Beantwoord

UPnP uit, toch automatisch port forwarding op H369A

  • 26 november 2019
  • 13 reacties
  • 119 keer bekeken

Hallo,

Op mijn H369A staat UPnP uit en na installatie van een slimme ledlamp is er automatisch een port forwarding aangemaakt. Dat zou toch niet moeten kunnen?

 

icon

Beste antwoord door wjb 26 november 2019, 17:54

En verder zou je voor een port forwarding ook een DHCP-binding moeten maken, om te voorkomen dat apparaten waarnaartoe geforward wordt van IP-adres verschieten.

En dat doet KPN dus niet als ze zo'n port-forwarding aanmaken.

En als het aangesloten "KPN apparaat" dan een ander IP heeft gekregen en jouw apparaat toevallig het oorspronkelijke IP adres van dat "KPN apparaat" krijgt dan heb je de situatie al gecreëerd.

Bekijk origineel

13 reacties

Reputatie 7

Kan je eens een screenshot plaatsen van die port-forwarding?

 

Hallo @jazzman , ik heb ook zo'n soortgelijke forwarding er in staan, dat is volgens mij voor de IPTV-decoder.

 

Reputatie 7

Dat dacht ik al, dat is een automatisch door KPN gegenereerde port-forwarding voor het op afstand kunnen beheren van een KPN TV ontvanger, KPN wifi accesspoint of KPN "draadloze" verbindingsset.

In dit geval is het zo te zien een ZTE ZXV8001 TV ontvanger.

Die staan er bij mij ook in. In totaal staan er 8 regels in, waaronder 2 voor de decoders.

Reputatie 7

Die staan er bij mij ook in. In totaal staan er 8 regels in, waaronder 2 voor de decoders.

Heb je zoveel verschillende KPN-apparaten dan? Je zou ze ook een keer allemaal kunnen verwijderen, ze worden - zonodig - toch weer automatisch aangemaakt en dat ruimt meteen ff lekker op. Ik heb een tijd geleden storingen gehad met iTV en die werden pas opgelost nadat ik al die specifieke forwardings had verwijderd. Inmiddels zijn er weer een paar teruggekomen. 

Het probleem is dat het niet allemaal KPN apparaten zijn. Ook een slimme lamp (nedis) en Gardena bridge bijvoorbeeld.

Reputatie 7

Tja, dat maken van die automatische port-forwardings is een beetje een ramp.

Oude port-forwardings blijven regelmatig staan en komen na een herstart zelfs vaak weer terug. Hierdoor kunnen er dus verwijzingen ontstaan naar eigen apparaten omdat die ondertussen het oorspronkelijke IP adres hebben gekregen van het apparaat van KPN.

Als dat apparaat geen TR069 ondersteunt is er niets aan de hand.

 

Ik hoop dat KPN zich nog eens stevig achter de oren krabt over dit automatisch aanmaken van port-forwardings.

Reputatie 7

Het probleem is dat het niet allemaal KPN apparaten zijn. Ook een slimme lamp (nedis) en Gardena bridge bijvoorbeeld.

Ik bedoel ook alleen maar die specifieke KPN forwardings, niet die van jezelf natuurlijk. En verder zou je voor een port forwarding ook een DHCP-binding moeten maken, om te voorkomen dat apparaten waarnaartoe geforward wordt van IP-adres verschieten.

Reputatie 7

En verder zou je voor een port forwarding ook een DHCP-binding moeten maken, om te voorkomen dat apparaten waarnaartoe geforward wordt van IP-adres verschieten.

En dat doet KPN dus niet als ze zo'n port-forwarding aanmaken.

En als het aangesloten "KPN apparaat" dan een ander IP heeft gekregen en jouw apparaat toevallig het oorspronkelijke IP adres van dat "KPN apparaat" krijgt dan heb je de situatie al gecreëerd.

Reputatie 7
Badge +18

Hoi @jazzman . Ik hoop dat ik je kan geruststellen met het feit dat wij alleen poorten forwarden van de KPN hardware. Zoals @wjb aangeeft kan dit administratief soms onoverzichtelijk worden en daardoor kun je op het verkeerde been gezet worden. Excuses daarvoor.  Ik vermoed niet dat dit op korte termijn gaat veranderen. 

Reputatie 7

Toch wordt er mijns inziens vanuit KPN iets te makkelijk gedaan over dit fenomeen.

Het is mijns inziens zeer verwerpelijk dat het door deze port-forwardings voor kan komen dat apparaten die niet van KPN zijn hierdoor vanaf Internet benaderbaar zijn om via TR069 geconfigureerd te worden. En dat terwijl TR069 op grote schaal gebruikt wordt door hackers om zich toegang te verschaffen tot apparatuur.

Gelukkig wordt er nog een port translation gedaan zodat niet port 7547 open en bloot op Internet staat, want dan kan je er donder op zeggen dat het niet lang zal duren tot de eerste inbraakpoging een feit is. Poort 7547 staat toch redelijk hoog in de lijst van de poorten waarop gescanned wordt.

Persoonlijk ben ik, zoals ik al eerder geroepen heb, van mening dat KPN niet dergelijke port-forwardings zou moeten maken of anders er minimaal voor zou moeten zorgen dat die port-forwardings alleen vanaf hun eigen beheeromgeving te benaderen zijn en niet vanaf Internet.

 

Reputatie 7
Badge +18

Ik heb niks meer van je gehoord en ga er van uit dat je voldoende informatie hebt. Mocht je nog wel vragen hebben, stel ze gerust!

Reageer