mdvries_2

Level 3
  • 15Posts
  • 0Oplossingen
  • 5Likes

Wederom; TCP 445 outbound openen

-edit-; Topic titel moet dus outbound zijn i.p.v. inbound. 

Er zijn al eerdere topics over, maar die zijn al even verouderd.

 

Vraag aan Ziggo; zijn er nu wel plannen om TCP poort 445 outbound van particulieren naar internet open te zetten? Zo ja, wanneer en zo nee, waarom niet? 

 

Voor de nieuwelingen: deze poort wordt gebruikt voor SMB, het protocol waarmee netwerkshares te openen zijn voor bestandsoverdracht. In een zeer oude versie van dit protocol (SMBv1) zat een ernstige kwetsbaarheid. In de nieuwere versies (SMBv2 en SMBv3) is deze kwetsbaarheid opgelost. O.a. het platleggen van Maersk een jaar of wat terug is middels deze kwetsbaarheid gebeurd. Logisch dus dat Ziggo deze poort volledig (inbound en outbound) geblokkeerd heeft in de firewalls (niet van de modems, maar op het eigen netwerk. Niet te omzeilen dus met andere hardware thuis). Voornaamste reden volgens Ziggo is het in bescherming nemen van haar klanten.

 

We zijn nu een aantal jaren verder. De kwetsbaarheid is zo goed als verholpen in nieuwe OS’en. Windows 7 gaat over twee weken uit support en wordt dan zo lek als een mandje. Windows 8 en 10 hebben geen last meer van deze kwetsbaarheid. En, laten we eerlijk zijn, de Windows gebruikers zijn over het algemeen de gebruikers die (tegen zichzelf) in bescherming genomen moeten worden. In deze tijden van booming clouddiensten zou Ziggo er goed aan doen om mee te gaan met de tijd (doet Ziggo al, maar ik bedoel specifiek dit gebied) en meer diensten beschikbaar te maken aan klanten in plaats van het preventief dichtzetten ervan. Vandaar dat ik deze discussie weer actueel wil maken.

 

Specifiek voorbeeld (eerder gezien hier) is het gebruiken van een Azure File Share. Kan alleen met de standaard poort TCP 445. Kan gewoon met andere providers vanaf thuis. Wie gaat er allemaal thuis nog een NAS neerzetten en onderhouden met al het gedoe en de risico’s die erbij horen? Ik zet mijn data liever veilig en zonder omkijken in de cloud. Er zullen vast andere voorbeelden op te noemen zijn. 

 

Ik ben benieuwd naar de mening van de community en Ziggo. Wat vinden jullie? 

 

 

14 Reacties 14
efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes

Ik ben in principe tegen het blokkeren van poorten, tenzij het echt niet anders kan. Zo is denk ik de outbound poort 25 wel te verdedigen.

Het blokkeren van die samba poorten….. Wie zet anno 2020 nog samba open naar het web? ? 
Volgens mij stamt deze blokkade nog uit de tijd dat Ziggo/@home modem only devices zonder firewalll/router/NAT functies uitdeelde, waar mensen dan domweg direct Windows aan hadden hangen. Dat was ronduit gevaarlijk met Windows uit die tijd. Deze blokkade is dus al veel ouder dan door jou gesuggereerd. of je hem nu op moet heffen, van mij mag het, maar er zullen geheid weer lieden zijn die hun netwerkshares gaan Port forwarden. Ik mis deze poorten ook niet eerlijk gezegd.

hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3463Likes

Het gaat over outbound naar Microsoft Azure File Servers, denk ik. Dat ken ik.

Een blokkade hiervan is absurd.
Motief was destijds: het is lastig op de Firewall een verschil te maken tussen Inbound en Outbound. Tsja.

mdvries_2
Topicstarter
Level 3
  • 15Posts
  • 0Oplossingen
  • 5Likes

Geen Ziggo antwoord?

Mark
Oud Community Moderator
Oud Community Moderator
  • 5774Posts
  • 655Oplossingen
  • 1963Likes

Hi mdvries, dit topic is aan mijn aandacht ontsnapt, sorry. Het is niet aan mij om het beleid hierin te bepalen, ik heb je suggestie doorgegeven aan onze security en modem specialisten. Of de blokkade hierdoor aangepast gaat worden zullen we af moeten wachten, dat verwacht ik zeker niet op korte termijn.

tipo

Level 3
  • 62Posts
  • 0Oplossingen
  • 29Likes

Vraagje uit nieuwsgierigheid: geldt die blokkade ook voor Ziggo zakelijk?

Mark
Oud Community Moderator
Oud Community Moderator
  • 5774Posts
  • 655Oplossingen
  • 1963Likes
tipo wrote:

Vraagje uit nieuwsgierigheid: geldt die blokkade ook voor Ziggo zakelijk?

Dat geloof ik wel, in ieder geval voor de standaard (ZZP) abonnementen. Of het bij Pro (MKB) en groot zakelijke pakketten ook zo is weet ik niet.

hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3463Likes

@Mark Ziggo and all.

Er was in een ander Topic een type, dat smb wilde doen met een andere lokatie van hemzelf met een KPN netwerkaansluiting, maar dat best ook met een Ziggo aansluiting aldaar.

Dan is er technisch niks aan de hand met de blokkade van Ziggo voor Outbound verkeer over  445 naar de andere lokatie.

  • installeer en eigen VPN Server op de ander lokatie & regel de Port Forward(s)
  • maak vanaf de Ziggo aansluiting thuis een VPN verbinding daarmee

Dan kun je net zoveel (veilig) smb’en over 445 als je maar wilt.

Four Forces

Level 1
  • 1Posts
  • 0Oplossingen
  • 0Likes

@Ziggo  @Ziggo Community  DIt is belachelijk en een legacy manier van dingen oplossen.

Een ISP tegenwoordig moet zich niet meer bemoeien met welk verkeer wel of niet mag.

Azure Files word momenteel breed ingezet en deze blokkade betekend dat mensen op hun thuis verbinding dus niet bij zakelijke resources kunnen. 

Het argument om dan maar een VPN op te zetten (welke dan ook nog eens AL het verkeer moet tunnelen) is anno 2020 ook niet meer valide. 

Dus ziggo haal aub deze ACL van jullie core routers.

hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3463Likes

Inbound vind ik nog wel engszins te rechtvaardigen vanwege de historie van SMB en zorgzaamheid tov de naive klant. Misschien teveelbetutteling te noemen.

Outbound voor Azure moet gewoon kunnen.

janvv

Level 5
  • 95Posts
  • 0Oplossingen
  • 20Likes

Ik probeerde vandaag een Azure Fileshare te maken en dat werkte niet. Ik kwam er na een half uur zoeken achter, dat dit dus door Ziggo geblokkeerd wordt.

Waarom? Het is UITGAAND verkeer! Dit heeft niets met beveiliging van mijn thuis-netwerk te maken. Of vind Ziggo dat Microsoft Azure tegen mij beschermd moet worden?

Kan @Mark Ziggo uitleggen waarom het gebruik van Azure File Shares een gevaarlijke techniek is?

efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes

Eerlijk gezegd had ik me in mijn eerdere reactie niet gerealiseerd dat azure poort 445 gebruikt. Dan is het gewoon niet meer houdbaar om dit te blokkeren. @Mark Ziggo hier moeten jullie iets mee, lijkt me.

hanh

Oud Community-lid
  • 17054Posts
  • 661Oplossingen
  • 3463Likes

Het laatste wat ik hier over weet is, dat de Ziggo  Firewall Inboud en Outbound blokkeert omdat dit het makkelijkste gaat. Ik vond dat toen maar niks.
https://community.ziggo.nl/internetverbinding-102/microsoft-azure-file-storage-via-poort-445-niet-mo...

Mark
Oud Community Moderator
Oud Community Moderator
  • 5774Posts
  • 655Oplossingen
  • 1963Likes
janvv wrote:

Kan @Mark Ziggo uitleggen waarom het gebruik van Azure File Shares een gevaarlijke techniek is?

Nee, ik ben geen security specialist. Ik verkondig alleen wat het beleid op dit moment is en heb nogmaals jullie bezwaren kenbaar gemaakt bij de afdeling die dit beleid bepaalt.

 

Edit - zo staat het in onze algemene voorwaarden omschreven:

- Toegang naar gedeelde mappen en printers wordt vaak misbruikt om privébestanden te stelen of te beschadigen, of om computers te besmetten met schadelijke software. Om consumenten te beschermen wordt deze toegang op het Netwerk geblokkeerd. Binnen het thuisnetwerk is het delen van bestanden wel mogelijk maar niet met het internet. Het betreft de poorten (UDP en TCP 135 t/m 139 en TCP 445).

 

Edit2 - wat Google zoekwerk levert meerdere workarounds op die je toe kunt passen als poort 445 geblokkeerd is, ook zonder VPN.

remcos2

Level 1
  • 1Posts
  • 0Oplossingen
  • 0Likes

@Mark Ziggo  @Ziggo  Dit is echt niet meer van deze tijd. Het is onzin om UITGAANDE poorten te blokkeren. Wij maken ook zakelijk gebruik van Azure File Shares en dit werkt vlekkeloos in deze periode van veel thuiswerken voor al ons personeel, behalve... voor de mensen die Ziggo hebben als provider. 

Workarounds zouden echt niet nodig moeten zijn. Ondertussen zijn er meerdere collega's die van internet provider gaan wisselen omdat *alle* andere providers hier wel vlekkeloos mee werken en ze geen zin hebben in gedoe met mobiele hotspots of andere workarounds. Misschien helpt het voor verhogen de prioriteit als je intern duidelijk maakt dat  jullie door dit verouderde beleid daadwerkelijk klanten verliezen.

 

M.b.t. de workaround zonder VPN die je voorstelt: Er zijn er 4 genoemd. Eentje is VPN, die valt af. Sync valt ook af want we hebben geen eigen server om mee te syncen. Eentje is een obscure onhandige tool die niet goed werkt. En de laatste is: Los het op samen met je ISP! Dus bij deze: Kunnen jullie deze instellingen aanpassen? 🙂

Uitgelicht topic