image

OPTA geeft providers regels voor een veiliger internet

woensdag 18 april 2007, 10:15 door Redactie, 10 reacties

De Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) is ondere andere verantwoordelijk om het internet veilig te maken en te houden. Zo houdt het zich bezig met de handhaving van het spyware- en spamverbod. Ook internetproviders spelen een belangrijke rol bij het beschermen van hun gebruikers. De OPTA heeft daarom het onafhankelijke bureau Stratix onderzoek laten uitvoeren naar de bedreigingen voor de consument op internet.

Op deze manier wil de OPTA een minimum niveau van veiligheid van de markt waarborgen, maar ook met de markt afspraken maken om de internetveiligheid te vergroten. Aan de hand van de uitkomsten van het onderzoek heeft men nu een aantal maatregelen om de consument te beschermen vastgesteld, de zogenaamde 'zorgplicht' voor internetaanbieders.

Het gaat dan om zaken als:

  • Het niet naar andere netten routeren van verkeer vanaf IP-adressen die niet tot de eigen reeksen behoren.
  • Het niet routeren van inkomend verkeerd van IP-blokken die niet officieel zijn uitgegeven.
  • Het aanbieden van virus- en spamfilters voor inkomende en eventueel uitgaande e-mail.
  • Het benaderen van eindgebruikers wiens PC als zombie wordt gebruikt.
  • Het blokkeren van de meest voor inbraken op PC's misbruikte poortnummers.
  • Het adviseren van eindgebruikers om firewalls te installeren of activeren.
Reacties (10)
18-04-2007, 10:36 door Anoniem
poorten blokkeren ?
Net nu mijn ISP er eindelijker wat flexibeler in is geworden ...
18-04-2007, 11:05 door pikah
Zal alleen maar erger worden verwacht ik.
18-04-2007, 12:49 door Anoniem
"Het niet naar andere netten routeren van verkeer vanaf IP-adressen die
niet tot de eigen reeksen behoren."

Lijkt me lastig voor toplevel toko's als AMS-IX als ze niet meer mogen
routeren. Of voor clubs die via peering contracten hun kosten laag
proberen te houden of voor VISP's die IP ranges gekocht hebben van hun
ISP...

"Het niet routeren van inkomend verkeerd van IP-blokken die niet officieel
zijn uitgegeven."

Dat is amper te monitoren, heb je een dagtaak aan.

"Het aanbieden van virus- en spamfilters voor inkomende en eventueel
uitgaande e-mail."

Eventueel, dus je mag de hele wereld besmetten, maar je klanten mogen
dan geen besmette E-mails meer krijgen? Waarom hebben ISP's niet
standaard malware filtering aan staan (als optie voor n00b-internet
gebruikers)

"Het benaderen van eindgebruikers wiens PC als zombie wordt gebruikt. "

Nee hoor, ik ben aan het honeypotten...

"Het blokkeren van de meest voor inbraken op PC's misbruikte
poortnummers."

Zo'n beetje ELKE poort is wel minstens 1 keer voor een vulnerability of stuk
malware gebruikt... PRUTSERS!

"Het adviseren van eindgebruikers om firewalls te installeren of activeren"

Firewalls... zucht... Het 'magische' stukje software of kastje dat de hele
wereld beter maakt...

Gelukkig hebben ze bij die amateurclub meer verstand van KPN-etje
pesten.
18-04-2007, 13:31 door [Account Verwijderd]
[Verwijderd]
18-04-2007, 13:55 door Anoniem
Door Iceyoung
ARE THEY 4 REAL ??

Reguleren maar die handel.
Alles wordt hier in Nederland geregeld.
Wie bedenkt dit soort dingen en waarom zit die persoon niet opgesloten in
een kliniek?
Die persoon werkt bij Stratix, zie je toch. Is dat een kliniek?
18-04-2007, 13:58 door Anoniem
Door Anoniem
"Het niet naar andere netten routeren van verkeer vanaf
IP-adressen die
niet tot de eigen reeksen behoren."

Lijkt me lastig voor toplevel toko's als AMS-IX als ze niet
meer mogen
routeren. Of voor clubs die via peering contracten hun
kosten laag
proberen te houden of voor VISP's die IP ranges gekocht
hebben van hun
ISP...

Daarvoor heb je meerdere lagen in je netwerk en daarbij weet
je welke netwerken er bij welk ASN van je peers behoren. Dit
is al standard practice.


"Het niet routeren van inkomend verkeerd van IP-blokken
die niet officieel
zijn uitgegeven."

Dat is amper te monitoren, heb je een dagtaak aan.

Dit valt onder de BOGON-range en de STOP-range. Beide zijn
automatisch toe te voegen aan je BGP-tabel en gebeurt ook.


"Het aanbieden van virus- en spamfilters voor inkomende
en eventueel
uitgaande e-mail."

Eventueel, dus je mag de hele wereld besmetten, maar je
klanten mogen
dan geen besmette E-mails meer krijgen? Waarom hebben ISP's
niet
standaard malware filtering aan staan (als optie voor
n00b-internet
gebruikers)

Er zijn voldoende ISPs die standaard een virusscanner op de
e-mail loslaten. XS4ALL heeft die een paar jaar geleden
zelfs groot aangekondigd bv. Het naar buiten wordt door vele
ook gedaan en er zijn zelfs ISPs die hun eigen klanten
weigeren bij besmetting zoals bv Planet doet.


"Het benaderen van eindgebruikers wiens PC als zombie
wordt gebruikt. "

Nee hoor, ik ben aan het honeypotten...

Honeypotten is leuk, maar mag geen effect hebben op de rest
van de wereld. Het honeypot project kwam daar ook achter
toen een rechtzaak dreigde, maar je moet wel je
verantwoordelijkheid nemen in z'n situatie. Helaas kunnen
heel veel mensen dat niet, zelfs als ze zelf denken van wel.


"Het blokkeren van de meest voor inbraken op PC's
misbruikte
poortnummers."

Zo'n beetje ELKE poort is wel minstens 1 keer voor een
vulnerability of stuk
malware gebruikt... PRUTSERS!

Poorten blokken heeft effect zoals bv bij Code Red ook al
aantoonde bij bv Sonera/Multikabel waarbij klanten die
inkomende poorten beneden de 1024 alles weigerde. Daarbij
kan je z'n maatregel ook tijdelijk nemen zoals zoveel ISPs
al jaren lang doen.


"Het adviseren van eindgebruikers om firewalls te
installeren of activeren"

Firewalls... zucht... Het 'magische' stukje software of
kastje dat de hele
wereld beter maakt...

Het is geen magie, maar onderdeel van de puzzel. En
inkomende verbindingen naar clients niet toestaan cq
beperken heeft veel zin. Het naar buiten kan ook veel spam
bv verhelpen door klanten te verplichten om door bv bepaalde
proxies/gateways te gaan.


Gelukkig hebben ze bij die amateurclub meer verstand van
KPN-etje
pesten.

Je kan wel negatief doen, maar dit is wel een goede
ontwikkeling voor klanten want zo weten we langzaam aan waar
ze aan toe zijn. Maar het is geen silverbullet en dat is
altijd belangrijk om te weten.
18-04-2007, 14:14 door Anoniem
Door Iceyoung
ARE THEY 4 REAL ??

Reguleren maar die handel.
Alles wordt hier in Nederland geregeld.
Wie bedenkt dit soort dingen en waarom zit die persoon niet opgesloten in
een kliniek?
Lees het rapport: de specialisten van je ISP die zó dicht op de materie
zitten dat ze menen dat " de meest gevaarlijke poorten (NETBIOS, Back
Orrifice)" zijn. Die hebben al een paar jaar een management functie
vermoed ik. Kijk zelf maar, de functie van de specialisten staan in het
rapport.... Tja en het onderzoeksburo doet gewoon wat de opdrachtgever
vraagt - daar is toch nix mis mee? Alleen hopen dat de OPTA hier niet
allerlei kostbare belastingeuri's voor uitgegeven heeft.

Voor de jongeren onder ons: Back Orifice is in 1998 geintroduceerd en
gemoderniseerd in 1999. (BO2K) BO is bedoeld voor windows 95, wat de
ouderen hier wellicht nog wel vaag kunnen herinneren. Naar ik meen
stond Netbios default open op oudere MS platformen die je nog wel eens
aantreft op een PC van 3 euro op de vrijmarkt, en had je dit probleem als je
zonder ADSL router/fw naar het internet ging. Maar da's allemaal best lang
geleden, dus ik kan mij vergissen.
18-04-2007, 17:02 door Anoniem
Wat word er nu eigenlijk geadviseerd?

Het niet naar andere netten routeren van verkeer vanaf IP-adressen
die niet tot de eigen reeksen behoren.

Wat betekent dit nu? Geen spoofing met bestaande adressen die niet van
de ISP zijn.

Het niet routeren van inkomend verkeerd van IP-blokken die niet officieel
zijn uitgegeven.

Wat betekent dit nu? Geen adressen accepteren die een ISP niet terug kan
routeren.


Het aanbieden van virus- en spamfilters voor inkomende en eventueel
uitgaande e-mail.

Wat betekent dit nu? Een ISP maakt het een klant gemakkelijker om aan
filters voor dit soort zaken te komen. Een dienstverlening dus.


Het benaderen van eindgebruikers wiens PC als zombie wordt gebruikt.

Wat betekent dit nu? 'Vervuilers' worden benaderd om het vervuilen te
stoppen. Dit is in het belang van een ISP, bij teveel vervuiling vanaf
zijn netwerk loopt een ISP de kans dat zijn AS ip nummer reeks wordt
geblokt.


Het blokkeren van de meest voor inbraken op PC's misbruikte
poortnummers.

Wat betekent dit nu? Dit is de meeste werk, dit wisselt continue. In het
rapport staat iets anders, een ISP blokeert een aantal poorten die niet op
het Internet verwacht worden. NETBIOS over het Internet is heel
ongebruikelijk. Dit om de achtergrond ruis te beperken. Niet zozeer een
beveiligings/veiligheids winst maar meer een verkeersredcutie.


Het adviseren van eindgebruikers om firewalls te installeren of te activeren.

Wat betekent dit nu? Advies geven aan klanten om hun eigen omgeving te
beschermen. Levert minder potentiele problemen voor een ISP op.


Dit alles is best leuk maar de trend in het rapport van Stratix is meer
van "Waar bemoeit de OPTA zich mee? Dit wordt al onderling geregeld. En
als de OPTA zich er zo nodig mee wil bemoeien laat die zich dan eerst
maar eens acherhalen waar het om gaat."
18-04-2007, 17:12 door Anoniem
Het niet naar andere netten routeren van verkeer
vanaf IP-adressen die niet tot de eigen reeksen behoren.
Het staat wat kort geformuleerd maar het komt neer op een
soort anti-spoofing. Als een ISP netwerken A,B en C heeft,
dan kan verkeer vanaf zijn netwerk nooit een adres hebben
uit de reeks D-Z. En juist dat soort verkeer willen ze
blokkeren.
Ik vraag me af hoe dat gaat werken met anonieme proxy's dan.
18-04-2007, 20:26 door Thaddy
de proxy is niet -nooit- anoniem, het verkeer dat ze
doorstuurt lijkt het te zijn!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.