Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ziggo Internet "security"

28-07-2011, 17:51 door Anoniem, 26 reacties
Ik zit thuis met mijn netwerkje achter mijn Motorola Ziggo cablemodem met 1 Windows 7 PC en 1 Mac. Beide hebben totaal verschillende ip adressen: de MAC iets van 94.210.xxx.xxx en de W7PC is 83.83.xxx.xxx. Op de W7PC draait een webserver die door de MAC prima wordt gezien. Om veiligheidsredenen is de firewall geinstrueerd om alleen 'Home/Work (private)' verkeer toe te staan naar de Apache server op de W7PC. Wat blijkt? Als ik met een ander apparaat (in dit geval mijn telefoon met een eigen internet verbinding) het ip-adres van de W7PC benader, geeft de webserver aldaar antwoord. Oftewel: de hele wereld kan mijn webserver zien. Nog erger: het lijkt erop dat mijn 'Home/Work (private)' omgeving de hele wereld omvat. Volgens W7 staat 'Home/Work (private)' voor "where you know and trust the people and devices on the network". Uiterst vreemd. Bovendien staat bij 'File and Printer sharing' het vinkje ook aan. Wat kan dat niet allemaal met zich meebrengen?

Ik pretendeer niet het fijne ervan te weten, maar verdacht lijkt me dit allemaal wel....

Iemand een idee?
Reacties (26)
29-07-2011, 10:05 door [Account Verwijderd]
[Verwijderd]
29-07-2011, 10:11 door Anoniem
Wat heeft dat met ziggo te maken?

Waarom hang je workstations rechtstreeks aan het net zonder router/firewall ertussen? Dat is ook wel beetje vragen om problemen als je het mij vraagt. Bovendien mag je blij zijn dat je 2 ipadressen krijgt.
29-07-2011, 10:15 door Anoniem
test eens met dit: https://10.cloud.ubuntu.com/
29-07-2011, 10:23 door SirDice
Home/Private suggereert RFC-1918 adressen en jij hebt public IP adressen op beide machines. Je hebt dus feitelijk geen "lokaal" netwerk.
29-07-2011, 11:07 door Anoniem
Sarcasm: on
kun je de cijfers die achter die XXen staan ook nog even geven? Dat maakt het voor ons wat makkelijker...
Sarcasm: off

voor het geval je van plan bent om het alsnog te posten doe het niet.... en leer eerst wat over netwerken voordat je begint met het aansluiten van 2 machines op een modem... je hebt hier duidelijk hulp bij nodig dus zoek iemand in je buurt die verstand heeft van netwerken en vraag die persoon om je te helpen... wat je ook doet laat het alsjeblieft NIET zo draaien!
29-07-2011, 11:31 door JorgD
Klinkt als een layer 8 probleem. Welke aanpassingen heb je aan het cablemodem gedaan?
29-07-2011, 11:55 door Anoniem
Dat komt omdat je een directe verbinding met de wereld hebt, je hebt dus geen "privaat" ip-adres, maar je PC zit direct aan het internet, Win7 vroeg jou wat voor een netwerk dit is, en als je dan aangeeft dat het een home/private netwerk is, zal windows7 gewoon alles toelaten. Ik adviseer om er een router tussen te zetten, en die aan je mac en pc's te koppelen.
29-07-2011, 11:57 door Anoniem
De modems van ziggo kunnen niet geconfigureerd worden door de thuisgebruiker. Verder is het mss handig om te weten dat de IS van ziggo F-Secure is.

Lijkt mij dat je gewoon wat firewall rules moet maken en het probleem is opgelost.

Wat vreemd is dat jou win pc en de MAC 2 verschillende public IP's hebben. Dit kan namelijk niet bij ziggo, ziggo gebruikt dynamic IP's(behalve zakelijk) dus als je op verschillende momenten gekeken hebt zou het evt wel kunnen. Ook heb je nog een router denk ik aangezien de motorola maar 1 ethernet port heeft. Je weet zeker dat je tel niet toevallig via een eigen wifi verbinding naar de server ging?
29-07-2011, 11:58 door Anoniem
Dit is PEBKAC jij filtert het niet. Windows ziet dit subnet als een prive ding. als dit echter een routed subnet betreft kan iedereen op dat subnet en dus bij jou pc. In dit geval is NAT handig als je dat niet wilt.
Maar je kan je beter eerst even inlezen voordat je conclusies trekt.

Bij welk abonnement is dit trouwens ?
29-07-2011, 12:24 door Anoniem
oftewel je telefoon maakt via je eigen WIFI verbinding en dus nog lokaal :)
29-07-2011, 14:09 door SecOff
Door JorgD: Klinkt als een layer 8 probleem. Welke aanpassingen heb je aan het cablemodem gedaan?
Laat je niet voor de gek houden hoor, layer 8 heeft niets met het kabelmoden te maken maar met met het null device :-P
29-07-2011, 15:55 door Anoniem
Aangezien je bij Ziggo publieke IP adressen krijgt (voor maximaal twee MAC addressen per modem, daarna even modem resetten) moet je de firewall dan ook op PUBLIC network zetten, dit om alle toegang van elders te voorkomen.
Let heel goed wat de keuze voor de firewall precies kiest, volgens mij kies je het netwerktype en niet het type verkeer zoals je misschien denkt.
Kies bij voorkeur altijd PUBLIC en maak daarna alleen uitzonderingen voor die ip-addressen en diensten die je wel wil toelaten.
Het gebruik van source-addressen als beveiliging is niet heel zeker (vanwege ip-spoofing), beter is het om een authenticatie met sterke wachtwoorden, certificaten.of zelfs IPSec te doen zodat je ook geen probleem krijgt als je ip-addressen eens veranderen. (de DHCP lease kan na een week gaan vervallen)

Hopelijk is het over een paar jaar weer strict normaal om met publieke IPv6 addressen aan het Internet te hangen, Ziggo is wat dat betreft wel een leerschool om jezelf goed te beveiligen. (niet door hun duidelijke instructies maar vanwege de barre noodzaak)
Wil je de 'eenvoudiger Ziggo oplossing' dan moet je een router erbij nemen, of jezelf zo'n nieuw kabelmodem met ingebouwde router laten sturen.

Peter T.
29-07-2011, 18:25 door Anoniem
zou je dit niet ook kunnen proberen, hiermee kom je dan in de configuratiescherm van het motorolamodem en kun je sommige instellingen veranderen, helaas kun je niet een wachtwoord zelf instellen, met andere modems via adsl dacht ik is dat wel zo, maar probeer deze url eens :

http://192.168.100.1/
29-07-2011, 18:31 door Anoniem
Lijkt mij dat er al een router in het spel is, de motorola modems hebben maar 1 ethernet port dus het is niet mogelijk om 2 pc's op het internet aan te sluiten (tenzij er gebruik van een switch gemaakt wordt)

Het modem kan idd 2 realtime MAC adressen opslaan, maar heeft maar 1 public IP. Tevens geeft het modem het IP adres door aan het eerst volgende device. Daardoor wordt de situatie modem -> switch -> 2 pc's lastig aangezien er dan 2 pc's zijn die vechten om 1 IP.
29-07-2011, 22:51 door Ilja. _V V
Door SirDice: Home/Private suggereert RFC-1918 adressen en jij hebt public IP adressen op beide machines. Je hebt dus feitelijk geen "lokaal" netwerk.
Dat zie ik ook zo.
Ten eerste kan je het beste bij al die grote kabelmaatschappijen het (de) IP('s) van je modem/router automatisch door je ISP laten toewijzen. Meestal is dat overigens een gebruiksvoorwaarde. Als je er dan inderdaad twee IP's van hebt gekregen, dan klopt 94.210.xxx.xxx & 83.83.xxx.xxx.voor de modem/router.

Alles wat daarachter zit, 1,2 of 1000 computers/routers/switches, behoort een IP toegewezen te krijgen zoals in dit document als standaard beschreven word (& al eerder door SirDice is aangehaald):

ftp://ftp.ripe.net/rfc/rfc1918.txt

Vanaf Windows 2000 doet de wizard dat standaard automatisch goed, of Mac ook zoiets heeft weet ik niet, lijkt me wel.
Wat je beschrijft gebeurd eigenlijk alleen als je met "opzet" handmatig zo je verbinding tot stand brengt.
30-07-2011, 12:56 door Bitwiper
Ik heb geen ervaring met kabelmodems, maar als dat is wat ik denk dat het is (een layer-2 device?) dan zou ik daar in een thuissituatie onmiddellijk een goedkoop NAT-routertje tussen het modem en m'n interne netwerk zetten.

@TS: wat is het type van jouw Motorola modem?
30-07-2011, 19:18 door Anoniem
Beide hebben totaal verschillende ip adressen: de MAC iets van 94.210.xxx.xxx en de W7PC is 83.83.xxx.xxx.

Hoe moet ik dit zien, dit zijn twee totaal verschillende netwerken. Kan dat wel?
In de tijd dat ik internette via inbellen kreeg ik altijd adressen binnen dezelfde
range toegewezen.
31-07-2011, 12:16 door Anoniem
koop gewoon even een routertje van 20 a 30 euro en het probleem is opgelost, dan val je onder de RFC1918 adressen !
31-07-2011, 13:43 door Anoniem
Ik heb ook een Motorola modem. Een SBV5120E. Ik kan van Ziggo ook twee IP adressen krijgen. De eerste is in de range 83.82.xxx.xxx met een subnet mask van 255.255.252.0 en de tweede is in de range 94.209.xxx.xxx met een subnetmask van 255.255.248.0. Ze zijn beiden volledig opertioneel. Een aanvraag voor een derde IP nummer wordt niet gehonoreerd.

Wel leuk om te weten, misschien kan ik er ooit nog wel eens iets leuks mee doen.

MV
31-07-2011, 15:32 door Anoniem
Door Anoniem: Beide hebben totaal verschillende ip adressen: de MAC iets van 94.210.xxx.xxx en de W7PC is 83.83.xxx.xxx.

Hoe moet ik dit zien, dit zijn twee totaal verschillende netwerken. Kan dat wel?
In de tijd dat ik internette via inbellen kreeg ik altijd adressen binnen dezelfde
range toegewezen.

Tuurlijk kan dat, in de tijd dat je inbelde had je provider waarschijnlijk maar 1 inbelrange, ziggo heeft meerdere blokken toegewezen van ripe omdat ze tikkeltje groter zijn
31-07-2011, 19:12 door Anoniem
Ik kan je uit eigen ervaring zeggen dat kabelinternet en telefonie NIET VEILIG is! Vraag me niet de technische details maar het komt erop neer dat door de structuur van het kabelnetwerk jouw "pakketjes"langs andere kabelinternetgebruikers komen die kunnen deze pakketjes (schijnbaar) kunnen ontcijferen en bekijken.Of je nu ZIGGO of UPC-klant bent maakt niks uit.En ja ik heb antivirus,antispyare en firewall.Ik heb ook een tijdje een router gebruikt,ook omdat ik dacht dat dat het probleem zou oplossen (vanwege de aanvullende firewall en encryptie) maar dat bleek ook niet veilig.Mijn advies: stap z.s.m. af van kabelinternet en telefonie,ook al heb je via de kabel sneller internet. Je kunt wat snelheid betreft voor glasvezelnetwerk kiezen.
31-07-2011, 19:14 door Anoniem
Dan is zo iets beter bij UPC geregeld dan bij Ziggo.
Nu krijg je tegenwoordig je modem in bridge mode bij UPC de Cisco 3212.
Dat betekend dat alleen de modem direct aan het internet hangt.
Je kan zelf met je eigen router welke is aangesloten op je modem de beveiligen regelen met je internetverkeer.
Ja het hangt natuurlijk wel een beetje van de router af die je dan hebt,wat voor functies hij allemaal ondersteund.
Ik gebruik een Netgear wndr3700v2 met de nieuwste firmware.
Daar heb ik alles zo geregeld dat mijn eigen apparaten die iets op het internet te zoeken hebben toegang hebben tot mijn netwerk en verder niks anders.
Het is zelf zo goed beveiligd,dat ik alleen via mijn pc die een bedrade internetverbinding heeft mijn router configuratie kan regelen.
Draadloos kom ik gewoon niet in de router,zeer goed dus.
31-07-2011, 20:30 door Anoniem
Door Anoniem: Beide hebben totaal verschillende ip adressen: de MAC iets van 94.210.xxx.xxx en de W7PC is 83.83.xxx.xxx.

Hoe moet ik dit zien, dit zijn twee totaal verschillende netwerken. Kan dat wel?
In de tijd dat ik internette via inbellen kreeg ik altijd adressen binnen dezelfde
range toegewezen.

Als beide reeksen van Ziggo zijn dan kan dat wel. Vergeet niet dat Ziggo is voortgekomen uit een aantal kabelbedrijven, die allemaal eigen IP reeksen hadden..
31-07-2011, 22:19 door Anoniem
een tip gooi je server weg
tevens ook even een router kopen van een paar euro en je bent van alle gezeur en gezeik af vr gr ict desk ziggo
01-08-2011, 12:27 door Arno Nimus
Dit lijkt me nou echt een gevalletje PECI.

Met andere woorden: Router/firewall aanschaffen, boekje lezen, aansluiten, configureren en de rest wijst zich vanzelf.

Mocht je er niet uitkomen dan kun je altijd een handige Harry uit de buurt vragen of even je internetverbinding bij Ziggo opzeggen.
02-08-2011, 07:34 door Anoniem
PECI klopt wel een beetje. Maar dan met de I van Information. Ik had geen idee dat een kabelaar zo'n "oplossing" zou aanbieden aan de simpele consument. Doet denken aan Vodafone die voicemail niet beveiligt "omdat de klant dat maar zelf moet weten/doen". Je ziet wat daarvan komt. Onverantwoord.

Maar het verhaal is me duidelijk: een simpel routertje er tussen en klaar is Anoniem.

Dank voor de inzichten en commentaren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.