Security Professionals - ipfw add deny all from eindgebruikers to any

Hulp gezocht met herkennen van probleem

15-04-2015, 01:17 door Anoniem, 10 reacties
Ik Heb afgelopen weekeinde een alles in 1 pakket van ziggo door een monteur laten installeren.
Wat mij al vrij snel opviel was dat er geen cisco of ubee modem in mijn meterkast terrecht zou komen.

Ziggo verstrekt tegenwoordig een ander merk modem aan haar klanten.
De naam van het merk is Technicolor, Technicolor word vertegenwoordigd door een in Frankrijk gevestigd bedrijf.

Vreemd genoeg word ook dit (nieuwe) merk modem zonder enige bijbehorende gebruikshandleiding bij de eindgebruiker afgeleverd.
Een vereenvoudigde of verkote versie of blaadje met een verwijzing naar een online gedocumenteerde handleiding missen allemaal.
(Je zou bijna gaan denken, dat de (grote) providers deze zelf eruit lijken te halen.)

De webinterface voor de configuratie instellingen van het modem, is wat opgevrolijkt door wat kleuren eraan toetevoegen.
Wat een vertrouwlijker en rustgevender gevoel zou moeten afgeven, ma bij het zien van de hoeveelheid aan te passen en na wens te configureren intellingen het modem bevat
ben die gedachte ook weer snel vergeten en hoop ik niet dat misschien ook dit weleens zo'n merk/type modem zou kunnen
zijn afkomstig uit de catagorie "Te leuk om te functioneren, met opties die meer beweren dan presteren"

Nou dan maar eens zoveel mogelijk deactiveren en waar mogelijk uitschakelen, en dan maar hopen dat dit probleemloos word gesnopen.
Tijdens het configuren viel mij al op, dat dit type/model modem niet de benodigde aandacht heeft gekregen als dat het nodig had.
Enkele functies zoals de "Administration Web Page Access" en het MAC-Adres Filter blijken dubbel in de firmware gebakken te zijn.
Deze instellingen zijn vanaf 2 unieke plekken te bereiken, zodra een van deze twee word aangepast veranderd de andere op de achtergrond ook gelijktijdig mee.

Na alles na wens te hebben geconfigureerd voer ik een reboot op het modem uit om te kijken of ook daadwerkelijk alles correct is doorgevoerd.
Al snel merk ik op dat de netwerkclient genaamd Ziggo-NAS 192.168.178.10 een vernieuwde ip lease van de dhcp server heeft gekregen.
Dit was eigenlijk niet de bedoeling, omdat ik ingesteld had de NAS server geheel uit te schakelen en bovendien de usb poorten van het modem ook volledig te deactiveren.
Verder valt mij op dat de Partental Control ook niet (optimaal) funcitoneerd, ik heb een Blocked Domain ingesteld voor facebook.com twitter.com en googletagservices.com
Maar de webpagina van www.facebook.com word nog probleemloos ingeladen in de browser. Dit vormt verder geen mogelijk potentieel probleem dus ga ik daar later ooit nog mee verder?

Dan maar eens creatief gaan spelen met de configuratie en reboot en reset instellingen om te kijken welke rare unieke manier nodig is deze down te krijgen.
Vanalles geprobeerd te hebben lukt het me niet om de Ziggo-NAS uitgeschakeld, offline, of disconnected van mijn lan-netwerk te krijgen.
Dan maar met strikte regels verbinding met het intenet onmogeijk te maken, en het contact maken met andere clients van elkaar te isoleren.
Dmv statisch ip (van 192.168.178.10 na 192.168.178.234), ip filtering, Time of day accesss filter en mac-adres filtering. Heb de wifispots functie op het modem ook nog laten uitschakelen
door de klantenservice, maar ook dat brengt geen verschil.

Om een duidelijker beeld van de functie van Ziggo-NAS te krijgen en om te kijken of er nog meer actief is binnen mijn lan omgeving zonder dat ik het wist.


=====================================================================================================
SCAN 1
=====================================================================================================

root@root:~# nmap -v -A -Pn 192.168.178.0/24

Discovered open port 111/tcp on 192.168.178.234
Discovered open port 445/tcp on 192.168.178.234
Discovered open port 139/tcp on 192.168.178.234
Discovered open port 80/tcp on 192.168.178.234
Discovered open port 80/tcp on 192.168.178.1
Discovered open port 8080/tcp on 192.168.178.1

Nmap scan report for 192.168.178.1
Host is up (0.0019s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
80/tcp open tcpwrapped
8080/tcp open http Mongoose httpd
|_http-methods: No Allow or Public header in OPTIONS response (status code 400)
|_http-title: Spectrum Analyzer
MAC Address: 58:23:8C:E9:C8:DA (Technicolor CH USA)
Device type: general purpose
Running: Wind River VxWorks
OS CPE: cpe:/o:windriver:vxworks
OS details: VxWorks
Uptime guess: 0.005 days (since Tue Apr 14 15:00:24 2015)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=260 (Good luck!)
IP ID Sequence Generation: Incremental


Nmap scan report for 192.168.178.234
Host is up (0.0016s latency).
Not shown: 996 closed ports
PORT STATE SERVICE VERSION
80/tcp open http BusyBox httpd 1.13
|_http-methods: No Allow or Public header in OPTIONS response (status code 501)
|_http-title: Site doesn't have a title (text/html).
111/tcp open rpcbind 2 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2 111/tcp rpcbind
|_ 100000 2 111/udp rpcbind
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
MAC Address: 58:23:8C:E9:C8:DC (Technicolor CH USA)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.30
Uptime guess: 0.001 days (since Tue Apr 14 15:06:43 2015)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=200 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
| smb-os-discovery:
| OS: Unix (Samba 3.0.37)
| NetBIOS computer name:
| Workgroup: WORKGROUP
|_ System time: 2015-04-14T15:02:04+00:00
| smb-security-mode:
| Account that was used for smb scripts: guest
| Share-level authentication (dangerous)
| SMB Security: Challenge/response passwords supported
|_ Message signing disabled (dangerous, but default)
|_smbv2-enabled: Server doesn't support SMBv2 protocol


Nmap scan report for 192.168.178.12
Host is up (0.000042s latency).
All 1000 scanned ports on 192.168.178.12 are closed
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops


Omdat mijn kennis niet vergenoeg rijkt om het resultaat van de scan goed genoeg te kunnen begrijpen,
En dit mijn beeld ervan helaas niet verder ophelderd. Ben ik weer verder gegaan met het aanpassen van configuraties.
Ik heb het statische ip-adres weer verwijderd, evenals de voorheen ingestelde ip filtering, Time of day accesss filter,
mac-adres filtering en de communicatie tussen netwerk clients weer toegestaan.
De dhcp pool range is aangepast, en start nu vanaf ip 192.168.178.123.
Omdat ik ook nog bezig was met het installeren van een computer, heb ik deze nu dit keer ook aan het netwerk aangesloten en
een statisch ip adres van 192.168.178.188 toegewezen. (ter verduidelijking de ZIGGO-NAS is nu 192.168.178.124)


==========================================================================================================
SCAN 2
==========================================================================================================

root@root:~# nmap -v -A -Pn 192.168.178.0/24

Discovered open port 22/tcp on 192.168.178.188
Discovered open port 80/tcp on 192.168.178.124
Discovered open port 111/tcp on 192.168.178.188
Discovered open port 111/tcp on 192.168.178.124
Discovered open port 445/tcp on 192.168.178.124
Discovered open port 139/tcp on 192.168.178.124
Discovered open port 80/tcp on 192.168.178.1
Discovered open port 8080/tcp on 192.168.178.1
Discovered open port 3128/tcp on 192.168.178.188
Discovered open port 4321/tcp on 192.168.178.124

Nmap scan report for 192.168.178.1
Host is up (0.0015s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
80/tcp open tcpwrapped
|_http-title: Login - Ziggo Wi-Fi Modem
8080/tcp open http Mongoose httpd
|_http-methods: No Allow or Public header in OPTIONS response (status code 400)
|_http-title: Spectrum Analyzer
MAC Address: 58:23:8C:E9:C8:DA (Technicolor CH USA)
Device type: general purpose
Running: Wind River VxWorks
OS CPE: cpe:/o:windriver:vxworks
OS details: VxWorks
Uptime guess: 0.022 days (since Tue Apr 14 16:10:23 2015)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=260 (Good luck!)
IP ID Sequence Generation: Incremental


Nmap scan report for 192.168.178.124
Host is up (0.0012s latency).
Not shown: 995 closed ports
PORT STATE SERVICE VERSION
80/tcp open http BusyBox httpd 1.13
|_http-methods: No Allow or Public header in OPTIONS response (status code 501)
|_http-title: Site doesn't have a title (text/html).
111/tcp open rpcbind 2 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2 111/tcp rpcbind
|_ 100000 2 111/udp rpcbind
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
4321/tcp open http-proxy sslstrip
|_http-methods: No Allow or Public header in OPTIONS response (status code 400)
|_http-title: Site doesn't have a title.
MAC Address: 58:23:8C:E9:C8:DC (Technicolor CH USA)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.30
Uptime guess: 0.015 days (since Tue Apr 14 16:20:37 2015)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=206 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
| nbstat: NetBIOS name: ZIGGO-NAS, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| Names:
| ZIGGO-NAS<00> Flags: <unique><active>
| ZIGGO-NAS<03> Flags: <unique><active>
| ZIGGO-NAS<20> Flags: <unique><active>
| \x01\x02__MSBROWSE__\x02<01> Flags: <group><active>
| WORKGROUP<1d> Flags: <unique><active>
| WORKGROUP<1e> Flags: <group><active>
|_ WORKGROUP<00> Flags: <group><active>
| smb-os-discovery:
| OS: Unix (Samba 3.0.37)
| NetBIOS computer name:
| Workgroup: WORKGROUP
|_ System time: 2015-04-14T16:31:03+00:00
| smb-security-mode:
| Account that was used for smb scripts: guest
| Share-level authentication (dangerous)
| SMB Security: Challenge/response passwords supported
|_ Message signing disabled (dangerous, but default)
|_smbv2-enabled: Server doesn't support SMBv2 protocol


Nmap scan report for 192.168.178.188
Host is up (0.00017s latency).
Not shown: 997 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.0p1 Debian 4+deb7u2 (protocol 2.0)
| ssh-hostkey:
| 1024 5d:d9:b0:dc:2d:fd:b0:53:bb:9c:d6:99:02:cc:58:d3 (DSA)
| 2048 a5:c9:66:45:ad:08:1c:c5:dc:91:6a:b5:2c:df:fb:84 (RSA)
|_ 256 a1:0c:4c:b5:55:b3:9d:9c:cc:a4:f4:b3:ec:7e:25:2e (ECDSA)
111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100024 1 34080/udp status
|_ 100024 1 34669/tcp status
3128/tcp open tcpwrapped
MAC Address: 00:15:17:DB:58:60 (Intel Corporate)
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.10
Uptime guess: 0.007 days (since Tue Apr 14 16:32:29 2015)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=258 (Good luck!)

IP ID Sequence Generation: All zeros
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel


Nmap scan report for 192.168.178.123
Host is up (0.000063s latency).
All 1000 scanned ports on 192.168.178.123 are closed
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops


Het resultaat van deze scan ziet er alweer een stuk anders uit, maar helaas nog altijd niet veel zeggend voor mij.
En na het goed bekijken van de 2e scan, zie ik dat de ZIGGO-NAS een http proxy draait op poort 4321 die gebruikt word voor het uitvoeren van (gekgenoeg) sslstip.
(4321/tcp open http-proxy sslstrip)
Dit schept nog meer verwarring bij mij, en schets het gevoel dat dit volgens mij best wel foute boel is (als ik het goed begrijp)

Wie is er zo vriendelijk en behulpzaam die hier ziet of kan zien wat er (enigsinds) gaande is met mijn ziggo modem.
Degene die tijd en moeite neemt hiervoor ben ik zeer dankbaar.
Reacties (10)
16-04-2015, 16:10 door didrix
http://seclists.org/nmap-dev/2014/q1/337. Waarschijnlijk een false positive. Probeer eens http://192.168.178.124:4321/ in je browser.
16-04-2015, 16:53 door golem
Ik zou het verhaal eens op het forum van Ziggo gebruikers zetten.
Daar checken/helpen ook technici van Ziggo je.
http://ziggo-gebruikers.nl/
16-04-2015, 20:55 door Anoniem
Technicolor is de merknaam van wat vroeger Alcatel was en daarna Thomson.
Dit is een grote modem leverancier, niet "een of ander Frans bedrijf" (ja het is wel Frans maar daar is niks mis mee)

Handleidingen zit er al jaren niet meer bij dit soort spullen, je wordt geacht dit zelf vanaf internet te downloaden.
De mensen deden er toch niks mee.

(rest van het verhaal niet meer gevolgd)
17-04-2015, 10:46 door Anoniem
Door Anoniem: Technicolor is de merknaam van wat vroeger Alcatel was en daarna Thomson.
Dit is een grote modem leverancier, niet "een of ander Frans bedrijf" (ja het is wel Frans maar daar is niks mis mee)

Alcatel en Thomson.. Met beiden helaas geen goede ervaringen. Als het Technicolor modem dezelfde kwaliteit is, zit er geheid iets in wat niet (goed) werkt... :-/
17-04-2015, 10:51 door erazz
Je bent niet verplicht om deze router/modem te gebruiken. Als je echt zo veel belang hebt bij de opties die jij wil dan kun je beter zelf een echte router kopen. dat gedrocht van ziggo in bridge modus laten zetten en dan zelf je router configureren met wat jij wil.
Want die provider router/modems blijven over het algemeen (uitzonderingen daar gelaten) goedkope oplossingen die niet uitgebreid instelbaar zijn. Ook heb je zelf geen controle over de firmware en de updates.
17-04-2015, 11:28 door Anoniem
Door Anoniem:
Door Anoniem: Technicolor is de merknaam van wat vroeger Alcatel was en daarna Thomson.
Dit is een grote modem leverancier, niet "een of ander Frans bedrijf" (ja het is wel Frans maar daar is niks mis mee)

Alcatel en Thomson.. Met beiden helaas geen goede ervaringen.

Ik wel. Alcatel/Thomson modems dat waren, zeker in de begintijd, de allerbeste die je kon krijgen voor veel of weinig
geld. De performance van die dingen bij een gegeven lijn die stonden op eenzame hoogte. Ik heb wel na lang tobben
in een opstelling met dure Cisco routers met ADSL module de boel omgeconfigureerd naar het gebruik van externe
Alcatel Speedtouch 521 modems ipv die module (waar dezelfde chipset in zat!) en meteen VEEL hogere en VEEL
stabielere verbindingen.

Men weet daar kennelijk echt wel wat men doet, op het gebied van bijvoorbeeld printontwerp en storingsvrij design.
Dat zag je trouwens vaker bij vergelijking met concurrentie die net begonnen was, bijvoorbeeld AVM (Fritzbox).
Die Alcatel/Thomson modems deden het structureel beter. De anderen moesten dat maar zien in te halen.

Dit heeft natuurlijk niks met een huidig modem te maken, zeker niet in een tijd waarin bijna niemand meer in Europa
iets zelf maakt en het dus waarschijnlijk gewoon een Huawei kastje is met een Technicolor label erop, maar ik denk
dat je het fout hebt als je het over hun kwaliteit en techniek in het algemeen hebt.
17-04-2015, 11:44 door mcb
Door TS:
Al snel merk ik op dat de netwerkclient genaamd Ziggo-NAS 192.168.178.10 een vernieuwde ip lease van de dhcp server heeft gekregen.
Dit was eigenlijk niet de bedoeling, omdat ik ingesteld had de NAS server geheel uit te schakelen...
Controleer ook even of je "NAS" (en evt. andere ongewenste zaken) niet via internet te bereiken is:
http://nmap.online-domain-tools.com/.
Uiteraard wel je publieke ip invullen en niet 192.168.....
17-04-2015, 14:26 door Anoniem
[/quote]Controleer ook even of je "NAS" (en evt. andere ongewenste zaken) niet via internet te bereiken is:
http://nmap.online-domain-tools.com/.
Uiteraard wel je publieke ip invullen en niet 192.168.....[/quote]Dat heb ook gedaan, was niet het geval gelukkig.

Ik heb het modem trouwens laten omwisselen voor een ubee, deze heeft die functie niet waar er constant een extra client aanwezig op het lan netwerk. Er is daar vandaag een monteur voor langs geweest, dus het voorlopig opgelost allemaal.
17-04-2015, 15:28 door Anoniem
Ik wel. Alcatel/Thomson modems dat waren, zeker in de begintijd, de allerbeste die je kon krijgen voor veel of weinig
geld.
Men weet daar kennelijk echt wel wat men doet, op het gebied van bijvoorbeeld printontwerp en storingsvrij design.
...
Dit heeft natuurlijk niks met een huidig modem te maken, zeker niet in een tijd waarin bijna niemand meer in Europa
iets zelf maakt en het dus waarschijnlijk gewoon een Huawei kastje is met een Technicolor label erop, maar ik denk
dat je het fout hebt als je het over hun kwaliteit en techniek in het algemeen hebt.

Mijn Alcatel ervaring was met modems, dus dat is wel een tijd geleden, maar uiteindelijk een US Robotics gekocht en daarna nooit meer een nieuwe nodig gehad.
Met Thomson denk ik altijd nog aan de het "lek" met het wifi wachtwoord. Ik had mijn eigen wifi router er achter staan want de wifi module was (gelukkig?) defect gegaan, dus zelf geen last. Maar mijn buren wel en kon zo van hun wifi gebruik maken. (https://www.security.nl/posting/19131/)

Kennelijk was het lek een groot probleem want kreeg ineens ongevraagd een nieuwe router van mijn provider.
Vandaar dat ik toch wel met een boogje om dat merk heen ben gaan lopen. Misschien inmiddels onterecht maar de (image)schade is al geleden...
18-04-2015, 12:51 door Anoniem
Door Anoniem:
Ik wel. Alcatel/Thomson modems dat waren, zeker in de begintijd, de allerbeste die je kon krijgen voor veel of weinig
geld.
Men weet daar kennelijk echt wel wat men doet, op het gebied van bijvoorbeeld printontwerp en storingsvrij design.
Er was een nogal duidelijk verschil in prestaties tussen achtereenvolgens een thomson 787 (vier stuks achter elkaar), een 789vn, en zelfs de arcadyan, allemaal van kpn, en een thomson 510 (1x adsl, 1x ethernet).

Die laatste deed het gewoon, haalde ~6Mbit op de lijn. De rest? 4Mbit hooguit, voortdurend uitvallen, ongevraagd resetten, ongevraagd teruggezet worden naar factory defaults, en zo verder. Allemaal op dezelfde lijn.

Ik denk dat ze de kennis wellicht hadden, maar 'm daarna duidelijk zijn kwijtgeraakt.

Met Thomson denk ik altijd nog aan de het "lek" met het wifi wachtwoord. Ik had mijn eigen wifi router er achter staan want de wifi module was (gelukkig?) defect gegaan, dus zelf geen last.
Daarmee heb je geluk gehad, want zelf een nieuwe PSK invoeren helpt slechts totdat het ding spontaan zichzelf naar factory defaults terugzet. Wat hooguit twee weken op zich liet wachten bij bovenstaande lijn.

Kennelijk was het lek een groot probleem want kreeg ineens ongevraagd een nieuwe router van mijn provider.
Vandaar dat ik toch wel met een boogje om dat merk heen ben gaan lopen. Misschien inmiddels onterecht maar de (image)schade is al geleden...
Er is veel meer mis met die thomson rommel dan alleen dat probleem. Maar de kpn is ook niet veel soeps. Ik mijd ze beiden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.