Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Windows thuisnetwerk bij Ziggo

02-08-2011, 12:19 door Anoniem, 27 reacties
Even een gewetensvraag voor mij.

Als ik bij mensen ben en daar achter de computer mag, dan zet ik alle instellingen voor een lokaal thuis netwerk (Netbeui e.d.) onder Windows uit. Dit had ik ook bij een ziggo klant gedaan (goed).

Nu kreeg die ziggo klant echter een tweede computer (en een draadloze sweex router), en ik dacht, dat is wel leuk als je dan via de ene computer bij de andere kan, en andersom. Dus heb ik alle 'beveiligen' van daarvoor weer terug gedraaid zover ik kon. Het thuisnetwerk is niet gelukt omdat ik daar nog geen ervaring mee had (was moeilijker als ik had verwacht), maar ik heb de 'normale instellingen' van Windows zo laten staan zodat een kennis van hem het later nog eens kon proberen.

Later ontdekte ik bij toeval dat het IP adres van een computer op een ziggo modem gewoon je WAN ip adres is?!? Zit je dan met de hele straat op een groot thuisnetwerk??
En na wat zoeken op internet bleek ook dat het niet zeker is dat de poorten voor een thuis netwerk door ziggo of het modem geblokkeerd werden (poort 135, 137-139, 445). Deze moeten natuurlijk open staan wil een thuis netwerk lukken.

Ik heb nu het idee dat ik die ziggo klant een heel slechte dienst heb bewezen door voor hem een thuis netwerk in te proberen te stellen.

Verder draait die klant Windows XP met een firewall van Panda Anti-Virus (maar als de hele straat je thuis netwerk is, wat houdt zo'n firewall dan nog tegen?). Ik hoop ook dat de sweex router geen port forwarding had en ook later niet is weggehaald door hem (oude situatie).
Reacties (27)
02-08-2011, 12:58 door Anoniem
Oke........ als je zo mensen gaat helpen met zo weinig kennis over DHCP, Subnetmaskers, IP adressen, Firewalls,
en andere zaken, blijft er dan alsjeblieft met je poten vanaf totdat je je goed hebt verdiept in die zooi.

Vraag 1: Wat is het verschil tussen een modem en een router?
A: Een router heeft een ingebouwde firewall, een modem niet.
B: Een modem heeft een ingebouwde firewall, een router niet.
C: Niets
D: Al het bovenstaande.


Mvg

diepe zucht
02-08-2011, 13:20 door Anoniem
Later ontdekte ik bij toeval dat het IP adres van een computer op een ziggo modem gewoon je WAN ip adres is?!? Zit je dan met de hele straat op een groot thuisnetwerk??

Hoe kom je daar nu bij? Iedere abonnee krijgt een dynamisch IP adres door een van de DHCP servers van Ziggo toegekend (86.xxx.xxx.xxx). De computers binnen het thuis-netwerk krijgen een IP adres dat door de DHCP server van de (draadloze) modem/router/firewall/switch wordt toegekend (192.168.xxx.xxx).

De firewall van dit apparaat (waarschijnlijk een Ubee "MODEM") is zo afgesteld dat de computers binnen het thuis-netwerk "onzichtbaar" zijn op het grote boze Internet (Stealth).

Je kan de kwetsbaarheid van een computer hier testen:

https://www.grc.com/x/ne.dll?bh0bkyd2

Verder draait die klant Windows XP met een firewall van Panda Anti-Virus (maar als de hele straat je thuis netwerk is, wat houdt zo'n firewall dan nog tegen?).

De hele straat is niet je thuis-netwerk, de buurman heeft een ander WAN IP adres.

Veel succes ermee!
02-08-2011, 13:27 door Anoniem
@Anoniem om 12:58 uur.

De MODEM's die Ziggo uitlevert zijn in principe multifunctionele apparaten en hebben de volgende functies:

MODEM;
firewall;
DHCP server;
(draadloze) router;
switch;
webservertje ter configuratie.
02-08-2011, 13:31 door Anoniem
De netwerkconfiguratie moet zijn:
(internet) --> modem --> router(+switch) --> PC1, PC2, PC3, etc.

Alle kabelmodems die ik heb gehad (tot nu toe 2) van Ziggo hebben een ingebouwde DHCP server. Firewall weet ik niet. Met de nieuwste modems is een volledige router iniedergeval wel ingebouwd, inclusief switch. Je kan dus alle PCs daar direct op aansluiten.

Ps. Hierboven; E: Geen van bovenstaande. Router hoeft echt geen firewall te hebben.
02-08-2011, 13:34 door Anoniem
E: Niets van het bovenstaande.

Als je er niet zoveel verstand van heb, reageer dan gewoon niet.

Een modem is een modulator/de-modulator. Die zet (bijv.) een adsl verbinding ( of in dit geval: een kabel verbinding) om naar een lan verbinding en visa versa. meer niet.

Een Router is een apparaat welk een koppeling tussen 2 verschillende netwerken mogelijk maakt. Een router heeft niet per definitie een firewall aan boord.

Mvg

Een hele diepe zucht
02-08-2011, 13:38 door Anoniem
Door Anoniem: Vraag 1: Wat is het verschil tussen een modem en een router?
Een modem is het kastje waar je telefoonlijn of je kabelaansluiting in gaat.
Een router is het kastje om meerdere computers op je modem aan te sluiten.
Een firewall blokkeert verbindingen op basis van ip adres, poortnummer, protocol of applicatie.

Kunnen we nu weer mijn ziggo klant gaan helpen?
02-08-2011, 13:40 door Anoniem
@ diepe zucht,

ik snap dat je er moe van wordt, echter ipv zo hoog uit de boom te doen, kun je hem toch ook wel vertellen waar ie op moet letten of waar hij de info vandaan kan halen om het de volgende keer goed te doen (of niet)
02-08-2011, 13:45 door SirDice
Door Anoniem:
Vraag 1: Wat is het verschil tussen een modem en een router?
A: Een router heeft een ingebouwde firewall, een modem niet.
B: Een modem heeft een ingebouwde firewall, een router niet.
C: Niets
D: Al het bovenstaande.
Wat dacht je van geen van bovenstaande?
02-08-2011, 13:50 door spatieman
Heerlijk die zogenaamde ICT'rs.
02-08-2011, 13:55 door Anoniem
Netbeui ? Welke steen heb je de afgelopen jaren onder geleefd ? Dat is zo prehistorisch . Tegenwoordig werk je met TCP/IP. Maar als je zo weinig kennis hebt van hetgeen je eigenlijk aan het doen bent, was het dan niet wijzer geweest die klant dat eerlijk te vertellen en het door iemand met meer kennis van zaken te laten regelen ?

Daarbij komt dat menig routertje zelf al de juiste instellingen heeft en je op de windows pc alleen maar mappen hoeft te delen en een lokale werkgroep hoeft aan te maken. Zelfs dat laatste zou niet eens hoeven als je de standaard " Werkgroep" van windows gebruikt.

In Windows 7 is het een ander verhaal.

Dus duik eerst de bieb eens in en ga eens wat lezen, kennis vergaren, zelf experimenteren voor je bij anderen de boel open gaat zetten, ook al is het met de beste intenties.
02-08-2011, 14:03 door SirDice
Door Anoniem: Kunnen we nu weer mijn ziggo klant gaan helpen?

Begin om alle netwerk protocollen behalve TCP/IP te verwijderen. Netbeui is nergens voor nodig. Zorg dat alle TCP/IP instellingen op automatisch verkrijgen staan.

Sluit router (uplink of WAN poort) aan op modem. Sluit PC's aan op router (switch gedeelte). En dat zou het dan moeten zijn.
02-08-2011, 14:05 door Anoniem
En hoe zit dat met de veiligheid/privacy bij de UPC? Ik heb van hen een Arris 502B/220 modem.
02-08-2011, 14:08 door Riviera
Het modem heeft inderdaad 1 IP adres, dit krijg je van Ziggo en hiermee communiceer je naar de buitenwereld.
Een modem zonder router is volgens mij in pricipe gemaakt voor 1 pc.
In plaats van die ene pc, kun je er ook een router op aansluiten. Dan kun je via die router meerdere pc's op het modem aansluiten. Deze zullen naar buiten toe allemaal via hetzelfde externe IP communiceren.
de pc's (of andere apparaten) die met het router in verbinding staan, krijgen echter ook allen een intern IP (standaard meestal beginnend met 192.168.1.)
alle pc's die met het router verbonden zijn, kun je deel uit laten maken van een thuisnetwerk. Volgens mij moet je hiervoor op zijn minst dezelfde workgroup instellen.
02-08-2011, 14:33 door Anoniem
Door Anoniem: De firewall van dit apparaat (waarschijnlijk een Ubee "MODEM") is zo afgesteld dat de computers binnen het thuis-netwerk "onzichtbaar" zijn op het grote boze Internet (Stealth).
Stealth klinkt goed!

Ik had in http://gathering.tweakers.net/forum/list_messages/1422956 gelezen dat de 'thuis netwerk poorten' bij ziggo niet altijd geblokkeerd werden (wat ik wel stom zou vinden als dat niet geblokkeerd wordt).
02-08-2011, 16:16 door Anoniem
Wat een boosheid allemaal..
Goed dat je hier post en wilt leren. Anders zul je er ook niet verder mee komen vermoedelijk..

Anyway. De standaard modems die je van Ziggo meegeleverd krijgt doen niets meer dan een virtueel circuit opzetten met Ziggo. Het device erachter doet een DHCP request en krijgt een extern IP. Dit noemt men bridgen.

Wat ik je zou aanraden is een NAT device kopen, anders kun je ook geen 2 machines het internet op internet. Ziggo deelt namelijk maar 1 IP per abonee uit.

Je wilt dus geen bridged maar een routed connectie.

Internet --- modem --- NAT device --- intern netwerk

Je kunt ook een router bij Ziggo bestellen, dan heb je het modem + NAT device in 1. Ik geloof dat ze ze ook met wireless aanbieden. Vaak wel zo makkelijk voor thuisgebruikers.

Paar losse dingen nog:
- Die windows settings zijn niet relevant in dit verhaal. Tenzij je SMB wilt toestaan, speel dat wat met die settings, het is vrij eenvoudig.
- Idealiter blokkeer je tcp/445 udp/137-139 naar buiten toe.
- Je hebt doorgaans thuis geen firewall nodig indien je een NAT device hebt. Je kunt gewoon zorgen dat er niks naar binnen geforward wordt.
- "stealth" mode is wat anders, daarmee drop je simpelweg nieuwe sessies die aankloppen op je modem/router.

Succes!
02-08-2011, 16:16 door Anoniem
Door Anoniem: Netbeui ? Welke steen heb je de afgelopen jaren onder geleefd ? Dat is zo prehistorisch . Tegenwoordig werk je met TCP/IP. Maar als je zo weinig kennis hebt van hetgeen je eigenlijk aan het doen bent, was het dan niet wijzer geweest die klant dat eerlijk te vertellen en het door iemand met meer kennis van zaken te laten regelen ?

Daarbij komt dat menig routertje zelf al de juiste instellingen heeft en je op de windows pc alleen maar mappen hoeft te delen en een lokale werkgroep hoeft aan te maken. Zelfs dat laatste zou niet eens hoeven als je de standaard " Werkgroep" van windows gebruikt.

In Windows 7 is het een ander verhaal.

Dus duik eerst de bieb eens in en ga eens wat lezen, kennis vergaren, zelf experimenteren voor je bij anderen de boel open gaat zetten, ook al is het met de beste intenties.

en tcp/ip is niet historisch? Misschien zelfs wel pre-historisch? waar denk je dat die werkgroep vandaan komt? Heeft dat geen relatie met Netbeui? Of heeft dat misschien meer relatie met Netbios? Wat inmiddels ook al jaren achterhaald is met het al jaren achterhaalde DNS? niet zomaar wat roepen joh... Je adviezen zijn goed bedoeld maar het is pot verwijt de ketel in je verhaal...
02-08-2011, 21:53 door Bitwiper
Door Anoniem (de eerste vandaag om 16:16): Wat een boosheid allemaal..
Goed dat je hier post en wilt leren. Anders zul je er ook niet verder mee komen vermoedelijk..
Helemaal mee eens, en chapeau voor de TS dat hij uitkomt voor een mogelijke fout!

Zelf heb ik geen ervaring met kabel-internet, maar heb er n.a.v. http://www.security.nl/artikel/37923/1/Ziggo_Internet_%22security%22.html wat over gelezen. Zo te zien heeft Ziggo in het verleden echte modems uitgeleverd, zie bijvoorbeeld:
Door Anoniem, afgelopen zondag 13:43: Ik heb ook een Motorola modem. Een SBV5120E. Ik kan van Ziggo ook twee IP adressen krijgen. De eerste is in de range 83.82.xxx.xxx met een subnet mask van 255.255.252.0 en de tweede is in de range 94.209.xxx.xxx met een subnetmask van 255.255.248.0. Ze zijn beiden volledig opertioneel. Een aanvraag voor een derde IP nummer wordt niet gehonoreerd.
De veiligheid van dat modem beperkt zich waarschijnlijk tot wat je in de datasheet over security kunt vinden:
Uit http://broadband.motorola.com/catalog/product_documents/SBV5120%20data%20sheetpdf.pdf: Top-mounted standby button disables both the Ethernet and USB ports for increased data security
Ubee modems hebben zo te zien wel een ingebouwde NAT router (en switch).

Hoe weet je of je PC's veilig zijn als je internet via de kabel hebt?

Als je PC een RFC-1918 IP-adres heeft (d.w.z. in een van de reeksen 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255 of 192.168.0.0 – 192.168.255.255, zie http://en.wikipedia.org/wiki/Private_network), zit je in elk geval achter NAT en ben je al behoorlijk veilig: vanaf internet kunnen dan geen verbindingen met je PC worden opgezet.

N.b. als je PC een zogenaamd APIPA IP-adres heeft (d.w.z. in de reeks 169.254.1.0 to 169.254.255.254) dan heb je waarschijnlijk een DHCP probleem.

Met elk ander IP-adres dan uit bovengenoemde reeksen is je PC mogelijk aan allerlei gevaren vanaf internet blootgesteld. Het zou kunnen dat Ziggo risicovolle poorten blokkeert (met name SMB), maar daar heb ik met wat Googlen niks over kunnen vinden (wel de blokkade van uitgaand poort 25 verkeer).

Door Anoniem (de eerste vandaag om 16:16): - Idealiter blokkeer je tcp/445 udp/137-139 naar buiten toe.
Dat is een goede aanvulling (niet alleen voor kabel-internetters) maar dit lijstje is niet volledig!

Mijn advies is het blokkeren van uitgaand verkeer in je (NAT-) router (van LAN naar WAN, dus van je PC's naar Internet) naar de volgende poorten:
135/TCP en 135/UDP (RPC)
137/UDP (NetBIOS Name Resolution)
138/UDP (NetBIOS Datagram Service)
139/TCP (NetBIOS Session Service)
445/TCP en 445/UDP (SMB)
Van al deze poorten kan het overigens bij mijn weten geen kwaad om zowel TCP als UDP te blokkeren.

Daarnaast raad ik aan om uitgaand verkeer naar 25/TCP (STMP) te beperken tot het IP-adres (of reeks) van de SMTP server van je ISP (voor zover je ISP dat zelf al niet blokkeert).

Bronnen:
- "Best Practices for Mitigating RPC and DCOM Vulnerabilities" http://technet.microsoft.com/en-us/library/dd632946.aspx
- "Service overview and network port requirements for the Windows Server system" http://support.microsoft.com/kb/832017
- "Overzicht van actief beveiligde poorten" http://www.xs4all.nl/klant/helpdesk/beveiliging/poortbeveiliging/
02-08-2011, 22:52 door Mysterio
Gaat het nu alweer over Ziggo?
03-08-2011, 11:04 door Anoniem
Door Anoniem:
- Idealiter blokkeer je tcp/445 udp/137-139 naar buiten toe.
- Je hebt doorgaans thuis geen firewall nodig indien je een NAT device hebt. Je kunt gewoon zorgen dat er niks naar binnen geforward wordt.

Naar buiten toe blokkeren heeft geen zin, je moet het naar binnen toe blokkeren.
En het laatste ben ik niet helemaal met je eens, upnp schiet gaten in je NAT :)

Ziggo blokkeerd netbios en smb poorten in hun modem template en CMTSen.
03-08-2011, 12:07 door Anoniem
@Hele diepe zucht:

Als je er niet zoveel verstand van heb, reageer dan gewoon niet.

Er is niets mis met mijn "verstand er van hebben".

Een router heeft niet per definitie een firewall aan boord.

Dat beweerd ook niemand, echter de "MODEM's" die door Ziggo aan haar klanten worden verstrekt zijn multifunctionele apparaten, waar wél een firewall in zit.

Zou het in het vervolg s.v.p. wat minder arrogant en agressief kunnen? De poster vraagt om hulp, niet om afgeblaft te worden.

de ML2MST
03-08-2011, 13:01 door Mameomowskwooz
@ alle Anoniemen en *(hele) diepe zuchten*

't Wordt hier wel steeds treuriger met de kwaliteit van de antwoorden op normale vragen... Sterker nog, ik krijg het idee dat 't er niet om gaat dat men de vragen wilt beantwoorden, maar dat men erop uit is ongevraagd eigen (on)kunde te ventileren. Waarschijnlijk wegens een gebrek aan waardering privé en/of op 't werk. En DAT kan ik me nog voorstellen gezien de hoeveelheid halve -en onwaarheden die hier steeds de revue passeren die in 90% van de gevallen ook niet of nauwelijks iets met de oorspronkelijke vraag van doen hebben.
Dit topic had heel kort kunnen zijn met slechts het antwoord van SirDice (niet anoniem!) van dinsdag 14:03.
03-08-2011, 13:12 door Anoniem
Toch een persoon die daadwerkelijk iets toevoegt aan deze post.

zet een router tussen het modem en het interne netwerk en alles zal werken (nadat je de wizard van de router hebt doorlopen).

Door Anoniem: Wat een boosheid allemaal..
Goed dat je hier post en wilt leren. Anders zul je er ook niet verder mee komen vermoedelijk..

Anyway. De standaard modems die je van Ziggo meegeleverd krijgt doen niets meer dan een virtueel circuit opzetten met Ziggo. Het device erachter doet een DHCP request en krijgt een extern IP. Dit noemt men bridgen.

Wat ik je zou aanraden is een NAT device kopen, anders kun je ook geen 2 machines het internet op internet. Ziggo deelt namelijk maar 1 IP per abonee uit.

Je wilt dus geen bridged maar een routed connectie.

Internet --- modem --- NAT device --- intern netwerk

Je kunt ook een router bij Ziggo bestellen, dan heb je het modem + NAT device in 1. Ik geloof dat ze ze ook met wireless aanbieden. Vaak wel zo makkelijk voor thuisgebruikers.

Paar losse dingen nog:
- Die windows settings zijn niet relevant in dit verhaal. Tenzij je SMB wilt toestaan, speel dat wat met die settings, het is vrij eenvoudig.
- Idealiter blokkeer je tcp/445 udp/137-139 naar buiten toe.
- Je hebt doorgaans thuis geen firewall nodig indien je een NAT device hebt. Je kunt gewoon zorgen dat er niks naar binnen geforward wordt.
- "stealth" mode is wat anders, daarmee drop je simpelweg nieuwe sessies die aankloppen op je modem/router.

Succes!
03-08-2011, 13:50 door Anoniem
Nog een berichtje van de TS,

Bedankt voor alle reacties (ook de negatieve). Ik ben weer wat wijzer geworden en heb nu wat dingen om uit te zoeken (ga me verdiepen in Bridgen, waar ik nog een hoofdstuk uit een boek van heb liggen, wel oud helaas (vorige eeuw)).

Alle modems van ziggo worden idd door Ubee modems vervangen, waar een router in zit. Zoals SirDice en Bitwiper (en anderen) zeggen lost dat dit (niet bestaande) probleem op omdat duidelijk is wat het lokale netwerk is en wat het WAN (zie post 21:53).

Ik maak mij geen zorgen meer om die kennis! Bedankt!
03-08-2011, 19:29 door Bitwiper
Door Anoniem, vandaag om 11:04: Naar buiten toe blokkeren heeft geen zin, je moet het naar binnen toe blokkeren.
Natuurlijk moet je om te beginnen SMB/NetBT poorten van buiten naar binnen blokkeren (NAT doet dat automatisch voor je), maar die poorten van binnen naar buiten blokkeren is ook zinvol (NAT doet dat niet)!

Daarmee voorkom je nl. dat LAN PC's SMB/NetBT verbindingen kunnen maken met (kwaadaardige) servers op internet. Zie bijv. "Block outgoing SMB traffic" in http://www.kb.cert.org/vuls/id/940193, een advisory voor de shortcut kwetsbaarheid van vorig jaar, of zie http://www.sans.org/reading_room/whitepapers/firewalls/egress-filtering-faq_1059 (PDF). Zie mijn eerste comment onder https://isc.sans.edu/diary.html?storyid=8332: bijv. Word documenten bevatten soms verwijzingen naar templates op netwerkdrives; dat zou wel eens ongelukkig kunnen resolven, men zou dit kunnen gebruiken om vast te stellen wanneer een Word document geopend wordt en er kunnen natuurlijk exploits nageladen worden. Genoeg redenen lijkt me.

UPNP is inderdaad ook een risico, als je zeker weet dat je dit niet nodig hebt dan is het verstandig om ook dit te disablen.

Of een poort naar internet geblokkeerd wordt (in je personal firewall, modem, router of bij je ISP), kun je overigens testen op http://www.firebind.com/, en verbindingen van internet naar binnen op de ShieldsUp service van Steve Gibson (te vinden op http://www.grc.com/).

@TS: graag gedaan!
03-08-2011, 22:27 door cjkos
De nieuwe Ubee modems van Ziggo zijn volgens (Heb ik zelfs pas sinds een week of 3)

https://www.grc.com/x/ne.dll?bh0bkyd2

Volledig stealth.
Ik was zelf ook benieuwd of mijn netwerk veilig was.

De test uitgevoerd met onderstaande up and running
.
(De oude router heb ik er tussenuit gehaald),
2 computers bekabeld (2 slots over) en
mobiel, e-bookreader en laptop van mijn schoonzusje op de wifi aangesloten.

Tests uitgevoerd.
Alles stealth,
De zwakste schakel lijkt mijn browser te zijn.
Ik schijn kwetsbaar te zijn voor messenger spam, hoewel ik geen idee heb wat dat is.
Maar de secure en non-secure pagina's geven alleen mijn dynamisch adres en browser.

Maar afhankelijk van het type modem wordt het lokale netwerk niet gedeeld met de rest van de wereld.

Wat ik me echter afvraag, als je voor Ziggo werkt hoor je dit toch te weten?
04-08-2011, 00:20 door Bitwiper
Door cjkos: Ik schijn kwetsbaar te zijn voor messenger spam, hoewel ik geen idee heb wat dat is.
De Messenger Service (welke totaal niets te maken heeft met o.a. MSN Messenger) is een service die standaard aan staat op XP-SP1 en ouder. Deze service luistert op meerdere poorten waaronder UDP/135 maar ook op een UDP poortnummer vlak boven 1024. Deze service bestond zodat dat een sysadmin een melding op elk PC-scherm in het LAN kon laten verschijnen met een tekst zoals "De fileserver gaat om 18:00 plat!"

PC's met publieke IP-adressen die achter een oudere "stateless firewall" zaten, waardoor poort 1024 en hoger toegankelijk was vanaf het internet, werden op een gegeven moment slachtoffer van messenger spam: spammers stuurden UDP pakketjes (meestal met vervalst afzenderadres) naar die PC's en botweg naar bijv. alle UDP poorten van 1024 t/m 1030. Zie http://support.microsoft.com/kb/330904/nl en, voor een voorbeeld, het plaatje rechts in http://en.wikipedia.org/wiki/Messenger_service.

NAT (en dus jouw Ubee router) biedt voldoende bescherming hiertegen (mocht je nog een oude Windows PC hebben draaien).
04-08-2011, 09:37 door cjkos
Door Bitwiper:
NAT (en dus jouw Ubee router) biedt voldoende bescherming hiertegen (mocht je nog een oude Windows PC hebben draaien).

Het vreemde is dat ik een nieuwe pc en win7 heb.
Ik zou er volgens mij ook geen last van moeten hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.