Ik kom op mijn V10 de onderstaande IPv4 port-forwarding tegen:
De port-forwarding wijst naar een KPN Wifi "versterker" op LAN IP adres 192.168.2.244..
Mijn vragen zijn:
Wie heeft deze port-forwarding vastgelegd?
Waarom heb ik als contractant hier geen toestemming voor hoeven geven?
Waar dient deze port-forwarding toe?
Kan KPN mij garanderen dat hier geen misbruik van gemaakt kan worden?
Wat als TCP poort 9000 voor een andere service gebruikt wordt of moet gaan worden?
Page 1 / 6
Om eerlijk te zijn sidder ik bij de gedachte dat KPN centraal geregeld poorten kan openzetten in de Experia boxen van klanten. Denk dat een uitleg hierover van KPN zeker wel op zijn plaats is!
Is deze forward overigens vanaf het internet benaderbaar of is dit alleen vanuit een "management" netwerk bereikbaar?
Is deze forward overigens vanaf het internet benaderbaar of is dit alleen vanuit een "management" netwerk bereikbaar?
Ik vermoed dat deze port-forwarding nodig is voor de recent geïntroduceerde automatische update functionaliteit voor de KPN Wifi "versterker".
Waar ik echter zeer grote moeite mee heb is dat er "zomaar" gaten in de beveiliging van mijn netwerk geschoten worden zonder dat ik daar goedkeuring aan heb hoeven geven.
Stel nu dat in dit geval op IP adres 192.168.2.244 geen KPN Wifi "versterker" meer staat, maar een NAS of PC waarop toevallig ook een service op TCP poort 9000 draait. Dan staat die service wel wagenwijd open op Internet. :@
Het enige wat ik hier aan KPN vraag is om opheldering te geven en mijn vragen te beantwoorden.
Ik betwijfel of de update functionaliteit het doel is. De "Versterker" kan zichzelf namelijk updaten. De versterker pollt namelijk deze site: https://wv-upgrade.wxs.nl/version.txt
Daarna download deze de firmware via de link op die pagina. Ik betwijfel of hier een forwarding voor nodig is.
Persoonlijk ben ik van mening dat apparaten zelf moeten updaten en dat dit niet door middel van een inkomende verbinding gaat.
Ik denk dat op poort 9000 een soort HTTP API actief is waarmee dat ding gereset ofzo kan worden. Onder het mom van "om klanten te helpen"
Robin
Daarna download deze de firmware via de link op die pagina. Ik betwijfel of hier een forwarding voor nodig is.
Persoonlijk ben ik van mening dat apparaten zelf moeten updaten en dat dit niet door middel van een inkomende verbinding gaat.
Ik denk dat op poort 9000 een soort HTTP API actief is waarmee dat ding gereset ofzo kan worden. Onder het mom van "om klanten te helpen"
Robin
We hebben hier inderdaad eerder een discussie over gehad met de port forwardings voor de devolo. Naar aanleiding daarvan hebben we hier vragen over gesteld aan ontwikkeling. De antwoorden zijn nu binnen. Ik neem ze hieronder door. Blijf vooral vragen stellen als je meer wilt weten of dingen niet duidelijk zijn. Dan kunnen we die weer doorspelen intern.
Waar dient deze port-forwarding toe? Dit mechanisme met port forwarding laat ons, op verzoek van de klant (of door de klant zelf via een servicetool), het desbetreffende apparaat (deels) op afstand beheren waardoor we het bijvoorbeeld kunnen herstarten of resetten, updaten en beveiligen. Het achterliggende doel hiervan is een stukje extra service leveren. Uiteraard doen we dit alleen op apparaten die wij leveren zoals de devolosets en wifi versterker. Eigen apparatuur valt hier buiten.
Wat als TCP poort 9000 voor een andere service gebruikt wordt of moet gaan worden? Er worden geen vaste poorten geclaimd. Er wordt gekeken welke vrij is, en die wordt geselecteerd. Als een poort in gebruik blijkt probeert hij een volgende. Er worden drie pogingen gedaan. Het lijkt me dat hij het daarna opgeeft, maar ik heb verder gevraagd wat er precies gebeurt na die drie pogingen.
Kan KPN mij garanderen dat hier geen misbruik van gemaakt kan worden? Is deze forward overigens vanaf het internet benaderbaar of is dit alleen vanuit een "management" netwerk bereikbaar? Deze twee pak ik even samen. Het gebruik van de forwards is geautomatiseerd en volledig gesloten. Het managementsysteem leg de verbinding met automatisch gegenereerde inloggegevens. Deze zijn uniek per adapter. De gegevens worden ook alleen in dat systeem gebruikt, verborgen voor derden, inclusief medewerkers en klanten. Het systeem kan alleen de apparaatfuncties aanroepen (om zo te kunnen herstarten of updaten e.d.) en heeft geen inzicht in het verkeer.
Het managementsysteem voldoet aan alle security eisen van KPN. Daarnaast worden er regelmatig penetratietesten uitgevoerd op de verschillende mechanismen door onze ethical hackers.
Waarom heb ik als contractant hier geen toestemming voor hoeven geven? Wij zijn verplicht om aan wet- en regelgeving te voldoen, en dat doen we met hoe dit nu is ingericht. Er wordt op dit moment nog gekeken of dit ook expliciet in contractvoorwaarden staat.
Wie heeft deze port-forwarding vastgelegd? Ik begrijp niet helemaal wat je met deze vraag bedoelt, kun je die wat meer toelichten?
Wat verder ook nog relevant is: het verwijderen van de port forwards. Daar hebben we het in de devolo discussie kort over gehad. Het lijkt me goed dat hier ook nog even weer te noemen. De port forwards kunnen verwijderd worden maar ze worden automatisch weer hersteld door het managementsysteem. Het is op dit moment in ieder geval niet mogelijk om dat te voorkomen. Wellicht dat het nog verandert, maar omdat dit een wezenlijk onderdeel vormt van de serviceverlening acht ik die kans niet heel groot.
Het managementsysteem voldoet aan alle security eisen van KPN. Daarnaast worden er regelmatig penetratietesten uitgevoerd op de verschillende mechanismen door onze ethical hackers.
Wat verder ook nog relevant is: het verwijderen van de port forwards. Daar hebben we het in de devolo discussie kort over gehad. Het lijkt me goed dat hier ook nog even weer te noemen. De port forwards kunnen verwijderd worden maar ze worden automatisch weer hersteld door het managementsysteem. Het is op dit moment in ieder geval niet mogelijk om dat te voorkomen. Wellicht dat het nog verandert, maar omdat dit een wezenlijk onderdeel vormt van de serviceverlening acht ik die kans niet heel groot.
Kan ik ergens na lezen hoe die inloggegevens gegenereerd worden? Dit lijkt me namelijk een zwak punt.
Welke wet- en regelgeving betreft dit precies?
Hoe komen die forwardings er precies in? Wordt er door middel van TR-096 iets gedaan? Maakt de V10 actief verbinding met jullie servers om te kijken of ie iets moet forwarden? Hoe weet de V10 welk apparaat een WiFi-Versterker is?
Welke wet- en regelgeving betreft dit precies?
Hoe komen die forwardings er precies in? Wordt er door middel van TR-096 iets gedaan? Maakt de V10 actief verbinding met jullie servers om te kijken of ie iets moet forwarden? Hoe weet de V10 welk apparaat een WiFi-Versterker is?
Excuses voor mijn late reactie. Dank voor de aanvullende vragen en opmerkingen! We hebben deze doorgezet naar ontwikkeling eerder van de week. Zodra we de nieuwe batch met antwoorden binnen hebben kom ik er op terug. Het kan iets langer duren, degene die de antwoorden moet aftikken heeft op het moment even vakantie.
Ik vind het zeer dubieus, daar er naar allerlei interne IP adressen wordt geforward welke niet onder KPN beheer vallen. Ik noem een NAS een Sonos en een slimme thermostaat. Waarom wordt daar naartoe geforward!?
Je geeft overigens hiermee wel één van de enorme hiaten aan die KPN introduceert met deze twijfelachtige functionaliteit.
KPN kan namelijk niet garanderen dat zo'n port-forwarding ook werkelijk naar een "KPN device" blijft wiijzen.
Dat is mijns inziens dan ook een reden waarom KPN wat moet stoppen of anders de abonnee de mogelijkheid te geven nee te zeggen tegen deze port-forwardings. Wellicht dat ik op basis van deze functionaliteit mijn KPN Wifi "versterkers" maar ga verkopen. Heeft iemand interesse?
Oeh, hier wordt het mooi. Wat nu als ik in mijn eigen netwerk op poort 9000 (of welke nu dan ook) allemaal belangrijke informatie op een website heb draaien? Wie heeft hier nu toegang tot?
Hier hetzelfde als TS, ik maak via de EB v10 geen gebruik van een DVS en/of een KPN WiFi "versterker" of wat voor soort andere signaal versterkers ook, toch geopende poorten.
Vanmiddag bij mijn vriendin gekeken in de EB v8, DVS aangesloten en daar geen port forwards,,,
Ik ga de forwards verwijderen en zie wel wat er gebeurd. Mocht er het 1 en ander niet meer werken dan is het aan KPN om het op te lossen, ik heb er niet om gevraagd dan wel toestemming voor gegeven.
Dat het te maken zou kunnen hebben met het op afstand resetten van een EB is een broodje aap verhaal, KPN medewerkers kunnen dat al jaren...
Vanmiddag bij mijn vriendin gekeken in de EB v8, DVS aangesloten en daar geen port forwards,,,
Ik ga de forwards verwijderen en zie wel wat er gebeurd. Mocht er het 1 en ander niet meer werken dan is het aan KPN om het op te lossen, ik heb er niet om gevraagd dan wel toestemming voor gegeven.
Dat het te maken zou kunnen hebben met het op afstand resetten van een EB is een broodje aap verhaal, KPN medewerkers kunnen dat al jaren...
Forwards verwijderd, EB v10 vanuit de interface een reset gegeven en alles werkt nog gewoon. In de EB ook geen IPv4 forwards meer.
Wanneer gaat KPN eens klanten op de hoogte houden van wijzigingen die doorgevoerd worden?
Ongevraagd wordt er nu weer iets doorgevoerd waar vele niet op zitten te wachten!
Wanneer gaat KPN eens klanten op de hoogte houden van wijzigingen die doorgevoerd worden?
Ongevraagd wordt er nu weer iets doorgevoerd waar vele niet op zitten te wachten!
Stuur maar een PM, kan ik in mijn winkel wel gebruiken.
Je geeft overigens hiermee wel één van de enorme hiaten aan die KPN introduceert met deze twijfelachtige functionaliteit.
KPN kan namelijk niet garanderen dat zo'n port-forwarding ook werkelijk naar een "KPN device" blijft wiijzen.
Dat is mijns inziens dan ook een reden waarom KPN wat moet stoppen of anders de abonnee de mogelijkheid te geven nee te zeggen tegen deze port-forwardings. Wellicht dat ik op basis van deze functionaliteit mijn KPN Wifi "versterkers" maar ga verkopen. Heeft iemand interesse?
Je geeft ook aan geen devolo's te hebben, heb je dan wel een KPN wifi "versterker"?
EB v10 naar fabrieksinstellingen gezet en tot op heden nog geen IPv4 forwards.
Hoe lang zou het volgens jouw duren dat deze weer erin staan dan? Hou het hier uiteraard wel even in de gaten de aankomende dagen.
Ik vind het absoluut verwerpelijk dat KPN gaten schiet in de beveiliging van mijn thuisnetwerk en ik vraag KPN dan ook vriendelijk doch dringend om dit zo snel mogelijk te staken.
Daarnaast vraag ik KPN zo spoedig mogelijk gehoor te geven aan de wettelijk verplichting om de specificaties te publiceren op basis waarvan ik mijn eigen router succesvol kan configureren en gebruik kan blijven maken van alle diensten die KPN via die router biedt. (Internet, ITV en telefonie)
Duidelijk, dan wacht ik nog een even af en zodra ze weer terug zijn meldt ik dat gelijk.
Las in https://www.kpn.com/algemeen/algemene-voorwaarden/prive/internet-1.htm en dan "Algemene voorwaarden Elektronische Communicatiediensten" het volgende waarachter KPN zich wel zal verschuilen:
8.1 KPN is gerechtigd de technische eigenschappen van
de Dienst of van het Elektronisch communicatienetwerk
te wijzigen om (i) te voldoen aan bij of krachtens de wet
gestelde regels, en/of (ii) aan de eisen van de tijd en de
stand van de techniek te blijven beantwoorden. KPN spant
zich in deze wijzigingen uit te voeren zonder dat dit
gevolgen heeft voor de gebruiksmogelijkheden van
de Klant en de door hem gebruikte Randapparaten.
Indien dat niet mogelijk is en een wijziging redelijkerwijs
voorzienbare fi nanciële consequenties heeft voor de
Klant zal de wijziging niet eerder plaatsvinden dan één
maand nadat deze is bekendgemaakt of zoveel langer
als redelijkerwijs mogelijk is.
Daarnaast vraag ik KPN zo spoedig mogelijk gehoor te geven aan de wettelijk verplichting om de specificaties te publiceren op basis waarvan ik mijn eigen router succesvol kan configureren en gebruik kan blijven maken van alle diensten die KPN via die router biedt. (Internet, ITV en telefonie)
Gezien hun eigen voorwaarden moeten ze wel gehoor eraan geven.
8.1 KPN is gerechtigd de technische eigenschappen van
de Dienst of van het Elektronisch communicatienetwerk
te wijzigen om (i) te voldoen aan bij of krachtens de wet
gestelde regels, en/of (ii) aan de eisen van de tijd en de
stand van de techniek te blijven beantwoorden.
Las in https://www.kpn.com/algemeen/algemene-voorwaarden/prive/internet-1.htm en dan "Algemene voorwaarden Elektronische Communicatiediensten" het volgende waarachter KPN zich wel zal verschuilen:
8.1 KPN is gerechtigd de technische eigenschappen van
de Dienst of van het Elektronisch communicatienetwerk
te wijzigen om (i) te voldoen aan bij of krachtens de wet
gestelde regels, en/of (ii) aan de eisen van de tijd en de
stand van de techniek te blijven beantwoorden. KPN spant
zich in deze wijzigingen uit te voeren zonder dat dit
gevolgen heeft voor de gebruiksmogelijkheden van
de Klant en de door hem gebruikte Randapparaten.
Indien dat niet mogelijk is en een wijziging redelijkerwijs
voorzienbare fi nanciële consequenties heeft voor de
Klant zal de wijziging niet eerder plaatsvinden dan één
maand nadat deze is bekendgemaakt of zoveel langer
als redelijkerwijs mogelijk is.
Daarnaast vraag ik KPN zo spoedig mogelijk gehoor te geven aan de wettelijk verplichting om de specificaties te publiceren op basis waarvan ik mijn eigen router succesvol kan configureren en gebruik kan blijven maken van alle diensten die KPN via die router biedt. (Internet, ITV en telefonie)
Gezien hun eigen voorwaarden moeten ze wel gehoor eraan geven.
8.1 KPN is gerechtigd de technische eigenschappen van
de Dienst of van het Elektronisch communicatienetwerk
te wijzigen om (i) te voldoen aan bij of krachtens de wet
gestelde regels, en/of (ii) aan de eisen van de tijd en de
stand van de techniek te blijven beantwoorden.
gestelde regels, en/of (ii) aan de eisen van de tijd en de
stand van de techniek te blijven beantwoorden...
Dit topic onder ogen gebracht hebbende bij een ICT advocaat kreeg ik zojuist een antwoord waarin hij het volgende mededeelde:
Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan. Bij in gebreken blijven hiervan kan ik verwijzen naar een clausule welke opgenomen is bij de OPTA.
Ik ga niet alles plaatsen nu, ik wacht een reactie van KPN af...
Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan. Bij in gebreken blijven hiervan kan ik verwijzen naar een clausule welke opgenomen is bij de OPTA.
Ik ga niet alles plaatsen nu, ik wacht een reactie van KPN af...
Page 1 / 6
Reageer
Enter your username or e-mail address. We'll send you an e-mail with instructions to reset your password.