Vraag

Onbekende port-forwarding TCP poort 9000

  • 9 februari 2017
  • 133 reacties
  • 27154 keer bekeken


Toon eerste bericht

133 reacties

Reputatie 7
Badge +28
Oeh, hier wordt het mooi. Wat nu als ik in mijn eigen netwerk op poort 9000 (of welke nu dan ook) allemaal belangrijke informatie op een website heb draaien? Wie heeft hier nu toegang tot?Nou, niemand dus. De forward pakt een vrije poort. Als jij poort 9000 in gebruik hebt ergens voor, zal het systeem deze niet gebruiken voor de forward. En zelfs als dit wel onverhoopt zou gebeuren heeft niemand daar toegang toe. De forward is volledig geautomatiseerd, en beperkt tot het managementsysteem. Niemand kan daar bij, ook medewerkers niet. Het enige wat medewerkers kunnen is het systeem opdracht geven om een van de vooraf vastgestelde acties uit te voeren (denk dan aan herstart, reset, update). En onze eigen ethical hackers (die in 2014 nog in de finale van het Cyberlympics hack WK stonden) controleren dit ook regelmatig.

Hier hetzelfde als TS, ik maak via de EB v10 geen gebruik van een DVS en/of een KPN WiFi "versterker" of wat voor soort andere signaal versterkers ook, toch geopende poorten.
[...]
Dat het te maken zou kunnen hebben met het op afstand resetten van een EB is een broodje aap verhaal, KPN medewerkers kunnen dat al jaren...
Naast Devolo en Wifi Versterker komen er ook forwards voor de tv-ontvangers. Waarschijnlijk zie je die.

Deze forwards hebben ook niet te maken met het op afstand resetten van de Experia Box, dat kunnen we inderdaad al. Zoals ik eerder aangaf kunnen we op deze manier onze apparaten die met de Experia Box verbonden zijn (deels) op afstand beheren. Dit behelst dan niet alleen herstarten en resetten, maar ook updates en beveiliging.

De overige vragen/opmerkingen hier zet ik uit, zodra we antwoord hebben kom ik er hier op terug. In het algemeen gesproken echter, dingen als dit worden door de juridische afdeling gecontroleerd of het allemaal voldoet aan wet- en regelgeving.
Reputatie 7
Oeh, hier wordt het mooi. Wat nu als ik in mijn eigen netwerk op poort 9000 (of welke nu dan ook) allemaal belangrijke informatie op een website heb draaien? Wie heeft hier nu toegang tot?Nou, niemand dus. De forward pakt een vrije poort. Als jij poort 9000 in gebruik hebt ergens voor, zal het systeem deze niet gebruiken voor de forward. En zelfs als dit wel onverhoopt zou gebeuren heeft niemand daar toegang toe. De forward is volledig geautomatiseerd, en beperkt tot het managementsysteem. Niemand kan daar bij, ook medewerkers niet. Het enige wat medewerkers kunnen is het systeem opdracht geven om een van de vooraf vastgestelde acties uit te voeren (denk dan aan herstart, reset, update). En onze eigen ethical hackers (die in 2014 nog in de finale van het Cyberlympics hack WK stonden) controleren dit ook regelmatig.
Beste Erik, denk alsjeblieft even iets dieper door.

Stel mijn TV ontvanger heeft IP adres 192.168.2.24. Er wordt nu dus een port-forwarding gemaakt voor bijvoorbeeld TCP poort 9000 die verwijst naar IP adres 192.168.2.24. Nu zet ik mijn TV ontvanger uit. Dit betekent dat na het verlopen van de DHCP lease voor die TV ontvanger een ander apparaat IP adres 192.168.2.24 zou kunnen krijgen en vanaf dat moment staat die port-forwarding dus naar dat apparaat te wijzen. Dit is dus waarom ik mijn bezwaren heb t.a.v. deze functionaliteit. Ware het nu zo dat deze port-forwardings gemaakt zouden worden richting het MAC adres van het "KPN device" dan zou ik er nog mee kunnen leven. Ik snap dat dat (nog) niet gebeurt aangezien alleen op de V10 port-forwardings naar een MAC adres gedefinieerd kunnen worden, maar met port-forwardings richting een IP adres kunnen jullie dus absoluut niet garanderen dat daar geen misbruik van gemaakt kan worden, puur vanwege het feit dat jullie niet kunnen garanderen dat het apparaat, waar de port-forwarding naar verwijst, een "KPN device" is.
Reputatie 7
De app naam lijkt een gestructureerde opbouw te hebben.
Zo is de app naam voor de port-forwarding naar een KPN wifi "versterker" (HMD_CR_1883BF_J442076301) opgebouwd als: HMD_CR_eerste drie octets van MAC adres_serienummer
Op basis hiervan zou het mogelijk kunnen zijn functionaliteit te implementeren die zo'n port-forwarding automatisch laat mee verhuizen als het IP adres van zo'n "KPN device" wijzigt of automatisch verwijdert als er een apparaat van een andere leverancier (eerste drie octets MAC adres) op het IP adres gesignaleerd wordt.
Reputatie 4
Badge +6
Duidelijke en begrijpelijke uitleg, maar waarom dan 3 port forwards als er 2 STB's zijn aangesloten?

Verder geen DVS of (WiFi) versterkers aangesloten...!

Tevens wacht ik nog op een antwoord van de juridische afdeling!
Reputatie 7
Duidelijke en begrijpelijke uitleg, maar waarom dan 3 port forwards als er 2 STB's zijn aangesloten?Ik heb nog geen enkele port-forward gezien naar één van onze STB's.
Kan jij hier eens het MAC gedeelte uit de naam van die drie port-forwards plaatsen?
Reputatie 4
Badge +6
@wjb Hoop dat je aan onderstaande voldoende hebt, anders lees ik het wel en plaats ik het gevraagde.





Ik heb trouwens vorig jaar wel een DVS aangesloten gehad, maar hierna is de EB al meerdere malen opnieuw opgestart.
Reputatie 7
Blijkbaar heb je toch een devolo setje (DVS) in jouw netwerk zitten immers de MAC adressen beginnend met 30-d3-2d en f4-06-8d zijn beide van devolo AG.
Wel vreemd dat twee van die port-forwardings dan naar het IP adres van Arcadyan HMB2260 TV ontvangers staan te wijzen. Zijn die toevallig HMB2260's met die devolo's op de Experia Box aangesloten?
Is die devolo set bij KPN gekocht of elders?
Bestaat die devolo set uit drie adapters?
Reputatie 7
Badge +30
Wat is dat apparaat op 192.168.2.2 dan?
Reputatie 7
Wat is dat apparaat op 192.168.2.2 dan?Een devolo adapter, wellicht één met ingebouwd wifi accesspoint.
Reputatie 4
Badge +6
Zodra ik straks thuis ben ga ik kijken of zoonlief toevallig iets heeft aangesloten waarvan ik geen weet heb, bedankt voor de tip welke apparatuur aangesloten kan zijn.
Reputatie 4
Badge +6
Blijkt idd dat er een DVS aangesloten is, Devolo dLan 1200 Wifi Powerline.
Zoonlief heeft deze aangeschaft en aangesloten omdat ik in de EB=>Instellingen=>ECO de WiFi doordeweeks van 22:00 uur tot 06:00 uitgeschakeld heb, school gaat voor.
Meneer heeft dus deze DVS aangesloten en het WiFi netwerk dezelfde naam gegeven als wat er gebruikt wordt vanuit de EB. Zodoende had hij dus na de ECO modus ook nog WiFi, tot vandaag.

Probleem aangaande dit dus opgelost.

De volgende vraag:

De overige vragen/opmerkingen hier zet ik uit, zodra we antwoord hebben kom ik er hier op terug. In het algemeen gesproken echter, dingen als dit worden door de juridische afdeling gecontroleerd of het allemaal voldoet aan wet- en regelgeving.


Wanneer komt hier een antwoord op? Is inmiddels 3 dagen geleden...
Reputatie 7
Beste KPN,

Ik verzoek jullie vriendelijk doch dringend om op zeer korte termijn gehoor te geven aan de wettelijke verplichting om de specificaties te publiceren op basis waarvan de klant een router naar eigen keuze kan gebruiken om de diensten via de netwerkaansluiting van KPN af te nemen. (Internet, ITV en telefonie).

Het schieten van gaten in de firewall bij de ingang van het thuisnetwerk van de klant zonder daarover met de klant te communiceren en zonder goed na te denken over mogelijk misbruik van dergelijke port-forwardings is wat mij betreft onacceptabel. Ik wacht ook nog steeds (al bijna twee jaar) op een oplossing voor het beveiligingsgat beschreven in het dit topic, waarbij mij in een face-to-face gesprek op het hoofdkantoor in Den Haag is toegezegd dat in Q1 2017 de benodigde aanpassingen zullen worden geïmplementeerd.
Q1 2017... ...die duurt nog maar 1 maand.
Reputatie 6
Badge +8
Zijn jullie bij KPN gek geworden? Wij als klant mogen niets aanpassen in de experiaboxen. Maar wat doet kpn? Die knallen portforwarders erin. Klanten kunnen zelf echt wel iets resetten als de klantenservice het uitlegt. Eerst was ik nog blij dat wij geen Dovolo's van KPN hebben of een wifi versterker maar nu lees ik dat de TV kastjes ook een portforward krijgen.

Hoe zit het met je eigen Dovolo's? Gaat kpn daar ook forwarders voor aanmaken? Ik mag het toch niet hopen?
Reputatie 7
Badge +30
De TV ontvangers van Ziggo worden gemanaged via een klein stukje bandbreedte op de kabel.
Ik denk dat het verstandig is om de TV ontvangers van KPN niet met die van Ziggo te vergelijken in dit opzicht.

Daarnaast hoeft de klantenservice mijn spullen helemaal niet te resetten, zij roepen altijd maar "resetten, resetten en resetten" maar meestal is dat helemaal niet de oplossing en dan ben ik wel mooi mijn instellingen kwijt.
Reputatie 7
...Wij als klant mogen niets aanpassen in de experiaboxen....Hoezo, ik mag van alles aanpassen in mijn Experia Box.

Laat onverlet dat ik het echt onacceptabel vind dat deze port-forwardings gemaakt worden. Echt, KPN heeft gewoon met haar tengels van de toegangspoort tot mijn thuisnetwerk af te blijven en om dat dan ook nog eens "stilletjes" te doen is al helemaal schandalig, communiceer dat dan in ieder geval nog. Nu weet ik dat het bij de meeste consumenten geen enkel probleem zal opleveren, maar "de consument" bestaat niet en bij mij moet je zoiets gewoon echt niet doen. De maat is wat dat betreft vol, zodra de specificaties voor de vrije router keuze gepubliceerd zijn vliegt de Experia Box er uit, het moet maar eens afgelopen zijn.

...Daarnaast hoeft de klantenservice mijn spullen helemaal niet te resetten, zij roepen altijd maar "resetten, resetten en resetten" maar meestal is dat helemaal niet de oplossing en dan ben ik wel mooi mijn instellingen kwijt.Weet je dat ik in al die jaren dat ik klant ben bij KPN nog nooit een apparaat van KPN heb gereset om een storing te verhelpen. Het resetten zou het allerlaatste redmiddel moeten zijn en niet de standaard actie.
Reputatie 6
Badge +8
...Wij als klant mogen niets aanpassen in de experiaboxen....Hoezo, ik mag van alles aanpassen in mijn Experia Box..

Ja je mag de DNS server en DHCP wijzigen in de V10 maar opties voor de firewall mag je niet wijzigen net als bridge mod.
Reputatie 7
Het is maar wat je verstaat onder de firewall.
Als het gaat om het toestaan van TCP/UDP verkeer, dan is het geen enkel probleem om dat in te stellen.
Dat je niet kunt instellen dat de Experia Box moet reageren op een ping verzoek, of dat er stateless i.p.v. statefull package inspection gedaan moet worden, klopt. De vraag is echter of dat interessant is, er is in ieder geval geen haar op mijn hoofd die aan denkt die instellingen te willen veranderen.

Dat de Experia Box geen bridge-mode toestaat is inherent aan het feit dat het remote management plaatsvindt op vlan 6, het vlan dat voor Internet gebridged moet worden. Daarmee kan de Experia Box zelf dan niet meer door KPN op afstand beheerd worden. Zo zijn een tijd terug klanten met een V8 in bridge-mode aangeschreven deze "hack" ongedaan te maken zodat KPN nieuwe firmware kon plaatsen die noodzakelijk was voor de introductie van routed-ITV.
Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248
Reputatie 4
Badge +6
@Erik_ @kpnwebcare

Inmiddels 5 dagen verder en nog steeds geen reactie...

Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.


Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248


Denk je echt dat KPN dit binnenkort gaat realiseren ondanks de, nogmaals door jouw onder de ogen gebrachte (respect voor je strijdvaardigheid), en de wettelijk vastgelegde regelgeving hierover?
Reputatie 6
Badge +8
@Erik_ @kpnwebcare

Inmiddels 5 dagen verder en nog steeds geen reactie...

Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.


Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248


Denk je echt dat KPN dit binnenkort gaat realiseren ondanks de, nogmaals door jouw onder de ogen gebrachte (respect voor je strijdvaardigheid), en de wettelijk vastgelegde regelgeving hierover?


Ik denk dat het niet meer gaat komen 😞 vooral niet nu KPN forwarders aan het instellen is.
Reputatie 7
Badge +30
@Erik_ @kpnwebcare

Inmiddels 5 dagen verder en nog steeds geen reactie...

Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.


Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248


Denk je echt dat KPN dit binnenkort gaat realiseren ondanks de, nogmaals door jouw onder de ogen gebrachte (respect voor je strijdvaardigheid), en de wettelijk vastgelegde regelgeving hierover?


Ik denk dat het niet meer gaat komen 😞 vooral niet nu KPN forwarders aan het instellen is.

Die forwardings hebben daar niet per se mee te maken
Reputatie 4
Badge +6
Klopt idd wat @RobinFlikkema aangeeft.

Port forwards is KPN al mee bezig, of dit legaal is valt nog te bezien, vandaar dat ik afwachtend ben op een antwoord van de juridische afdeling van KPN.

Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.

Afgelopen zaterdag (25-02-2017) heb ik aangetekende brieven verstuurd naar de directie van KPN alsmede de juridische afdeling hiervover.

Valt me zwaar tegen dat het zo lang moet duren eer er een reactie danwel een bevredigend antwoord vanuit KPN komt.
Reputatie 4
Badge +6
Oeh, hier wordt het mooi. Wat nu als ik in mijn eigen netwerk op poort 9000 (of welke nu dan ook) allemaal belangrijke informatie op een website heb draaien? Wie heeft hier nu toegang tot?Nou, niemand dus. De forward pakt een vrije poort. Het enige wat medewerkers kunnen is het systeem opdracht geven om een van de vooraf vastgestelde acties uit te voeren (denk dan aan herstart, reset, update). En onze eigen ethical hackers (die in 2014 nog in de finale van het Cyberlympics hack WK stonden) controleren dit ook regelmatig.

Hier hetzelfde als TS, ik maak via de EB v10 geen gebruik van een DVS en/of een KPN WiFi "versterker" of wat voor soort andere signaal versterkers ook, toch geopende poorten.
[...]
Dat het te maken zou kunnen hebben met het op afstand resetten van een EB is een broodje aap verhaal, KPN medewerkers kunnen dat al jaren...
Naast Devolo en Wifi Versterker komen er ook forwards voor de tv-ontvangers. Waarschijnlijk zie je die.

Deze forwards hebben ook niet te maken met het op afstand resetten van de Experia Box, dat kunnen we inderdaad al. Zoals ik eerder aangaf kunnen we op deze manier onze apparaten die met de Experia Box verbonden zijn (deels) op afstand beheren. Dit behelst dan niet alleen herstarten en resetten, maar ook updates en beveiliging.


Dus als de door KPN "geclaimde" poorten bezet zijn kunnen ze (zonder medeweten van de klant) andere poorten open zetten?

Het enige wat medewerkers kunnen is het systeem opdracht geven om een van de vooraf vastgestelde acties uit te voeren (denk dan aan herstart, reset, update)
Konden ze ook al zonder de forwards! Overbodige en wettelijke niet toegestane aanpassing. Lees 8.1 van de eerder geposte voorwaarden.

Naast Devolo en Wifi Versterker komen er ook forwards voor de tv-ontvangers. Waarschijnlijk zie je die.
Hiermee geven jullie al aan dat er aanpassingen zijn gedaan in de ExperiaBox zonder medeweten van de klant en dan refererend naar jullie eigen voorwaarden. Nu nog wachten op de juridische uitkomst hiervan, ik ben benieuwd.

Wat het "ethical hackers" team ermee te maken heeft?
Leuk dat jullie daar wel iets bereikt hebben, mbt consumenten tevredenheid en communicatie halen jullie deze score niet

"Dit behelst dan niet alleen herstarten en resetten, maar ook updates en beveiliging."
Nu ga ik me wel zorgen maken. KPN medewerkers (lees: studenten met een standaard afwerklijst aan de helpdesk) welke dus op afstand toegang tot de beveiliging van de EB hebben?
Reputatie 4
Badge +6
De overige vragen/opmerkingen hier zet ik uit, zodra we antwoord hebben kom ik er hier op terug. In het algemeen gesproken echter, dingen als dit worden door de juridische afdeling gecontroleerd of het allemaal voldoet aan wet- en regelgeving.

Al meer duidelijkheid inmiddels? Via post, e-mail, forum en telefoon nog niks gehoord.

Na +2 weken moet er toch wel informatie beschikbaar zijn welke jullie aan de klant kunnen mededelen hierover?

ps: 8 dagen geleden de IPv4 forwards verwijderd en zijn tot op heden nog niet terug gekomen!
Reputatie 4
Badge +6
Geachte heer, mevrouw van Alen,

Hartelijk dank voor uw bestelling. Wij zijn blij met uw keuze voor Ziggo. Uw bestelnummer is SHE*********..


Bye bye KPN, welkom Ziggo... Helemaal klaar met het gezeik en afwachtende zijn op antwoorden zodra je problemen hebt!!!

Uiteraard alle behulpzame forumleden uitgesloten!!!

Aansluiting (KPN) van mijn vriendin gaat er ook uit alsmede de aansluitingen (KPN) in de winkels.

Met een niet vriendelijke groet,

Timo
Reputatie 6
Badge +8
Zo KPN, we zijn inmiddels 15 dagen verder. Waar blijven de antwoorden? of gaan we die nooit krijgen en gaan jullie vrolijk door met het onveilig maken van de netwerken van KPN abonnees.

Reageer