Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: SiJoNas op 28 oktober 2017, 23:57:11
-
Beste mensen,
Afgelopen paar weken is mijn internetaansluiting "in een veilig gebied geplaatst" door KPN Abuse Team. Ze vinden dat er vanaf mijn aansluiting aanvallen richting andere gebruikers uitgevoerd kunnen worden. Ik weet van nix. Ze voeren het onderstaande bewijs aan:
PORT STATE SERVICE
5353/udp open zeroconf
| dns-service-discovery:
| 445/tcp smb
| Address=192.168.XX.XX fe80:0:0:0:211:32ff:ZZZZ:1045
| 548/tcp afpovertcp
| Address=192.168.XX.XX fe80:0:0:0:211:32ff:ZZZZ:1045
| 5000/tcp http
| vendor=Synology
| model=DS214+
| serial=13C0M7N016583
| version_major=6
| version_minor=1
| version_build=15152
| admin_port=5000
| secure_admin_port=5001
| mac_address=00:11:32:2c:YY:YY|00:11:32:2c:YY.YY
| Address=192.168.XX.XX fe80:0:0:0:211:32ff:ZZZZ:1045
| 5006/tcp webdavs
| Address=192.168.XX.XX fe80:0:0:0:211:32ff:ZZZZ:1045
| Device Information
| model=Xserve
|_ Address=192.168.XX.XX fe80:0:0:0:211:32ff:ZZZZ:1045
Het zou dus gaan om poort 5353, naast alle andere poorten die ook open staan en waar niets over gezegd wordt.
In de begeleidende mails werd gevraagd om het modem terug te zetten naar fabrieksinstellingen. Dit heb ik gedaan waardoor de NAS alleen vanaf mijn eigen WIFI te bereiken is.
Ik heb niet genoeg kennis om bovenstaand "bewijs" te kunnen lezen. Ik zie wel bekende dingen, zoals het interne ip-adres van de nas en zijn twee mac-adressen.
Wat is hier aan de hand? Is de angst van KPN terecht, op basis van bovenstaande? WAt kan ik als tegenargumenten gebruiken, als die er zijn?
Graag hoor ik van jullie!
-
Poorten die geforward staan veroorzaken niet die "Abuse".
Die maken jouw NAS alleen maar kwetsbaar voor anderen en dat is waarschijnlijk gebeurd.
Je heb een virus of malware binnen gekregen die vanuit jouw netwerk "Abuse" pleegt naar buiten toe, of jouw NAS gebruikt als forwarder, zodat het lijk dat de "Abuse" van jouw NAS komt.
Het is nu eenmaal niet slim om poorten te forwarden, als je de NAS van buiten wilt gebruiken moet je een VPN gebruiker zodat anderen geen misbruik van die geforwarde poorten kunnen maken.
Zeker die poorten 445 en 548 forwarden is vragen om dit soort problemen.
Je zou KPN kunnen vragen wat de vorm is van de 'Abuse', om er achter te komen wat het is.
Als het een virus is dan gaat dit namelijk niet weg door die poort forwarding weer dicht te zetten.
Dus is het bijvoorbeeld spam mail of zijn het DDOS aanvallen of iets anders.
-
Aanvulling: zorg er voor dat UPnP op de modem/router uitstaat en configureer benodigde portforwards handmatig.
Maak dus niet gebruik van de router configuratie optie van de NAS.
Dan kan een eventueel malware programma op één van je PC’s geen extra portforwards openzetten.
Welke functionaliteit van de NAS wil je gebruiken van buitenaf? Dat bepaald welke poorten er open moeten staan.
En nog terzijde: Heb niet de illusie dat je met het Abuse team van KPN iets kunt bereiken met tegenargumenten. Die zijn daar uitermate ongevoelig voor.
-
Ze vinden dat er vanaf mijn aansluiting aanvallen richting andere gebruikers uitgevoerd kunnen worden
-
Dat "kunnen" was me ook opgevallen als een heel vreemde uitspraak. Vanaf mijn adres kan ook een aanval opgezet worden en dat geldt volgens mij voor 99,9% van de aansluitingen.
In het mailtje staan interne adressen, dus KPN heeft bij TS in zijn kpn router gekeken. Als ze vinden dat hij naar fabrieksinstellingen terug moet, hebben ze schijnbaar een instelling gezien die ze fout vinden. Waarom noemen ze die dan niet?
-
Kan zijn dat ze het in het log van de upstream router hebben gevonden.
De output die @SiJoNas heeft gepost is van nmap, ze hebben dus waarschijnlijk een scan gedaan en niet in de router gekeken.
Het lijkt vooralsnog een adviserend/preventief bericht van KPN..?
-
Nee, daar doen ze niet aan. Ze zetten je direct in de “Abuse” omgeving. Dat betekent dat je niet meer kunt internetten en alleen de KPN website kunt bereiken.
-
Dan is bepaalde poorten/diensten open hebben het criteria om in de Abuse omgeving terecht te komen?
-
Als het echt over 'kunnen" gaat dan snap ik niet waar ze zich mee bemoeien.
Ook als er helemaal geen poorten geforward zijn kan er vanaf elke aansluiting Abuse gepleegd worden.
Als ze alleen advies geven ok, want er stonden zo te zien wat onzinnige poorten geforward (die 5353 wordt volgens mij door AppleTV gebruikt).
Maar zolang er geen echte Abuse gepleegd wordt lijkt het mij wat voorbarig je meteen maar te isoleren.
Ik zou het onwaarschijnlijk vinden dat er ergens in de voorwaarden staat dat je geen poorten mag forwarden.
Er staat denk ik dat je geen misbruik mag plegen.
-
Poort 5353 is een standaard poort waarmee alle mac apparatuur (incl. de nas) zich kenbaar maakt op het netwerk via het bonjour protocol.
[attachimg=1]
Het is wel een poort die niet vanaf buiten geforward behoort te worden.
Misschien dat KPN nu extern, via bonjour, kan zien welke protocollen op de lan aanwezig zijn. Maar het is dan nog steeds een grote stap om hier misbruik van te kunnen maken.
-
Niet alleen Apple apparaten maar ook andere maken gebruik van mDNS.
https://en.wikipedia.org/wiki/Multicast_DNS
B.v. ook mijn satelliet ontvanger (OpenATV):
netstat -atun | grep 5353
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp 0 0 :::5353 :::*
-
Klop. Eigenlijk alle apparaten die compatibel willen zijn met apple producten. Bij mij broadcasten ook de netwerk printer en een deel van mijn IP camera's de bonjour multicasts.
-
Ik denk dat mogelijk de mail zelf wat meer duidelijkheid geeft? Het Abuse team richt zich normaalgesproken niet op het open hebben staan van poorten maar op detectie van verdacht verkeer van en naar je aansluiting.
De portscan zullen ze hebben uitgevoerd nadat hun systeem iets verdachts heeft geconstateerd.
Ook kan het zo zijn dat in dit geval poort 5353 voor andere doeleinden wordt misbruikt en niet voor mDNS.
-
De portscan zullen ze hebben uitgevoerd nadat hun systeem iets verdachts heeft geconstateerd.
Dat denk ik ook.
Hier meer info over een dergelijke scan:
https://nmap.org/nsedoc/scripts/dns-service-discovery.html
-
Als ik naar die scan kijk, is dat precies de informatie die de nas via bonjour mededeelt. As ik b.v. via bonjour browser naar de http broadcast van mijn nas kijk, zie ik zelf:
[attachimg=1]
Overigens behoren multicasts nooit naar de wan doorgestuurd te worden. Als dat gebeurd is dat meer een bug in de router.
-
Beste mensen,
Dank allemaal voor de reacties. Ik lees enkele dingen: het woord "kunnen", dat niet de poorten het gevaar zijn maar een virus oid op de computer en het opzetten van een VPN.
Het woord "kunnen" staat er echt: zie de mail:
Geachte heer/mevrouw,
Bedankt voor uw reactie.
Vanaf uw internetaansluiting kunnen kwaadaardige verzoeken naar andere internetgebruikers worden gestuurd. Een vloedgolf van deze verzoeken kan de internetaansluiting van een slachtoffer vrijwel geheel buiten werking stellen.
LET OP: Het onderwerp van dit bericht bevat een ticketnummer: [KPN Abuseteam #] . Indien u vanaf een ander e-mailadres contact met ons wilt opnemen, vermeld dan altijd het volgende in het onderwerp: [KPN Abuseteam #] .
Met vriendelijke groet,
Lisette
Abuse Specialist
Dan het virus: ik heb uitgebreid gescand, zelfs laten scannen voordat windows gestart werd, maar niets aangetroffen. Dat is met AVG gedaan.
De vpn verbinding, daar zal ik me eens op inlezen hoe ik dat kan doen. Is voor mij nieuwe stof.
In de laatste mail van de KPN stond dat ik weer gescand is, en dat er geen problemen zijn gevonden, nadat ik de router terug gezet had naar fabrieksinstellingen. Met het dringende advies de oude instellingen niet weer terug te zetten..... Daar lees ik uit: port-forwarding niet te gebruiken....
Ik laat dat maar even zo. Ik heb het idee dat ik nog op een lijstje sta. Intern kan ik de NAS uitstekend bereiken, van buiten dan maar even niet.
Ik denk dat er bij mij niets aan de hand is. En dat een robot bij toeval mij ontdekt heeft en een poort vond die wellicht in andere situaties al eens was opgevallen.
-
En ondertussen heb ik een werkende vpn verbinding ingesteld. Dat ook weer geleerd :)
Maar daar moeten ook drie poorten voor open gesteld worden, dus we zullen zien wat de kpn daarvan vindt.
Overigens met dus een kpn router, die nog wel eens problemen geeft met vpn, zo lees ik her en der.
-
Door de term poorten openzetten ontstaat veel verwarring.
De term is "poorten forwarden" en wees maar blij dat het niet openzetten is want dan zou je netwerk pas echt lek worden.
Wat er gebeurd is dat het verkeer dat bij je router aankomt met een bepaalt poortnummer, doorgestuurd wordt naar in dit geval je NAS, omdat je een forwarding van die poort naar je Nas ingesteld hebt.
Als je op je NAS nu een applicatie hebt draaien die reageert op wat daar binnenkomt dan is het afhankelijk van wat daar op die poort luistert wat er mee gebeurd.
Als je een VPN op je NAS hebt draaien dan zal die het verkeerd dat naar die poort gestuurd wordt afvangen en op de juiste veilige manier afhandelen, want daar is die VPN applicatie op ontworpen.
Als je echter een poort forward waarmee bijvoorbeeld het smb verkeer wordt afgehandelt door Samba, is dat niet ontworpen om veilig te werken, want het smb verkeer is bedoelt als lan verkeer en heeft maar zeer beperkte beveiligingen.
En zo gaat het rijtje poorten door voor andere applicaties en protocollen.
Overigens als je als VPN gewoon OpenVpn gebruikt, wat het veiligste protocol is hoef je maar een poort te forwarden.