Het instellen van een eigen wifi en wachtwoord is nooit verkeerd. *Ergens* is jullie modem ingesteld op die waarden dus die gegevens kunnen ergens liggen en gevonden worden als Ziggo gehacked wordt.

Hetzelfde geldt voor de admin console; het kan goed zijn dat dat admin/admin is in het begin, jullie handleiding zal jullie daarbij helpen. Het nieuw admin wachtwoord instellen is *altijd* een goed idee.

Voor de rest is jullie modem zo veilig als Ziggo het kan doen; zij zullen (normaal gesproken, KPN doet dat ook) jullie firmware (zeg maar OS van de modem) remote bijwerken.

Een van de belangrijkste beveiligingen die je kunt doen in die admin console is het UIT zetten van uPNP. Als dit AAN staat zal de modem automatisch verzoeken van een interne computer toelaten en beschikbaar maken aan de internet kant; dit wil je normaal gesproken NIET!
Ik leg het misschien niet handig uit; de computer verzoeken van binnen naar buiten gaan natuurlijk gewoon door, maar je computer kan niet "zomaar" vanaf buiten benaderd worden als uPNP uit staat.

Ziggo levert aan nieuwe klanten zijn Connect Box kabelmodem/router. Dit modem/router heeft een gegenereerd alfanumeriek wachtwoord voor de Wifi en een numeriek wachtwoord voor de toegang tot de modem/router. Beide zijn te wijzigen.

De modem/router wordt automatisch door Ziggo geüpdatet. Diverse instellingen kun je zelf als gebruiker niet wijzigen.

Dat uPNP , dat begrijp ik niet.
Ik ken dat ook helemaal niet, de modem moet toch juist de computer in mijn thuisgroep
toegang geven tot de modem?
Bij het aansluiten van de modem, stond het netwerk op openbaar!
Dit heb ik veranderd in thuisgroep, maar als iemand daar niet op let.
Dan staat er na een nieuwe modem aangesloten alles op openbaar{vaste kabels}

Alle modems moeten worden beveiligd, en normaal is dat al zo bij modems van Ziggo. Meestal staat het voorgeprogrammeerde wachtwoord op het apparaat. Het verdient aanbeveling om zelf een wachtwoord te kiezen. De inlognaam is meestal niet te wijzigen.

Houdt het doel in de gaten: de beveiliging van je eigen computers en thuisnetwerk. Beveiliging van modems is ondergeschikt aan dat doel.

Zorg dat niemand op je netwerk kan komen via de modem. Als je geen WiFi gebruikt, zet het dan uit (radio uitschakelen), of kies anders de zwaarst mogelijke beveiliging met een goed wachtwoord. Goede wachtwoorden zijn niet te raden, minstens 12 tekens lang en bestaan niet alleen uit alfanumerieke tekens (A-Z, a-z, 0-9, leestekens).

De beste beveiliging isoleert het modem van het thuisnetwerk. Daarvoor heb je een eigen netwerk (+WiFi) router nodig. Dat gebeurt in de praktijk weinig, redenen daarvoor zijn o.a. onwetendheid, gemakzucht of kostenbesparing. Schematisch:


Eigen computers zijn bijvoorbeeld PC's, TV's, NAS, smartphones.

Providers hebben vaak (ongevraagd) toegang tot de modem. Soms om updates te doen, soms om ondersteuning makkelijk te maken. Dergelijke toegang zorgt wel voor potentieel beveiligingsprobleem. In sommige gevallen kun je bepaalde daarvoor gebruikte protocollen uitschakelen, maar vaak wordt dat onmogelijk gemaakt door de provider door die opties niet te tonen. Uitschakelen heeft nadelen: er kunnen geen (beveilings)updates en instellingwijzigingen worden gedaan door de provider en de provider kan minder makkelijk helpen bij het oplossen van internetproblemen.Je moet dan zelf voor updates en instellingswijzigingen zorgen.

https://ziggoforum.nl/topics/85476/

Als uPNP aan staat en je hebt een netwerk printer dan is ie opeens vanuit Internet benaderbaar.
Als uPNP aan staat en je hebt een smart apparaat (bv cv , televisie) dan zijn die opeens vanuit het Internet benaderbaar.

uPNP maakt het mogelijk om zelfstandig van BUITEN naar BINNEN te komen. Dit is onveilig.
Lees de link van Anoniem 00:50 maar eens.

Met andere woorden klopt het helemaal wat ziggo zegt. Wifi is beveiligd met een goed wachtwoord en om de modem in te komen zul je eerst verbinding moeten maken met het netwerk en dan nog het nummerieke wachtwoord voor de console achterhalen. Prima beveiliging!

Onzin. Dikke vette onzin. Deze reactie is door een voor paranoide mensen.

En ook niet "zomaar" van buiten naar binnen. Je doet alsof UPNP automatisch mensen verwelkomt om een apparaat te benaderen vanaf de internet zijde. Dat is complete lariekoek en de gemiddelde internetgebruiker wordt door upnp alleen maar geholpen.

Wat een hoop ongeinformeerd gekakel. Laat ik eens kijken of ik hier wat nuttigs kan toevoegen.

Ok, een modem doet een ding, namelijk signalen moduleren en demoduleren. Bijvoorbeeld om data door een spraakkanaal te persen, of zoals hier, om data over het kabelnetwerk heen te krijgen. Het ziggo modem doet daarnaast ook nog een paar andere dingen, zoals "het extra" om met "de andere kant" aan de kabelkant te praten. Maar ook IP pakketten routeren van lokale netwerk naar kabelnetwerk. Er zit ook een switch in voor het lokale netwerk en een wifi gedeelte waarmee het de functie van "access point" vervult.

Een opmerkelijk en hier relevant ding is dat het "Netwerk Address Translation" (NAT) doet, oftewel "masquerading" oftewel "internet connection sharing". Dit is te zien als een soort eenwegspiegel waardoor je vanuit je lokale netwerkje wel met je computertje "het internet op kan", maar waardoor de buitenwacht niet automatisch ook kan zien wat er op jouw lokale netwerkje aan computertjes, printertjes, en zo verder, achter het routertje (hier: ziggo modem) aan het netwerk hangt.

Een van de dingen die UPnP doet, zoals de naam al zegt bedoeld om "waarom doet'ie het nou niet?!?"-problemen op te lossen veroorzaakt door NAT, is "poortendoorgave op de router openzetten", zodat een programma op je computertje dat signalen van buitenaf moet kunnen ontvangen, en dat normaliter niet kan vanwege die eenwegsspiegel, dat ineens wel kan.

UPnP doet niet aan kijken of de poortopenzetvrager dat soort vragen wel mag stellen, die zet gewoon de poort open. Dus als je denkt, ik ben veilig want ik zit achter een eenwegspiegel en niemand die me ziet... dat valt nog wel eens vies tegen.

Bijvoorbeeld, zoals in dat eerder genoemde linkje te lezen, willen apparaten met een hoog gebruiksvriendelijksgehalte nogal eens uit zichzelf een poort van buitenaf naar zichzelf openzetten zodat je, waar je ook bent in de wereld, bij je printertje of je vernetwerkte harde schijven (NAS) kan. Zit er geen wachtwoord ofzo op omdat je denkt, toch alleen lokaal, dan blijkt wel eens dat de hele wereld bij de inhoud van je netwerkschijf kan. En als daar scans van je paspoort of bestanden vol met wachtwoorden voor van alles inclusief telebankieren op staan, dan kan dat wel eens duur worden.

Sterker, het is in de praktijk wel mis gegaan.

Waarom zet ziggo dit dan aan? Omdat het ze nogal in hulpvragen scheelt van het type "waarom doet'ie het nou niet?!?" en omdat een helpdesk ook niet gratis is, is dit uiteindelijk een manier om geld te besparen en de klant tevreden te houden.

Let wel, de problemen komen voort uit een-tweetjes met andere apparatuur die niet iedereen heeft. Het modem geeft alleen het gemak van de mogelijkheid, het gevaar volgt pas uit de software en hardware die daar weer gebruik van maakt. Neemt niet weg, UPnP kan makkelijk fungeren als een soortement van touwtje door de brievenbus. En op het grote boze internet is zoiets een kwestie van tijd voor het misgaat.

Het probleem met UPnP is dus een inherent gebrek aan configureerbaarheid, aan transparantie, en dat de effectieve configuratie op de router erdoor versnippert, namelijk het zijn andere apparaten die al dan niet vragen en de router draait wel, maar vertelt jou dat dan weer niet.

Het is overigens ver van de enige manier waarop kwaadwillenden, malware, en zo verder, de NAT-eenwegspiegel omzeilen. NAT is ook geen veiligheidsmechanisme, dat is slechts een zij-effect. De reden dat we NAT hebben is een "quick-and-dirty" oplappoging voor een ander probleem. Wat op zichzelf problemen veroorzaakte waarvoor UPnP dan weer een (maar niet het enige) oplapmiddel is. Maar UPnP is wel één manier waarop het mis kan gaan.

Dus of de vraagsteller UPnP moet aanzetten? Dat moet je zelf weten. Ik zou zeggen, zet het uit en kijk wat er niet meer werkt. Is er niets dat je mist, dan kan je 't uit laten.

Bijvoorbeeld VoIP is nogal eens de klos, maar dat is ook wel op andere manieren weer aan de gang te krijgen. Ik voor mij zou zeggen, zoek uit welke configuratie je nodig hebt en stel die statisch in op de router, in plaats van dat je alle apparaten op je netwerk via UPnP het "automatisch" kan laten doen. Dan weet je beter wat er gaande is. Maar de prijs is dat je je er wel even in verdiept, verder dan dit stukje.

Het eerste "wachtwoord voor de wifi" is de PSK en het tweede "numerieke wachtwoord" is... de WPS code.

Dat heeft dus twee keer helemaal niets te maken met UPnP, niets met de webinterface op het routertje zelf, en al helemaal niets met van de internetzijde toegang krijgen tot het lokale netwerk. Het zegt ook niets over de voorspelbaarheid van de gegenereerde PSK.

Het is geen slecht idee om zelf een eigen SSID ("wifi naam") en PSK ("wifi wachtwoord") in te zetten, en WPS uit te schakelen. Wel even uitkijken dat die zich niet slinks spontaan terugzetten, zoals zekere modems van een andere provider dat om de haverklap wel deden. Om deze en andere redenen zou ik toch de voorkeur geven aan een ziggo modem in "bridge" mode en er zelf iets anders achter hangen... maar dat vereist kennis en kunde die vraagsteller wellicht niet heeft.

Mwa, als je een kabeltje in het modem weet te prikken wordt je niets gevraagd, en de webinterface ("console" krijg je niet, dat is echt een ander ding) heeft bij de ziggo modems die ik ken als wachtwoord "draadloos". Een van de vragen van de vraagsteller is of er ook andere manieren zijn om het lokale netwerk op de komen en dat beantwoordt ziggo slinks niet, maar het antwoord is "dat zou best kunnen", met een serie mitsen en maren die veel te ingewikkeld zijn voor een simpel klantgeruststellend antwoord.

Ik begrijp prima waarom ze het doen maar ik als techneut zeg toch echt, deze antwoorden zijn niet onwaar maar ook niet erg volledig. Het voelt voor mij zelfs aan als misleiding.

Jij hebt dat linkje niet gelezen en je doet net of paranoia niet thuis hoort op security.nl.

Hint: De vraag bij security is niet "zijn we paranoïde?" maar veeleer "zijn we paranoïde genoeg?"

Het staat toe dat andere apparaten zichzelf zo aanbieden, vaak volstrekt automatisch en onzichtbaar voor "de gemiddelde gebruiker". De enige plek waar het dan zichtbaar is, is een onduidelijk vinkje op het andere apparaat. Routertjes zouden je een lijstje kunnen geven van apparaten die UPnP-mappings gevraagd (en gekregen) hebben, ze moeten dat toch bijhouden voor zichzelf, maar die mogelijkheid geven ze je bijna nooit.

Als je goed zoekt kun je ook op deze site voorbeelden vinden van hoe dat toch net even anders ligt, lees, spectaculair misgaat. Het is dus geen lariekoek en UPnP is geen onverdeelde zegen. UPnP is vooral een antwoord van de industrie op iets teveel "waarom doet'ie het nou niehiet?!?" vragen van klanten.

en gemak voor de klant ten koste van een stuk security.
Want krijg je op een dag malware binnen, dan kan die met uPnP aan ook poorten openzetten zonder dat je het weet.
Het is zelfs mogelijk dat malware van binnenuit op je lokale netwerkje je modemwachtwoord probeert te achterhalen als dit wachtwoord te makkelijk is. Dat is dan het moment waarop de shit de ventilator raakt (=shit all over the place), want dan ben je echt de pineut en kan er van alles worden uitgebuit.

De instelling openbaar netwerk, zet juist bestands- en printerdeling uit. Dit is de beste instelling voor wanneer je je bijvoorbeeld op een publieke wifi bevind, of bij vrienden. Zelf gebruik ik altijd de instelling openbaar netwerk, ook thuis. Dit maakt het ook lastiger (hopelijk zelfs onmogelijk) voor ransomware om andere pc's te besmetten. Benader je dus nooit andere pc's in je netwerk, zet hem dan op openbaar.

Upnp kan je zoals aangegeven inderdaad het beste uitzetten. Doordat elke apparaat aan je router kan aangeven welke poorten er aan de buitenkant opengezet kunnen worden, kan dit ook misbruikt worden door bijvoorbeeld malware. Hierdoor kan je pc blootgesteld worden aan ongeautoriseerde toegang van buitenaf. Dit heeft niks met paranoïde te maken, maar gewoon met gezond verstand.

Daarnaast zou ik het wachtwoord voor de login op het modem wijzigen, gebruik hier een lang wachtwoord voor, bij voorkeur bestaande uit willekeurige cijfers/letters/leestekens. Verander ook de SSID (wifi naam) naar een onherkenbaar iets, dus geen ziggo, je naam of iets anders herkenbaars. Verander ook je wifi wachtwoord (pre shared key) naar een voldoende lang aantal tekens, ook liefst willekeurig. Zet daarnaast alle andere authenticatievormen dan wpa2 uit, wep en wpa zijn niet meer veilig.

Dit is een windows dingetje en niet echt van HET! modem.

WPS en uPNP uitzetten.

Ziggo dingen zijn te hacken (brute force) met een heel simpel te gebruiken livecd.

Hier anoniem van 09:56, 09:58 en 10:02. Er worden een hoop theorie weergegeven, maar er is niemand gebaat om de gemiddelde internetgebruiker hiermee aan te vallen. Daarbij moet gezegd worden, als het allemaal al zo makkelijk is om een netwerk binnen te dringen. Ik blijf erbij, ziggo levert tegenwoordig goeie modems en geeft meer om de beveiliging ervan dan voorheen. Kwalitatief zijn ze er alleen maar op vooruit gegaan. UPNP uit of aan, weet wat je uitzet of aan laat staan. Persoonlijk heb ik het aan staan, ik heb er geen last van, bovendien zijn er andere factoren die belangrijker zijn dan "zomaar even" iemand zijn netwerk binnen te dringen. Ik blijf erbij dat dergelijke stukjes theorie voor de paranoide mens is en zwaar overdreven voor de gemiddelde internetten.

"Niemand" wellicht niet, maar "iemand" toch zeker wel. Dat weten we want het gebeurt in de praktijk.

Dan wat?

Goed, je vindt ze als club helemaal ge-wel-dig en daarom kunnen ze in jouw ogen niets fout doen. Blij dat je eerlijk bent.

Het werkt alleen niet als argument op een technische vraag.

Om die keuze te maken is al die "theorie" toch wel handig.

Dus omdat jij het probleem niet ziet bestaat het niet, en mensen die iets meer weten zijn dus per definitie paranoïde.

Dan 1) ben je hier op de verkeerde webstek en 2) paranoia is een harde vereiste voor de security professional, is dus niet de steek onderwater die je het bedoelde te zijn.

"Being paranoid does not mean they aren't out to get you."

"ik heb er geen last van" is het slechtste argument dat je kunt bedenken.
De vraag bij security is niet of je er last van hebt, maar of er een kans bestaat dat je er last van kunt krijgen.
En die kans is er. Dan moet je wel heel zwaarwegende redenen hebben om het aan te laten staan.
De reden "ik heb er geen last van" is dat absoluut niet. Dat is maar een flutreden bedoeld om er gemakkelijk van af te zijn.

Oh, geen probleem dan met babycams, synoligy NAS-sen en je printer (die heel waarschijnlijk hopeloos achterloopt met firmware) die aan de buitenkant bereikbaar zijn.

https://www.security.nl/posting/360186

Het tweede wachtwoord heeft helemaal niets met WPS te maken. Dit is het wachtwoord dat je nodig hebt voor de toegang via de webinterface. Ja het is nummeriek, maar dat maakt het nog geen WPS PIN code.


Zoals genoemd levert Ziggo tegenwoordig de Connect Box uit. Dit doen ze bij mijn weten al zeker een jaar. Deze hebben allemaal uniek gegenereerde wachtwoorden. Het instellen van het wachtwoord "draadloos" is niet eens mogelijk, want de interface vereist minimaal een hoofdletter en een nummer.

Er is ook een kans dat je morgen onder een auto komt of een dodelijke ziekte krijgt. Daar gaat het niet om. Iemand stelt een vraag in een bepaalde context, antwoord er dan ook zo op. Kom dan niet aan met wat er theoretisch allemaal mogelijk is. Daar raakt deze persoon alleen nog maar meer van in de war.

Dan nog ff voor anoniem 18:11. Leer om een discussie te voeren. Je draagt er niks aan bij om iemand volledig de grond te willen trappen. Bovendien neem ik je niet eens serieus en heb ik nog geen eens de helft gelezen.

Juist omdat de provider van alles kan met de thuis modem heb ik daarachter een firewall van gerenomeerd merk en pas daarachter mijn thuisnetwerk. Knappe hacker die daar doorheen naar binnen komt. Hooguit kan de modem worden gemold. Is dat zo, dan is één telefoontje naar de provider voldoende voor restauratie of een nieuwe. Draadloos op de modem staat standaard uit, wachtwoorden zoveel mogelijk gewijzigd, poorten zoveel mogelijk dicht. Suc6

Overigens is het recht op vrije routerkeuze (sinds 2011 dacht ik) europees bepaald (al zal je provider bij hoog en laag beweren van niet. Een eigen router is iig wel aan te raden.

https://tweakers.net/nieuws/119389/ministerie-van-economische-zaken-geeft-regels-vrije-routerkeuze-een.html
dec 2016 .. vreemd. Dacht echt dat het al veel langer gold.

Als uPNP aan staat en je hebt een netwerk printer dan is ie opeens vanuit Internet benaderbaar.
Als uPNP aan staat en je hebt een smart apparaat (bv cv , televisie) dan zijn die opeens vanuit het Internet benaderbaar.

uPNP maakt het mogelijk om zelfstandig van BUITEN naar BINNEN te komen. Dit is onveilig.
Lees de link van Anoniem 00:50 maar eens.[/quote]Onzin. Dikke vette onzin. Deze reactie is door een voor paranoide mensen.[/quote]
Ik moet even kijken of ik die uPNP af ga zetten,zo te lezen is dat wel het beste.
Ik kan met een nummer van de modem , via het IP adres in de browser, dit afzetten ?
Daar kan ik ook, het wifi ww veranderen, wat volgens de monteur en telefonisch NIET nodig
zou zijn maar in het handboek wel een paar keer staat.
Ik heb alles gelezen,maar begrijpen is wat anders.
Voorlopig doet alles het en ik wil niet een nieuwe modem en aansluiting verpesten.
Er stond ook dat de Horizon Box { slaapkamer } het Wifi afgezet moet worden, maar deze
staat niet op het internet aangesloten.
Moet dan toch het wifi ervan afgezet worden ?
Horizon Box is onhandig in vergelijking met een Humax 5200.

Ja, in de meeste gevallen wel.
https://www.ziggo.nl/klantenservice/wifi/modem/connect-box/
Rechtsonder (scroll naar beneden naar geavanceerde instellingen) is het voorbeeld / hulp hoe je uPNP uitschakelt.

Dat is grote onzin. Dit is helemaal niet hoe het standaard werkt. Ik heb dit zelfs nog nooit mee gemaakt. De meeste netwerk printers werken zelfs helemaal niet via upnp om op het Internet te gaan. Die doen dat tegenwoordig via cloud
Idem voor smarttv of cv, of je koelkast. Die hoeven helemaal niet via upnp op het Internet te werken.......

Al mijn smart devices die in huis staan, werken gewoon standaard via NAT naar het Internet, zonder enig issue.

De enige die ik weet, zijn nassen, en die doen het zelfs niet standaard, je krijgt volgens mij tijdens het setup wel hierover een graag.

Het kan onveilig zijn, maar kan ook voordelen bieden zoals game console die het nodig hebben. Anders moet je allemaal met Fix IP en NAT configuratie gaan werken. Iets waar de meeste Internet gebruikers nog nooit van gehoord hebben.

Moet OP dus uPNP uitzetten..... Als ik de kwaliteit van de OP post leest, zou ik TS adviseren om het niet te doen. Dit is iets onveiliger, maar het kennis nivo van TS is niet goed genoeg om te troubleshooten als het fout gaat.
TS kan beter wel de WPA codes aanpassen, dat maakt het wel veiliger.

Dat is met de nieuwe types, die ze zo gemaakt hebben NADAT UPnP een mislukking geworden was.
Echter, er zijn nog steeds apparaten die WEL op die UPnP manier werken of kunnen werken.
Dus het kan best gebeuren dat een printer die je installeert ineens op je eigen IP adres bereikbaar is op een of
andere poort, dus naast of in plaats van die cloud service zoals google print.

Ja men heeft het internet de laatste jaren omgebouwd van een peer-to-peer netwerk naar een client-server netwerk.
Dat klopt wel. Het betekent ook dat al je smart devices hun data aan de maker overhandigen die er dingen mee doet
die je zelf niet meer onder controle hebt. Dat was met de UPnP oplossing nog niet zo. Echter omdat het verhandelen
van deze data tegenwoordig het verdienmodel achter smart devices is komt het de fabrikanten wel goed uit.

Volgens mij is iedereen hier er wel van doordrongen dat veilig en handig meestal twee uiteinden van een schaal zijn.
Dus je kunt wel aankomen "het is weliswaar niet veilig maar het is wel heel handig" maar daarmee kom je er tegenwoordig
niet meer. Zonder helm op je brommer rijden is ook niet veilig maar wel heel handig.

Je kan je huisdeur wel wijd open laten, maar als je niemand op korte termijn verwacht en weet dat het buiten koud is,
dan is dat niet veilig en niet handig.

Alles kan, maar het is erg onwaarschijnlijk. Maar in theorie kan het altijd. Printers vs UPNP is een betrekkelijk laag risico. Maar je kunt inderdaad morgen ook door bliksem geraakt worden. Er bestaat ook een kans dat je dat overkomt.

Ja men heeft het internet de laatste jaren omgebouwd van een peer-to-peer netwerk naar een client-server netwerk.
Dat klopt wel. Het betekent ook dat al je smart devices hun data aan de maker overhandigen die er dingen mee doet
die je zelf niet meer onder controle hebt. Dat was met de UPnP oplossing nog niet zo. Echter omdat het verhandelen
van deze data tegenwoordig het verdienmodel achter smart devices is komt het de fabrikanten wel goed uit.[/quote]Staat helemaal los van TS zijn huidige vraag. Feit is, dat met cloud techniek upnp richting het Internet overbodig geworden is.

Volgens mij is iedereen hier er wel van doordrongen dat veilig en handig meestal twee uiteinden van een schaal zijn.
Dus je kunt wel aankomen "het is weliswaar niet veilig maar het is wel heel handig" maar daarmee kom je er tegenwoordig
niet meer. Zonder helm op je brommer rijden is ook niet veilig maar wel heel handig.[/quote]Op een brommer moet je wel je helm op vanuit de wet, maar dat is iets anders.

Het risico op upnp om zomaar je interne netwerk meteen aan te bieden bestaat, maar met normale spullen betrekken klein. Voor de middelde consument zal zijn interne netwerk niet direct op het internet toegankelijk zijn. Maar de kans bestaat wel. Net zoals de bliksem geraakt te worden, of een aanrijding in het verkeer.