Vraag

Onbekende port-forwarding TCP poort 9000

  • 9 februari 2017
  • 133 reacties
  • 25926 keer bekeken


Toon eerste bericht

133 reacties

Reputatie 4
Badge +6
Vrijdag ga ik een bodemprocedure in werking zetten hierover.

De arrogantie vanuit KPN om niet meer te reageren geeft al enigszins aan dat ze fout zitten.

Mvg Timo
Reputatie 6
Badge +8
Ik moet zeggen dat de forwards inmiddels 24 uur lang weg zijn. Ik heb ze gisteren verwijderd. Het lijkt erop dat ze alleen terugkeren bij een herstart van de experiabox.
Reputatie 7
Ik moet zeggen dat de forwards inmiddels 24 uur lang weg zijn. Ik heb ze gisteren verwijderd. Het lijkt erop dat ze alleen terugkeren bij een herstart van de experiabox.Niet te vroeg juichen hoor, ze komen helaas vroeg of laat gewoon weer terug.

En zelfs niet alleen van apparaten die werkelijk aangesloten zijn, maar ook van apparaten die eerder een keertje aangesloten zijn geweest.
Zo heb ik een KPN Wifi "versterker" op IP adres 192.168.2.244 staan en een tijdje terug een tweede aangesloten gehad, puur en alleen om voor dit topic wat testen uit te voeren. Die tweede KPN Wifi "versterker" is alweer geruime tijd niet aangesloten geweest en toch komt die verschrikkelijke port-forwarding telkens weer terug.

Waar KPN het IP adres vandaan haalt, Joost mag het weten, blijkbaar legt KPN zelfs het LAN IP adres van "KPN apparaten" centraal vast.
Reputatie 6
Badge +8
Ik moet zeggen dat de forwards inmiddels 24 uur lang weg zijn. Ik heb ze gisteren verwijderd. Het lijkt erop dat ze alleen terugkeren bij een herstart van de experiabox.Niet te vroeg juichen hoor, ze komen helaas vroeg of laat gewoon weer terug.

En zelfs niet alleen van apparaten die werkelijk aangesloten zijn, maar ook van apparaten die eerder een keertje aangesloten zijn geweest.
Zo heb ik een KPN Wifi "versterker" op IP adres 192.168.2.244 staan en een tijdje terug een tweede aangesloten gehad, puur en alleen om voor dit topic wat testen uit te voeren. Die tweede KPN Wifi "versterker" is alweer geruime tijd niet aangesloten geweest en toch komt die verschrikkelijke port-forwarding telkens weer terug.

Waar KPN het IP adres vandaan haalt, Joost mag het weten, blijkbaar legt KPN zelfs het LAN IP adres van "KPN apparaten" centraal vast.


Voorlopig gooi ik ze telkens gewoon weer weg 😉 Het is overigens wel vreemd dat er een forward wordt gemaakt naar een apparaat dat helemaal niet is aangesloten. Staat hij ook niet meer in jou DHCP lijst? (neem aan van niet)
Reputatie 2
Badge
Ligt de FAQ al bij de drukkerij, want het schijnt een aardig boekwerk te worden? 🙂
Reputatie 7
Badge +24
Hoi, Ik heb wat antwoorden voor jullie. Excuses voor het (hele) lange wachten. Ik hoop dat jullie hier wat aan hebben!

"Die poort (TCP 9023) is van buitenaf gelukkig niet te benaderen. Maar wat nu als ik mijn PC op dat LAN IP adres plaats en op poort TCP 7547 een service heb draaien. Is die dan ineens wel te benaderen?”


Deze vraag kan op 2 manieren worden bekeken. Enerzijds als de PC al in het netwerk hing voor de TV-ontvanger werd gekoppeld, of als het IP wordt aangepast nadat de TV-ontvanger al was gekoppeld.

In het eerste geval is de poort al in gebruik en worden de volgende 3 poorten geprobeerd.

In het tweede geval zal de poort mapping inderdaad worden hergebruikt. De bron van verkeer (het systeem dat contact zou kunnen leggen met deze PC) is enkel het KPN management systeem. Deze kan alleen apparaten beheren van KPN die het TR-69 protocol ondersteunen. Dit gebeurt dus eigenlijk alleen als je de poort mapping handmatig instelt in het modem aangezien dat niet automatisch gebeurt. Als de TV-ontvanger vervolgens opnieuw wordt verbonden wordt de poort mapping aangepast naar het nieuwe ip-adres van deze TV-ontvanger.

Indien een poort al in gebruik, wordt de volgende poort geprobeerd. Er worden 3 pogingen ondernomen. Wat gebeurt er als bij alle drie de pogingen een al gebruikte poort wordt getroffen? Dan werkt het gewoon niet?


Per controle worden er 3 pogingen gedaan. Als deze pogingen mislukken worden bij een volgende controle 3 hogere poorten geprobeerd. Het poort mapping mechanisme start bij poort 9000 en doet vervolgens 3 pogingen. Indien allemaal bezet zal er geen poort mapping plaatsvinden.

“Ware het nu zo dat deze port-forwardings gemaakt zouden worden richting het MAC adres van het "KPN device" dan zou ik er nog mee kunnen leven. Ik snap dat dat (nog) niet gebeurt aangezien alleen op de V10 port-forwardings naar een MAC adres gedefinieerd kunnen worden, maar met port-forwardings richting een IP adres kunnen jullie dus absoluut niet garanderen dat daar geen misbruik van gemaakt kan worden, puur vanwege het feit dat jullie niet kunnen garanderen dat het apparaat, waar de port-forwarding naar verwijst, een "KPN device" is. “


De portmappings werken alleen voor apparatuur dat bekend is in het managementsysteem van KPN. Dit zijn dus alleen apparaten door KPN geleverd en apparaten die een verzoek sturen richting de managementserver. Het uitgaande verkeer wordt dus door het apparaat zelf opgestart, het inkomende verkeer komt alleen vanuit de KPN management systemen.

We onderzoeken of we over kunnen gaan op een ander protocol waarvoor geen portforwardings meer nodig zijn.

“Hamer(klant) heeft dus geen KPN Wifi "versterker" meer in het netwerk opgenomen en toch wordt die port-forwarding voor een KPN Wifi "versterker" keer op keer weer toegevoegd. Hoe kan dat en waar haalt die functionaliteit die die port-forwarding maakt dan het IP adres vandaan voor die port-forwarding?”


Het opruimen van deze poort mappings gaat nog niet altijd goed. Hierdoor kan het voorkomen dat de poort mappings blijven staan, ook al is het apparaat al verwijderd. We hebben dit in onderzoek en proberen dit zo spoedig mogelijk op te lossen. De poort mappings zijn wel op te ruimen in het modem zelf of door een factory reset te doen.
Reputatie 7
Badge +30
Is de workaround dan het handmatig toevoegen van forwardings TCP 9000-9003 naar een machine die inkomende packets op dat adres dropt (of reject) of zie ik dat verkeerd?

Kunnen wij de specificaties v/d TR-069 protocol voor de WiFi Versterker ook krijgen?
Reputatie 2
Wanneer is dit nou opgelost?
Elke dag 4 portforwardings weghalen word ik niet vrolijk van. Zeker nu het naar ip adressen gaat waar allang geen KPN apparatuur aan hangt.
WiFi versterkers gebruik ik al een half jaar niet meer.

Quote:
Het opruimen van deze poort mappings gaat nog niet altijd goed. Hierdoor kan het voorkomen dat de poort mappings blijven staan, ook al is het apparaat al verwijderd. We hebben dit in onderzoek en proberen dit zo spoedig mogelijk op te lossen. De poort mappings zijn wel op te ruimen in het modem zelf of door een factory reset te doen.
Reputatie 7
Laat die port-forwardings maar gewoon staan en zorg er voor dat geen enkel apparaat een service op TCP poort 7547 heeft draaien.
In die situatie loop je geen risico.
Reputatie 2
Laat die port-forwardings maar gewoon staan en zorg er voor dat geen enkel apparaat een service op TCP poort 7547 heeft draaien.
In die situatie loop je geen risico.


Dat is geen oplossing, die ip adressen bevinden zich midden in de pool.
Belachelijk dat KPN dit doet terwijl ik helemaal geen WiFi extenders meer heb.

Graag reactie van een KPN medewerker.
Reputatie 7
Laat die port-forwardings maar gewoon staan en zorg er voor dat geen enkel apparaat een service op TCP poort 7547 heeft draaien.
In die situatie loop je geen risico.
Dat is geen oplossing, die ip adressen bevinden zich midden in de pool.
Belachelijk dat KPN dit doet terwijl ik helemaal geen WiFi extenders meer heb.

Graag reactie van een KPN medewerker.
Het klopt dat het belachelijk is dat KPN dit doet, maar je kunt die port-forwarding rustig laten staan.
Reputatie 7
Badge +28
Dat is geen oplossing, die ip adressen bevinden zich midden in de pool.
Belachelijk dat KPN dit doet terwijl ik helemaal geen WiFi extenders meer heb.

Graag reactie van een KPN medewerker.


Er is helaas nog geen workaround, het issue is bekend en wordt opgelost in een volgende firmwareupdate. Wanneer die komt is nog niet bekend, maar daar zullen we zeker een topic aan wijden. Zodra er meer bekend is laten we dat ook in dit topic weten.
Ik schik me toch kapot dat ik deze forwards voor de iTV boxes ineens vind in mijn router, dit na even zoeken op de MAC adressen wist ik eindelijk wat het inderdaad de iTV was want er is verder totaal geen helderheid in.

Ik besteed grootse moeite om mijn interne netwerk veilig te houden maar met zulke gekke acties weet ik het ook niet meer.

Ik zie dat het al 3 maanden duurt voor iemand van KPN echt met een oplossing komt om dit uit te schakelen.
Ik ben niet compleet incompetent. Jullie hoeven geen remote access tot de IPTV boxen en ik vraag er ook niet om. Dit naast het feit dat KPN sowieso vroeger altijd al die experiaboxes kan infiltreren wat deze forwards extra onnodig maakt.

Wanneer kan ik deze functie er compleet uitslopen KPN? Ongewenst.
Hallo hier de aanstichter van dit topic ;-)
https://forum.kpn.com/internet-9/spontane-port-forwards-op-h368n-naar-3-devolo-s-dvs-650-op-tr-069-poort-tcp-7547-428885
Ben poosje weggeweest maar blij dat het mysterie is opgelost. Inderdaad komen de forwards terug.
Je kunt de experia wegmigreren heb ik begrepen met een eigen router.
http://netwerkje.com/eigen-router
PS zoals ik in het orginele topic al aangaf:

https://www.xs4all.nl/over-xs4all/privacy/privacyjaarverslag-2011.htm

5. Gebeurtenissen

Remote modembeheer
XS4ALL streeft er naar om de kwaliteit van de verbindingen te optimaliseren. Dankzij technologische ontwikkeling is met Customer Premises Equipment (CPE, m.a.w.: modem op klantlocatie, SetOpBoxen voor digitale televisie, VoIP-telefoons ect) steeds meer mogelijk met betrekking tot remote-beheer. Middels TR-069 is het mogelijk om de technische prestaties van CPE te monitoren. Beheerders zijn met TR-069 in staat om op afstand in te loggen in een CPE en instellingen te wijzigen, problemen op te lossen en software te updaten met een minimale impact voor de eindgebruiker. Per februari zijn de modems die XS4ALL aan haar klanten in bruikleen stelt op deze techniek voorbereid. Vooralsnog verzamelt XS4ALL alleen gegevens over de kwaliteit van de internetverbinding. Op de publieke websitepagina’s van de helpdesk van XS4ALL wordt uitgelegd hoe klanten remote modembeheer kunnen uitschakelen. Wanneer XS4ALL meer met de TR-069 mogelijkheden gaat doen, zullen klanten daar uiteraard expliciet over worden geïnformeerd.

KPNxs4all Ik ben in iedergeval niet expliciet geinformeerd.
Ik heb er ook last van. 2 nieuwe portforwarding regels gevonden. Ontdekt nadat mijn wifi om de twee dagen stopte met werken. na enig speurwerk kwam ik deze link tegen:

https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759

Het blijkt om een trojan te gaan die DSL modems exploiteert. Suc6.

Enkele telecom providers hebben al een firmware fix. KPN zal niet waarschijnlijk pas doen wanneer dit in het nieuws komt. Even NOS bellen dus.

Het lijkt om een exploit te gaan die de modem gebruikt in een zogenaamde botnet, m.a.w. de modem kan de opdracht krijgen van een hacker om een Distributed Denial Of Service attack te sturen naar een door de hacker gedefineerde target. Hierdoor word jouw verbinding heel traag wanneer jouw modem meedoet aan zo'n aanval.

Ik ben allang blij dat wachtwoorden niet uit mn internet verkeer gefiltert worden.

Als ik meer info heb zal ik het hier posten.

Mijn advies is in ieder geval deze port forwarding regels uitzetten en blijven kijken of er nieuwe aangemaakt worden..

Sterkte allemaal.
Reputatie 7
Nee hoor, deze port-forwardings hebben niets, maar dan ook niets met een trojan te maken. Het zijn port-forwardings die door KPN geplaatst worden om op afstand KPN apparaten te kunnen beheren zoals TV ontvangers, devolo sets en KPN Wifi "versterkers".
Je zult ook zien dat het IP adres bij zo'n port-forwarding naar één van die apparaten in jouw netwerk verwijst.
Ik heb jarenlang bij KPN gewerkt. KPN heeft andere vlans voor beheer. En een STB draait in een andere VLAN dan een internet device zoals een DVS of Wifi versterker. (En telefonie heeft ook een eigen VLAN)

Jouw suggestie zou van toepassing kunnen zijn op een internet device aangesloten NA de RG (modem) zoals een en Wifi versterker of een Devolo/DLAN.

Echter zal een wifi versterker van binnenuit naar buiten toe op updates controleren en heeft daarom dus geen portforwarding regel nodig.

Een devolo/dlan geforceert updaten vanaf buiten lijkt me niet raadzaam, daar heb je de DLAN cockpit voor. Het apparaat is immers eigendom van de consument, aangeschaft, en niet in bruikleen, het lijkt mij dan ook niet dat KPN zich daarmee bemoeit.

De TSD afdeling van KPN ontkent dan ook dat KPN port forwarding regels nodig heeft en aanmaakt.

Hier nog een interessant linkje:
https://arstechnica.com/information-technology/2016/11/notorious-iot-botnets-weaponize-new-flaw-found-in-millions-of-home-routers/
Oh prachtig. Mijn IP van buitenaf presenteert mij gewoon de ZTE login pagina. Ik dacht dat dit automatisch afgeschermd was van de WAN kant ?
Reputatie 7
Ik heb jarenlang bij KPN gewerkt. KPN heeft andere vlans voor beheer. En een STB draait in een andere VLAN dan een internet device zoals een DVS of Wifi versterker. (En telefonie heeft ook een eigen VLAN)...Dan werk je daar zeker ook al enige tijd niet meer want KPN maakt al geruime tijd gebruik van routed-ITV wat inhoudt dat de STB's gewoon, net als alle andere apparatuur, verbonden zijn met VLAN 6 waarbij alleen de TV streams via VLAN 4 opgehaald worden. Op het LAN achter de Experia Box is ook geen apart vlan meer voor de STB's, die krijgen gewoon een IP adres in de range van de DHCP server van de Experia Box.
Je hoeft me niet te geloven dan die port-forwardings toch echt zijn voor het op afstand beheren van de KPN apparatuur achter de Experia Box. Het klopt dat KPN een apart vlan gebruikt voor het beheer op afstand, maar om apparatuur achter de Experia Box te kunnen benaderen zijn dan nog steeds port-forwardings benodigd.
Je kunt hier overigens berichten van KPN Webcare medewerkers vinden die dit bevestigen.
Zie: https://forum.kpn.com/thuisnetwerk-72/onbekende-port-forwarding-tcp-poort-9000-430437/index4.html#post495987
Reputatie 7
Oh prachtig. Mijn IP van buitenaf presenteert mij gewoon de ZTE login pagina. Ik dacht dat dit automatisch afgeschermd was van de WAN kant ?Dit lijkt me zeer onwaarschijnlijk. Waarschijnlijk doe je dat vanaf een apparaat op jouw eigen thuisnetwerk. Dit zal je echt niet lukken vanaf een apparaat elders zoals met jouw telefoon via 4G.
Reputatie 7
Badge +12
Ik weet niet in hoeverre dit verband houdt met het terugkeren van de port forwardings, maar als je niet wilt dat KPN je apparaat op afstand kan beheren kun je dat via onderstaande URL uitschakelen.

http://192.168.2.149/tr069.stm

Als jouw Wifi-versterker een ander intern IP heeft moet je dat natuurlijk wel even wijzigen in de URL.
@WJB Je hebt gelijk mbt routed mode in de STB's dat is inderdaad ingevoerd vlak voordat ik wegging. (waardoor de stb inderdaad in de internet vlan zit)

Je hoeft me niet te geloven dan die port-forwardings toch echt zijn voor het op afstand beheren van de KPN apparatuur achter de Experia Box..

Echter heb ik geen KPN apparatuur achter de experia box op de STB na, die al maanden uitstaat.

Een van de portforwarding regels komt uit op een Devolo adapter, en deze antwoord inderdaad met een wachtwoord prompt van de TR069 interface. De Devolo is echter mijn eigendom en zou niet beheerd mogen worden door KPN, zeker wens ik geen gaten in mijn firewall waarvan ik niet van te voren op de hoogte word gesteld of toestemming voor heb gegeven. Nogmaals, KPN ontkent ook dat zij gaatjes in mijn vuurmuur prikken.

Ik heb nog een draytek security router liggen die ik maar even tussen mn LAN en de WAN hang een aangeef als DMZ in de experiabox zodat de experia box transparant word en ik weer zelf mijn portforwarding op een -betrouwbare- manier zelf in beheer kan nemen. Een beetje overkill maar de experiabox vertrouw ik voor geen meter meer na al deze onduidelijkheid over wie al dan niet extra gaatjes prikt. M'n STB mag wel op de RG blijven zitten maar m'n lan wil ik graag beschermd hebben.

Toch raad ik je aan nog eens goed te kijken naar de links die ik heb gepost. Alle symptomen komen namelijk precies overeen met die DSL router exploit die momenteel heerst......................................

@hrh Ik maak geen gebruik van een wifi verserker.
Reputatie 7
Toch raad ik je aan nog eens goed te kijken naar de links die ik heb gepost. Alle symptomen komen namelijk precies overeen met die DSL router exploit die momenteel heerst......................................Dat hoef ik niet, ik weet namelijk dat de routers van KPN niet in het rijtje voorkomen van routers die gevoelig zijn voor die exploit. Daarnaast weet ik waar deze port-forwardings vandaan komen en weet ik ook dat deze alleen via het (KPN) vlan voor beheer op afstand te gebruiken zijn. Ik heb namelijk getest of deze vanaf het Internet werken en dat blijkt niet het geval te zijn.

Ook ik hou er niet van dat deze port-forwardings gemaakt worden (zie het begin van dit topic), maar nu ik weet hoe ze tot stand komen en hoe ze werken maak ik me in ieder geval geen zorgen meer.
@Paul_De portmappings werken alleen voor apparatuur dat bekend is in het managementsysteem van KPN. Dit zijn dus alleen apparaten door KPN geleverd en apparaten die een verzoek sturen richting de managementserver. Het uitgaande verkeer wordt dus door het apparaat zelf opgestart, het inkomende verkeer komt alleen vanuit de KPN management systemen.

Kwalijk onduidelijke zin. portmappings doen geen packet inspection en openen gewoon een deurtje voor wie er dan ook maar aanklopt. Ze controleren niet of de aanklopper een management device van KPN is of naar een intern KPN device toegaat. d.w.z. staan er (oude) portmappings actief en heeft een gebruiker zijn boeltje opnieuw opgestart waardoor de portmapping nu naar een ander apparaat van de gebruiker zelf gaat, deze portmapping gewoon z'n werk doet en verkeer doorzend naar de apparatuur van de gebruiker. Dus ook bij alle mensen die allang hun KPN devices hebben opgeruimd en toch die portmapping regels blijven terugkrijgen. Elke lullo kan op die eigen devices naar poort 7547 fietsen en als daar een service draait zal een connectie mogelijk zijn.

Verkeer dat van binnen naar buiten gaat heeft uberhaubt geen portmapping op klantlocatie nodig, alleen inkomend verkeer.

Ik vind het kwalijk dat het zo werd opgeschreven alsof de modem op magische wijze detecteerd of de portmapping gebruikt word voor en door KPN apparatuur en anders niet zou bestaan ofzo.
Reputatie 7
De Experia Box doet inderdaad meer met die port-forwardings dan alleen maar dat poortje (deurtje) open zetten. Zoals ik je al aangaf heb ik die port-forwardings vanaf Internet getest en daarbij krijg ik geen verbinding terwijl dat rechtstreeks naar het LAN IP adres wel lukt.

Een methode zou kunnen zijn dat de Experia Box port-forwardings naar de interne TCP poort 7547 alleen via het KPN beheer vlan toestaat. Dit is natuurlijk niet netjes immers je blokkeert daarmee TR069 beheer van andere, niet KPN, apparaten.

Reageer