Beantwoord

Microsoft Azure File Storage via poort 445 niet mogelijk

  • 23 februari 2018
  • 40 Reacties
  • 4079x Bekeken

Ik wil gebruik maken van Azure File Storage
(https://azure.microsoft.com/nl-nl/services/storage/files/)

Als ik op mijn werk zit dan kan ik gewoon een drive mapping maken naar een Azure File Share. Gisterenavond heb ik dit, met enige frustratie, vanuit huis geprobeerd en ik krijg het niet werkend. Nu kwam ik vanochtend op tweakers tegen dat Ziggo, op providerniveau, poorten blokkeert. In dit geval wordt SMB, 445 uitgaand geblokkeerd. Met de opkomst van cloud is dit natuurlijk extreem achterhaalt en inmiddels niet meer werkbaar.

Hoe krijg ik het voor elkaar dat ik gewoon ongefilterd het internet op kan? Of op z'n minst hier een keuze in kan maken. In bijvoorbeeld een self-service pagina van Ziggo.

Ik zou graag deze blokkades opgeheven zien zodat ik vanuit huis ook mijn werk kan doen. Hoe?

Groet,

Remco
icon

Best beantwoord door Folkert Ziggo 27 februari 2018, 16:50

@N.N. Wat goed zeg, dat heb ik het document Netneutraliteit helemaal gemist!

Hierin staat het volgende:
Toegang naar gedeelde mappen en printers wordt vaak misbruikt om privébestanden te stelen of te beschadigen, of om computers te besmetten met schadelijke software. Om consumenten te beschermen wordt deze toegang op het Ziggo netwerk geblokkeerd. Binnen het thuisnetwerk is het delen van bestanden wel mogelijk maar niet met het internet. Het betreft de poorten (UDP en TCP 135 t/m 139 en TCP 445).

In dit geval is het antwoord dan ook erg duidelijk.

@VERMEERR72
Wil je gebruik maken van Azure File Storage van je werk raad ik aan dat je werk een VPN-verbinding aanbied. Op die manier kun je vanuit thuis inloggen op het netwerk van het werk en alsnog van Azure File Storage gebruik maken.
Bekijk origineel

40 Reacties

Reputatie 7
Badge +35
In oud Ziggo gebied zijn de volgende blokkades van toepassing voor zover ik nu weet:

25: Geblokkeerd voor verkeer met een andere destination dan de Ziggo SMTP server (geldt alleen voor oud-Ziggo gebied)
135: Geblokkeerd voor TCP en UDP verkeer
136: Geblokkeerd voor TCP en UDP verkeer
137: Geblokkeerd voor TCP en UDP verkeer
138: Geblokkeerd voor TCP en UDP verkeer
139: Geblokkeerd voor TCP en UDP verkeer
445: Geblokkeerd voor TCP verkeer
520: Geblokkeerd voor UDP verkeer

Een Ziggo moderator kan misschien achterhalen waarom poort 445 TCP geblokkeerd is en of dit nog wel zinvol is.
Reputatie 7
Badge +17
Ik denk dat ze die (destijds) geblokkeerd hebben vanwege o.a. de w32.sasser worm (net als veel andere providers zoals KPN trouwens)

Stukje info :

Network Propagation
Sasser exploits the the MS04-011 (LSASS) vulnerability to gain access the remote systems. The worm starts 128 scanning threads that try to find vulnerable systems on random IP addresses. Computers are probed on port 445 which is the default port for Windows SMB communication on NT-based systems.

The probing might crash unpatched computers.
Reputatie 7
Badge +35
Ik twijfelde nog, had ergens iets gelezen over wormen, @Nick999 bracht me weer bij de tijd over een bosje wormen en poort 445:
https://www.speedguide.net/port.php?port=445
Top dat jullie hebben gereageerd. Ik ben blij hierover een stuk achtergrond te lezen. Helaas, ben ik er nog niet mee geholpen.

Wat kan ik (kunnen we) doen om de blokkade op te heffen?
Reputatie 7
Badge +35
Je kunt de blokkade niet opheffen.

Misschien dat een zakelijk abonnement meer opties bied wat deze functies betreft.
Misschien kan een Ziggo moderator hier meer over vertellen.
Super bedankt voor je input en duidelijkheid.

Ik ben wel een beetje teleurgesteld dat mijn provider mij beperkt en ik hierdoor niet vanuit huis met Azure File Storage kan werken.
Reputatie 7
@VERMEERR72
Ik heb het speciaal voor je nagevraagd. Poort 445 wordt actief door middel van ALC op de CMTS geblokkeerd. Op dit moment zijn er geen plannen om deze blokkade te verwijderen.
Reputatie 7
Badge +25
@VERMEERR72
Ik heb het speciaal voor je nagevraagd. Poort 445 wordt actief door middel van ALC op de CMTS geblokkeerd. Op dit moment zijn er geen plannen om deze blokkade te verwijderen.

Hallo @Folkert Ziggo en @VERMEERR72
Staat ook gewoon vermeld in het bestand 'netwerkneutraliteit' bij de rubriek voorwaarden:
Binnen het thuisnetwerk is het
delen van bestanden wel mogelijk maar niet met het internet.
Het betreft de poorten (UDP en TCP 135 t/m 139 en TCP 445).
Reputatie 7
@N.N. Wat goed zeg, dat heb ik het document Netneutraliteit helemaal gemist!

Hierin staat het volgende:
Toegang naar gedeelde mappen en printers wordt vaak misbruikt om privébestanden te stelen of te beschadigen, of om computers te besmetten met schadelijke software. Om consumenten te beschermen wordt deze toegang op het Ziggo netwerk geblokkeerd. Binnen het thuisnetwerk is het delen van bestanden wel mogelijk maar niet met het internet. Het betreft de poorten (UDP en TCP 135 t/m 139 en TCP 445).

In dit geval is het antwoord dan ook erg duidelijk.

@VERMEERR72
Wil je gebruik maken van Azure File Storage van je werk raad ik aan dat je werk een VPN-verbinding aanbied. Op die manier kun je vanuit thuis inloggen op het netwerk van het werk en alsnog van Azure File Storage gebruik maken.
Dank jullie werderom voor het verder aanvullen en uitleggen. Ik heb hier uiteraard wel weer een reactie op. :)

Ik wil juist geen bestanden delen met het internet (inkomend 445) maar juist gebruik maken van een file share op het internet welke wordt aangeboden door een (best wel grote) cloudprovider. En daar heb ik uitgaand 445 voor nodig. Ik snap de aanpak, maar ik vind dan dat het inkomende verkeer op 445 geblokkeerd had moeten worden.

Het opzetten van een VPN om vervolgens weer door te kunnen hoppen vind ik een workaround. Bedrijven willen gebruik maken van Cloud diensten om juist geen investeringen meer te doen op infrastructuur en het beheer hiervan.

We kunnen hier natuurlijk uren over discussieren en posten. 🙂 Ik leg mij erbij neer dat het niet mogelijk is. Ik hoop dat de opkomst van Cloud diensten en microservices de providers opnieuw doet overwegen om hier toch aanpassingen in het beleid te doen.
op de valreep toch nog even gaan zoeken over NetNeutraliteit:

https://www.consuwijzer.nl/telecom-post/internet/klachten/provider-blokkeert-toegang-tot-internetdienst
Ik liep hier ook tegenaan! Ik wilde Azure file mounting gebruiken en dit bleek uiteindelijk niet te kunnen dankzij Ziggo! Moet ik nou serieus een hele net neutraliteit zaak gaan starten om dit op te lossen? Daar heb ik helemaal geen zin in, al zal ik dat wel doen als dit niet binnen redelijke termijn opgelost wordt.

Microsoft is een van de grootste software bedrijven ter wereld. Als je op je ziggo verbinding niet eens gebruik kan maken van hun services, is er iets goed mis. Doe er wat aan.

Het antwoord van "Folkert Ziggo" vindt ik dan ook beneden maat. Als je zo graag mensen wil beschermen, doe dit dan via jullie "internet beveiliging" pakket, niet via domweg poorten blokkeren. Je weet net zo goed als ik dat dit nouwelijks helpt en dat er genoeg andere wegen zijn voor misbruik. Wat dacht je van klanten aan te raden om gewoon een firewall te gebruiken?

Edit: Inmiddels heb ik contact opgenomen met het Juridisch loket op aanraden van consuwijzer.
Je optie is het Ziggo Internet-kastje in Bridge te laten zetten (= allen Modem-gebruik)
en een eigen Router je network te laten bestieren.

Ziggo kastjes zijn niet bedoeld voor advanced usage.

Gr han
Je optie is het Ziggo Internet-kastje in Bridge te laten zetten en een eigen Router
je network te laten bestieren.

Ziggo kastjes zijn niet bedoeld voor advanced usage.

Gr han


Mijn router staat al in Bridge modus. Dat helpt niet. De blokkade zit niet in het modem/router.
Ok. SMB connecties over Internet zijn niet gebruikelijk, want gevaarlijk.
Voor dit soort dingen wordt VPN gebruikt als universele sleutel
om bij de gebruikelijke services te komen.

Verbaas me overigens dat de SMB-port op network niveau wordt geblokkeerd.
Je moet tenslotte zelf weten wat je doet.

Kort door de bocht, Han
Ok. SMB connecties over Internet zijn niet gebruikelijk, want gevaarlijk.


Ik denk dat dat tegenwoordig wel mee valt. Microsoft zelf gebruikt dit als officiele manier van cloud file storage. Amazon gebruikt een vergelijkbare methode voor hun cloud storage.

Zie: https://docs.microsoft.com/nl-nl/azure/storage/files/storage-how-to-use-files-windows


Verbaas me overigens dat de SMB-port op network niveau wordt geblokkeerd,
Je moet tenslotte zelf weten wat je doet.


Precies, dat is ook mijn insteek. Zoiets blokkeer je niet op globaal niveau, maar simpelweg in een firewall/router. Hooguit dat ze dit standaard aanzetten maar op aanvraag uit kunnen zetten; ook daar kan ik mee leven.
@robindegen
Ha Rob,
Het wordt zo een interessant probleem.
Zonder inzoomen kan ik er eigenlijk niks verstandigs over zeggen in deze concrete situatie.
Ik kan het niet beschouwen vanuit praktische ervaring met de stuff waar het hier over gaat.

Dank voor de link.
Ik ga kijken & hoop voldoende wijzer te worden voor een zinvolle reaktie.
Blijft die weg? Nou dan weet je het wel.

Gr Han
Bedankt Han.
Reputatie 7
Badge +25
TCP-poort 445 is standaard door Ziggo gesloten voor extern netwerkverkeer, zie de voorwaarden 'netneutraliteit'.
TCP-poort 445 is standaard door Ziggo gesloten voor extern netwerkverkeer, zie de voorwaarden 'netneutraliteit'.

Dat weet ik. Iets in de voorwaarden zetten betekend niet dat het niet tegen de wet is. Ik ga door met mijn zaak via het Juridisch Loket als dit niet wordt opgelost. De voorwaarden zie ik enkel als bewijslast.
@robindegen
Rob,

Bekeek even wat dingen en zag alleen een bevestiging
dat het zou moeten kunnen werken.
Hier spreekt slechts een old-hand It-generalist. So beware!

Verder geven je reakties me het gevoel, dat je in
technische zin precies weet waar je het over hebt.
Daar kan ik niks beters tegenover stellen.

Nu de juridische kant nog.
Het zou idoot zijn als huidige 'accepted practices' niet aan bod
kunnen komen in het Ziggo network.
Je hebt zo en sterke case, denk ik.

Een aardige kan nog zijn, eens te bekijken hoe e.e.a verloopt via
KPN en XS4All. Tests hiervan moeten te organiseren zijn, lijkt me.
Bij die leuke buurvrouw bv.

Als het daar wel ok is, heb je een nog sterkere bewijslast.
Gaat het daar ook mis, dan is nadenken nodig.

Succes hiermee, Han
Prima dat Ziggo zelf haar klanten wil beschermen tegen de bedreigingen op het internet die via SMB BINNEN komen! Daar ben ik het als ICT Consultant dan ook 100% volledig mee eens!

MAAR, een connectie naar een clouddienst over TCP/445 is een UITGAANDE connectie. Dit MOET EN KAN Ziggo gewoon open zetten zonder daarmee de beveiliging van klanten te ondermijnen!

Het is nu alleen de vraag; Wanneer gaat Ziggo zijn beleid aanpassen en dit uitgaande verkeer toestaan?

Want inderdaad, dat Ziggo dit blokkeert is wel erg achterhaald!

En al je gebruikers vragen om een VPN op te zetten om hier omheen te werken, is NIET EENS MOGELIJK, want dit support Microsoft weer niet!
@millaard
Hear, hear.
Han
Reputatie 7
Badge +17
@millaard IN windows staat poort 445 vrijwel altijd standaard op "listening" naar buiten. En aangezien ook de wannacry aanval juist over deze poort heeft plaatsgevonden en de laatste maanden de aanvallen over poort 445 weer zijn toegenomen, lijkt het me niet meer dan logisch dat de poort geblokkeerd wordt.
Wellicht herinner e dit nog :
https://www.ad.nl/rotterdam/wereldwijde-hack-legt-bedrijven-en-rotterdamse-terminal-plat~a60dd307/

Ook dit ging via een openstaande poort 445.


Alles overigens met dank aan de NSA.
@Nick999
Millaard en TS willen dat (a) 445 dicht mag blijven voor binnenkomend initierend verkeer maar (b) geen blokkade van 445 voor uitgaand verkeer.
Dat is nodig voor Azure SMB File Sharing.
Terecht, denk ik.
Het is aan de Provider van de Shares zijn security voor inkomend initierend verkeer over 443 op orde te houden.
Gr Han

Reageer