Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Ziggo Connectbox perikelen, en goed nieuws m.b.t. ipv6
10-11-2021, 15:47 door Anoniem, 15 reacties
Ziggo Connectboxen (van Arris of Compal) krijgen binnenkort ondersteuning voor IPv6 in bridge modus!
Dat klinkt fijn, en dat zal het voor velen ook wel zijn.
Maar eerst even mijn gal spuwen over deze twijfelachtige "Connectbox" van Ziggo:
ben er sinds de modem-omwisseling nogal eens mee aan het klooien geweest.
Opgedrongen met "wij van WC-eend"-methode, maar een aantal dingen vallen tegen, zoals:
- Bevat de puma 6 -chipset waarvan bekend is dat deze problemen met performance kan geven
wat vooral een probleem kan zijn bij online-gamers wanneer het aan komt op reactiesnelheid.
- Lange opstarttijd, en als je denkt dat het klaar is omdat het netwerk opkomt,
werkt het net maar voor eventjes om daarna weer uit te vallen.
Vervolgens komt het netwerk na een poosje weer op, en valt opnieuw uit etc.
Kortom: trek er maar rustig een kwartier tot een half uur voor uit om eindelijk eens
een redelijk stabiel netwerk te hebben.
- Energieverbruik is aan de hoge kant: meer dan 12 Watt zonder netwerkverkeer
en met WiFi uitgeschakeld. (mijn vorige modem (weliswaar zonder routerfunctie)
verbruikte ca. 5,5 watt (plus nog ca. 2 Watt van eigen Giga router), en was na aanzetten na een paar minuten gereed.
- Sommige instellingen werken niet goed, of er wordt te vaag omschreven waar het voor dient.
Probeer bijv. maar eens een DMZ-adres in te stellen. Daar moet je een hele omweg voor maken,
en dat moet je maar net weten. Allemaal verloren tijd en ongerief voor de gebruiker.
En bijv. zaken zoals IP/poort-filtering: er staat dat je er netwerkverkeer mee kan toestaan
of blokkeren (wist ik), maar wat filter je eigenlijk: verbindingen die je wilt toestaan,
of verbindingen die je wilt blokkeren? Bij IPv4 is dit onduidelijk,
omdat in de rule-omschrijving geen functie "toestaan" o.i.d. is te zien, terwijl dit bij IPv6 rules wel aanwezig is.
Moet je kennelijk zelf maar uitzoeken... Kost allemaal weer tijd, gedoe en ergernis.
Waarom bij IPv4 niet even wat duidelijker aangegeven of de rule verkeer toestaat of juist blokkeert.
Of een downloadbare manual die dit haarfijn omschrijft.
't zou ook een bug kunnen zijn dat men de optie toestaan/blokkeren bij IPv4-rules domweg is vergeten.
- Probleem met de netwerkkabelaansluiting: wanneer de Connectbox geheel is opgestart
en ik wil nog een ander apparaat met netwerkkabel op de in bedrijf zijnde Connectbox aansluiten
dan krijgt het apparaat geen (IPv4) IP-adres, hoewel het apparaat bij de Connectbox wel om DHCP schreeuwt.
Als ik het apparaat dat ik bijsteek zelf een vast IP-adres geef (in de DHCP range),
dan werkt het, maar zo hoort het natuurlijk niet tenzij DHCP op de Connectbox zou zijn uitgezet.
Dit zou m.i. niet het geval moeten zijn. (er is wel een DMZ gedefinieerd, maar of het daar van kan komen????...)
Goede documentatie en dat dingen ook echt werken zoals men zou verwachten,
is ten slotte óók een onderdeel van security! (al zou het alleen maar zijn om te voorkomen
dat iemand uit frustratie toetsenborden en beeldschermen door de kamer begint te smijten!)
Zo, dat moest er even uit.
Ik ben benieuwd of er security-nl -bezoekers zijn die soortgelijke ervaringen met de Connectbox hebben
of hebben gehad, en vooral wat je m.b.t. tot security misschien nog over de Connectbox van Ziggo kan zeggen.
Want het is mooi dat er veiligheidsopties e.d. aanwezig zijn, maar werken die allemaal ook echt zoals het hoort.
Die vraag komt namelijk bij me op als ik al tegen meerdere onvolkomenheden ben aangelopen zoals ik hierboven vertelde.
Het enige positieve aan die Connectbox is dat hij zowel met IPv4 als met IPv6 overweg kan (dual stack).
Maar als je vandaag de Connectbox in bridgemode zou laten zetten,
zou men (voorlopig) helaas ook de IPv6 functionaliteit kwijtraken, want:
En ook hier op het web is door Ziggo wat onduidelijk aangegeven wat er momenteel precies met IPv6
zal gebeuren in bridgemodus want ze maken de zin niet af.
Meest logisch is echter: IPv6 vervalt bij de twee genoemde apparaten.
Voorlopig dan, want Ziggo belooft dus vanaf december 2021 te starten met IPv6-ondersteuning
voor Connectboxen en Ubee 1318s die in bridge-mode staan. (hopelijk maken ze dit ook waar...)
(zie https://www.ziggo.nl/klantenservice/internet-wifi/bridge-modus
let hier vooral op de paragraaf:
Wanneer ondersteuning voor IPv6 in bridgemode een feit is geworden, is er voor velen denk ik geen reden meer
om de Connectbox niet in bridge-mode te laten zetten.
Dat klinkt fijn, en dat zal het voor velen ook wel zijn.
Maar eerst even mijn gal spuwen over deze twijfelachtige "Connectbox" van Ziggo:
ben er sinds de modem-omwisseling nogal eens mee aan het klooien geweest.
Opgedrongen met "wij van WC-eend"-methode, maar een aantal dingen vallen tegen, zoals:
- Bevat de puma 6 -chipset waarvan bekend is dat deze problemen met performance kan geven
wat vooral een probleem kan zijn bij online-gamers wanneer het aan komt op reactiesnelheid.
- Lange opstarttijd, en als je denkt dat het klaar is omdat het netwerk opkomt,
werkt het net maar voor eventjes om daarna weer uit te vallen.
Vervolgens komt het netwerk na een poosje weer op, en valt opnieuw uit etc.
Kortom: trek er maar rustig een kwartier tot een half uur voor uit om eindelijk eens
een redelijk stabiel netwerk te hebben.
- Energieverbruik is aan de hoge kant: meer dan 12 Watt zonder netwerkverkeer
en met WiFi uitgeschakeld. (mijn vorige modem (weliswaar zonder routerfunctie)
verbruikte ca. 5,5 watt (plus nog ca. 2 Watt van eigen Giga router), en was na aanzetten na een paar minuten gereed.
- Sommige instellingen werken niet goed, of er wordt te vaag omschreven waar het voor dient.
Probeer bijv. maar eens een DMZ-adres in te stellen. Daar moet je een hele omweg voor maken,
en dat moet je maar net weten. Allemaal verloren tijd en ongerief voor de gebruiker.
En bijv. zaken zoals IP/poort-filtering: er staat dat je er netwerkverkeer mee kan toestaan
of blokkeren (wist ik), maar wat filter je eigenlijk: verbindingen die je wilt toestaan,
of verbindingen die je wilt blokkeren? Bij IPv4 is dit onduidelijk,
omdat in de rule-omschrijving geen functie "toestaan" o.i.d. is te zien, terwijl dit bij IPv6 rules wel aanwezig is.
Moet je kennelijk zelf maar uitzoeken... Kost allemaal weer tijd, gedoe en ergernis.
Waarom bij IPv4 niet even wat duidelijker aangegeven of de rule verkeer toestaat of juist blokkeert.
Of een downloadbare manual die dit haarfijn omschrijft.
't zou ook een bug kunnen zijn dat men de optie toestaan/blokkeren bij IPv4-rules domweg is vergeten.
- Probleem met de netwerkkabelaansluiting: wanneer de Connectbox geheel is opgestart
en ik wil nog een ander apparaat met netwerkkabel op de in bedrijf zijnde Connectbox aansluiten
dan krijgt het apparaat geen (IPv4) IP-adres, hoewel het apparaat bij de Connectbox wel om DHCP schreeuwt.
Als ik het apparaat dat ik bijsteek zelf een vast IP-adres geef (in de DHCP range),
dan werkt het, maar zo hoort het natuurlijk niet tenzij DHCP op de Connectbox zou zijn uitgezet.
Dit zou m.i. niet het geval moeten zijn. (er is wel een DMZ gedefinieerd, maar of het daar van kan komen????...)
Goede documentatie en dat dingen ook echt werken zoals men zou verwachten,
is ten slotte óók een onderdeel van security! (al zou het alleen maar zijn om te voorkomen
dat iemand uit frustratie toetsenborden en beeldschermen door de kamer begint te smijten!)
Zo, dat moest er even uit.
Ik ben benieuwd of er security-nl -bezoekers zijn die soortgelijke ervaringen met de Connectbox hebben
of hebben gehad, en vooral wat je m.b.t. tot security misschien nog over de Connectbox van Ziggo kan zeggen.
Want het is mooi dat er veiligheidsopties e.d. aanwezig zijn, maar werken die allemaal ook echt zoals het hoort.
Die vraag komt namelijk bij me op als ik al tegen meerdere onvolkomenheden ben aangelopen zoals ik hierboven vertelde.
Het enige positieve aan die Connectbox is dat hij zowel met IPv4 als met IPv6 overweg kan (dual stack).
Maar als je vandaag de Connectbox in bridgemode zou laten zetten,
zou men (voorlopig) helaas ook de IPv6 functionaliteit kwijtraken, want:
Dit verandert er in bridge-modus
Alle wifi-opties van het modem gaan uit.
De DHCP-server en NAT-instellingen vervallen.
De firewall schakelt uit.
Je kunt Wifispots niet meer gebruiken.
De LAN-aansluitingen 2 t/m 4 gaan uit.
IPv6 voor de SmartWifi modems (Connectbox) en de Ubee 1318.
(https://www.ziggo.nl/klantenservice/internet-wifi/bridge-modusAlle wifi-opties van het modem gaan uit.
De DHCP-server en NAT-instellingen vervallen.
De firewall schakelt uit.
Je kunt Wifispots niet meer gebruiken.
De LAN-aansluitingen 2 t/m 4 gaan uit.
IPv6 voor de SmartWifi modems (Connectbox) en de Ubee 1318.
En ook hier op het web is door Ziggo wat onduidelijk aangegeven wat er momenteel precies met IPv6
zal gebeuren in bridgemodus want ze maken de zin niet af.
Meest logisch is echter: IPv6 vervalt bij de twee genoemde apparaten.
Voorlopig dan, want Ziggo belooft dus vanaf december 2021 te starten met IPv6-ondersteuning
voor Connectboxen en Ubee 1318s die in bridge-mode staan. (hopelijk maken ze dit ook waar...)
(zie https://www.ziggo.nl/klantenservice/internet-wifi/bridge-modus
let hier vooral op de paragraaf:
Belangrijk voor bridge-modus en IPv6
)Wanneer ondersteuning voor IPv6 in bridgemode een feit is geworden, is er voor velen denk ik geen reden meer
om de Connectbox niet in bridge-mode te laten zetten.
Reacties (15)
Heb een aantal jaar geleden (met een aantal anderen) naar de security van de Connectbox gekeken (Compal CH7465LG). We hebben toen een aantal (minor) security problemen gevonden en die aan het Ziggo security team gerapporteerd. Wat mij vooral opviel was dat zij het erg serieus namen, en snel met een aantal fixes kwamen. Geen idee hoe het er tegenwoordig voorstaat met de security van de connectbox.
Arris:
https://www.cvedetails.com/product-list/vendor_id-6780/Arris.html
Compal:
https://www.cvedetails.com/product-list/vendor_id-20831/Compal.html
Ik concludeer daaruit dat het er qua security wel goed uitziet.
Het is in ieder geval niet zo dat de produkten van deze 2 Connectbox-fabrikanten uitpuilen van gevaarlijke bugs.
https://www.cvedetails.com/product-list/vendor_id-6780/Arris.html
Compal:
https://www.cvedetails.com/product-list/vendor_id-20831/Compal.html
Ik concludeer daaruit dat het er qua security wel goed uitziet.
Het is in ieder geval niet zo dat de produkten van deze 2 Connectbox-fabrikanten uitpuilen van gevaarlijke bugs.
Hoe kom je er bij dat bridge-modus ook IPv6 gaat ondersteunen? Dat is een van de redenen dat over 2 weken de glasvezelmonteur langs komt. (Naast natuurlijk de lage uploadsnelheid, wat erg vervelend is als je nog zelf al je spullen host.)
Als aanvulling op mijn vorige bericht: ik had natuurlijk eerst even de hele post moeten lezen.
Door Anoniem: Hoe kom je er bij dat bridge-modus ook IPv6 gaat ondersteunen?
Staat in zijn klantenservice link. Daarnaast had je natuurlijk ook gewoon een hurricane electric tunnel gebruiken.
Waar ik, als gebruiker van de Connect Box, tegenaan loop zijn de volgende punten:
- Alle DHCP-reserveringen die ik aanmaakt zijn na de eerstvolgende reboot weer verdwenen.
- Ik kan geen eigen DNS-servers opgeven in de DHCP-scope.
- Ik kan geen statische routes aanmaken waardoor een tweede router, in het LAN van de Connect Box, ook weet moet NATten.
- Alle DHCP-reserveringen die ik aanmaakt zijn na de eerstvolgende reboot weer verdwenen.
- Ik kan geen eigen DNS-servers opgeven in de DHCP-scope.
- Ik kan geen statische routes aanmaken waardoor een tweede router, in het LAN van de Connect Box, ook weet moet NATten.
Alles wat je krijgt van je provider is ruk. Immers als ze 1 Euro kunnen besparen op je modem/router is dat maal x aantal klanten, en dat is dan weer de jaarlijkse bonus voor een pipo bij je provider. Je provider is geïnteresseerd in de winst, jij bent geïnteresseerd in noem het maar, die belangen zijn tegenstrijdig.
Ik denk dat het voor een provider heel moeilijk is om een router te leveren waar iedereen blij mee is.
Een groot deel van de klanten kan prima leven met een NAT router met WiFi en met IPv6 support (zonder dat ze het weten), en heeft helemaal geen behoefte aan al dat speciale gepruts zoals de mensen hierboven willen doen.
Degenen die dat WEL willen die krijg je toch niet tevreden. Die moeten gewoon hun eigen router kopen die mogelijk maakt wat zij willen en die configureerbaar is met hun kennisnivo. De een is hardstikke tevreden met een AVM Fritzbox (rotzooi als je het mij vraagt), de ander wil een Juniper of Cisco.
Dus de beste oplossing is dan die bridge mode met volledige functionaliteit, en dan kan de klant zelf de router kopen die hij wil. Wat 99% van de klanten helemaal niet nodig heeft.
Een groot deel van de klanten kan prima leven met een NAT router met WiFi en met IPv6 support (zonder dat ze het weten), en heeft helemaal geen behoefte aan al dat speciale gepruts zoals de mensen hierboven willen doen.
Degenen die dat WEL willen die krijg je toch niet tevreden. Die moeten gewoon hun eigen router kopen die mogelijk maakt wat zij willen en die configureerbaar is met hun kennisnivo. De een is hardstikke tevreden met een AVM Fritzbox (rotzooi als je het mij vraagt), de ander wil een Juniper of Cisco.
Dus de beste oplossing is dan die bridge mode met volledige functionaliteit, en dan kan de klant zelf de router kopen die hij wil. Wat 99% van de klanten helemaal niet nodig heeft.
Door Anoniem: Alles wat je krijgt van je provider is ruk. Immers als ze 1 Euro kunnen besparen op je modem/router is dat maal x aantal klanten, en dat is dan weer de jaarlijkse bonus voor een pipo bij je provider. Je provider is geïnteresseerd in de winst, jij bent geïnteresseerd in noem het maar, die belangen zijn tegenstrijdig.
Typisch een onderbuikreactie, niet gestaaft door enig bewijs!
11-11-2021, 14:04 door
Bitje-scheef
Door Anoniem: Ik denk dat het voor een provider heel moeilijk is om een router te leveren waar iedereen blij mee is.
Een groot deel van de klanten kan prima leven met een NAT router met WiFi en met IPv6 support (zonder dat ze het weten), en heeft helemaal geen behoefte aan al dat speciale gepruts zoals de mensen hierboven willen doen.
Degenen die dat WEL willen die krijg je toch niet tevreden. Die moeten gewoon hun eigen router kopen die mogelijk maakt wat zij willen en die configureerbaar is met hun kennisnivo. De een is hardstikke tevreden met een AVM Fritzbox (rotzooi als je het mij vraagt), de ander wil een Juniper of Cisco.
Dus de beste oplossing is dan die bridge mode met volledige functionaliteit, en dan kan de klant zelf de router kopen die hij wil. Wat 99% van de klanten helemaal niet nodig heeft.
Een groot deel van de klanten kan prima leven met een NAT router met WiFi en met IPv6 support (zonder dat ze het weten), en heeft helemaal geen behoefte aan al dat speciale gepruts zoals de mensen hierboven willen doen.
Degenen die dat WEL willen die krijg je toch niet tevreden. Die moeten gewoon hun eigen router kopen die mogelijk maakt wat zij willen en die configureerbaar is met hun kennisnivo. De een is hardstikke tevreden met een AVM Fritzbox (rotzooi als je het mij vraagt), de ander wil een Juniper of Cisco.
Dus de beste oplossing is dan die bridge mode met volledige functionaliteit, en dan kan de klant zelf de router kopen die hij wil. Wat 99% van de klanten helemaal niet nodig heeft.
Mwah de fritzbox is ok voor thuisgebruikers die alleen internet willen en niet teveel knutselen. Wil je meer dan in bridgemode, of ander merk/modelltje en een (knutsel) firewall er achter zetten.
Door Anoniem: Alles wat je krijgt van je provider is ruk. Immers als ze 1 Euro kunnen besparen op je modem/router is dat maal x aantal klanten, en dat is dan weer de jaarlijkse bonus voor een pipo bij je provider. Je provider is geïnteresseerd in de winst, jij bent geïnteresseerd in noem het maar, die belangen zijn tegenstrijdig.
Voor een provider is het vooral van belang, dat er een goed beheer systeem en goede support en ondersteuning is. Dat zijn namelijk de echte kosten voor een modem/router.
Door Bitje-scheef:
Mwah de fritzbox is ok voor thuisgebruikers die alleen internet willen en niet teveel knutselen. Wil je meer dan in bridgemode, of ander merk/modelltje en een (knutsel) firewall er achter zetten.
De Fritzbox wordt neergezet als een "betere router" dan bijvoorbeeld de Experiabox of de Connectbox.Mwah de fritzbox is ok voor thuisgebruikers die alleen internet willen en niet teveel knutselen. Wil je meer dan in bridgemode, of ander merk/modelltje en een (knutsel) firewall er achter zetten.
En er kunnen ook wel een of twee dingetjes meer dan gemiddeld, maar over de hele linie blijft het een beperkt ding met
een raar beeld van networking.
Voor bijvoorbeeld de Draytek en ZyXEL lijnen geldt (in wat mindere mate) hetzelfde.
Dit komt voornamelijk omdat deze routers proberen om de technische details van networking te verbergen onder een
user interface die meer object georienteerd is. Dat zorgt er voor dat als je wel weet wat er onder de motorkap gebeurt
en iets specifieks wilt, je je kleurenblind zoekt in de mogelijkheden die geboden worden en toch altijd het gevoel houdt
dat het niet helemaal doet wat je wilt. Zoals hierboven ook gemeld voor de Connectbox.
Wil je daarvan af dan moet je toch naar de oplossingen toe die je een directere toegang geven tot wat er op low level
gebeurt, met als gevolg dat je er ook weer meer van moet snappen anders wordt je router onderdeel van een botnet
ofzo (zie andere berichten op de site).
Dus dat is ZEKER niet iets wat je zou willen dat een ISP aan iedereen gaat leveren.
Wat je nog wilt krijgen van je ISP als je netwerktechnisch meer wilt is afhankelijk van je connectie. Met glas is het
simpel: zorg dat je een ethernet NTU krijgt en sluit daar een voor jou geschikte router op aan, die moet dan meestal
PPPoE over VLAN 6 doen en dat kan een beetje router, met een goede router zelfs met MTU 1500.
Heb je VDSL dan koop je een Draytek of ZyXEL modem wat in echte bridge gezet kan worden en dan zit je op hetzelfde
en kun je ook nog steeds een MTU 1500 PPPoE verbinding maken. Met een AVM in bridge mode kan dat niet.
Heb je kabel dan wordt het lastiger en is het handiger om maar de door de provider geleverde spullen te gebruiken,
desnoods in bridge mode.
Door Anoniem: Waar ik, als gebruiker van de Connect Box, tegenaan loop zijn de volgende punten:
- Alle DHCP-reserveringen die ik aanmaakt zijn na de eerstvolgende reboot weer verdwenen.
- Ik kan geen eigen DNS-servers opgeven in de DHCP-scope.
- Ik kan geen statische routes aanmaken waardoor een tweede router, in het LAN van de Connect Box, ook weet moet NATten.
Je bedoelt vermoedelijk reserveringen van een IP-adres voor een bepaald MAC-adres?- Alle DHCP-reserveringen die ik aanmaakt zijn na de eerstvolgende reboot weer verdwenen.
- Ik kan geen eigen DNS-servers opgeven in de DHCP-scope.
- Ik kan geen statische routes aanmaken waardoor een tweede router, in het LAN van de Connect Box, ook weet moet NATten.
Zeker niet ideaal inderdaad.
Als het veel werk is om elke keer opnieuw in te voeren en de binding van IP aan MAC belangrijk is
zou het mogelijk moeten zijn om een backup van je hele configuratie te maken die je later in één handeling kan restoren.
Backup/restore- mogelijkheden krijg je bij mij te zien als je vanuit het hoofd-configuratiemenu kiest voor
"opnieuw opstarten". Voordat de herstart begint, krijg je de kans om een backup of restore van je configuratie doen
naar resp. vanaf je computer. Nog steeds niet ideaal, wel makkelijker.
Door Anoniem:
Je bedoelt vermoedelijk reserveringen van een IP-adres voor een bepaald MAC-adres?
Dat bedoel ik inderdaad.Je bedoelt vermoedelijk reserveringen van een IP-adres voor een bepaald MAC-adres?
Bedankt voor de tip, één keer een backup maken is zeker beter dan iedere keer die lijst opnieuw invullen.
Door Anoniem:
Bedankt voor de tip, één keer een backup maken is zeker beter dan iedere keer die lijst opnieuw invullen.
You 're welcome. Waarschijnlijk ten overvloede maar ik noem het toch maar even: Door Anoniem:
Je bedoelt vermoedelijk reserveringen van een IP-adres voor een bepaald MAC-adres?
Dat bedoel ik inderdaad.Je bedoelt vermoedelijk reserveringen van een IP-adres voor een bepaald MAC-adres?
Bedankt voor de tip, één keer een backup maken is zeker beter dan iedere keer die lijst opnieuw invullen.
na het terugzetten van de backup: uitloggen. (beter niet herstarten als ik jou zo hoor ;-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.