KPN Abuse

[SiJoNas]

Beste mensen,

Afgelopen paar weken is mijn internetaansluiting "in een veilig gebied geplaatst" door KPN Abuse Team. Ze vinden dat er vanaf mijn aansluiting aanvallen richting andere gebruikers uitgevoerd kunnen worden. Ik weet van nix. Ze voeren het onderstaande bewijs aan:

PORT     STATE SERVICE
5353/udp open  zeroconf
| dns-service-discovery:
|   445/tcp smb
|     Address=192.168.XX.XX fe80:0:0:0:211:32ff:ZZZZ:1045
|   548/tcp afpovertcp
|     Address=192.168.XX.XX fe80:0:0:0:211:32ff:ZZZZ:1045
|   5000/tcp http
|     vendor=Synology
|     model=DS214+
|     serial=13C0M7N016583
|     version_major=6
|     version_minor=1
|     version_build=15152
|     admin_port=5000
|     secure_admin_port=5001
|     mac_address=00:11:32:2c:YY:YY|00:11:32:2c:YY.YY
|     Address=192.168.XX.XX fe80:0:0:0:211:32ff:ZZZZ:1045
|   5006/tcp webdavs
|     Address=192.168.XX.XX fe80:0:0:0:211:32ff:ZZZZ:1045
|   Device Information
|     model=Xserve
|_    Address=192.168.XX.XX fe80:0:0:0:211:32ff:ZZZZ:1045

Het zou dus gaan om poort 5353, naast alle andere poorten die ook open staan en waar niets over gezegd wordt.
In de begeleidende mails werd gevraagd om het modem terug te zetten naar fabrieksinstellingen. Dit heb ik gedaan waardoor de NAS alleen vanaf mijn eigen WIFI te bereiken is.

Ik heb niet genoeg kennis om bovenstaand "bewijs" te kunnen lezen. Ik zie wel bekende dingen, zoals het interne ip-adres van de nas en zijn twee mac-adressen.

Wat is hier aan de hand? Is de angst van KPN terecht, op basis van bovenstaande? WAt kan ik als tegenargumenten gebruiken, als die er zijn?

Graag hoor ik van jullie!

[Ben(V)]

Poorten die geforward staan veroorzaken niet die "Abuse".
Die maken jouw NAS alleen maar kwetsbaar voor anderen en dat is waarschijnlijk gebeurd.

Je heb een virus of malware binnen gekregen die vanuit jouw netwerk "Abuse" pleegt naar buiten toe, of jouw NAS gebruikt als forwarder, zodat het lijk dat de "Abuse" van jouw NAS komt.

Het is nu eenmaal niet slim om poorten te forwarden, als je de NAS van buiten wilt gebruiken moet je een VPN gebruiker zodat anderen geen misbruik van die geforwarde poorten kunnen maken.
Zeker die poorten 445 en 548 forwarden is vragen om dit soort problemen.

Je zou KPN kunnen vragen wat de vorm is van de 'Abuse', om er achter te komen wat het is.
Als het een virus is dan gaat dit namelijk niet weg door die poort forwarding weer dicht te zetten.
Dus is het bijvoorbeeld spam mail of zijn het DDOS aanvallen of iets anders.

[Hofstede]

Aanvulling: zorg er voor dat UPnP op de modem/router uitstaat en configureer benodigde portforwards handmatig.
Maak dus niet gebruik van de router configuratie optie van de NAS.
Dan kan een eventueel malware programma op één van je PC’s geen extra portforwards openzetten.

Welke functionaliteit van de NAS wil je gebruiken van buitenaf? Dat bepaald welke poorten er open moeten staan.


En nog terzijde: Heb niet de illusie dat je met het Abuse team van KPN iets kunt bereiken met tegenargumenten. Die zijn daar uitermate ongevoelig voor.

[Pippin]

Ze vinden dat er vanaf mijn aansluiting aanvallen richting andere gebruikers uitgevoerd kunnen worden

[Briolet]

Dat "kunnen" was me ook opgevallen als een heel vreemde uitspraak. Vanaf mijn adres kan ook een aanval opgezet worden en dat geldt volgens mij voor 99,9% van de aansluitingen.

In het mailtje staan interne adressen, dus KPN heeft bij TS in zijn kpn router gekeken. Als ze vinden dat hij naar fabrieksinstellingen terug moet, hebben ze schijnbaar een instelling gezien die ze fout vinden. Waarom noemen ze die dan niet?

[Pippin]

Kan zijn dat ze het in het log van de upstream router hebben gevonden.
De output die @SiJoNas heeft gepost is van nmap, ze hebben dus waarschijnlijk een scan gedaan en niet in de router gekeken.

Het lijkt vooralsnog een adviserend/preventief bericht van KPN..?

[Hofstede]

Nee, daar doen ze niet aan. Ze zetten je direct in de “Abuse” omgeving. Dat betekent dat je niet meer kunt internetten en alleen de KPN website kunt bereiken.

[Pippin]

Dan is bepaalde poorten/diensten open hebben het criteria om in de Abuse omgeving terecht te komen?

[Ben(V)]

Als het echt over 'kunnen" gaat dan snap ik niet waar ze zich mee bemoeien.
Ook als er helemaal geen poorten geforward zijn kan er vanaf elke aansluiting Abuse gepleegd worden.

Als ze alleen advies geven ok, want er stonden zo te zien wat onzinnige poorten geforward (die 5353 wordt volgens mij door AppleTV gebruikt).
Maar zolang er geen echte Abuse gepleegd wordt lijkt het mij wat voorbarig je meteen maar te isoleren.

Ik zou het onwaarschijnlijk vinden dat er ergens in de voorwaarden staat dat je geen poorten mag forwarden.
Er staat denk ik dat je geen misbruik mag plegen.

[Briolet]

Poort 5353 is een standaard poort waarmee alle mac apparatuur (incl. de nas) zich kenbaar maakt op het netwerk via het bonjour protocol.



Het is wel een poort die niet vanaf buiten geforward behoort te worden.

Misschien dat KPN nu extern, via bonjour, kan zien welke protocollen op de lan aanwezig zijn. Maar het is dan nog steeds een grote stap om hier misbruik van te kunnen maken.

[Pippin]

Niet alleen Apple apparaten maar ook andere maken gebruik van mDNS.
https://en.wikipedia.org/wiki/Multicast_DNS

B.v. ook mijn satelliet ontvanger (OpenATV):

Code: [Selecteer]

netstat -atun | grep 5353
udp        0      0 0.0.0.0:5353            0.0.0.0:*
udp        0      0 :::5353                 :::*

[Briolet]

Klop. Eigenlijk alle apparaten die compatibel willen zijn met apple producten. Bij mij broadcasten ook de netwerk printer en een deel van mijn IP camera's de bonjour multicasts.

[Hofstede]

Ik denk dat mogelijk de mail zelf wat meer duidelijkheid geeft? Het Abuse team richt zich normaalgesproken niet op het open hebben staan van poorten maar op detectie van verdacht verkeer van en naar je aansluiting.
De portscan zullen ze hebben uitgevoerd nadat hun systeem iets verdachts heeft geconstateerd.
Ook kan het zo zijn dat in dit geval poort 5353 voor andere doeleinden wordt misbruikt en niet voor mDNS.

[Pippin]

De portscan zullen ze hebben uitgevoerd nadat hun systeem iets verdachts heeft geconstateerd.

Dat denk ik ook.
Hier meer info over een dergelijke scan:
https://nmap.org/nsedoc/scripts/dns-service-discovery.html

[Briolet]

Als ik naar die scan kijk, is dat precies de informatie die de nas via bonjour mededeelt. As ik b.v. via bonjour browser naar de http broadcast van mijn nas kijk, zie ik zelf:




Overigens behoren multicasts nooit naar de wan doorgestuurd te worden. Als dat gebeurd is dat meer een bug in de router.