Vraag

Onbekende port-forwarding TCP poort 9000

  • 9 februari 2017
  • 125 reacties
  • 20108 keer bekeken


Toon eerste bericht

125 reacties

@wjb en @Trail

Ik ben het tot nu met wjb eens, ik heb zelf geen aanwijzingen kunnen vinden dat de experia box kwetsbaarheden bevat mbt tot de tr069 exploit. Ten tweede ook ik heb de port forwards getest vanaf internet en deze zijn niet bereikbaar via het internet. Ik ben het ook eens met trail dat de software ook via de cockpitsoftware geupdate zou kunnen worden.

Ik zal via mijn persoonlijk netwerk bij KPN eens navragen hoe dat nu zit met dit beheer via het lokale LAN van de klant. Bij mij staan er weer 5 naar het interne netwerk allemaal naar de 3 devolos en 2 ontvangers.
btw @allemaal , ik heb wifi uitgezet op de experia en een eigen router met wifi en firewall achter de experia gezet. Ze doen maar hun best in het 192.168.2.0 TV netwerk. Daarnaast heb ik vanaf de nieuwe router een ipsec VPN opgezet naar een andere VPN server zodat mijn verkeer encrypted over het "vuile" LAN gaat. Een officieel statement via de mail van KPN dat ze deze werkzaamheden uitvoeren zou wel zo netjes zijn.
Ik krijg inderdaad vanaf buiten (gelukkig) ook geen verbinding via die 'door kpn geplaatste forwards'.

Ze lijken bij mij om de twee dagen teruggeplaatst te worden waarna ik ze met de hand weer verwijder.

Ik vind het erg vreemd dat KPN aan MIJN SPULLEN wil kunnen zitten en gaatjes in m'n modem prikt zodat ze aan mijn apparatuur kunnen rommelen zonder dat ze mij vertellen wat ze veranderen of dat ze uberhaupt gaatjes prikken. (Als ze dat met een iTV STB kastje doen heb ik er weinig over te zeggen want die is en blijft hun eigendom.)

Die devolos heb ik echter als KPN monteur vele malen verkocht, en zelf prive ook aangeschaft.

Die dingen zijn dus verdikkeme van mij en ik wil graag weten welke firmware erop draait. Ik heb nergens een contract getekent dat het door mij betaalde geld voor een gebruik licentie is en dat de apparatuur eigendom van KPN blijft. Tevens heb ik al die honderden KPN klanten die ik devolo's heb geleverd nooit hoeven vertellen dat ze betalen voor een gebruiksrecht maar dat de apparatuur eigendom van KPN blijft.

Er zijn namelijk verschillende firmware versies waarbij de zend amateur frequentie al dan niet gebruikt word, en versies waarbij het algehele 'volume' aangepast wordt.

Er zijn klachten van zend amateurs dat devolos storing veroozaken op hun ontvangers. Enkele vrienden van mij zijn trouwens zendamateur.

De devolo kan dus harder en zachter in je stroomnetwerk 'praten' en stukjes frequentieband al dan niet gebruiken.. dit is per firmware verschillend.

Aangezien ik zelf allang de beste firmware heb uitgedoktert voor mijn locatie wil ik niet dat KPN daar ineens mee gaat zitten rommelen, en ik vind ook niet dat ze daar het recht toe hebben, omdat het mijn eigendom is. Nou moet ik ggloeiende dus mn dvs firmware ook nog blijven monitoren. affijn die gaan dus ook achter een eigen router.

Wat een raar gedoe zeg waar halen ze het recht vandaan?! Heb ik de memo gemist dat KPN nu GPN heet en haar koninklijke status naar goddelijke status heeft verheven waardoor ze alle klant apparatuur straffeloos mogen verzieken ?

Ik heb de mail gemist waar ze mij om toestemming vroegen in ieder geval. grr
Reputatie 7
Ik geef je groot gelijk, KPN zou deze port-forwardings gewoon niet moeten maken al is het alleen al om mensen niet de schrik aan te jagen dat er gaten in de firewall geschoten worden die wellicht gevaar opleveren.
Nu is het gelukkig niet zo dat er gevaar ontstaat met deze port-forwardings. Wel hoort KPN inderdaad met zijn tengels van gekochte apparatuur af te blijven, ze hebben mijns inziens het recht niet om daar zonder toestemming van de contractant port-forwardings naar te leggen om deze op afstand te kunnen beheren.
Voor KPN apparatuur (de TV ontvangers) zou KPN mijns inziens tenminste heel duidelijk met de contractant moeten communiceren waartoe die port-forwardings gemaakt worden en wat er mee gedaan kan worden.
Reputatie 7
Ik haak ff aan in deze discussie. Ik ben het grotendeels met jullie eens, maar wil toch een kanttekening plaatsen. Verreweg de meeste klanten van KPN beschikken niet over de know how voor het beheer van een lokaal netwerk maar gebruiken (vaak op advies van KPN) regelmatig wel een aantal van de hier genoemde apparaten. Zodra daar problemen mee zijn zitten deze klanten vaak met hun handen in het haar. In dat soort gevallen is het handig dat KPN in overleg met de klant de boel op afstand kan bekijken/aanpassen. Als daar dit soort portforwardings voor nodig zijn, so be it wat mij betreft.

Of firmware van DVSsen op deze manier automatisch wordt bijgewerkt weet ik niet, meestal wordt daar toch de Devolo Cockpit voor geadviseerd; van de WiFi Versterker wordt de firmware wel automatisch bijgwerkt, maar dat gebeurde ook al voordat deze portforwardings verschenen.

Het zou handig zijn als alle firmwares (zeker van apparaten die in eigendom verkregen zijn, zoals DVS en WiFi Versteker) zouden worden uitgerust met een optie waarin automatisch beijwerken desgewenst kan worden uitgezet. Of een optie in de EB waarmee je kunt aangeven of KPN voor ondersteunigsdoeleinden toegang mag hebben tot de overige KPN-apparaten in je netwerk. Verreweg de meeste klanten zullen die opties nooit zien, laat staan aanpassen, maar techisch geschoolde klanten kunnen daarmee meer controle over hun netwerk krijgen; zij het op eigen risico, waarbij KPN zich het recht voorbehoud geen of slechts beperkte ondersteuning te leveren als dat soort opties zijn aangepast (afwijken van de standaardinstelling).
Reputatie 7
Ik haak ff aan in deze discussie. Ik ben het grotendeels met jullie eens, maar wil toch een kanttekening plaatsen. Verreweg de meeste klanten van KPN beschikken niet over de know how voor het beheer van een lokaal netwerk maar gebruiken (vaak op advies van KPN) regelmatig wel een aantal van de hier genoemde apparaten. Zodra daar problemen mee zijn zitten deze klanten vaak met hun handen in het haar. In dat soort gevallen is het handig dat KPN in overleg met de klant de boel op afstand kan bekijken/aanpassen. Als daar dit soort portforwardings voor nodig zijn, so be it wat mij betreft...Helemaal eens, maar alleen na goedkeuring door de contractant en al helemaal niet zonder ook maar een woord daarover te communiceren.

...Het zou handig zijn als alle firmwares (zeker van apparaten die in eigendom verkregen zijn, zoals DVS en WiFi Versteker) zouden worden uitgerust met een optie waarin automatisch beijwerken desgewenst kan worden uitgezet...Het lijkt er zelfs op dat deze port-forwardings gemaakt worden voor de originele devolo powerlines en daarvan kan je niet verlangen dat deze uitgerust worden met zo'n optie. Overigens lijk je op de KPN Wifi "versterker" beheer via TR069 uit te kunnen zetten.

...Of een optie in de EB waarmee je kunt aangeven of KPN voor ondersteunigsdoeleinden toegang mag hebben tot de overige KPN-apparaten in je netwerk...Dat zou ik dan niet in de Experia Box doen, maar in het klantprofiel via mijnKPN. Dit is waarschijnlijk veel eenvoudiger en daarmee goedkoper. En het heeft nog het voordeel ook dat bij een vervanging van de Experia Box deze instelling gewoon gehandhaafd blijft.
Reputatie 7
Helemaal eens, maar alleen na goedkeuring door de contractant en al helemaal niet zonder ook maar een woord daarover te communiceren.Kijk, dan wordt het voor het overgrote deel van de (niet voldoende technisch onderlegen) klanten alweer een stuk moeilijker, want waarmee precies zouden ze dan moeten instemmen? "Watte?"
Zou dus opgenomen kunnen worden in de AV (die leest ook niemand vooraf), maar wellicht staat juist daar al wel wat in waarmee je dit zou kunnen rechtvaardigen (ik ga ze er niet op nalezen).
Reputatie 7
Zo moeilijk hoef je het voor de klant niet te maken hoor, maar ik vind inderdaad dat de vraag wel gesteld moet worden bij het aangaan van het contract.
Staat u KPN toe dat zij de door u bij KPN aangeschafte apparatuur op afstand kan beheren? (Zie uitleg...)

Maar goed, ik weet wat die port-forwardings doen en ik weet dus ook dat ik me geen zorgen hoef te maken.
Ik heb nog een KPN wifi "versterker", maar daarvan ga ik zodra ik in de gelegenheid ben het beheer via TR069 uitzetten.
De STB's maak ik me niet druk om en een DVS gebruik ik gelukkig niet.

Wel hoop ik dat KPN snel zal stoppen met deze port-forwardings, ze hebben in ieder geval al aangegeven dit te onderzoeken.
Ook bij ons zie ik een viertal port forwarding regels in de experia box staan, allemaal naar een IP waar een apparaat achter hangt van de fabrikant 'Kratel Communications AB' (Interactieve-TV?).

Na wat dingen uitgeprobeerd te hebben, ben ik erachter gekomen dat:
- Ik wel via het LAN netwerk de machines op de betreffende gemapte poort kan benaderen (ACCEPT).
- Ik actief geweigerd wordt als ik vanaf het zelfde netwerk, via het publieke adres, de machine probeer te benaderen (REJECT).
- Ik helemaal geen reactie krijg als ik vanaf buiten het netwerk de machine probeer te benaderen (DROP).

Persoonlijk sta ik niet echt te springen omtrent de port-forwardings, ook al zouden ze misschien geen potentiële beveiligingsrisico zijn. Volgens mij wordt toegang volledig beheerd op de ontvanger's zelf d.m.v. een firewall.

Nu heb ik vrij weinig informatie kunnen vinden hierover, en vraag me af wie welk verkeerd wanneer mag sturen naar de TV ontvangers (is er bijv. nog een IP-adres toegelaten in de firewall op de device, naast het LAN adres?). Daarnaast kan ik zelf ook niet met vertrouwen zeggen dat de software op deze devices geen lekken bevatten, die mogelijk misbruikt kunnen worden door derden.

Wij, als huishouden, hebben geen toestemming gegeven voor het forwarded van deze poorten, en zouden dit ook graag zo snel mogelijk willen uitschakelen.
Reputatie 6
Badge +8
Ik schop dit topic maar weer eens omhoog 🙂 wij hebben een zeer vreemd iets! er staan 4 forwarders van KPN in terwijl we maar 3 ontvangers hebben. Er zijn twee forwarders naar hetzelfde IP Adres (zelfde TV kastje) en 1 forward gaat naar een IP Adres dat helemaal niet actief is (dat kastje heeft een ander IP)

Kortom, volgens mij werkt dit van geen meter? Uiteraard factory reset gedaan maar dan keren ze weer terug.

De forwarders:



Note:
1e TV heeft IP 192.168.2.2
2e TV heeft IP 192.168.2.3
3e TV heeft IP 192.168.2.4
1 forward gaat naar IP 192.168.2.101 vandaar de ping

Ik heb een ping gedaan:

ping 192.168.2.2

Pinging 192.168.2.2 with 32 bytes of data:
Reply from 192.168.2.2: bytes=32 time=32ms TTL=63

ping 192.168.2.3

Pinging 192.168.2.3 with 32 bytes of data:
Reply from 192.168.2.3: bytes=32 time=34ms TTL=63

ping 192.168.2.4

Pinging 192.168.2.4 with 32 bytes of data:
Reply from 192.168.2.4: bytes=32 time=27ms TTL=63

ping 192.168.2.101

Pinging 192.168.2.101 with 32 bytes of data:
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.

Het is gek dat IP 192.168.2.101 een forward heeft waar niemand achter zit terwijl IP 192.168.2.3 geen forward heeft. Of dat TV kastje heeft eerst IP Adres 192.168.2.101 gehad en nu 192.168.2.3 of KPN maakt een blunder en werkt dit van geen meter.

De test van @wjb kan hier dus voor een hoop ellende zorgen als een ander apparaat ineens 192.168.2.101 krijgt. Stop met de forwards KPN! het is onbetrouwbaar!

Gelukkig hebben we tegenwoordig zelf alles achter een eigen router hangen dus de enige apparaten dat een IP krijgt van het KPN modem zijn mijn router en de drie TV ontvangers. Ik heb mijn router vastgezet dus die krijgt niet zomaar 192.168.2.101.

Enkele weken geleden hebben we een TV ontvanger omgeruild. Mogelijk staat er nu nog steeds een forward (keert zelf terug!) richting deze ontvanger terwijl die er niet meer is.

Update:
Ik heb zojuist als test alle forwarders uit het modem gegooid. Eens kijken welke er nu nog terugkeren.
Reputatie 7
Ook voor de ontvangers zou je een DHCP-binding kunnen maken om ervoor te zorgen dat ze altijd hetzelfde interne IP-adres houden.
Reputatie 7
Ook voor de ontvangers zou je een DHCP-binding kunnen maken om ervoor te zorgen dat ze altijd hetzelfde interne IP-adres houden.Oeps, verkeerde knopje, dat is natuurlijk niet het "beste antwoord" voor dit topic, misschien dat iemand van Webcare dat weer even kan terugdraaien.

Wat ik wilde aangeven is dat het helaas nog wel zo is dat er nog steeds maar 10 DHCP bindings mogelijk zijn en in mijn geval zijn die allemaal al bezet.
Overigens is mij ondertussen wel duidelijk dat het "gevaar" van deze port-forwardings niet heel groot is.
1) De port-forwardings lijken niet vanaf Internet te gebruiken te zijn.
2) Zolang je TCP poort 7547 inkomend geblokkeerd laat in de firewall van jouw eigen apparaten kan ook KPN er niets mee.

Ook bij mij staan er nog altijd vier van deze port-forwardings en ja, ik hoop dat KPN het aanmaken van deze port-forwardings weer zal staken, maar zolang ze er zijn maak ik me er vanuit beveiligingsoogpunt geen zorgen over.
Reputatie 6
Badge +8
@wjb,

Uiteraard is het mij ook opgevallen dat de forwards weinig doen. Het is alleen belachelijk dat KPN meer dan 4 maanden geleden heeft gezegd dat ze de problemen met de forwards gaan oplossen als een apparaat niet meer terugkeert en dat probleem gewoon niet is opgelost. Nog steeds worden apparaten die niet meer terugkeren automatisch toegevoegd. 4 maanden geleden heeft @Paul_ in dit topic gezegd dat een factory reset dat oplost, maar niets is minder waar! Het lijkt erop dat de portforwarders van KPN worden opgeslagen in de centrale net als de WiFi gegevens. Na elke factory reset keert namelijk de portforward naar 192.168.2.101 terug. Er luistert niemand op dat IP en ik denk zelfs dat dat een forward is naar een TV kastje dat enkele weken geleden is omgeruild. Verwijderen heeft geen nut want hij keert telkens terug.

Dan de FAQ, waar is die gebleven? Is de drukker hem kwijt? Gisteren sprak ik de telefonische klantenservice vanwege een probleem, deze medewerker wist NIETS van de portforwards af. Sterker nog volgens hem is het onmogelijk om de TV kastjes te beheren, danwel te resetten vanaf afstand door KPN.

Of de portforwarders worden niet gebruikt? Of KPN heeft zelfs hun medewerkers niet op de hoogte gesteld.
Reputatie 7
Uiteraard is het mij ook opgevallen dat de forwards weinig doen. Het is alleen belachelijk dat KPN meer dan 4 maanden geleden heeft gezegd dat ze de problemen met de forwards gaan oplossen als een apparaat niet meer terugkeert en dat probleem gewoon niet is opgelost...En KPN kennende zal het ook niet opgelost gaan worden en in ieder geval niet binnen een termijn van twee jaar.

Het lijkt erop dat de portforwarders van KPN worden opgeslagen in de centrale net als de WiFi gegevens...Het klopt dat die gegevens centraal opgeslagen worden en bij een factoryreset weer teruggeplaatst worden. Na verloop van tijd verdwijnen de niet meer in gebruik zijnde port-forwardings wel uit die centrale opslag.

Gisteren sprak ik de telefonische klantenservice vanwege een probleem, deze medewerker wist NIETS van de portforwards af. Sterker nog volgens hem is het onmogelijk om de TV kastjes te beheren, danwel te resetten vanaf afstand door KPN.

Of de portforwarders worden niet gebruikt? Of KPN heeft zelfs hun medewerkers niet op de hoogte gesteld.
Het allergrootste probleem van KPN: Communiceren.
In oplossingen gedacht mag dat TV kassie best gereset worden door KPN.

Als je een range ip adressen reserveert voor de KPN apparatuur bij wijze met hun eigen protocol hebben we daar verder geen last van. Nu moet ieder er een eigen router tussen zetten, denkend aan stroomverbruik enz zit ik daar niet op te wachten.

Mijn virus scanner blijft ook steeds een melding geven dat de router niet veilig is. Dus KPN pak eindelijk eens je verantwoording en repareer die experiaboxen. En vertel ook de makers van de virusscanners dat jullie de poorten open zetten.

Ik vergelijk een router met een woningen, dus we zetten de ramen open en dan lopen verkondigen dat het veilig is. Jullie moeten de politiek in!!!!
Reputatie 7
...Ik vergelijk een router met een woningen, dus we zetten de ramen open en dan lopen verkondigen dat het veilig is...Inderdaad leveren die port-forwardings geen enkel gevaar op.
Ik heb getest of deze vanaf het Internet de gebruiken zijn en dat is niet het geval. KPN doet blijkbaar nog iets extra's bij die port-forwardings zodat ze alleen vanaf het management netwerk van KPN gebruikt kunnen worden.
Je zet de ramen dan wellicht open, maar alleen de ramen grenzend aan de binnentuin.

Laat onverlet dat ook ik het absoluut verwerpelijk vindt dat KPN zonder te communiceren en zonder toestemming van de abonnee dergelijke port-forwardings creëert.
Reputatie 3
Ik heb de gehele thread doorgenomen en ik kan niets anders zeggen:

KPN, wat zijn jullie een enorme prutsers! Wat voor pre-historische mensen hebben jullie in dienst?!

Naast het feit dat de port forwarders gewoon echt niet kunnen zoals jullie ze nu inzetten, hebben jullie nog steeds geen antwoord gegeven op de vragen die aan de jurdische afdeling zijn voorgelegd.

Daastnaast is er ook nog steeds geen communicatie geweest naar de klanten over deze port forwarders. Als een klant zelf gaten in de experiabox schiet, moet hij dat zelf weten. Zo heb ik zelf https en OpenVPN openstaan. Als KPN dit doet, is de verwachting en de verplichting dat KPN dit meldt zoals in jullie eigen voorwaarden staat aangegeven.

Zijn wij weer genoodzaakt om programma's zoals Radar in te schakelen om dit terug gedraaid te krijgen? Geen probleem hoor.

Ook vind ik het gebrek aan inzicht in de experiabox nog steeds tenenkrommend. Ik wil graag zien hoe in de firewall is ingericht op de experiabox.

Ik kan niet wachten tot ACM de vrij router keuze voor jullie in werking zet.
Ik ben bang dat die antwoorden nooit gaan komen. KPN heeft ook nog één week om een andere belofte in te lossen t.a.v. de security van de servicetools. Ik weet zeker dat KPN donders goed weet aan welke belofte ik refereer.
Al deze security breaches nopen mij om de beveiliging van mijn netwerk in eigen hand te nemen en daarom wacht ik ook met smart op de specificaties voor het aansluiten van eigen router zodat KPN daar niet meer aan kan zitten en dus ook niet dergelijke port-forwardings kan creëren.
De poort waar naar geforward wordt is TCP poort 7547 en deze is gewoon te benaderen.

Ik zal die TCP poort eens monitoren om te zien wat voor een verkeer daar overheen gaat.

KPN, OOK IK WIL ANTWOORDEN KRIJGEN!!!

Weten jullie overigens dat TCP poort 7547 na TCP poort 23 de meest gescande poort is om te kijken of toegang verkregen kan worden tot een netwerk om zo bijvoorbeeld virussen te distribueren of botnets op te zetten.

Bron.



Je maakt waarschijnlijk gebruik van kpn powerline adapters.
Ik had deze forwards zelf ook na een ipscan zag ik dat het de powerline adapters zijn van kpn die blijkbaar een portforward over 7547 nodig hebben om te werken
Reputatie 7
Je maakt waarschijnlijk gebruik van kpn powerline adapters.Nee hoor, powerline adapters behoren bij ons tot de verboden apparatuur. Deze port-forwardings worden ook voor de TV ontvangers en de KPN WiFi "versterker" gemaakt.

Ik had deze forwards zelf ook na een ipscan zag ik dat het de powerline adapters zijn van kpn die blijkbaar een portforward over 7547 nodig hebben om te werkenDie port-forwarding is niet nodig om ze te laten werken, maar KPN wil deze van afstand kunnen beheren en daarvoor maken ze deze port-forwardings.
Aansluitend op deze discussie heb ik een vraag.
Ik heb zo'n goedkope ip-camera uit China gekocht en met de Yoosee app op mijn android telefoon kan ik overal de camera zien.
Alle poorten staan dicht en toch weet de camera de beelden up te loaden naar een server in China.
Dat bevalt me niet.
Met wireshark ben ik er achter gekomen dat de camera steeds wisselende poorten gebruikt in de reeks 54120 tot 54360 (misschien wel meer, maar dit is de score voorlopig)
Hoe kan ik deze poorten sluiten en gesloten houden?
Ik heb een Experia V10

O ja,
Het is duidelijk waarom ik de poorten dicht wil hebben.
Als je je afvraagt hoe ik de camera dan benader, dat doe ik met een VPN verbinding en dan benader ik de camera vanaf mijn lokale netwerk.

Alvast bedankt voor de hulp.
Reputatie 7
Er zijn twee manieren waarmee die app dan de camera kan benaderen.
1) Die camera maakt een uitgaande verbinding met een server ergens op de wereld en de app maak ook verbinding met die server. De beelden worden dan via die server opgehaald.
2) De camera werkt o.b.v. uPnP.

Tegen de eerste methode kan je niet doen, anders dan voor een andere camera kiezen.
De tweede methode kan geblokkeerd worden door uPnP op de Experia Box uit te zetten.
Bedankt voor je snelle antwoord wjb.

Voor geval 1: Het moet toch mogelijk zijn die uitgaande verbinding te blokkeren?
Zoals gezegd, binnen mijn netwerk kan ik de camera zien via rtsp://lan-adres:554/onvif1
Die app heb ik niet nodig.
Van mij mag de verbinding met die server elders gewoon afgekapt worden.

Methode 2 zal ik zeker uitproberen.
Reputatie 7
Uitgaande verbindingen kan je op een Experia Box niet blokkeren.
Als ik vanuit Japan of vanaf een mobieltje naar mijn externe ip adres:9000 ga krijg ik een login schem.
Dat is iets wat ik echt niet wil dus ik heb die forwards uitgeschakeld.
Nadat mijn IPTV kastje was vast gelopen is mijn V10 zonder vragen gereset naar fabrieksinstellingen, in mijn dialoog met @KPNWebcare via Twitter wordt er mij medegedeeld dat ik maar op het forum moet zoeken.

mijn 2 vragen zijn:
  • hoe kan ik voorkomen dat die port forward steeds weer opnieuw ontstaat (het is immers MIJN LAN) en waarom heeft KPN die nodig, welk verkeer, welke functie(s).
  • waarom wordt dit niet opgelost door een verbinding van binnen naar een controlle domein buiten, zoals normaal is bij een firewall - IoT functie. Dan is er helemaal geen permanent gat in de firewall nodig.
Waarbij aangegeven dat deze uitleg van de vertegenwoordiging van KPN moet komen (andere klanten/specialisten wel bedankt, maar ik wil een antwoord van het BEDRIJF).

PS EN de FAQ voor de helpdesk waar in dit draadje over wordt gesproken is er na 2 jaar ook nog niet gekomen.

Reageer