Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Kwetsbare services op de Zyxel P-2601HN-F1

09-12-2012, 02:36 door amityonline, 24 reacties
Hallo,

Al geruime tijd maak ik gebruik van de modem/router Zyxel P-2601HN-F1

Omdat ik gewoon is wilde weten hoeveel open poorten dit apparaat standaard naar buiten open heeft staan deed ik een nmap op mijn externe ip, ik schok me rot, zie het resultaat:

21/tcp filtered ftp
22/tcp filtered ssh
23/tcp filtered telnet
53/tcp open domain
80/tcp open http
443/tcp filtered https
1104/tcp filtered xrl
1105/tcp filtered ftranhc
1106/tcp filtered isoipsigport-1
2000/tcp open cisco-sccp
2001/tcp open dc
8080/tcp open http-proxy
10000/tcp open snet-sensor-mgmt
10001/tcp open scp-config
42510/tcp filtered caerpc
49999/tcp filtered unknown

Zelf heb ik geen extra map-regels in me router staan. Al deze poorten staan dus standaard open (!) Uiteraard ga ik dit spoedig fixen, echter waren er een aantal zaken die mij opvielen:

Als ik connect naar poort 80 krijg ik me admin login-interface te zien, Als ik een fout adres in de adresbalk in tik krijg ik een 404 not found error + de informatie mini_httpd/1.19 19dec2003 Even gezocht op google, en uiteraard zijn er de nodige beveiligingslekken voor deze niet up-to-date webserver. Kan ik hieruit mijn conclusie trekken dat elke persoon met een default zyxel configuratie tot op zekere hoogte kwetsbaar is?

Daarnaast connecte ik naar poort 8080, deze response krijg ik terug:
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance" xmlns:xsd="http://www.w3.org/1999/XMLSchema" xmlns:ifx="urn:dsl_api">
<SOAP-ENV:Body>
<SOAP-ENV:Fault SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<faultcode>SOAP-ENV:Server</faultcode>
<faultstring>Timeout</faultstring>
<SOAP-ENV:Detail>accept failed in soap_accept()</SOAP-ENV:Detail>
</SOAP-ENV:Fault>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>

Wat moet dit in hemelsnaam op mijn routertje? Op google kan ik hier niks over vinden, Iemand een idee wat de nut en noodzaak is van deze webservice?

Als ik connect naar poort 2001 uiteraard vanaf mijn externe ip krijg ik de volgende bijzondere response:
http://pastebin.com/QUjt82d0

Heeft iemand enig idee wat deze services zijn?


provider info verwijderd
Reacties (24)
09-12-2012, 10:07 door Anoniem
Ik heb ook een zyxel modem in gebruik van Canaldigitaal.
Maar je gebruik Linux en geen Windows als Computer OS,in de configuratie van het modem heb ik bij een paar dingen wat vinkjes weggegaald,en opgeslagen.
Dat kan je doen met de instellingen,volgens mij is er dan een stuk minder aan de hand,dan dat dan standaard deze poorten open staan.
09-12-2012, 10:20 door Ignitem
Over filtered zou ik me niet druk maken, want die staan dicht, maar de andere poorten kunnen zeker een beveiligingsrisico vormen.
Ik heb geen ervaring met Zyxel routers, maar dit lijkt me geen standaard configuratie. Weet je zeker dat er geen port forwarding regels in je router zijn aangemaakt bijvoorbeeld automatisch door UPnP of NAT-PMP?
09-12-2012, 10:52 door Anoniem
Let er wel op, als je je netwerk scant van binnenuit op het externe ip adres, dan kan het zijn dat je andere resultaten krijgt dat je verwacht. Bij mij levert een scan van binnen op mijn extere adres ook openstaande poorten op, terwijl die vanaf mijn server op het internet echt niet bereikbaar zijn.
Dit wordt veroorzaakt door de routering op je internetrouter. Je bereikt het apparaat via de interne interface, gaat dan binnendoor, in de router zelf naar het externe ip, waardoor de firewallregels voor het interne verkeer naar de router worden gebruikt, en niet de externe.
Om zeker te weten hoe het zit, zou ik eens een scan doen vanaf de buitenkant, dit kan met veel diensten, zoek op google op 'scan my ports' oid.
09-12-2012, 11:09 door Anoniem
Ik dacht dat ik ook iets dergelijks aan de hand had met mijn router.
Wanneer ik van binnen mijn netwerk een nmap deed op het externe ip adres stond er een gigantische hoeveelheid poorten open, maar als ik diezelfde scan uitvoer vanop een ander netwerk stond alles netjes toe.

Ik raad u dus aan eens een scan te doen van buiten uit.
09-12-2012, 11:59 door Anoniem
Bedankt voor de reacties. Als ik vanaf me vps een scan doe staat alles dicht behalve de port 80 webinterface, waarvan de webservice nogal out-dated lijkt,(mini_httpd uit 2003), deze ga ik dicht zetten. Wat ik nog niet kan verklaren is de vreende response als ik connect naar poort 2001 intern, zie pastebin link. Bedankt voor de hulp iig!
09-12-2012, 12:14 door Anoniem
Feit dat je je "rot schrok" van een boel "filtered" (en dus niet te bereiken van buitenaf) poortjes betekent dat je nog even moet doorstuderen. Voorlopig zit je nog in "GWF"-land. Dit zegt niets over de gevaren die je al dan niet loopt, wel over de nuttige conversaties die er met jou over te voeren zijn. Eerst maar even ontpanieken dus.

Poort 8080 doet iets met SOAP, even kijken of je daar introspectie op kan toepassen. Geen idee wat 2001 doet, net als die andere open poorten overigens. Ik hoop dat je doorhebt dat de text achter de poortnummers niet meer is dan een indicatie (uit /etc/services of wat nmap daar in plaats van ook gebruikt) en dat hoe obscuurder de poort hoe onbetrouwbaarder die tekst. Hou ons op de hoogte van wat je vindt. Een van de dingen die je kan proberen is, hoe gek het ook mag klinken, om zyxel te vragen wat die open poortjes doen (gefilterde poortjes braaf weglaten).
09-12-2012, 12:16 door Anoniem
Even je Remote MGMT weer uitzetten. Dit staat standaard uit denk ik, maar misschien kan je provider hier andere defaults voor geven.
09-12-2012, 12:24 door anton-2
Ik vraag me af hoe ik mijn netwerk van buitenaf kan scannen.
Doe ik dat door in de browser mijn ip-adres in de adresbalk op te geven?

Dit vraag ik ook naar aanleiding van het tv-programma "Reporter".
http://www.uitzendinggemist.nl/afleveringen/1311089
Daar liet men zien hoe een externe harde schijf, printer, scanner van buitenaf te benaderen waren.

In een folder https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/factsheets/factsheet-beveilig-apparaten-gekoppeld-aan-internet.html van de Overheid wordt de volgende site genoemd: http://shodanhq.com
Wat kan ik hier mee doen.

bij voorbaat dank voor de antwoorden.

Anton
09-12-2012, 12:44 door amityonline
Bedankt voor de reacties. Als ik vanaf me vps een scan doe staat alles dicht behalve de port 80 webinterface, waarvan de webservice nogal out-dated lijkt,(mini_httpd uit 2003), deze ga ik dicht zetten. Wat ik nog niet kan verklaren is de vreende response als ik connect naar poort 2001, zie pastebin link. Bedankt voor de hulp iig!
09-12-2012, 12:52 door choi
Je eigen doos vanaf diezelfde doos scannen (als dat inderdaad is het geval is geweest) lijkt me inderdaad niet wijs. Gebruik een van de vele online scans en verdiep je minimaal in de door Nmap gebruikte terminologie (de 'port states') om onnodig paniek te voorkomen.

Open means that an application on the target machine is listening for connections/packets on that port. Filtered means that a firewall, filter, or other network obstacle is blocking the port so that Nmap cannot tell whether it is open or closed. Closed ports have no application listening on them, though they could open up at any time. Ports are classified as unfiltered when they are responsive to Nmap's probes, but Nmap cannot determine whether they are open or closed. Nmap reports the state combinations open|filtered and closed|filtered when it cannot determine which of the two states describe a port.
http://nmap.org/book/man.html

Als je vermeldingen ziet z.a '80/tcp open http' kan Nmap dus de 'state' van de poort en de service die erachter draait identificeren.

Als je onbekende services of 'unknown' ziet (vooral achter 'open' en 'unfiltered' poorten) lijkt het me een goed idee om even na te gaan waar die poort door gebruikt wordt.

Online Nmap scan:
http://nmap.online-domain-tools.com/ (pas de parameters naar wens aan)
09-12-2012, 12:56 door choi
Poort 2001 wordt door dcservice.exe gebruikt:
http://systemexplorer.net/file-database/file/dcservice-exe

Ik hoop verder dat je bedoeld dat je de toegang tot de webinterface van de router gaat blokkeren en niet poort 80 zelf.
09-12-2012, 13:14 door Spiff has left the building
Door anton-2, 12:24 uur:
Ik vraag me af hoe ik mijn netwerk van buitenaf kan scannen.
Met Shodan dat je noemt, heb ik geen ervaring.
Ook de Nmap Online Scanner die choi vermeldt, die kende ik nog niet.

Waar ik zelf ervaring mee heb, dat is ShieldsUP!, van Gibson Research Corporation.
ShieldsUP! is een bekende en goed bekendstaande scanner.
http://www.grc.com/
Services\ ShieldsUP! -->
https://www.grc.com/x/ne.dll?bh0bkyd2
Scan eventueel eerst "Common Ports" en in ieder geval "All Service Ports".

Daarnaast is eventueel ook nog de kwaliteit van de firewall bij het bieden van bescherming tegen het lekken van binnen naar buiten te onderzoeken, door middel van LeakTest.
https://www.grc.com/lt/leaktest.htm
https://www.grc.com/lt/howtouse.htm
09-12-2012, 17:10 door Anoniem
Door anton-2: Ik vraag me af hoe ik mijn netwerk van buitenaf kan scannen.
Doe ik dat door in de browser mijn ip-adres in de adresbalk op te geven?

Dit vraag ik ook naar aanleiding van het tv-programma "Reporter".
http://www.uitzendinggemist.nl/afleveringen/1311089
Daar liet men zien hoe een externe harde schijf, printer, scanner van buitenaf te benaderen waren.

In een folder https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/factsheets/factsheet-beveilig-apparaten-gekoppeld-aan-internet.html van de Overheid wordt de volgende site genoemd: http://shodanhq.com
Wat kan ik hier mee doen.

bij voorbaat dank voor de antwoorden.

Anton
Naast de uitstekende tips die hierboven staan mist er één:
ALTIJD DE HANDLEIDING LEZEN !!! (Liefst vooraf, haha sorry)
Google even op "handleiding typenummer-apparaat-in-kwestie"
of anders "user manual zelfde-verhaal"

Vanuit daar helpen we je, indien nog nodig, graag weer verder!
09-12-2012, 20:55 door Anoniem
Een open poort met een luisterende service daarachter hoeft nog geen probleem te zijn. Je kan ook nog door je services goed af te richten een hoop bereiken. Het is overigens sowieso goed om niet blind op je NAT en/of firewall te vertrouwen.
09-12-2012, 23:04 door choi
Als je op grc.com scant hou er rekening mee dat er alleen op de eerste 1024 poorten gescand wordt (er bestaan meer dan 60.000 poorten). Voor meer dan een basale scan zou ik grc.com (en eventueel pcflank.com die meer mogelijkheden biedt) zelf niet gebruiken

En nog wat:
Elders op het forum wordt Steve Gibson (van grc.com) een charlatan genoemd, Ik ben die mening niet toegedaan maar ik heb hem op een ander forum wel een alarmist genoemd

Dit laatste komt tot uiting in de door grc.com gebruikte terminologie die inmiddels gemeengoed is geworden (tot grote ergernis van netwerkspecialisten). Steve Gibson is namelijk de persoon die de term 'Stealth' in relatie tot netwerk security in de wereld heeft geholpen (of in ieder geval heeft gepopulariseerd).

De portscan op grc.com geeft al heel gauw een in grote rode letters geschreven FAIL raportcijfer als maar een (van de 1024) poorten een 'closed' i.p.v 'stealth' melding geeft (bijv. omdat vele routers in de default configuratie wan- side pings doorlaten).

Een 'stealth' poort is gewoon een 'closed' port met als verschil dat bij 'stealth' de machine achter de poort de pakketjes van de port scan heeft 'ge-dropped' en dus geen respons terug geeft (zoals het tcp/ip protocol dat vereist) maar maakt je niet 'onzichtbaar' en dus veiliger.

'Stealth' is dus een marketing term en heeft geen betekenis in het kader van netwerk security, laat je er dus niet door van de wijs brengen.
09-12-2012, 23:53 door Spiff has left the building
Bijzonder dank voor de verfrissend kritische kijk op ShieldsUP!, choi!
Stomheidshalve had ik me nooit heel goed gerealiseerd dat de ShieldsUP! scan zeer beperkt is.

Zoals ik al aangaf, de Nmap Online Scanner die kende ik nog niet, maar toen ik daarvan de beschrijving las bij Description en Usage, toen dacht ik al wel, "hee, maar Spiff, wacht eens even..."
http://nmap.online-domain-tools.com/
The Full Nmap scan of your computer is a mode in which Nmap Online Scanner scans a full range of ports that are specified within this option. This scan can take a while especially if you want to scan more than 10000 ports. In case of large port ranges and due to the service limits, it might be necessary to divide your scan into several smaller scan requests.
Tja, da's toch wel net effe wat meer dan de ShieldsUP! scan...
10-12-2012, 09:09 door Fwiffo
@choi: Ik heb maar een heel oppervlakkige kennis hierover, maar hoe zit het met ICMP, UDP, SNMP, bittorrent e.d.? De topic starter noemt alleen TCP als voorbeelden en ShieldsUP! is ook alleen maar TCP. Maar dat is toch niet het enige gevaar voor je desktop computer? Wat als een een UDP poort op staat? Is dat te detecteren met nmap??

P.S. Ik ben mij bewust dat ik verschillende netwerklagen door elkaar gooi hier, maar mijn vraag lijkt mij duidelijk.
10-12-2012, 09:17 door RickDeckardt
Vreemd
10-12-2012, 12:27 door choi
Door Fwiffo: @choi: Ik heb maar een heel oppervlakkige kennis hierover, maar hoe zit het met ICMP, UDP, SNMP, bittorrent e.d.? De topic starter noemt alleen TCP als voorbeelden en ShieldsUP! is ook alleen maar TCP. Maar dat is toch niet het enige gevaar voor je desktop computer? Wat als een een UDP poort op staat? Is dat te detecteren met nmap??

P.S. Ik ben mij bewust dat ik verschillende netwerklagen door elkaar gooi hier, maar mijn vraag lijkt mij duidelijk.

Ik ben geen securityspecialist en helemaal geen netwerkspecialist maar de security risico's van UDP zijn volgens mij minimaal. Vanwege de aard van het UDP protocol is deze bijv. kwetsbaar voor spoofing. ICMP was vroeger kwetsbaar voor de zgn Ping Of Death maar deze kwetsbaarheid is inmiddels gepatched. Ik heb zelf nog nooit gehoord van een exploit op Bittorrent maar er bestaan volgens mij wel proof of concept exploits. Over SNMP weet ik weinig maar volgens mij zijn er in het verleden exploits op printers en routers gemeld. De vraag is natuurlijk in hoeverre een eventuele kwetsbaarheid in-the-wild voorkomt en dus een risico voor de eindgebruiker vormt.

Overigens wordt het gevaar van een open poort vooral bepaald door de kwetsbaarheid van de service die erachter draait. Dat zal waarschijnlijk de reden zijn waarom de scan van grc.com zich beperkt tot de meest gebruikte TCP/IP poorten (de zgn well known ports volgens de IANA classificatie).

Het voorgaande is vooral voor zover mijn parate kennis strekt, misschien dat de security-en netwerkspecialisten op dit forum meer licht op e.e.a kunnen werpen.

Fyodor zegt over de security risico's en het scannen van UDP poorten het volgende:
Scanning for open UDP ports is done with the -sU option. With this scan type, Nmap sends 0-byte UDP packets to each target port on the victim. Receipt of an ICMP Port Unreachable message signifies the port is closed, otherwise it is assumed open.

One major problem with this technique is that, when a firewall blocks outgoing ICMP Port Unreachable messages, the port will appear open. These false-positives are hard to distinguish from real open ports.

Another disadvantage with UDP scanning is the speed at which it can be performed. Most operating systems limit the number of ICMP Port Unreachable messages which can be generated in a certain time period, thus slowing the speed of a UDP scan. Nmap adjusts its scan speed accordingly to avoid flooding a network with useless packets. An interesting point to note here is that Microsoft do not limit the Port Unreachable error generation frequency, and thus it is easy to scan a Windows machine’s 65,535 UDP Ports in very little time!!

UDP Scanning is not usually useful for most types of attack, but it can reveal information about services or trojans which rely on UDP, for example SNMP, NFS, the Back Orifice trojan backdoor and many other exploitable services.

Most modern services utilise TCP, and thus UDP scanning is not usually included in a pre-attack information gathering exercise unless a TCP scan or other sources indicate that it would be worth the time taken to perform a UDP scan.

http://nmap.org/bennieston-tutorial/
10-12-2012, 12:31 door choi
verwijderd
10-12-2012, 12:44 door choi
10-12-2012, 14:58 door AdVratPatat
@choi, Fwiffo & Spiff.
Ik heb dit topic (soms met lede ogen) een tijdje aangezien, +1 voor choi met de link naar http://nmap.online-domain-tools.com/ en de uitleg over waarom GRC als een paniekzaaier wordt gezien in de verschillende IT-kringen.
Ik ben blij dat jullie niet als een kip zonder kop rondrennen maar duidelijke en bruikbare informatie verstrekken / zoeken!
Dus als kleine aanvulling op jullie uiteindelijke onduidelijkheden over de verschillende protocollen heb ik besloten dan ook mijn reactie maar even te spammen. Voor jullie alle drie is het wellicht handig om hier te starten: http://en.wikipedia.org/wiki/Internet_protocol_suite (No offense!, de Nederlandstalige Wikipedia is vaak zeer onvolledig en onduidelijk IMHO.)

Héél simpel (en daardoor onvolledig):
TCP is een (hèt) protocol waarbij de verzender met zekerheid kan bepalen of de ontvanger het pakket goed heeft ontvangen. Dit is dus cruciaal als je de status van een poort wil bepalen, of een trace-route doet bijvoorbeeld.
UDP gaat maar één kant op, een UDP poort-scan kan dus nooit aantonen of een pakketje correct wordt ontvangen.
ICMP (Pingen) geeft alleen aan OF er verbinding gemaakt kan worden, maar dit kan net zo goed een "block-pagina" van de provider zijn oid en zegt dus ook helemaal niets. Overigens geldt dit laatste ook voor TCP (natuurlijk), dus het loont de moeite om daar verder naar te kijken als je echt paranoïde bent na vreemde resultaten aan te hebben getroffen.


@anton-2
Met Shodan kun jij echt helemaal niets nuttigs doen voor jezelf of anderen, dit is gewoon weer stemming-makerij van ome Ivo.


@amityonlineZou je voortaan een vraagteken ("???") achter je topic willen zetten aub? Als je de reacties ziet lijkt me de reden duidelijk, het valt me eigenlijk nog reuze mee deze keer...
De enige vraag van je die ik echt helemaal nog niet beantwoord heb gezien gaat over wat je op Pastebin hebt gepost:
Dit is een foutmelding omdat je geen juiste (enkele) syntax hebt gebruikt.
Ofwel, ieder regeltje geeft een mogelijk commando (syntax, ofwel parameter, ofwel datgene wat je precies wilt testen, ik hoop dat het duidelijk is), en de uitleg over wat dat commando doet staat daar dan voor het gebruikersgemak achter. ;]


OT:
Géén paniek mensen, vrouwen en kinderen eerst!
29-12-2012, 22:26 door Anoniem
hoi computerfreaks

ik heb het probleem met mijn router dat ik geen mail kan versturen kan iemand mij hier verder mee helpen???
Zyxel modem P-2601HN-F1
30-12-2012, 14:47 door RenePieters
Ik zie mezelf niet als freak, maar ik heb wel een kristallen bol, en ik voorspel dat je verzuimd hebt de smtp-server van je provider in te vullen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.