Security Professionals
- ipfw add deny all from eindgebruikers to any
poort 8080 en ziggo
19-12-2014, 19:06 door Anoniem, 12 reacties
Hallo, ik ben een ziggo gebruiker.
In mijn modem (ubee EVW321B) heb ik alle porten gefilterd met uitzondering van port 53, 80 en 443.
Dit werkte eigenlijk altijd nabehoren, en een nmap scan liet mij ook zien dat wat ik ingesteld had ook daadwerkelijk zo werd uitgevoerd door het modem.
Tot vandaag, toen ik weer een eenvoudige nmap scan uitvoerde en de uitkomst hiervan mij vertelde dat poort 8080 open staat
8080/tcp open http Mongoose httpd
Vreemd..
Modem gereset na fabrieks instellingen, port filters opnieuwd ingesteld, moden gereboot.
En nmap blijft nog steeds zeggen dat 8080 open staat..
Contact opgenomen met technische dienst van ziggo en navraag gedaan, wat hier de rede van is. en waarom deze niet dicht wil.
Maar men probeert mij wijs te maken dat over poort 8080 het webverkeer gaat, en dat zonder poort 8080 het internet verkeer niet zou werken... Na mijn weten is dit toch volstrekte onzin wat ze mij daar proberen wijs te maken, is het niet?
Voorheen heeft het altijd pefect gewerkt zonder poort 8080.
En het meest vervelende vond ik nog, dat men daar zelfs na 3x bij iemand anders na te hebben gevraagd, nog steeds niet kon beargumenteren waarom die poort open zou moeten staan, wat de meerwaarde daarvan is. iemand hier???
Na mijn inziens is poort 8080 meestal voor webproxys, en daar hoef ik dus geen gebruik van te maken op mijn ziggo modem..
Na wat googlen vond ik deze weblink: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2900
Nu ben ikzelf niet bekend met Mongoose, ma vroeg me af of ik hierdoor een potentieel verhoogt risico ergens op loop? of dat er dingen zijn die hierdoor extra in de gaten moet houden of al dan niet volledig dien te deactiveren??
In mijn modem (ubee EVW321B) heb ik alle porten gefilterd met uitzondering van port 53, 80 en 443.
Dit werkte eigenlijk altijd nabehoren, en een nmap scan liet mij ook zien dat wat ik ingesteld had ook daadwerkelijk zo werd uitgevoerd door het modem.
Tot vandaag, toen ik weer een eenvoudige nmap scan uitvoerde en de uitkomst hiervan mij vertelde dat poort 8080 open staat
8080/tcp open http Mongoose httpd
Vreemd..
Modem gereset na fabrieks instellingen, port filters opnieuwd ingesteld, moden gereboot.
En nmap blijft nog steeds zeggen dat 8080 open staat..
Contact opgenomen met technische dienst van ziggo en navraag gedaan, wat hier de rede van is. en waarom deze niet dicht wil.
Maar men probeert mij wijs te maken dat over poort 8080 het webverkeer gaat, en dat zonder poort 8080 het internet verkeer niet zou werken... Na mijn weten is dit toch volstrekte onzin wat ze mij daar proberen wijs te maken, is het niet?
Voorheen heeft het altijd pefect gewerkt zonder poort 8080.
En het meest vervelende vond ik nog, dat men daar zelfs na 3x bij iemand anders na te hebben gevraagd, nog steeds niet kon beargumenteren waarom die poort open zou moeten staan, wat de meerwaarde daarvan is. iemand hier???
Na mijn inziens is poort 8080 meestal voor webproxys, en daar hoef ik dus geen gebruik van te maken op mijn ziggo modem..
Na wat googlen vond ik deze weblink: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2900
Nu ben ikzelf niet bekend met Mongoose, ma vroeg me af of ik hierdoor een potentieel verhoogt risico ergens op loop? of dat er dingen zijn die hierdoor extra in de gaten moet houden of al dan niet volledig dien te deactiveren??
Reacties (12)
8080 is een alternatieve port voor http verkeer toch? Als hij dicht moet lijkt me dat men de firewall in een modem kan gebruiken hiervoor?
Tenzij je zelf een webserver draait is het natuurlijk volstrekte onzin dat poort 8080 open moet staan.
Het zou kunnen dat de modem/router een embedded webserver heeft. Natuurlijk is het ook mogelijk dat een apparaat in je netwerk via UPnP een poort open zet op je modem/router.
Het zou kunnen dat de modem/router een embedded webserver heeft. Natuurlijk is het ook mogelijk dat een apparaat in je netwerk via UPnP een poort open zet op je modem/router.
20-12-2014, 17:36 door
Bati
Door Anoniem: 8080 is een alternatieve port voor http verkeer toch? Als hij dicht moet lijkt me dat men de firewall in een modem kan gebruiken hiervoor?
Protocollen 'staan los' van gebruikte poorten, in basis kun je elk willekeurig protocol over TCP/IP een willekeurige poort toe wijzen, dus ook HTTP over poort 8080, of 1313, of ...
Wat krijg je te zien als je bijvoorbeeld via je browser, of telnet oid connectie probeert te maken op die poort.
Het lijkt mij volslagen onzin voor Ziggo om vanaf de buitenkant (internet dus) poort 8080 open te zetten. De suggestie dat een apparaat in je netwerk de poort open laat zetten is geen gekke gedachte? Staat UPnP aan op je router/modem?
20-12-2014, 18:15 door
Briolet
TS schrijft dat de poorten in de 'port filter' dichtgezet zijn. Op de Ubee betekent dat die poorten dan zowel in- als uitgaand dicht zitten. Daar is geen extra firewall instelling voor nodig zoals anoniem 09:04 schrijft.
Ik zou ook gokken dat dit door UPnP komt. Ik heb alleen al eens ondervonden dat UPnP forwards, de handmatig ingestelde overrulen. Dus misschien ook wel de dichtgezette poorten.
Welke poorten via UPnP in de Ubee geforward zijn kun je b.v. met het programma "PortMapper-1.9.5.jar" zien.
Ik zou ook gokken dat dit door UPnP komt. Ik heb alleen al eens ondervonden dat UPnP forwards, de handmatig ingestelde overrulen. Dus misschien ook wel de dichtgezette poorten.
Welke poorten via UPnP in de Ubee geforward zijn kun je b.v. met het programma "PortMapper-1.9.5.jar" zien.
20-12-2014, 20:13 door
Eric-Jan H te D
Volgens mij ziet Nmap alleen het interne verkeer. Om te kijken welke poorten er vanaf buiten open staan kun je beter zoiets als Shieldsup van grc.com gebruiken. Je zult als je poort 8080 test waarschijnlijk zien dat deze niet open staat.
Wat er wel aan de hand kan zijn is dat je om wat voor een reden dan ook lokaal een webserver proces hebt draaien. Er zijn tal van programma';s die zoiets doen om jou de mogelijkheid te bieden om via je webbrowser met een dergelijk programma te communiceren. Voorbeelden zijn raid- en nas-systemen.
Wat er wel aan de hand kan zijn is dat je om wat voor een reden dan ook lokaal een webserver proces hebt draaien. Er zijn tal van programma';s die zoiets doen om jou de mogelijkheid te bieden om via je webbrowser met een dergelijk programma te communiceren. Voorbeelden zijn raid- en nas-systemen.
UPnP?
Upnp heb ik uitgeschakeld staan, dat is een van de eerste dingen die ik meestal aanpas van de standaard instellingen.Tenzij je zelf een webserver draait
Zover ik weet draai ik geen webserver.Wat krijg je te zien als je bijvoorbeeld via je browser, of telnet oid connectie probeert te maken op die poort.
In de browser openen van url: http://192.168.178.1:8080/ krijg ik een blanco pagina met de tekst:"Spectrum Analyzer not supported in this browser. Please use Safari or Chrome."
De suggestie dat een apparaat in je netwerk de poort open laat zetten is geen gekke gedachte?
DE verbonden computer is het enige apparaat in het netwerk.
20-12-2014, 21:52 door
Eric-Jan H te D
Heb je een audio spectrum analyzer programma draaien. Installeer chrrome of safari en probeer het dan nog eens. En laat eens een lijst met op de computer draaiende processen zien. Bij voorkeur met zoiets als pslist van sysinternals.
Aangezien dat modem NAT doet heeft het niet veel zin de aloude "alles behalve een paar poorten"-filter truuk (die ons al zoveel schade gebracht heeft) te willen toepassen. Ik begrijp ook niet echt wat je hier nou mee wil bereiken.
Verder, geen idee wat die poort precies doet. Je kan je browser er eens naartoe sturen. Waarom het plotseling ineens toch aanstaat, wellicht dat een firmware update er iets mee te maken heeft, of wellicht dat je het eerder niet gezien hebt. Zonder gedetailleerde achtergrondinformatie blijft het giswerk. "Het webverkeer" gaat er niet over, dus ziggo support zit uit hun nek te kletsen. Niet dat dat raar is, eerstelijns weten vaak maar weinig en krijgen de gekste vragen van mensen die nog veel meer last hebben van wel de klok horen luiden, maar niet weten waar de klepel hangt.
Verder, geen idee wat die poort precies doet. Je kan je browser er eens naartoe sturen. Waarom het plotseling ineens toch aanstaat, wellicht dat een firmware update er iets mee te maken heeft, of wellicht dat je het eerder niet gezien hebt. Zonder gedetailleerde achtergrondinformatie blijft het giswerk. "Het webverkeer" gaat er niet over, dus ziggo support zit uit hun nek te kletsen. Niet dat dat raar is, eerstelijns weten vaak maar weinig en krijgen de gekste vragen van mensen die nog veel meer last hebben van wel de klok horen luiden, maar niet weten waar de klepel hangt.
Er bestaat zoiets als: HTML5 Spectrum Analyzer: Live Audio Input
Zie http://tx81z.blogspot.nl/2012/10/html5-spectrum-analyzer-live-audio-input.html
Het lijkt mij dat poort 8080 van je router aan de lokale netwerkkant op verschillende manieren kan opengaan:
1. een port forward naar 8080
2. via uPnP
3. Door sofware op je computer die naar buiten toe heeft gecommuniceerd, en in die communicatie heeft aangegeven
dat het antwoord op poort 8080 wordt verwacht. (weet ik niet helemaal zeker)
4. Door internetcommunicatie die met jouw computer heeft gecommuniceerd, en in die communicatie heeft aangegeven
dat je computer het antwoord via poort 8080 moet geven.
Of poort-filtering altijd tot gevolg heeft dat poorten niet meer opengaan is nog maar de vraag. Misschien, misschien niet.
Maar in ieder geval zou het zo moeten zijn dat verzonden datapakketten over zulke gefilterde poorten
in de router worden geblokkeerd.
Is er pas nog nieuwe software geïnstalleerd o.i.d.? Mongoose is software die een webserver runt.
Mocht Mongoose, of andere sofware(!) een webservice draaien op poort 8080, dan is het vrij logisch dat deze open staat.
En heb je al eens goed gescand op malware/virussen?
Zie http://tx81z.blogspot.nl/2012/10/html5-spectrum-analyzer-live-audio-input.html
Het lijkt mij dat poort 8080 van je router aan de lokale netwerkkant op verschillende manieren kan opengaan:
1. een port forward naar 8080
2. via uPnP
3. Door sofware op je computer die naar buiten toe heeft gecommuniceerd, en in die communicatie heeft aangegeven
dat het antwoord op poort 8080 wordt verwacht. (weet ik niet helemaal zeker)
4. Door internetcommunicatie die met jouw computer heeft gecommuniceerd, en in die communicatie heeft aangegeven
dat je computer het antwoord via poort 8080 moet geven.
Of poort-filtering altijd tot gevolg heeft dat poorten niet meer opengaan is nog maar de vraag. Misschien, misschien niet.
Maar in ieder geval zou het zo moeten zijn dat verzonden datapakketten over zulke gefilterde poorten
in de router worden geblokkeerd.
Is er pas nog nieuwe software geïnstalleerd o.i.d.? Mongoose is software die een webserver runt.
Mocht Mongoose, of andere sofware(!) een webservice draaien op poort 8080, dan is het vrij logisch dat deze open staat.
En heb je al eens goed gescand op malware/virussen?
21-12-2014, 14:01 door
Eric-Jan H te D
Luisteren naar een poort is heel gewoon. Dat wordt ook door diverse lokale programma's gedaan. En dat alleen louter voor lokaal gebruik. Het wordt pas een probleem als er in je modem een forward in de NAT is gedefinieerd.
Vandaar mijn oproep om een lijst met draaiende processen.
Vandaar mijn oproep om een lijst met draaiende processen.
21-12-2014, 15:49 door
[Account Verwijderd]
-
Bijgewerkt: 23-12-2014, 00:03
[Verwijderd]
Vooral niet terugkoppelen beste thread starter.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
