Ik heb ook een zyxel modem in gebruik van Canaldigitaal.
Maar je gebruik Linux en geen Windows als Computer OS,in de configuratie van het modem heb ik bij een paar dingen wat vinkjes weggegaald,en opgeslagen.
Dat kan je doen met de instellingen,volgens mij is er dan een stuk minder aan de hand,dan dat dan standaard deze poorten open staan.

Over filtered zou ik me niet druk maken, want die staan dicht, maar de andere poorten kunnen zeker een beveiligingsrisico vormen.
Ik heb geen ervaring met Zyxel routers, maar dit lijkt me geen standaard configuratie. Weet je zeker dat er geen port forwarding regels in je router zijn aangemaakt bijvoorbeeld automatisch door UPnP of NAT-PMP?

Let er wel op, als je je netwerk scant van binnenuit op het externe ip adres, dan kan het zijn dat je andere resultaten krijgt dat je verwacht. Bij mij levert een scan van binnen op mijn extere adres ook openstaande poorten op, terwijl die vanaf mijn server op het internet echt niet bereikbaar zijn.
Dit wordt veroorzaakt door de routering op je internetrouter. Je bereikt het apparaat via de interne interface, gaat dan binnendoor, in de router zelf naar het externe ip, waardoor de firewallregels voor het interne verkeer naar de router worden gebruikt, en niet de externe.
Om zeker te weten hoe het zit, zou ik eens een scan doen vanaf de buitenkant, dit kan met veel diensten, zoek op google op 'scan my ports' oid.

Ik dacht dat ik ook iets dergelijks aan de hand had met mijn router.
Wanneer ik van binnen mijn netwerk een nmap deed op het externe ip adres stond er een gigantische hoeveelheid poorten open, maar als ik diezelfde scan uitvoer vanop een ander netwerk stond alles netjes toe.

Ik raad u dus aan eens een scan te doen van buiten uit.

Bedankt voor de reacties. Als ik vanaf me vps een scan doe staat alles dicht behalve de port 80 webinterface, waarvan de webservice nogal out-dated lijkt,(mini_httpd uit 2003), deze ga ik dicht zetten. Wat ik nog niet kan verklaren is de vreende response als ik connect naar poort 2001 intern, zie pastebin link. Bedankt voor de hulp iig!

Feit dat je je "rot schrok" van een boel "filtered" (en dus niet te bereiken van buitenaf) poortjes betekent dat je nog even moet doorstuderen. Voorlopig zit je nog in "GWF"-land. Dit zegt niets over de gevaren die je al dan niet loopt, wel over de nuttige conversaties die er met jou over te voeren zijn. Eerst maar even ontpanieken dus.

Poort 8080 doet iets met SOAP, even kijken of je daar introspectie op kan toepassen. Geen idee wat 2001 doet, net als die andere open poorten overigens. Ik hoop dat je doorhebt dat de text achter de poortnummers niet meer is dan een indicatie (uit /etc/services of wat nmap daar in plaats van ook gebruikt) en dat hoe obscuurder de poort hoe onbetrouwbaarder die tekst. Hou ons op de hoogte van wat je vindt. Een van de dingen die je kan proberen is, hoe gek het ook mag klinken, om zyxel te vragen wat die open poortjes doen (gefilterde poortjes braaf weglaten).

Even je Remote MGMT weer uitzetten. Dit staat standaard uit denk ik, maar misschien kan je provider hier andere defaults voor geven.

Ik vraag me af hoe ik mijn netwerk van buitenaf kan scannen.
Doe ik dat door in de browser mijn ip-adres in de adresbalk op te geven?

Dit vraag ik ook naar aanleiding van het tv-programma "Reporter".
http://www.uitzendinggemist.nl/afleveringen/1311089
Daar liet men zien hoe een externe harde schijf, printer, scanner van buitenaf te benaderen waren.

In een folder https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/factsheets/factsheet-beveilig-apparaten-gekoppeld-aan-internet.html van de Overheid wordt de volgende site genoemd: http://shodanhq.com
Wat kan ik hier mee doen.

bij voorbaat dank voor de antwoorden.

Anton

Bedankt voor de reacties. Als ik vanaf me vps een scan doe staat alles dicht behalve de port 80 webinterface, waarvan de webservice nogal out-dated lijkt,(mini_httpd uit 2003), deze ga ik dicht zetten. Wat ik nog niet kan verklaren is de vreende response als ik connect naar poort 2001, zie pastebin link. Bedankt voor de hulp iig!

Je eigen doos vanaf diezelfde doos scannen (als dat inderdaad is het geval is geweest) lijkt me inderdaad niet wijs. Gebruik een van de vele online scans en verdiep je minimaal in de door Nmap gebruikte terminologie (de 'port states') om onnodig paniek te voorkomen.

Open means that an application on the target machine is listening for connections/packets on that port. Filtered means that a firewall, filter, or other network obstacle is blocking the port so that Nmap cannot tell whether it is open or closed. Closed ports have no application listening on them, though they could open up at any time. Ports are classified as unfiltered when they are responsive to Nmap's probes, but Nmap cannot determine whether they are open or closed. Nmap reports the state combinations open|filtered and closed|filtered when it cannot determine which of the two states describe a port.
http://nmap.org/book/man.html

Als je vermeldingen ziet z.a '80/tcp open http' kan Nmap dus de 'state' van de poort en de service die erachter draait identificeren.

Als je onbekende services of 'unknown' ziet (vooral achter 'open' en 'unfiltered' poorten) lijkt het me een goed idee om even na te gaan waar die poort door gebruikt wordt.

Online Nmap scan:
http://nmap.online-domain-tools.com/ (pas de parameters naar wens aan)

Poort 2001 wordt door dcservice.exe gebruikt:
http://systemexplorer.net/file-database/file/dcservice-exe

Ik hoop verder dat je bedoeld dat je de toegang tot de webinterface van de router gaat blokkeren en niet poort 80 zelf.

Met Shodan dat je noemt, heb ik geen ervaring.
Ook de Nmap Online Scanner die choi vermeldt, die kende ik nog niet.

Waar ik zelf ervaring mee heb, dat is ShieldsUP!, van Gibson Research Corporation.
ShieldsUP! is een bekende en goed bekendstaande scanner.
http://www.grc.com/
Services\ ShieldsUP! -->
https://www.grc.com/x/ne.dll?bh0bkyd2
Scan eventueel eerst "Common Ports" en in ieder geval "All Service Ports".

Daarnaast is eventueel ook nog de kwaliteit van de firewall bij het bieden van bescherming tegen het lekken van binnen naar buiten te onderzoeken, door middel van LeakTest.
https://www.grc.com/lt/leaktest.htm
https://www.grc.com/lt/howtouse.htm

Naast de uitstekende tips die hierboven staan mist er één:
ALTIJD DE HANDLEIDING LEZEN !!! (Liefst vooraf, haha sorry)
Google even op "handleiding typenummer-apparaat-in-kwestie"
of anders "user manual zelfde-verhaal"

Vanuit daar helpen we je, indien nog nodig, graag weer verder!

Een open poort met een luisterende service daarachter hoeft nog geen probleem te zijn. Je kan ook nog door je services goed af te richten een hoop bereiken. Het is overigens sowieso goed om niet blind op je NAT en/of firewall te vertrouwen.

Als je op grc.com scant hou er rekening mee dat er alleen op de eerste 1024 poorten gescand wordt (er bestaan meer dan 60.000 poorten). Voor meer dan een basale scan zou ik grc.com (en eventueel pcflank.com die meer mogelijkheden biedt) zelf niet gebruiken

En nog wat:
Elders op het forum wordt Steve Gibson (van grc.com) een charlatan genoemd, Ik ben die mening niet toegedaan maar ik heb hem op een ander forum wel een alarmist genoemd

Dit laatste komt tot uiting in de door grc.com gebruikte terminologie die inmiddels gemeengoed is geworden (tot grote ergernis van netwerkspecialisten). Steve Gibson is namelijk de persoon die de term 'Stealth' in relatie tot netwerk security in de wereld heeft geholpen (of in ieder geval heeft gepopulariseerd).

De portscan op grc.com geeft al heel gauw een in grote rode letters geschreven FAIL raportcijfer als maar een (van de 1024) poorten een 'closed' i.p.v 'stealth' melding geeft (bijv. omdat vele routers in de default configuratie wan- side pings doorlaten).

Een 'stealth' poort is gewoon een 'closed' port met als verschil dat bij 'stealth' de machine achter de poort de pakketjes van de port scan heeft 'ge-dropped' en dus geen respons terug geeft (zoals het tcp/ip protocol dat vereist) maar maakt je niet 'onzichtbaar' en dus veiliger.

'Stealth' is dus een marketing term en heeft geen betekenis in het kader van netwerk security, laat je er dus niet door van de wijs brengen.

Bijzonder dank voor de verfrissend kritische kijk op ShieldsUP!, choi!
Stomheidshalve had ik me nooit heel goed gerealiseerd dat de ShieldsUP! scan zeer beperkt is.

Zoals ik al aangaf, de Nmap Online Scanner die kende ik nog niet, maar toen ik daarvan de beschrijving las bij Description en Usage, toen dacht ik al wel, "hee, maar Spiff, wacht eens even..."
http://nmap.online-domain-tools.com/
Tja, da's toch wel net effe wat meer dan de ShieldsUP! scan...

@choi: Ik heb maar een heel oppervlakkige kennis hierover, maar hoe zit het met ICMP, UDP, SNMP, bittorrent e.d.? De topic starter noemt alleen TCP als voorbeelden en ShieldsUP! is ook alleen maar TCP. Maar dat is toch niet het enige gevaar voor je desktop computer? Wat als een een UDP poort op staat? Is dat te detecteren met nmap??

P.S. Ik ben mij bewust dat ik verschillende netwerklagen door elkaar gooi hier, maar mijn vraag lijkt mij duidelijk.

Vreemd

Ik ben geen securityspecialist en helemaal geen netwerkspecialist maar de security risico's van UDP zijn volgens mij minimaal. Vanwege de aard van het UDP protocol is deze bijv. kwetsbaar voor spoofing. ICMP was vroeger kwetsbaar voor de zgn Ping Of Death maar deze kwetsbaarheid is inmiddels gepatched. Ik heb zelf nog nooit gehoord van een exploit op Bittorrent maar er bestaan volgens mij wel proof of concept exploits. Over SNMP weet ik weinig maar volgens mij zijn er in het verleden exploits op printers en routers gemeld. De vraag is natuurlijk in hoeverre een eventuele kwetsbaarheid in-the-wild voorkomt en dus een risico voor de eindgebruiker vormt.

Overigens wordt het gevaar van een open poort vooral bepaald door de kwetsbaarheid van de service die erachter draait. Dat zal waarschijnlijk de reden zijn waarom de scan van grc.com zich beperkt tot de meest gebruikte TCP/IP poorten (de zgn well known ports volgens de IANA classificatie).

Het voorgaande is vooral voor zover mijn parate kennis strekt, misschien dat de security-en netwerkspecialisten op dit forum meer licht op e.e.a kunnen werpen.

Fyodor zegt over de security risico's en het scannen van UDP poorten het volgende:
Scanning for open UDP ports is done with the -sU option. With this scan type, Nmap sends 0-byte UDP packets to each target port on the victim. Receipt of an ICMP Port Unreachable message signifies the port is closed, otherwise it is assumed open.

One major problem with this technique is that, when a firewall blocks outgoing ICMP Port Unreachable messages, the port will appear open. These false-positives are hard to distinguish from real open ports.

Another disadvantage with UDP scanning is the speed at which it can be performed. Most operating systems limit the number of ICMP Port Unreachable messages which can be generated in a certain time period, thus slowing the speed of a UDP scan. Nmap adjusts its scan speed accordingly to avoid flooding a network with useless packets. An interesting point to note here is that Microsoft do not limit the Port Unreachable error generation frequency, and thus it is easy to scan a Windows machine’s 65,535 UDP Ports in very little time!!

UDP Scanning is not usually useful for most types of attack, but it can reveal information about services or trojans which rely on UDP, for example SNMP, NFS, the Back Orifice trojan backdoor and many other exploitable services.

Most modern services utilise TCP, and thus UDP scanning is not usually included in a pre-attack information gathering exercise unless a TCP scan or other sources indicate that it would be worth the time taken to perform a UDP scan.
http://nmap.org/bennieston-tutorial/

verwijderd

https://secure.security.nl/artikel/44256/1/schijven_die_naar_buiten_open_staan.html

@choi, Fwiffo & Spiff.
Ik heb dit topic (soms met lede ogen) een tijdje aangezien, +1 voor choi met de link naar http://nmap.online-domain-tools.com/ en de uitleg over waarom GRC als een paniekzaaier wordt gezien in de verschillende IT-kringen.
Ik ben blij dat jullie niet als een kip zonder kop rondrennen maar duidelijke en bruikbare informatie verstrekken / zoeken!
Dus als kleine aanvulling op jullie uiteindelijke onduidelijkheden over de verschillende protocollen heb ik besloten dan ook mijn reactie maar even te spammen. Voor jullie alle drie is het wellicht handig om hier te starten: http://en.wikipedia.org/wiki/Internet_protocol_suite (No offense!, de Nederlandstalige Wikipedia is vaak zeer onvolledig en onduidelijk IMHO.)

Héél simpel (en daardoor onvolledig):
TCP is een (hèt) protocol waarbij de verzender met zekerheid kan bepalen of de ontvanger het pakket goed heeft ontvangen. Dit is dus cruciaal als je de status van een poort wil bepalen, of een trace-route doet bijvoorbeeld.
UDP gaat maar één kant op, een UDP poort-scan kan dus nooit aantonen of een pakketje correct wordt ontvangen.
ICMP (Pingen) geeft alleen aan OF er verbinding gemaakt kan worden, maar dit kan net zo goed een "block-pagina" van de provider zijn oid en zegt dus ook helemaal niets. Overigens geldt dit laatste ook voor TCP (natuurlijk), dus het loont de moeite om daar verder naar te kijken als je echt paranoïde bent na vreemde resultaten aan te hebben getroffen.


@anton-2
Met Shodan kun jij echt helemaal niets nuttigs doen voor jezelf of anderen, dit is gewoon weer stemming-makerij van ome Ivo.


@amityonlineZou je voortaan een vraagteken ("???") achter je topic willen zetten aub? Als je de reacties ziet lijkt me de reden duidelijk, het valt me eigenlijk nog reuze mee deze keer...
De enige vraag van je die ik echt helemaal nog niet beantwoord heb gezien gaat over wat je op Pastebin hebt gepost:
Dit is een foutmelding omdat je geen juiste (enkele) syntax hebt gebruikt.
Ofwel, ieder regeltje geeft een mogelijk commando (syntax, ofwel parameter, ofwel datgene wat je precies wilt testen, ik hoop dat het duidelijk is), en de uitleg over wat dat commando doet staat daar dan voor het gebruikersgemak achter. ;]


OT:
Géén paniek mensen, vrouwen en kinderen eerst!

hoi computerfreaks

ik heb het probleem met mijn router dat ik geen mail kan versturen kan iemand mij hier verder mee helpen???
Zyxel modem P-2601HN-F1

Ik zie mezelf niet als freak, maar ik heb wel een kristallen bol, en ik voorspel dat je verzuimd hebt de smtp-server van je provider in te vullen.