Beantwoord

Poort 161

  • 11 maart 2020
  • 40 reacties
  • 649 keer bekeken

Volgens de Shields Up test staat poort 161/udp op mijn IP adres open voor SNMP. Dit zou remote management mogelijk maken. Bij mijn weten heb ik dat uitgezet in mijn Ubee EVW3200 console. Weet iemand van Ziggo hier wat meer van?

icon

Best beantwoord door Mark Ziggo 30 april 2020, 10:19

Onze engineers hebben deze melding onderzocht op de Ubee EVW3200 en bevestigen dat er geen kwetsbaarheden zijn gevonden, in de standaard configuratie staat er geen enkele poort open die niet open zou mogen staan (zoals voor SNMP services).

Elke poort kan natuurlijk open staan als je hier een forward regel voor hebt ingesteld of het modem in bridge hebt staan (of een DMZ hebt ingesteld) met een eigen host waarop deze poort wel open staat.

Bekijk origineel

Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

40 Reacties

Reputatie 7
Badge +12

@hw31 ,

Waarschijnlijk is de SNMP trap service actief, stop deze via services.msc en zet hem op handmatig.

Succes.

 

Excuseer, bedoelt u misschien een services.msc van Windows? Ik gebruik OSX. Kan het ook komen door met tcpdump naar de remote log van de router te luisteren? Zou ik de remote log uit moeten zetten? Is het niet veilig om de remote log te gebruiken? Ik heb daar een IP adres ingegeven van een (OSX) computer op het LAN. 

 

Hoe kan een dienst op het web zien dat die poort open staat?

Reputatie 7
Badge +12

@hw31 ,

Van Mac's heb ik weinig tot geen verstand, dus even wachten op een Mac expert:grinning:

Reputatie 6
Badge +7

 Bij mijn weten heb ik dat uitgezet in mijn Ubee EVW3200 console. 

Heb je dit ook gecontroleerd?

 

Dit je setup? en heb je een port ingegeven?

<<modem>>--<<Router>>-<<LAN>>-<<Imac>>-tcpdump host 192.168.178.1 

Wat ik bedoel is in de bijgevoegde afbeeldingen te zien. “Automatic Security Configuration” heb ik uitgezet in Wireless 802.11 Primary Network. Nu heb ik ook alle opties voor de Remote Log uitgevinkt maar de Shields Up test blijft aangeven dat de 161 poort op ping reageert. Overigens zit er op de Mac ook nog een firewall en de firewall op het modem staat ook op “High.” Maar als mijn verkeer naar buiten toe te lezen zou zijn, dan zou dat wel het navragen waard zijn.

Nu is de Ubee EVW3200 ook wel bijna rijp voor de sloop, gezien zijn leeftijd.

Deze wordt sowieso direct omgeruild, uitgefaseerd, voor een nieuwe als er vreemde problemen mee zijn.

Reputatie 6
Badge +7

Ik kan geen antwoord op je vraag geven.

Mijn test laat zien dat port 22 ssh en port 80 gesloten zijn op mijn modem maar een test met nmap op de iMac naar het externe adres  geeft aan dat alles gesloten is.

Als Ziggo de modem via SNMP monitoren dan gaat dat via het interne netwerk (hoop ik) 

Ja toch? Ik had zelf al een Nighthawk gekocht maar dat bleek geen kabelmodem. Kan ik Ziggo mailen voor een nieuwe router? Op zich vind ik het wel prettig dat ik deze console nu een beetje kan bedienen. Nieuwe hardware heeft ook weer nieuwe verborgen ‘features’ als je de Huawei discussie moet geloven. 

Ik had hier laatst ook wat gepost over dit modem maar toen was een jaar oude firmware juist een teken van dat het allemaal snor zit.

Kan iemand bij Ziggo een pen-test oid doen?

 

Reputatie 6
Badge +7

Ja toch? Ik had zelf al een Nighthawk gekocht maar dat bleek geen kabelmodem. Kan ik Ziggo mailen voor een nieuwe router? Op zich vind ik het wel prettig dat ik deze console nu een beetje kan bedienen. Nieuwe hardware heeft ook weer nieuwe verborgen ‘features’ als je de Huawei discussie moet geloven. 

Voor  de Connect box raak je in ieder geval remote logging kwijt. Deze optie bestaat niet. Je zal de Connectbox  in Bridge mode moeten zetten worden en gebruik dan de faciliteiten van de Nighthawk. 

 

Voor  de Connect box raak je in ieder geval remote logging kwijt. Deze optie bestaat niet. Je zal de Connectbox  in Bridge mode moeten zetten worden en gebruik dan de faciliteiten van de Nighthawk. 

Ik heb die Nighthawk teruggestuurd en geen ConnectBox of bedoel je dat je die krijgt als je Ziggo nu om een nieuwe router vraagt?

Zelf pingen geeft een ander resultaat … maar misschien vanwege de stealth modus. Zucht.

nmap -p mijn-IP
Starting Nmap 7.70 ( https://nmap.org ) at 2020-03-11 19:21 CET
Nmap scan report for mijn-IP.cable.dynamic.v4.ziggo.nl (mijn-IP)
Host is up (0.0021s latency).

PORT STATE SERVICE
161/tcp closed snmp

Nmap done: 1 IP address (1 host up) scanned in 0.10 seconds

 

nmap -sU 161 mijn-IP
Password:
Starting Nmap 7.70 ( https://nmap.org ) at 2020-03-11 19:34 CET
sendto in send_ip_packet_sd: sendto(4, packet, 28, 0, 0.0.0.161, 16) => No route to host
Offending packet: ICMP [192.168.178.13 > 0.0.0.161 Echo request (type=8/code=0) id=55253 seq=0] IP [ttl=42 id=24114 iplen=7168 ]
sendto in send_ip_packet_sd: sendto(4, packet, 44, 0, 0.0.0.161, 16) => No route to host
Offending packet: TCP 192.168.178.13:42206 > 0.0.0.161:443 S ttl=57 id=63054 iplen=11264 seq=1151970315 win=1024 <mss 1460>
sendto in send_ip_packet_sd: sendto(4, packet, 40, 0, 0.0.0.161, 16) => No route to host
Offending packet: TCP 192.168.178.13:42206 > 0.0.0.161:80 A ttl=50 id=700 iplen=10240 seq=0 win=1024
sendto in send_ip_packet_sd: sendto(4, packet, 40, 0, 0.0.0.161, 16) => No route to host
Offending packet: ICMP [192.168.178.13 > 0.0.0.161 Timestamp request (type=13/code=0) id=28967 seq=0 orig=0 recv=0 trans=0] IP [ttl=38 id=51207 iplen=10240 ]
sendto in send_ip_packet_sd: sendto(4, packet, 40, 0, 0.0.0.161, 16) => No route to host
Offending packet: ICMP [192.168.178.13 > 0.0.0.161 Timestamp request (type=13/code=0) id=53912 seq=0 orig=0 recv=0 trans=0] IP [ttl=46 id=45869 iplen=10240 ]
sendto in send_ip_packet_sd: sendto(4, packet, 40, 0, 0.0.0.161, 16) => No route to host
Offending packet: TCP 192.168.178.13:42207 > 0.0.0.161:80 A ttl=51 id=1420 iplen=10240 seq=0 win=1024
sendto in send_ip_packet_sd: sendto(4, packet, 44, 0, 0.0.0.161, 16) => No route to host
Offending packet: TCP 192.168.178.13:42207 > 0.0.0.161:443 S ttl=50 id=40287 iplen=11264 seq=1151904778 win=1024 <mss 1460>
sendto in send_ip_packet_sd: sendto(4, packet, 28, 0, 0.0.0.161, 16) => No route to host
Offending packet: ICMP [192.168.178.13 > 0.0.0.161 Echo request (type=8/code=0) id=10901 seq=0] IP [ttl=58 id=34776 iplen=7168 ]
Nmap scan report for mijn-IP.cable.dynamic.v4.ziggo.nl (mijn-IP)
Host is up (0.0022s latency).
Not shown: 999 open|filtered ports
PORT STATE SERVICE
161/udp open snmp

Het gaat om UDP

Het zou best een risico kunnen zijn: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp

https://www.esecurityplanet.com/trends/article.php/973801/SNMP-Vulnerability-A-Triple-Threat.htm

Zijn deze routers programmeerbaar? Kan ik die poort zelf sluiten?

Dit lijkt niet te werken (nmap test)

Misschien hoort dit erbij, al likt het mij een andere poort dan 161? Ik ben echt geen expert:

02:21:17.083895 IP (tos 0x0, ttl 64, id 32373, offset 0, flags [none], proto UDP (17), length 246)
192.168.178.1.oce-snmp-trap > 192.168.178.13.syslog: [udp sum ok] SYSLOG, length: 218
Facility local0 (16), Severity alert (1)
Msg: Mar 11 02:21:16 2020 SYSLOG[0]: [Host 192.168.178.1] UDP 192.168.178.13,52866 --> 1.1.1.1,53 ALLOW: Outbound access request [DNS query for c.5.2.d.4.5.1.f.b.c.f.f.c.d.1.f.0.0.0.0.0.0.b.2.4.0.c.1.1.0.0.2.ip6.arpa.]
0x0000: 3c31 3239 3e4d 6172 2031 3120 3032 3a32
0x0010: 313a 3136 2032 3032 3020 5359 534c 4f47
0x0020: 5b30 5d3a 205b 486f 7374 2031 3932 2e31
0x0030: 3638 2e31 3738 2e31 5d20 5544 5020 3139
0x0040: 322e 3136 382e 3137 382e 3133 2c35 3238
0x0050: 3636 202d 2d3e 2031 2e31 2e31 2e31 2c35
0x0060: 3320 414c 4c4f 573a 204f 7574 626f 756e
0x0070: 6420 6163 6365 7373 2072 6571 7565 7374
0x0080: 205b 444e 5320 7175 6572 7920 666f 7220
0x0090: 632e 352e 322e 642e 342e 352e 312e 662e
0x00a0: 622e 632e 662e 662e 632e 642e 312e 662e
0x00b0: 302e 302e 302e 302e 302e 302e 622e 322e
0x00c0: 342e 302e 632e 312e 312e 302e 302e 322e
0x00d0: 6970 362e 6172 7061 2e5d

 

Reputatie 6
Badge +7

In je command line nmap -sU 161 mijn-IP mis ik de port nummer -p 161 , ik zie ook vervolgens No route to host .

wat is het resultaat van  sudo nmap -sU 161 mijn-IP.

 

Ik heb die Nighthawk teruggestuurd en geen ConnectBox of bedoel je dat je die krijgt als je Ziggo nu om een nieuwe router vraagt?

Inderdaad een conectbox (Compal of Arris) . Ik heb er geen problemen mee maar ??.

 

Ik ga morgen nog verder onderzoek doen.

 

Voor  de Connect box raak je in ieder geval remote logging kwijt. Deze optie bestaat niet. Je zal de Connectbox  in Bridge mode moeten zetten worden en gebruik dan de faciliteiten van de Nighthawk. 

Ik heb die Nighthawk teruggestuurd en geen ConnectBox of bedoel je dat je die krijgt als je Ziggo nu om een nieuwe router vraagt?

Nu is de Ubee EVW3200 ook wel bijna rijp voor de sloop, gezien zijn leeftijd.

Deze wordt sowieso direct omgeruild, uitgefaseerd, voor een nieuwe als er vreemde problemen mee zijn.

Dit is een klant helpt klant forum waar Ziggo moderators, zij hebben Ziggo achter hun naam staan, vrijwel iedere werkdag langskomen in ieder topic.

Zorg dat je postcode en huisnummer in je Ziggo community profiel staan, deze zijn niet openbaar te zien, dan kunnen gelijk de juiste gegevens erbij gepakt worden.

Klik hier om je postcode en huisnummer in je profiel te zetten.
Op de pagina iets naar beneden scrollen.

Neem contact op met Ziggo via de chat als je sneller een nieuw modem thuisgestuurd wilt krijgen.
De oranje chatbox (24 uur per dag/365 dagen per jaar te gebruiken) komt vanzelf midden in het scherm van het contactformulier, maar alleen als er iemand beschikbaar is, soms een tijdje wachten.

https://www.ziggo.nl/formulieren/contactformulier  

of https://www.ziggo.nl/klantenservice/contact 

@jarielcapitain kan je weer veel beter helpen met de mogelijkheden van een goede router.:relaxed:

In je command line nmap -sU 161 mijn-IP mis ik de port nummer -p 161 , ik zie ook vervolgens No route to host .

wat is het resultaat van  sudo nmap -sU 161 mijn-IP.

 

Het resultaat is:

PORT STATE SERVICE

161/udp open snmp

 

Dat staat onderaan. Die no route to hosts’s zijn volgens mij ICMP en TCP requests, als ik het goed begrijp.

Ik zie op zich te veel traffic in de tcpdump log om er iets mee te kunnen. Apple is heel druk bezig met data over mij te verzamelen. Echt een grootverbuiker, zelfs s’nachts. Mail je die: “nee, wees maar stil, dan heb je geen vragen.”

Ik was nu aan het kijken omdat het internet traag lijkt. Misschien geen DDoS ( https://snmpscan.shadowserver.org/ ) bijvoorbeeld maar misschien dat het uitgaand verkeer kan worden afgeluisterd of een crash log kan worden gegenereerd of dat iemand zijn blackhat traffic door mijn router leidt. 

OK, het is iig SNMP v3 (en niet v1) en Ambit is schijnbaar onderdeel van Foxconn en dat zal wel weer bij Ubee horen en die zullen wel een backdoor hebben ingebouwd. De ander snmp scripts an nmap geven geen respons. Ik kan morgen nog een ander script proberen. Waarschijnlijk kan Ambit een speciaal geprepareerd packet naar deze port sturen om zo aan de router te kunnen sleutelen of aan het verkeer te snuffelen.  Ik kan deze snmp server niet uitzetten.

https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devices.pdf

 

Nmap scan report for mijn-IP.cable.dynamic.v4.ziggo.nl (mijn-IP)

Host is up (0.0022s latency).

 

PORT    STATE SERVICE VERSION

161/udp open  snmp    Ambit Microsystems Corporation SNMPv3 server

 

nmap mijn-IP -Pn -sU -p 161 --script=snmp-info       

Starting Nmap 7.70 ( https://nmap.org ) at 2020-03-11 21:53 CET

Nmap scan report for mijn-IP.cable.dynamic.v4.ziggo.nl (mijn-IP)

Host is up (0.0021s latency).

 

PORT    STATE SERVICE

161/udp open  snmp

| snmp-info:

|   enterprise: Ambit Microsystems Corporation

|   engineIDFormat: octets

|   engineIDData: 906ebbc152a833

|   snmpEngineBoots: 384

|_  snmpEngineTime: 9h31m24s

@hw31 Je hebt het testresultaat van shields up niet goed geïnterpreteerd. Er staat failed boven, omdat er in de tekst wordt gezegd dat je modem op een algemeenICMP request (ping) reageert. Dat vindt Steve Gibson van grc een probleem, maar is het eigenlijk niet.

Daarnaast is er een scan gedaan naar poort 161, en die staat keurig op stealth. Poort 161 is dus onzichtbaar voor grc.com.

Het zijn dus twee verschillende testen. Niks aan de hand.

En oh ja, nmap start je waarschijnlijk vanuit je eigen netwerk. Dat ligt anders.

Ik start nmap met het externe IP adres en het reageert niet op ICMP maar op UDP en ICMP kan geen poorten, UDP wel.

Reputatie 6
Badge +7

Ik was nu aan het kijken omdat het internet traag lijkt.
  Is dit het onderliggende probleem? Wat is traag?  Heb je je lokale network onderzocht?  Traag kan vele oorzaken hebben.
  Een nieuwe modem kan natuurlijk een eerste oplossing zijn. Je modem heeft maar 8 DS kanalen de  Connectbox  24 en tegelijkertijd 2.4 en 5Ghz zoals B ert aangeeft 
  Heb je een  download snelheid test  gedaan en komt dit overeen met je abonnement?
  
 Stopzetten UDP port 
 De pagina die je vertoonde heeft  te maken met Parental control 
 Is er ook een pagina in de modem om port forwarding te doen of te blokkeren 
 
 Nmap
 Kan je ook een Nmap doen op je lokale netwerk en kijken of port 161 open staat?
 
 Snmp
 Het is ook mogelijk om met de Imac smtp aan te zetten. Je zou dan eventueel kunnen proberen om gegevens uit de modem halen lokaal of extern indien  mogelijk. De port mag dan zichtbaar zijn maar er moet ook een service om naar te luisteren.
 Zie deze link  Snmp OSX
 
 Ik zie op zich te veel traffic in de tcpdump log om er iets mee te kunnen.
 
 Hoe meet je  en wat  wil je meten?  Komt het van de log of de modem ? Dit zijn best grote bestanden met veel informatie. Mischien wireshark een oplossing om te gebruiken.
 Apple is heel druk bezig met data over mij te verzamelen.? 

Dank je wel voor je reactie. SNMP op de Mac staat uit en de bijbehorende poort staat dicht.

Kun je mij een nieuw modem laten bezorgen?

Het punt is dat die poort open staat, dat die Ambit server dus van buitenaf bereikbaar is en dat ik dat niet wil. Het lijkt mij iets waar Ziggo vanaf zou moeten weten. Ziggo heeft contact met de leverancier. Degene met het wachtwoord kan het afsluiten neem ik aan?

Ik kan er een brute force cracking op los laten aangezien het geen mechanisme heeft om na veel pogingen te weigeren. Dat is denk ik ook het tweede probleem van zulke back doors. Aangezien anderen dat ook kunnen proberen. 

 

Reputatie 6
Badge +7

@Be rt Kan je dit doorgeven aan een moderator bvd.