Oke........ als je zo mensen gaat helpen met zo weinig kennis over DHCP, Subnetmaskers, IP adressen, Firewalls,
en andere zaken, blijft er dan alsjeblieft met je poten vanaf totdat je je goed hebt verdiept in die zooi.

Vraag 1: Wat is het verschil tussen een modem en een router?
A: Een router heeft een ingebouwde firewall, een modem niet.
B: Een modem heeft een ingebouwde firewall, een router niet.
C: Niets
D: Al het bovenstaande.


Mvg

diepe zucht

Hoe kom je daar nu bij? Iedere abonnee krijgt een dynamisch IP adres door een van de DHCP servers van Ziggo toegekend (86.xxx.xxx.xxx). De computers binnen het thuis-netwerk krijgen een IP adres dat door de DHCP server van de (draadloze) modem/router/firewall/switch wordt toegekend (192.168.xxx.xxx).

De firewall van dit apparaat (waarschijnlijk een Ubee "MODEM") is zo afgesteld dat de computers binnen het thuis-netwerk "onzichtbaar" zijn op het grote boze Internet (Stealth).

Je kan de kwetsbaarheid van een computer hier testen:

https://www.grc.com/x/ne.dll?bh0bkyd2


De hele straat is niet je thuis-netwerk, de buurman heeft een ander WAN IP adres.

Veel succes ermee!

@Anoniem om 12:58 uur.

De MODEM's die Ziggo uitlevert zijn in principe multifunctionele apparaten en hebben de volgende functies:

MODEM;
firewall;
DHCP server;
(draadloze) router;
switch;
webservertje ter configuratie.

De netwerkconfiguratie moet zijn:
(internet) --> modem --> router(+switch) --> PC1, PC2, PC3, etc.

Alle kabelmodems die ik heb gehad (tot nu toe 2) van Ziggo hebben een ingebouwde DHCP server. Firewall weet ik niet. Met de nieuwste modems is een volledige router iniedergeval wel ingebouwd, inclusief switch. Je kan dus alle PCs daar direct op aansluiten.

Ps. Hierboven; E: Geen van bovenstaande. Router hoeft echt geen firewall te hebben.

E: Niets van het bovenstaande.

Als je er niet zoveel verstand van heb, reageer dan gewoon niet.

Een modem is een modulator/de-modulator. Die zet (bijv.) een adsl verbinding ( of in dit geval: een kabel verbinding) om naar een lan verbinding en visa versa. meer niet.

Een Router is een apparaat welk een koppeling tussen 2 verschillende netwerken mogelijk maakt. Een router heeft niet per definitie een firewall aan boord.

Mvg

Een hele diepe zucht

Een modem is het kastje waar je telefoonlijn of je kabelaansluiting in gaat.
Een router is het kastje om meerdere computers op je modem aan te sluiten.
Een firewall blokkeert verbindingen op basis van ip adres, poortnummer, protocol of applicatie.

Kunnen we nu weer mijn ziggo klant gaan helpen?

@ diepe zucht,

ik snap dat je er moe van wordt, echter ipv zo hoog uit de boom te doen, kun je hem toch ook wel vertellen waar ie op moet letten of waar hij de info vandaan kan halen om het de volgende keer goed te doen (of niet)

Wat dacht je van geen van bovenstaande?

Heerlijk die zogenaamde ICT'rs.

Netbeui ? Welke steen heb je de afgelopen jaren onder geleefd ? Dat is zo prehistorisch . Tegenwoordig werk je met TCP/IP. Maar als je zo weinig kennis hebt van hetgeen je eigenlijk aan het doen bent, was het dan niet wijzer geweest die klant dat eerlijk te vertellen en het door iemand met meer kennis van zaken te laten regelen ?

Daarbij komt dat menig routertje zelf al de juiste instellingen heeft en je op de windows pc alleen maar mappen hoeft te delen en een lokale werkgroep hoeft aan te maken. Zelfs dat laatste zou niet eens hoeven als je de standaard " Werkgroep" van windows gebruikt.

In Windows 7 is het een ander verhaal.

Dus duik eerst de bieb eens in en ga eens wat lezen, kennis vergaren, zelf experimenteren voor je bij anderen de boel open gaat zetten, ook al is het met de beste intenties.

Begin om alle netwerk protocollen behalve TCP/IP te verwijderen. Netbeui is nergens voor nodig. Zorg dat alle TCP/IP instellingen op automatisch verkrijgen staan.

Sluit router (uplink of WAN poort) aan op modem. Sluit PC's aan op router (switch gedeelte). En dat zou het dan moeten zijn.

En hoe zit dat met de veiligheid/privacy bij de UPC? Ik heb van hen een Arris 502B/220 modem.

Het modem heeft inderdaad 1 IP adres, dit krijg je van Ziggo en hiermee communiceer je naar de buitenwereld.
Een modem zonder router is volgens mij in pricipe gemaakt voor 1 pc.
In plaats van die ene pc, kun je er ook een router op aansluiten. Dan kun je via die router meerdere pc's op het modem aansluiten. Deze zullen naar buiten toe allemaal via hetzelfde externe IP communiceren.
de pc's (of andere apparaten) die met het router in verbinding staan, krijgen echter ook allen een intern IP (standaard meestal beginnend met 192.168.1.)
alle pc's die met het router verbonden zijn, kun je deel uit laten maken van een thuisnetwerk. Volgens mij moet je hiervoor op zijn minst dezelfde workgroup instellen.

Stealth klinkt goed!

Ik had in http://gathering.tweakers.net/forum/list_messages/1422956 gelezen dat de 'thuis netwerk poorten' bij ziggo niet altijd geblokkeerd werden (wat ik wel stom zou vinden als dat niet geblokkeerd wordt).

Wat een boosheid allemaal..
Goed dat je hier post en wilt leren. Anders zul je er ook niet verder mee komen vermoedelijk..

Anyway. De standaard modems die je van Ziggo meegeleverd krijgt doen niets meer dan een virtueel circuit opzetten met Ziggo. Het device erachter doet een DHCP request en krijgt een extern IP. Dit noemt men bridgen.

Wat ik je zou aanraden is een NAT device kopen, anders kun je ook geen 2 machines het internet op internet. Ziggo deelt namelijk maar 1 IP per abonee uit.

Je wilt dus geen bridged maar een routed connectie.

Internet --- modem --- NAT device --- intern netwerk

Je kunt ook een router bij Ziggo bestellen, dan heb je het modem + NAT device in 1. Ik geloof dat ze ze ook met wireless aanbieden. Vaak wel zo makkelijk voor thuisgebruikers.

Paar losse dingen nog:
- Die windows settings zijn niet relevant in dit verhaal. Tenzij je SMB wilt toestaan, speel dat wat met die settings, het is vrij eenvoudig.
- Idealiter blokkeer je tcp/445 udp/137-139 naar buiten toe.
- Je hebt doorgaans thuis geen firewall nodig indien je een NAT device hebt. Je kunt gewoon zorgen dat er niks naar binnen geforward wordt.
- "stealth" mode is wat anders, daarmee drop je simpelweg nieuwe sessies die aankloppen op je modem/router.

Succes!

en tcp/ip is niet historisch? Misschien zelfs wel pre-historisch? waar denk je dat die werkgroep vandaan komt? Heeft dat geen relatie met Netbeui? Of heeft dat misschien meer relatie met Netbios? Wat inmiddels ook al jaren achterhaald is met het al jaren achterhaalde DNS? niet zomaar wat roepen joh... Je adviezen zijn goed bedoeld maar het is pot verwijt de ketel in je verhaal...

Helemaal mee eens, en chapeau voor de TS dat hij uitkomt voor een mogelijke fout!

Zelf heb ik geen ervaring met kabel-internet, maar heb er n.a.v. http://www.security.nl/artikel/37923/1/Ziggo_Internet_%22security%22.html wat over gelezen. Zo te zien heeft Ziggo in het verleden echte modems uitgeleverd, zie bijvoorbeeld: De veiligheid van dat modem beperkt zich waarschijnlijk tot wat je in de datasheet over security kunt vinden: Ubee modems hebben zo te zien wel een ingebouwde NAT router (en switch).

Hoe weet je of je PC's veilig zijn als je internet via de kabel hebt?

Als je PC een RFC-1918 IP-adres heeft (d.w.z. in een van de reeksen 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255 of 192.168.0.0 – 192.168.255.255, zie http://en.wikipedia.org/wiki/Private_network), zit je in elk geval achter NAT en ben je al behoorlijk veilig: vanaf internet kunnen dan geen verbindingen met je PC worden opgezet.

N.b. als je PC een zogenaamd APIPA IP-adres heeft (d.w.z. in de reeks 169.254.1.0 to 169.254.255.254) dan heb je waarschijnlijk een DHCP probleem.

Met elk ander IP-adres dan uit bovengenoemde reeksen is je PC mogelijk aan allerlei gevaren vanaf internet blootgesteld. Het zou kunnen dat Ziggo risicovolle poorten blokkeert (met name SMB), maar daar heb ik met wat Googlen niks over kunnen vinden (wel de blokkade van uitgaand poort 25 verkeer).

Dat is een goede aanvulling (niet alleen voor kabel-internetters) maar dit lijstje is niet volledig!

Mijn advies is het blokkeren van uitgaand verkeer in je (NAT-) router (van LAN naar WAN, dus van je PC's naar Internet) naar de volgende poorten:
135/TCP en 135/UDP (RPC)
137/UDP (NetBIOS Name Resolution)
138/UDP (NetBIOS Datagram Service)
139/TCP (NetBIOS Session Service)
445/TCP en 445/UDP (SMB)
Van al deze poorten kan het overigens bij mijn weten geen kwaad om zowel TCP als UDP te blokkeren.

Daarnaast raad ik aan om uitgaand verkeer naar 25/TCP (STMP) te beperken tot het IP-adres (of reeks) van de SMTP server van je ISP (voor zover je ISP dat zelf al niet blokkeert).

Bronnen:
- "Best Practices for Mitigating RPC and DCOM Vulnerabilities" http://technet.microsoft.com/en-us/library/dd632946.aspx
- "Service overview and network port requirements for the Windows Server system" http://support.microsoft.com/kb/832017
- "Overzicht van actief beveiligde poorten" http://www.xs4all.nl/klant/helpdesk/beveiliging/poortbeveiliging/

Gaat het nu alweer over Ziggo?

Naar buiten toe blokkeren heeft geen zin, je moet het naar binnen toe blokkeren.
En het laatste ben ik niet helemaal met je eens, upnp schiet gaten in je NAT :)

Ziggo blokkeerd netbios en smb poorten in hun modem template en CMTSen.

@Hele diepe zucht:


Er is niets mis met mijn "verstand er van hebben".


Dat beweerd ook niemand, echter de "MODEM's" die door Ziggo aan haar klanten worden verstrekt zijn multifunctionele apparaten, waar wél een firewall in zit.

Zou het in het vervolg s.v.p. wat minder arrogant en agressief kunnen? De poster vraagt om hulp, niet om afgeblaft te worden.

de ML2MST

@ alle Anoniemen en *(hele) diepe zuchten*

't Wordt hier wel steeds treuriger met de kwaliteit van de antwoorden op normale vragen... Sterker nog, ik krijg het idee dat 't er niet om gaat dat men de vragen wilt beantwoorden, maar dat men erop uit is ongevraagd eigen (on)kunde te ventileren. Waarschijnlijk wegens een gebrek aan waardering privé en/of op 't werk. En DAT kan ik me nog voorstellen gezien de hoeveelheid halve -en onwaarheden die hier steeds de revue passeren die in 90% van de gevallen ook niet of nauwelijks iets met de oorspronkelijke vraag van doen hebben.
Dit topic had heel kort kunnen zijn met slechts het antwoord van SirDice (niet anoniem!) van dinsdag 14:03.

Toch een persoon die daadwerkelijk iets toevoegt aan deze post.

zet een router tussen het modem en het interne netwerk en alles zal werken (nadat je de wizard van de router hebt doorlopen).

Nog een berichtje van de TS,

Bedankt voor alle reacties (ook de negatieve). Ik ben weer wat wijzer geworden en heb nu wat dingen om uit te zoeken (ga me verdiepen in Bridgen, waar ik nog een hoofdstuk uit een boek van heb liggen, wel oud helaas (vorige eeuw)).

Alle modems van ziggo worden idd door Ubee modems vervangen, waar een router in zit. Zoals SirDice en Bitwiper (en anderen) zeggen lost dat dit (niet bestaande) probleem op omdat duidelijk is wat het lokale netwerk is en wat het WAN (zie post 21:53).

Ik maak mij geen zorgen meer om die kennis! Bedankt!

Natuurlijk moet je om te beginnen SMB/NetBT poorten van buiten naar binnen blokkeren (NAT doet dat automatisch voor je), maar die poorten van binnen naar buiten blokkeren is ook zinvol (NAT doet dat niet)!

Daarmee voorkom je nl. dat LAN PC's SMB/NetBT verbindingen kunnen maken met (kwaadaardige) servers op internet. Zie bijv. "Block outgoing SMB traffic" in http://www.kb.cert.org/vuls/id/940193, een advisory voor de shortcut kwetsbaarheid van vorig jaar, of zie http://www.sans.org/reading_room/whitepapers/firewalls/egress-filtering-faq_1059 (PDF). Zie mijn eerste comment onder https://isc.sans.edu/diary.html?storyid=8332: bijv. Word documenten bevatten soms verwijzingen naar templates op netwerkdrives; dat zou wel eens ongelukkig kunnen resolven, men zou dit kunnen gebruiken om vast te stellen wanneer een Word document geopend wordt en er kunnen natuurlijk exploits nageladen worden. Genoeg redenen lijkt me.

UPNP is inderdaad ook een risico, als je zeker weet dat je dit niet nodig hebt dan is het verstandig om ook dit te disablen.

Of een poort naar internet geblokkeerd wordt (in je personal firewall, modem, router of bij je ISP), kun je overigens testen op http://www.firebind.com/, en verbindingen van internet naar binnen op de ShieldsUp service van Steve Gibson (te vinden op http://www.grc.com/).

@TS: graag gedaan!

De nieuwe Ubee modems van Ziggo zijn volgens (Heb ik zelfs pas sinds een week of 3)

https://www.grc.com/x/ne.dll?bh0bkyd2

Volledig stealth.
Ik was zelf ook benieuwd of mijn netwerk veilig was.

De test uitgevoerd met onderstaande up and running
.
(De oude router heb ik er tussenuit gehaald),
2 computers bekabeld (2 slots over) en
mobiel, e-bookreader en laptop van mijn schoonzusje op de wifi aangesloten.

Tests uitgevoerd.
Alles stealth,
De zwakste schakel lijkt mijn browser te zijn.
Ik schijn kwetsbaar te zijn voor messenger spam, hoewel ik geen idee heb wat dat is.
Maar de secure en non-secure pagina's geven alleen mijn dynamisch adres en browser.

Maar afhankelijk van het type modem wordt het lokale netwerk niet gedeeld met de rest van de wereld.

Wat ik me echter afvraag, als je voor Ziggo werkt hoor je dit toch te weten?

De Messenger Service (welke totaal niets te maken heeft met o.a. MSN Messenger) is een service die standaard aan staat op XP-SP1 en ouder. Deze service luistert op meerdere poorten waaronder UDP/135 maar ook op een UDP poortnummer vlak boven 1024. Deze service bestond zodat dat een sysadmin een melding op elk PC-scherm in het LAN kon laten verschijnen met een tekst zoals "De fileserver gaat om 18:00 plat!"

PC's met publieke IP-adressen die achter een oudere "stateless firewall" zaten, waardoor poort 1024 en hoger toegankelijk was vanaf het internet, werden op een gegeven moment slachtoffer van messenger spam: spammers stuurden UDP pakketjes (meestal met vervalst afzenderadres) naar die PC's en botweg naar bijv. alle UDP poorten van 1024 t/m 1030. Zie http://support.microsoft.com/kb/330904/nl en, voor een voorbeeld, het plaatje rechts in http://en.wikipedia.org/wiki/Messenger_service.

NAT (en dus jouw Ubee router) biedt voldoende bescherming hiertegen (mocht je nog een oude Windows PC hebben draaien).

Het vreemde is dat ik een nieuwe pc en win7 heb.
Ik zou er volgens mij ook geen last van moeten hebben.