je geeft ook aan geen devolo's te hebben, heb je dan wel een KPN wifi "versterker"?
Reputatie 4
Badge +6
Forwards verwijderd, EB v10 vanuit de interface een reset gegeven en alles werkt nog gewoon. In de EB ook geen IPv4 forwards meer.Ze blijven alleen automatisch terugkomen.

EB v10 naar fabrieksinstellingen gezet en tot op heden nog geen IPv4 forwards.

Hoe lang zou het volgens jouw duren dat deze weer erin staan dan? Hou het hier uiteraard wel even in de gaten de aankomende dagen.

Reputatie 7
...Hoe lang zou het volgens jouw duren dat deze weer erin staan dan? Hou het hier uiteraard wel even in de gaten de aankomende dagen.Binnen 2 dagen was de port-forwarding naar een KPN wifi "versterker" weer terug. :@
Ik vind het absoluut verwerpelijk dat KPN gaten schiet in de beveiliging van mijn thuisnetwerk en ik vraag KPN dan ook vriendelijk doch dringend om dit zo snel mogelijk te staken.
Daarnaast vraag ik KPN zo spoedig mogelijk gehoor te geven aan de wettelijk verplichting om de specificaties te publiceren op basis waarvan ik mijn eigen router succesvol kan configureren en gebruik kan blijven maken van alle diensten die KPN via die router biedt. (Internet, ITV en telefonie)
Reputatie 4
Badge +6
Duidelijk, dan wacht ik nog een even af en zodra ze weer terug zijn meldt ik dat gelijk.

Las in https://www.kpn.com/algemeen/algemene-voorwaarden/prive/internet-1.htm en dan "Algemene voorwaarden Elektronische Communicatiediensten" het volgende waarachter KPN zich wel zal verschuilen:

8.1 KPN is gerechtigd de technische eigenschappen van
de Dienst of van het Elektronisch communicatienetwerk
te wijzigen om (i) te voldoen aan bij of krachtens de wet
gestelde regels, en/of (ii) aan de eisen van de tijd en de
stand van de techniek te blijven beantwoorden. KPN spant
zich in deze wijzigingen uit te voeren zonder dat dit
gevolgen heeft voor de gebruiksmogelijkheden van
de Klant en de door hem gebruikte Randapparaten.
Indien dat niet mogelijk is en een wijziging redelijkerwijs
voorzienbare fi nanciële consequenties heeft voor de
Klant zal de wijziging niet eerder plaatsvinden dan één
maand nadat deze is bekendgemaakt of zoveel langer
als redelijkerwijs mogelijk is.



Daarnaast vraag ik KPN zo spoedig mogelijk gehoor te geven aan de wettelijk verplichting om de specificaties te publiceren op basis waarvan ik mijn eigen router succesvol kan configureren en gebruik kan blijven maken van alle diensten die KPN via die router biedt. (Internet, ITV en telefonie)


Gezien hun eigen voorwaarden moeten ze wel gehoor eraan geven.

8.1 KPN is gerechtigd de technische eigenschappen van
de Dienst of van het Elektronisch communicatienetwerk
te wijzigen om (i) te voldoen aan bij of krachtens de wet
gestelde regels
, en/of (ii) aan de eisen van de tijd en de
stand van de techniek te blijven beantwoorden.
Reputatie 7
...om (i) te voldoen aan bij of krachtens de wet
gestelde regels, en/of (ii) aan de eisen van de tijd en de
stand van de techniek te blijven beantwoorden...
Dan mag KPN uitleggen wat van toepassing is. Ik kan mij hier t.a.v. die port-forwardings in ieder geval niets bij voorstellen.
Reputatie 4
Badge +6
Dit topic onder ogen gebracht hebbende bij een ICT advocaat kreeg ik zojuist een antwoord waarin hij het volgende mededeelde:

Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan. Bij in gebreken blijven hiervan kan ik verwijzen naar een clausule welke opgenomen is bij de OPTA.


Ik ga niet alles plaatsen nu, ik wacht een reactie van KPN af...

Reageer