Beantwoord

Microsoft Azure File Storage via poort 445 niet mogelijk

  • 23 februari 2018
  • 40 Reacties
  • 4922x Bekeken


Toon eerste bericht

40 Reacties

@millaard IN windows staat poort 445 vrijwel altijd standaard op "listening" naar buiten. En aangezien ook de wannacry aanval juist over deze poort heeft plaatsgevonden en de laatste maanden de aanvallen over poort 445 weer zijn toegenomen, lijkt het me niet meer dan logisch dat de poort geblokkeerd wordt.
Wellicht herinner e dit nog :
https://www.ad.nl/rotterdam/wereldwijde-hack-legt-bedrijven-en-rotterdamse-terminal-plat~a60dd307/

Ook dit ging via een openstaande poort 445.


Alles overigens met dank aan de NSA.


Dit is correct en daarom moet Ziggo het "INKOMENDE" verkeer (vanuit de gebruiker gezien) ook blijven blokkeren! Dit is juist de beveiliging die Ziggo heeft en dat moet zo blijven. Dat is ook waarom ik er 100% volledig mee eens ben dat dit is ingesteld.

Echter zal Ziggo het UITGAANDE verkeer (vanuit de gebruiker gezien) naar de clouddienst wel open kunnen zetten, zonder hiermee afbreuk te doen aan de beveiliging van de Ziggo gebruikers.

Met andere woorden; Ziggo beschermt nu de gebruiker EN de Clouddienst.
Volgens mij hoeft Ziggo niet de verantwoording te nemen voor de Clouddienst en kan Ziggo deze bescherming dus uit zetten zonder daarmee een risico te creëren.
Als we praten over Azure, dan heeft Microsoft de beveiliging te regelen van de dienst en niet Ziggo!

Daar komt bij dat de File services op Azure draaien op SMB2.0 en hoger, terwijl wannacry/petya/etc juist inspeelde op een lek in SMB1.0. Het lek wat werd misbruikt in SMB1.0, is opgelost in SMB2.0 en hoger. Dus al zou Ziggo ook het inkomende TCP/445 verkeer toelaten naar haar gebruikers, dan loop je alleen een risico als je SMB1.0 nog aan hebt staan. Dit kan je ook op Windows 10 versie 1803 (laatse versie op moment van schrijven) nog aan zetten, maar vanaf 1703 staat dit bij een schone installatie al standaard uit en loop je dus geen risico meer. Dan nog ben ik van mening dat Ziggo TCP/445 inkomend zou moeten blokkeren op een ander niveau (in de firewall van het modem van de klant), maar dat is weer een andere discussie.
@millaard
Sluit aan bij mijn kort door de bocht reaktie.
Helder verhaal en opnieuw: hear, hear.
Gr Han
Reputatie 7
Badge +25
Dit staat in de voorwaarden:
Binnen het thuisnetwerk is het delen van bestanden wel mogelijk maar niet met het internet. Het betreft de poorten (UDP en TCP 135 t/m 139 en TCP 445).
@N.N.
Dat gaat over het delen van jouw bestanden met de buitenwereld
via SMB over poort 445. Het is geen probleem de poort 'inbound'
te blokkeren voor initierend verkeer.
Het gaat niet over contact zoeken met Microsoft Azure over 445
om bij een Share op de externe Server te kunnen komen. Dat wordt ook geblokkeerd en dat hoort m.i. absoluut niet.
Zie ook de verhelderende toelichting van @millaard.
GR Han
Ik liep hier ook tegen aan. Het lukt maar niet om een Azure fileshare aan te maken. Dit is SMB 3.0 encrypted. Via een andere (niet Ziggo) internetverbinding lukte het meteen. Toen kwam ik er achter dat het aan de Ziggo verbinding moest liggen en kwam ik dit topic tegen.

Ik kan me ergens voorstellen dat ze TCP445 inkomend blokkeren, om te voorkomen dat mensen per ongeluk hun hele C: schijf delen. Maar uitgaand??? De gedachte dat het onveilig is stamt nog uit de oertijd.

ps: modem staat in bridgemode.
Ook ik loop tegen dit probleem aan. Azure biedt de mogelijkheid om files te sharen maar deze kan ik thuis niet benaderen. Kan alleen als ik een Point2Site VPN configureer.
Ik vind dit een erstige beperking opgelegd door Ziggo van mijn internet verkeer. Als ik mijn telefoon als hotspot gebruik, kan ik wel verbinding maken. Maar ik wil geen grote hoeveelheden data over mijn mobiele contract sturen.
Reputatie 7
Hallo Iedereen,

We moeten eerst even door de zure appel bijten: In de voorwaarden die horen bij onze verbinding staat duidelijk in dat poort 445 niet te gebruiken is. We leveren dus volgens leveringsafspraak met de afnemers van onze diensten geen internet over die poort, en dat blijft zo.

Het eenzijdig blokkeren van een complete poort is absoluut een ingrijpende actie! Dit is iets wat je eigenlijk helemaal nooit wil hoeven toepassen. Wij vinden dat het wel nodig is in verband met het beschermen van onze en andere gebruikers op het internet. Er zijn namelijke ernstige veiligheid risico's verbonden aan het gebruik van poort 445 buiten een thuisnetwerk. Details over veiligheidsmaatregelen kan ik helaas niet geven. Ik ben wel gaan Googlen en kom onderstaande zaken tegen:

  • Diverse malware - waaronder het zeer schadelijke WannaCry! - gebruiken uitgaande poort 445 om zich te verspreiden.
  • Symantec raadt aan om poort 445 volledig te blokkeren.
  • Er zijn meer ISPs die de poort volledig dicht hebben gezet.
  • Ik lees hier ook een advies van Microsoft: Enterprise perimeter firewalls should block unsolicited communication (from the Internet) and outgoing traffic (to the Internet) to the following SMB-associated ports: 137, 138, 139, 445
Beste Community moderator, het is wel raar dat de corporate Ziggo abonnementen niet geblokkeerd zijn. Op kantoor kan ik wel gewoon gebruik maken van Azure Files fileshare, via Ziggo.

  • Daarnaast: Wannacry maakte misbruik van SMB v1. Azure Files is SMB v3, wat de Windows 8.1 en hoger ondersteunen. Een gepatchte Windows machine heeft geen SMB v1 meer.
  • De artikelen van Symantec en Microsoft die zijn aangehaald zijn oud en enigszins achterhaald. In hun technische sessies halen ze zelf aan dat port 445 an sich niet heel bijzonder is, maar het protocol belangrijk is, en aangezien SMB v3 de huidige standaard is, is de notie dat port 445 onveilig is achterhaald.
Ik snap dat Ziggo het doet om het grote publiek te beschermen (oma met d'r oude Windows 95 machine met die rare popups zo uit het niets), maar het is jammer dat dit niet op aanvraag open te zetten is.
Eens, zou mooi zijn als de poorten open konden worden gezet na validatie of een gebruiker niet een bekende vulnerability exposed.

p.s. Duurde nogal lang voor ik er achter kwam waarom deze poort forwarding niet werkte. Steeds meer security uitgezet om te zien of dat de oorzaak was. Het policy zou wel eens contra productief kunnen zijn als mensen alles maar open zetten om de forwarding toch te laten werken.

Beste Community moderator, het is wel raar dat de corporate Ziggo abonnementen niet geblokkeerd zijn. Op kantoor kan ik wel gewoon gebruik maken van Azure Files fileshare, via Ziggo.

  • Daarnaast: Wannacry maakte misbruik van SMB v1. Azure Files is SMB v3, wat de Windows 8.1 en hoger ondersteunen. Een gepatchte Windows machine heeft geen SMB v1 meer.
  • De artikelen van Symantec en Microsoft die zijn aangehaald zijn oud en enigszins achterhaald. In hun technische sessies halen ze zelf aan dat port 445 an sich niet heel bijzonder is, maar het protocol belangrijk is, en aangezien SMB v3 de huidige standaard is, is de notie dat port 445 onveilig is achterhaald.
Ik snap dat Ziggo het doet om het grote publiek te beschermen (oma met d'r oude Windows 95 machine met die rare popups zo uit het niets), maar het is jammer dat dit niet op aanvraag open te zetten is.
Na ook nog eens een prijsverhoging in mijn abonnement gekregen te hebben (zonder snelheidsverhoging, want oud abonnement), heb ik nu glasvezel Internet via T-Mobile. Poort 445 naar buiten toe is gewoon mogelijk, en daarnaast is de upstream net zo hoog als de downstream, dus ik kan nu prima gebruik maken van Azure Files..
Alles leuk en aardig als ik het zo zie. Ziggo verwijst naar haar voorwaarden, waarin ze zeggen dat de poort geblokkeerd is.
Hierin wordt continu gescherm met "we doen dit voor onze gebruikers". Een beetje vreemd vind ik het vervolgens als er, zodra deze gebruikers zélf aangeven dat dit ongewenst is, wordt gedaan alsof de neus bloed en wordt ernaar verwezen dat het voor hen wordt gedaan.

Ik krijg van de reacties van Ziggo heel sterk het gevoel dat Ziggo geen rekening houdt met hun klanten, maar alleen met haar eigen regels.
Uiterst teleurstellend dat een arbitraire beslissing van een provider als deze ervoor zorgt dat al haar gebruikers de (overigens zeer goed beveiligde) services van gerespecteerde bedrijven als Microsoft (Azure), Amazon (Web Services), IBM (Cloud), Google (Cloud), ServerCentral en nog vele anderen niet kunnen gebruiken.

Met het oog hierop, hoop ik dan ook zeker dat Ziggo meegaat met de tijd en haar gebruikers in staat stelt om dat ook te doen.

Graag hoor ik van Ziggo meer informatie dan "dit staat in onze voorwaarden", specifiek wat de plannen voor de toekomst zijn. Als het aanpassen van een tweezijdige blokkade naar een éénzijdige blokkade inderdaad zo'n grote ingreep is, zou ik aanraden om vlot te beginnen met de plannen.
Reputatie 7
@Fengshen We hebben er begrip voor dat je er anders over denkt. Er zijn echter geen plannen om dit in de toekomst anders te doen. Inhoudelijk kan ik je helaas geen verdere uitleg geven over onze keuzes op het gebied van beveiliging.

Tip: Stel je cloud services simpelweg in op een andere poort, dat moet afdoende zijn.
Voor de goede orde. Het gaat over een door Microsoft aangeboden SMB dienst die van binnen naar buiten over 445 moet verlopen. Het is zeer vreemd dat het Ziggo netwerk dit blokkeert.

Bij een blokkade van 445 van buiten naar binnen, kan ik me nog wel iets voorstellen, als bescherming van de klant tegen brokken die je daar als minder ingewijde mee kunt maken, ihb in het verleden met een oudere versie van het SMB protocol.

Het motief: het is te ingewikkeld om een enkelzijdige blokkade te implementeren op de Firewalls. Dit klinkt weinig professioneel en wijst nog het meest op een gemakzucht, die m.i niet acceptabel is voor een correcte dienstverlening aan de klant. Het zal lastig zijn dit aan te vechten ivm netwerkneutraliteit. Er is immers een workaround via een VPN-verbinding.
Reputatie 7
Badge +13
Als algemene maatregel om argeloze klanten (tegen zichzelf en de boze buitenwereld) te beschermen, is het preventief afsluiten te billijken, maar maak het dan wel mogelijk om dit, op verzoek van een individuele abonnee, open te stellen.
Men mag immers er toch ook voor kiezen het Ziggo-modem in bridge te (laten) zetten en een eigen router aan te sluiten, waardoor veel van dit soort beperking wegvallen of zoals hanh oppert, een en ander via een VPN-verbinding voor elkaar te krijgen.
Hi Denny, wat ik begrepen heb, is, dat het Ziggo Network zelf destijds outbound verkeer over 445 blokkeerde.
Dan helpt een eigen Router niet.
Dat zou nu anders kunnen zijn geworden........ Des te beter.
De reaktie @Fengshen kan betekenen dat dit nog altijd zo is.
Dat is niet helemaal zeker.
@Fengshen : heb je dit recent getest?
Voor mij is dit wat lastiger. Beschik niet over een externe SMB Server.

Reageer