Onbekende port-forwarding TCP poort 9000

Mijn V10 heeft die port forwarding er niet in staan.

Je kunt wel met netstat zien wat er luistert op de betreffende poort.

Ik betwijfel of de update functionaliteit het doel is. De "Versterker" kan zichzelf namelijk updaten. De versterker pollt namelijk deze site: https://wv-upgrade.wxs.nl/version.txt
Daarna download deze de firmware via de link op die pagina. Ik betwijfel of hier een forwarding voor nodig is.
Persoonlijk ben ik van mening dat apparaten zelf moeten updaten en dat dit niet door middel van een inkomende verbinding gaat.

Ik denk dat op poort 9000 een soort HTTP API actief is waarmee dat ding gereset ofzo kan worden. Onder het mom van "om klanten te helpen"

Robin

We hebben hier inderdaad eerder een discussie over gehad met de port forwardings voor de devolo. Naar aanleiding daarvan hebben we hier vragen over gesteld aan ontwikkeling. De antwoorden zijn nu binnen. Ik neem ze hieronder door. Blijf vooral vragen stellen als je meer wilt weten of dingen niet duidelijk zijn. Dan kunnen we die weer doorspelen intern.

Waar dient deze port-forwarding toe?Dit mechanisme met port forwarding laat ons, op verzoek van de klant (of door de klant zelf via een servicetool), het desbetreffende apparaat (deels) op afstand beheren waardoor we het bijvoorbeeld kunnen herstarten of resetten, updaten en beveiligen. Het achterliggende doel hiervan is een stukje extra service leveren. Uiteraard doen we dit alleen op apparaten die wij leveren zoals de devolosets en wifi versterker. Eigen apparatuur valt hier buiten.

Wat als TCP poort 9000 voor een andere service gebruikt wordt of moet gaan worden?Er worden geen vaste poorten geclaimd. Er wordt gekeken welke vrij is, en die wordt geselecteerd. Als een poort in gebruik blijkt probeert hij een volgende. Er worden drie pogingen gedaan. Het lijkt me dat hij het daarna opgeeft, maar ik heb verder gevraagd wat er precies gebeurt na die drie pogingen.

Kan KPN mij garanderen dat hier geen misbruik van gemaakt kan worden?Is deze forward overigens vanaf het internet benaderbaar of is dit alleen vanuit een "management" netwerk bereikbaar?Deze twee pak ik even samen. Het gebruik van de forwards is geautomatiseerd en volledig gesloten. Het managementsysteem leg de verbinding met automatisch gegenereerde inloggegevens. Deze zijn uniek per adapter. De gegevens worden ook alleen in dat systeem gebruikt, verborgen voor derden, inclusief medewerkers en klanten. Het systeem kan alleen de apparaatfuncties aanroepen (om zo te kunnen herstarten of updaten e.d.) en heeft geen inzicht in het verkeer.

Het managementsysteem voldoet aan alle security eisen van KPN. Daarnaast worden er regelmatig penetratietesten uitgevoerd op de verschillende mechanismen door onze ethical hackers.

Waarom heb ik als contractant hier geen toestemming voor hoeven geven?Wij zijn verplicht om aan wet- en regelgeving te voldoen, en dat doen we met hoe dit nu is ingericht. Er wordt op dit moment nog gekeken of dit ook expliciet in contractvoorwaarden staat.

Wie heeft deze port-forwarding vastgelegd?Ik begrijp niet helemaal wat je met deze vraag bedoelt, kun je die wat meer toelichten?

Wat verder ook nog relevant is: het verwijderen van de port forwards. Daar hebben we het in de devolo discussie kort over gehad. Het lijkt me goed dat hier ook nog even weer te noemen. De port forwards kunnen verwijderd worden maar ze worden automatisch weer hersteld door het managementsysteem. Het is op dit moment in ieder geval niet mogelijk om dat te voorkomen. Wellicht dat het nog verandert, maar omdat dit een wezenlijk onderdeel vormt van de serviceverlening acht ik die kans niet heel groot.

Wie heeft deze port-forwarding vastgelegd?Ik begrijp niet helemaal wat je met deze vraag bedoelt, kun je die wat meer toelichten?Deze vraag is hiermee al beantwoord, het is KPN die deze port-forwarding heeft vastgelegd.

Kan KPN mij garanderen dat hier geen misbruik van gemaakt kan worden?Is deze forward overigens vanaf het internet benaderbaar of is dit alleen vanuit een "management" netwerk bereikbaar?Deze twee pak ik even samen. Het gebruik van de forwards is geautomatiseerd en volledig gesloten. Het managementsysteem leg de verbinding met automatisch gegenereerde inloggegevens. Deze zijn uniek per adapter. De gegevens worden ook alleen in dat systeem gebruikt, verborgen voor derden, inclusief medewerkers en klanten. Het systeem kan alleen de apparaatfuncties aanroepen (om zo te kunnen herstarten of updaten e.d.) en heeft geen inzicht in het verkeer.Dit beantwoord niet mijn vraag, hoe wordt voorkomen dat een hacker, (Rus, Chinees, Amerikaan, Griek, etc.) deze poort misbruikt om bijvoorbeeld een gemodificeerde firmware op de KPN Wifi "versterker" te plaatsen die voorzien is van bijvoorbeeld sniffer functionaliteit?.

Waarom heb ik als contractant hier geen toestemming voor hoeven geven?Wij zijn verplicht om aan wet- en regelgeving te voldoen, en dat doen we met hoe dit nu is ingericht. Er wordt op dit moment nog gekeken of dit ook expliciet in contractvoorwaarden staat. Dit is een onbevredigd antwoord. Wij voldoen aan de regeltjes dus niet zeu....

Ik vind het zeer dubieus, daar er naar allerlei interne IP adressen wordt geforward welke niet onder KPN beheer vallen. Ik noem een NAS een Sonos en een slimme thermostaat. Waarom wordt daar naartoe geforward!?

Oeh, hier wordt het mooi. Wat nu als ik in mijn eigen netwerk op poort 9000 (of welke nu dan ook) allemaal belangrijke informatie op een website heb draaien? Wie heeft hier nu toegang tot?

Forwards verwijderd, EB v10 vanuit de interface een reset gegeven en alles werkt nog gewoon. In de EB ook geen IPv4 forwards meer.

Wanneer gaat KPN eens klanten op de hoogte houden van wijzigingen die doorgevoerd worden?
Ongevraagd wordt er nu weer iets doorgevoerd waar vele niet op zitten te wachten!

Ik vind het zeer dubieus, daar er naar allerlei interne IP adressen wordt geforward welke niet onder KPN beheer vallen. Ik noem een NAS een Sonos en een slimme thermostaat. Waarom wordt daar naartoe geforward!?Zou het kunnen zijn dat op die IP adressen ooit een devolo of KPN wifi "versterker" heeft gestaan?
Je geeft overigens hiermee wel één van de enorme hiaten aan die KPN introduceert met deze twijfelachtige functionaliteit.
KPN kan namelijk niet garanderen dat zo'n port-forwarding ook werkelijk naar een "KPN device" blijft wiijzen.
Dat is mijns inziens dan ook een reden waarom KPN wat moet stoppen of anders de abonnee de mogelijkheid te geven nee te zeggen tegen deze port-forwardings. Wellicht dat ik op basis van deze functionaliteit mijn KPN Wifi "versterkers" maar ga verkopen. Heeft iemand interesse?Ik heb die Devolo's helemaal niet 🙂 dat maakt het nog mooier. Had de angst dat het één of andere router-hack betrof, maar kennelijk maakt de KPN die dingen automatisch (via een centrale management tool) aan? Ze zitten mij niet zo in de weg, ik word er alleen een beetje onrustig van.

Forwards verwijderd, EB v10 vanuit de interface een reset gegeven en alles werkt nog gewoon. In de EB ook geen IPv4 forwards meer.Ze blijven alleen automatisch terugkomen.Dus jij geeft aan dat er van die port-forwardings gemaakt worden die verwijzen naar apparaten anders dan KPN devolo's en KPN wifi "versterkers", klopt dat?
Je geeft ook aan geen devolo's te hebben, heb je dan wel een KPN wifi "versterker"?

...Hoe lang zou het volgens jouw duren dat deze weer erin staan dan? Hou het hier uiteraard wel even in de gaten de aankomende dagen.Binnen 2 dagen was de port-forwarding naar een KPN wifi "versterker" weer terug. :@
Ik vind het absoluut verwerpelijk dat KPN gaten schiet in de beveiliging van mijn thuisnetwerk en ik vraag KPN dan ook vriendelijk doch dringend om dit zo snel mogelijk te staken.
Daarnaast vraag ik KPN zo spoedig mogelijk gehoor te geven aan de wettelijk verplichting om de specificaties te publiceren op basis waarvan ik mijn eigen router succesvol kan configureren en gebruik kan blijven maken van alle diensten die KPN via die router biedt. (Internet, ITV en telefonie)

...om (i) te voldoen aan bij of krachtens de wet
gestelde regels, en/of (ii) aan de eisen van de tijd en de
stand van de techniek te blijven beantwoorden...Dan mag KPN uitleggen wat van toepassing is. Ik kan mij hier t.a.v. die port-forwardings in ieder geval niets bij voorstellen.