Dat betekent dat je op het lokale netwerk gehacked kan worden en dat partijen die toegang tot je modem hebben zoals de AIVD inderdaad dichterbij je computer zijn en zo ook makkelijker jou kunnen hacken!
Ik had dit ook ontdekt en ben naar KPN gegaan met deze bevindingen, want bij ziggo zijn alle poorten dicht, maar sinds ik bij kpn zit heb ik een onveilige netwerk.

Je router staat zowiezo open met een backdoor zodat KPN engineers updates kunnen plaatsen. En er is een standaard NAT naar je smart-tv. Deze verwijderen heeft geen zin want na een reboot is ie er weer.
Als je controle over je router wilt moet je van KPN af, of iets tussen die router en je interne netwerk zetten. Dan is in ieder geval je interne netwerk veiliger.

Welke hacks zijn met deze kwetsbaarheden mogelijk?

Moest even lachen......

Het betekend dat er porten openstaan, maar zonder meer informatie op bijvoorbeeld welke porten, is hier niets over te zeggen.

En op je AIVD opmerking.... Heb je dat witten busje in je straat al eens gezien? Die stond er gisteren ook al. Dus nee.... De AIVD komt echt niet even zomaar langs om jou prive routertje te hacken. De kans is groter dat je morgen op straat overvallen of een zakkenroller uit het oostblok tegen komt. Zelfs vele malen groter.....

Natuurlijk moeten aan de binnenkant (jouw netwerk dus) poorten zoals 53 open staan. Anders geen DNS en dus kun je geen websites e.d. benaderen.
Je moet een poortscan op je publieke IP adres doen, dus van buiten naar binnen en kijken welke poorten er openstaan en welke services actief zijn en benaderbaar.
Daar is Shields up e.d. bijv. voor: https://www.grc.com/default.htm en https://www.grc.com/x/ne.dll?rh1dkyd2

Dat sowieso maar dat heeft niets te maken met je router!
Al die thuisrouters hebben intern gewoon een switch. Dus de ethernetpoorten die er nog op zitten en de WiFi die
zitten allemaal in hetzelfde lokale netwerk en de router geeft gewoon alles 1:1 door tussen die systemen.
Is er 1 gehacked dan kan van daaruit de aanval naar andere systemen gedaan worden. En dat gehackte systeem kan ook bijvoorbeeld zo'n handige camera of een thermostaat zijn... Echter met open poorten op de router heeft dat dus niks te maken.

Als je je hier zorgen om maakt moet je je interne netwerk segmenteren. Meerdere aparte lokale netwerken die niet onderling kunnen communiceren maar wel met internet.
De standaard geleverde routers kunnen dat vaak niet, en als je (zoals veel mensen hier) bang bent dat je provider ook nog eens aan de slag gaat en dingen naar binnen toe gaat openzetten zodat zij of anderen bij jou kunnen snuffelen, dan zul je een eigen router moeten kopen die je tussen je spullen thuis en je KPN router zet.
De overgebleven poorten en de WiFi van de KPN router gebruik je dan alleen voor onbelangrijke dingen (bijvoorbeeld een gastnetwerk voor als bezoekers op je WiFi willen) en je eigen router configureer je met enkele netwerken en WiFi SSID's die allemaal gescheiden zijn en waar je de verschillende categorieen eigen apparatuur op zet waarvan je vind dat die elkaar niet mogen aanvallen.

Je hebt dan wel dubbel-NAT. Maar in de praktijk is dat meestal geen probleem, behalve wellicht voor telefonie. Maar dat kun je dan via de KPN router regelen.

En dan wel op zo'n manier dat je TV blijft werken.

Het "open staan van poorten" (niet teveel naar Steve Gibson luisteren hoor, die man praat wartaal) dat heeft helemaal niks te maken met het van buitenaf binnenkomen op je netwerk. Dit zijn twee totaal verschillende zaken. Die open poorten geven hooguit iemand die bij jou op je netwerk is binnengekomen (via een kabeltje of de WiFi) de mogelijkheid om de router aan te vallen en wellicht een bug uit te buiten waardoor hij die kan herconfigureren of laten crashen.

Bij mij thuis staat er standaard nog een router tussen. Ik heb dat jaren geleden al gedaan, voordeel is, dat je zelf dingen kunt instellen en dat je bij wisseling van een provider niet hoeft te kijken hoe het zit. Leuk bijkomend voordeel is, dat je een DMZ in huis hebt, dus wanneer er mensen langs komen, die toegang tot internet nodig hebben, geef je die toegang op de router van de provider. Je eigen spullen blijven afgeschermd en beveiligd.

Heel simpel. Als mensen in je netwerk komen, ze draaien een nmap scan, zien openstaande poorten en achter de openstaande poorten draait een kwetsbare service, ze eventueel iets kunnen hacken. Maar dan zijn ze toch al binnen....

Dit is geen backdoor, maar gewoon een systeem configuratie, zodat je modem over de juiste settings en updates beschikt. Dat is heel iets anders dan een backdoor.
Is het een mogelijk risico, Ja. Maar ik zou mij eerder zorgen maken om hele andere dingen. Van die dingen die je wel normaal in je leven kan tegenkomen, en niet een theoretische. Maakt je leven namelijk een stuk gemakkelijker en plezieriger.

Dit van die NAT heb ik nog nooit voorbij zien komen. Heb je hier meer informatie of een bron van? Want ik heb dit ook nog nooit gezien met mijn eigen port scans.

Daarnaast klinkt dit erg als een broodje aap. Want een smart-tv is een heel groot begrip. IPTV gaat over een heel ander VLAN. En wat is een smart-tv.... Welk merk, en waarom zou deze geNAT worden na een herstart. Klinkt eerder als een upnp setting.

Je hebt gezien dat TS z'n router aan de binnenkant gescanned heeft ?
Aan die kant is geen poort nodig voor management van de provider - die moet aan de WAN-zijde zitten. En hoeft (en moet) alleen maar open voor de management prefix van de provider, niet voor de hele wereld.

TS zegt er niet bij welke poort openstaat.
Zou TS al bedacht hebben dat kunnen inloggen op de router betekent dat die poort (443 en/of 80, meestal) dan open moet staan ?

Bij mij staan poort 53 , 67, 68, 80 en 111, 1900, 52869 open.
Deze poorten hoeven niet allemaal open te staan ik ben het met je eens dat 53 wel open dient te staan.

Dus theoretisch als mijn vriendin via phising bijvoorbeeld controle over haar machine is gekregen zouden ze mij vanuit binnen kunnen aanvallen?

Maar waarom staan die poorten open dan? Ik heb net ook een poortscan uitgeprobeerd en zie inderdaad dat poort 53, 67, 80, 1900 en 52869 gewoon openstaan dat is toch overbodig?

Aanvallen zoals die in Amerika hebben plaats gevonden kunnen dan plaats vinden, dus als 1 persoon in je netwerk is gehacked is het theoretisch mogelijk dat via die computer meerdere computers in dat netwerk via dat router gehacked kunnen worden.
KPN dient die poorten dicht te timmeren het verhaal over 53 klopt niet want bij mij staat bij ziggo gewoon alle poorten dicht op mijn netwerk!

Ik heb de test ook geprobeerd en 53, 67, 80, 1900 en 52869 staan open bij mij. Wel een beetje raar dit dat KPN dit zo insteld

Poort: 53, 67, 80, 1900 en 52869 staan open bij mij.

Mensen sorry dat ik de poorten ben vergeten erbij te zetten het gaat om de poorten
53, 67, 80, 1900 en 52869

Ja dit klopt en dit is vaak gehanteerde techniek van hackers, om dit soort aanvallen te voorkomen moet je je netwerk segmenteren en je vriendin niet gebruik laten maken van jouw router. Ik heb met mijn vrouw daar ruzie over gehad en ze dacht dat ik iets uitspookte op die router en ze eiste de wachtwoord

Wat er openstaat op je lokale interface is niet zo van belang (tenzij je bang bent voor mensen op je eigen netwerk). De vraag is welke poorten er openstaan internet-facing (WAN interface). Da's veel interessanter.


LOL. En als je vervolgens geen updates meer binnenkrijgt (wanneer een update essentieel is voor de werking van je decoder), dan is dat geen probleem ? En als diensten als Netflix, Youtube enzovoort het niet meer doen door het verwijderen van de NAT translation, dan is dat ook best ?

Begrijp je dat openstaande poorten ook een functioneel nut hebben, en dat het dichtzetten van die poorten gevolgen heeft ?

Je kunt ook je apparatuur uitzetten, dat zal een aanval ook voorkomen.....

Wauw dude meen je dat? Gelukkig ben ik bij ziggo want die configureren hun spullen niet slecht. Zo kan je internet zeker op je lokale netwerk gehacked worden en als hackers bijvoorbeeld een makkelijk te hacken toestel zoals android op je netwerk hacken dat op de wifi is aangesloten is het niet uittesluiten dat jij via de android toestel gehacked wordt.
Amerika is op deze wijze gehacked (het klinkt amateuristisch maar de ICT van Amerika was gewoon slecht geregeld).

Als je bang bent dat de AIVD je kan hacken, de AIVD heeft vast de backdoor van KPN gestolen of er een hack voor gevonden, want ze moeten immers het eigenvolk kunnen bespioneren als daar aanleiding voor is dus de AIVD heeft waarschijnlijk een kant en klare hack of toegang tot een backdoor om zo jouw modem en internet verbinding te sabboteren en kan zo je pakketjes manipuleren en zo een automatisch hack op je computer laten plaatsvinden indien je computer verkeerd reageert op de corrupte pakketjes.

Ook hebben overheden toegang tot vergevorde hacks zoals Stuxnet en ben je gewoon de lul als een organisatie zoals de overheid met flinke bakken geld en deels hacks bij andere landen kan kopen je willen hacken dan hacken ze je gewoon.

Ik ben geschrokken van deze post en ook bij mij staat poort 53, 67, 80, 1900 52869 open.
Ik hoop dat KPN deze post leest en snel wat gaat doen aan deze slechte configuratie.

Weet iemand wat de gevaren van deze open poorten zijn kwa hacken?

Ik hoop inderdaad dat ze met name poort 53, 67 en 80 bij je dichtzetten. Dan kun je rustig je huiswerk leren en stijgt de gemiddelde kwaliteit van het forum.

TCP / UDP: 53 is DNS noodzakelijk.
UDP: 67 DHCP Server.
TCP80: Webserver voor admin interface.
1900: UPNP
52869: waarschijnlijk dynamische port. Zal waarschijnlijk veranderen.

Dus niet echt iets speciaals. Al zou uitschakelen van UPNP wel een grote security improvement zijn.

Wauw ook bij staat 53, 67, 80, 1900 52869 open.
Weet iemand wat dit concreet inhoudt?

Dit zijn de services die dus op het device (modem/router) draaien.

53 : DNS
67 : Bootps
80 :HTTP
1900 : SSDP UPnP
52869 : UPnP IGD

UPnP zou ik uitzetten, of beter een eigen router/UTM gebridged met het modem.

port 52869 waarschijnlijk ephemeral port, maar wordt ook gebruikt voor een bekende aanval.
Van welk merk is je router? Netgear?

O nee sorry KPN router, hoe kan ik dat nou vragen.

Ik heb zelf KPN en heb mijn eigen netwerk gescande en inderdaad 53, 67, 80, 1900 52869 staan ook bij mij open.
De buren hebben Ziggo en bij hun is alleen poort 67 gefilterde.

Wat raar dat KPN de modems zo heeft geconfigureerd.
Kan KPN dit niet fixen ofzo?

Het merk is:
ZTE H369A, (kpn noemt het de Experiabox V10)
Welke bekende aanval is dat dan?

Sinds wanneer is het noodzakelijk om poort 53 (DNS) van buitenaf open te zetten? Dat is alleen van belang als je zelf een externe DNS server draait die verbinding moet maken met je extern IP adres.

We hebben het over de Internet netwerk van de modem/router dus als we 192.168.2.254 scannen.
Heb net mijn scan uitgevoerd (ben klant bij ziggo) en er staan bij mij geen poorten open dus ook poort 53 is dicht. De verhalen die mensen vertellen dus dat het noodzakkelijk is klopt niet. Dit is echt dus bij KPN(Telefort, tele2, NLE etc.) klanten het geval.

Er waren verschillende exploits die routers/modems infecteren en deze poorten nodig open konden breken en het kan zijn dat jullie geinfecteerd zijn want de firewire van KPN komt nog uit 2017 en KPN heeft dit lek niet gedicht.
Overigens is dit niet alleen bij KPN het geval maar ook Tele2, Telefort en NLE vallen hieronder.
Ook zijn er velen kwetsbaarheden bekend van de KPN modems maar heeft KPN deze nogsteeds niet gepatched.

Er zijn verschillende filosofieen over hoe dat moet werken maar het is niet zo dat het gevaarlijk is.
Ziggo laat de DHCP server direct hun eigen DNS server adressen doorgeven, DNS requests van lokale computers worden dus door de router ge-NAT en doorgegeven naar internet.
KPN laat de router zijn eigen adres geven als DNS server en in de router zit een "caching resolver" die een request doet naar hun DNS servers op internet, de resultaten bewaart, en naar de lokale computer stuurt.
Dit heeft het voordeel dat als dezelfde naam keer op keer opgevraagd wordt, de router dit uit eigen geheugen kan beantwoorden en niet steeds op internet hoeft na te vragen.
Dit wordt overigens ook door andere providers zo gedaan, ook door providers die heel goed weten wat ze doen (XS4ALL bijvoorbeeld).

Ik blijf er bij dat mensen die te veel naar Steve Gibson (GRC.COM) luisteren gewoon een scheve kijk op de werkelijkheid hebben met dat panische gedoe over "open poorten" (en nog erger: het verschil tussen "closed", "filtered" en "stealth").
Dit gaat echt nergens meer over. Afserveren die man, hij heeft zijn tijd nu wel gehad.

Waarom voeren hackers dan altijd een poortscan uit en worden netwerkscans zoals nmap door veel mensen in de computer beveiliging gebruikt?
Hoe hacken hackers dan volgens jou netwerken?

Dit is weer zon naieve persoon die het beter weet dan iedereen... Waarom is iedereen in de beveiligingswereld dan bezig met het dichten van zijn Netwerk, ik begin aan je twijfelen hoor of je niet van de AIVD bent en mensen slecht advies geeft om ze zo te kunnen hacken.

Nou waarom gaan de poorten 1900, 52869 bijvoorbeeld niet op slot? En ik weet niet wat je over 53, 67 en 80 (dat ik zogenaamd geen toegang tot het internet zou hebben?) maar bij een goede geconfigureerde router hoeven die poorten niet open te staan, bij ziggo staan geen open bijvoorbeeld.

KPN met hun ZTE meuk is sowieso kansloos als je controle wilt over je eigen netwerk.

KPN kan te makkelijk toegang verschaffen tot deze routers en als KPN dit kan, kan in theorie iedereen toegang krijgen.
Daarnaast heb ik wel een port configuratie gedaan en die stond er dan in, maar werkte dan gewoon niet. 2de Lijns support van KPN kan dit ongedaan maken, maar kost je heel veel overredingskracht.

Ik hou het wel op XS4ALL met hun Fritzboxen.

Je zou verwachten dat KPN (ze zitten ook in de security consultantcy) toch wat voorzichter omgaat met de beveiliging van de modem/routers?

xs4all is een dochtermaatschappij van KPN

Gezien de weinig gedetailleerde vraag van de OP ("er staan poorten open op de interne interface van mijn router, kan ik nu gehacked worden?") en de algehele paniek in de reacties volgt nu een jip en janneke verhaaltje over ip adressen en netwerkpoorten:

Een apparaat dat aan een netwerk hangt heeft een IP adres. Dit is het adres dat andere apparaten gebruiken om aan te geven waar ze hun verkeer naartoe willen sturen. Een device met maar 1 netwerkverbinding heeft 1 extern* IP adres (zoals bijvoorbeeld je computer waarschijnlijk), terwijl een router meerdere verbindingen heeft zoals eentje voor de buitenkant (het internet) en eentje voor de binnenkant. Die hebben elk een apart IP adres. Bij de OP is het bijvoorbeeld zo dat aan de binnenkant het adres 192.168.2.254 wordt gebruikt (adressen beginnend met 192.168 zijn altijd interne adressen, ze worden niet aan de internetkant gebruikt en kunnen dus tegelijk worden gebruikt door interne machines wereldwijd) terwijl aan de buitenkant een publiek, en dus uniek, IP adres word gebruikt dat je kan inzien via bijvoorbeeld whatismyip.com of in de instellingen van je router.

Bijvoorbeeld:
Je router heeft aan de buitenkant het unieke IP adres 12.34.56.78. Op dit adres is hij dus via het internet te bereiken.
Aan de binnenkant heeft hij het adres 192.168.2.254. Op dit adres is hij niet vanaf het internet te bereiken, maar alleen vanaf apparaten die verbonden zijn met de router, zoals je computer.
De router deelt aan apparaten die er aan verbonden zijn ook IP adressen uit. Bijvoorbeeld 192.168.2.10 aan je PC, 192.168.2.11 aan je tablet, 192.168.2.12 aan je smartkoelkast, etc. Dit zijn interne IP adressen die dus ook niet vanaf het internet te bereiken zijn.

Hoe is het dan mogelijk dat je op je PC toch een internetverbinding hebt, als je geen publiek IP adres hebt? Dat komt door Network Address Translation (NAT). Dit houdt in dat je router, die je verkeer doorstuurt naar het internet, ook het verkeer terug weer doorstuurt naar het device dat de verbinding gemaakt had. Jij vraagt een pagina op van google, google ziet als 'afzender' van dat verzoek het publieke IP adres van je router, en je router stuurt de respons van google na ontvangst weer door naar je PC.

Dan over open/dichte poorten:
Een poort is, zoals het woord al suggereert, een soort deur waar achter een dienst te vinden is. Als twee computer met elkaar willen praten moeten ze niet alleen elkaars IP adres weten, maar ook door welke deur ze bij elkaar binnenkomen. Je kan bijvoorbeeld op hetzelfde apparaat achter de ene deur een browser-applicatie (website) aanbieden, en achter een andere deur een DNS dienst. De meeste gebruikers merken hier niets van omdat een groot aantal gebruikelijke diensten een vast poortnummer gebruiken. Bijvoorbeeld bij het doen van een HTTP verzoek (bezoeken van een website) in je browser zorgt je browser zelf dat verbinding wordt gemaakt met poort 80. Wil je een andere omdat degene met wie je verbinding maakt zich niet aan deze conventies houdt, dan kun je dit handmatig toevoegen in de adresbalk.
Openstaande poorten zijn dus een heel normaal fenomeen, zonder open poorten geen internet.

Op elke netwerkinterface (dus op elk IP adres, mogelijk meerdere per apparaat) kunnen specifieke poorten open of dicht staan. Het is dus niet zo dat als op de binnenkant poort 80 openstaat waardoor je verbinding kan maken met de beheer-applicatie van de router, dit ook betekent dat men vanaf het internet bij deze applicatie kan.

Dan nu de relevantie voor de huidige discussie:
- Welke poorten open staan op 192.168.2.254 is dus alleen relevant voor aanvallers die vanuit je eigen netwerk komen (bijv. iemand met een backdoor in je PC omdat je malware hebt geinstalleerd, of iemand je WiFi kraakt). Als ze daar al zitten hebben ze je router waarschijnlijk niet meer nodig...
- Als je wil weten wat vanaf het internet te bereiken is kun je je router scannen op zijn externe IP adres.
- Een open poort an sich is geen kwetsbaarheid. Het is niet een deur die openstaat waar door iedereen zomaar binnen kan waaien. Het is een deur die openstaat waarachter een specifieke winkel zit die volgens bepaalde regels mensen bedient.
- Als die 'winkels' (dus, de applicaties die achter de open poorten staan) kwetsbaarheden bevatten kun je inderdaad aangevallen worden. Om de analogie verder te trekken: je hebt dan last van een winkelbediende die mensen zomaar het magazijn in laat, en iemand die daar misbruik van maakt. Als je een winkel/poort dus niet open HOEFT te hebben staan omdat hij niets nuttigs doet kun je het zekere voor het onzekere nemen en deze sluiten. Dan kan er sowieso niemand in.
Als je poort WEL open moet blijven is het dus verstandig om te zorgen dat de software die daar staat up to date is zodat deze de laagst mogelijke kans op kwetsbaarheden heeft.


*extern = richting andere apparaten, omdat elk apparaat ook in staat is verkeer naar zichzelf te sturen op het adres 127.0.0.1, ook bekend als 'local host'. Dit laten we verder even buiten beschouwing

Bij ziggo staan er ook gewoon poorten open anders mis je gewoon functionaliteit.
DHCP moet open staan als je geen vaste IP adressen wilt inkloppen voor al je devices. (je router zal moeten luisteren naar DHCP requests van de clients op het netwerk)
Als de router een webinterface heeft zodat je het een en ander zelf kan instellen/ checken zal hij daarvoor toch echt een open poort moeten hebben waarop hij luistert... meestal poort 80/443.
het is dus onzit dat er geen open poorten zouden zijn bij ziggo / een goed geconfigureerde router.

Okey maar 1900 52869 zijn echt onzin om open te zetten.

We hebben het hier over de binnenkant van het netwerk.
Poort 67 is de DHCP server. Als je die dichtzet krijgen de clients geen IP adres en dan blijft het internet lekker rustig.

Misschien moet je kijken wat Ziggo aansluitingen dan wel doen om te zorgen dat men in huis een IP adres krijgt.
Ik heb geen Ziggo om te testen, maar ik twijfel heel sterk aan je bewering.

Je weet wel dat het dan om UDP gaat en geen TCP ?

Poort 53 is DNS - bij een aantal modems/providers wordt het modem zelf als eerste caching resolver meegegeven. (ook soms zodat de klant http://modem.local / o.i.d. kan intikken om op z'n modem in te loggen, en plaats van die enge IP adressen .

En poort 80/443 op het modem is natuurlijk voor de gebruiker om in te loggen en bv SSID /WPA key en eventuele portforwardings in te stellen.
Dichtzetten voor doorgaand verkeer .

ik ben bij ziggo klant en daar staat bij mij alleen 67 open. Is wel een verschil met poorten 53, 67, 80, 1900 52869 en open hebben staan is wel een verschil. Niemand in deze discussie forum die het erover heeft dat poorten 1900 en 52869 zien jullie echt het gevaar niet van deze gevoelige poorten?

Waarom zou ik de standaard DNS servers van mijn provider gebruiken? Al mijn DNS verkeer gaat via mijn Raspberry (pi-hole). Zelfs het ZTE modem van KPN heb ik als primaire DNS server het lokale IP adres van mijn Raspberry gegeven.

De standaard applicaties die in de poort forwarding van het ZTE modem zitten heb ik allemaal eruit gesloopt en vervangen door mijn eigen dingen.

Volstrekte onzin

1) Het gaat hier om het lokale netwerk, en niet om de vraag wat er internet-facing open staat. Zit de AIVD met een laptop bij je binnen, om deze in te pluggen op je LAN interface ?

2) Indien je het hebt over de AIVD moet je eerst kijken of je een potentieel doelwit bent. 99.99% van de Nederlandse burgers zijn totaal niet interessant. Kwestie van risico analyse.

De paranoia van normale burgers omtrent de AIVD wordt inmiddels wel lachwekkend. Alsof ze onbeperkt mensen, middelen en tijd hebben om willekeurige burgers te gaan hacken, zonder verdere doelstelling. Daarnaast moeten ze toestemming vragen voordat ze zoiets doen, met een inhoudelijke onderbouwing m.b.t. de vraag waarom dit nodig zou zijn.

LMFAO. Ja hoor, de AIVD is echt geinteresseerd om willekeurige Nederlanders, die voor hen weinig interessant zijn, te motiveren om hun router slecht te beveiligen. Indien de AIVD echt in je router zou willen, dan gaan ze wel naar je provider om hen te dwingen om je router te updaten met een backdoored firmware versie ofzo. Daarvoor hoeven ze echt niet via reacties op forums willekeurige mensen, die niet eens doelwit zijn, aan te moedigen om hun router slecht te configureren.


Wanneer je DHCP settings van je router krijgt, dan dient je router vaak als DNS relay. Zet je de poort dicht, dan werkt DNS niet meer (tenzij je natuurlijk zelf alternatieve DNS settings instelt). Is gewoon de standaard instelling, zodat je als nieuwe klant zo min mogelijk handmatig hoeft te configureren ?

Natuurlijk kan je die aanpassen. Het overgrote deel van de klanten wil een apparaat wat werkt zodra ze het aansluiten, zonder verdere configuratie issues. En een Raspberry, daar hebben ze hoe dan ook nog nooit van gehoord. Het is commercieel toch logisch dat ze dit zo laagdrempelig mogelijk doen - waarbij het je vrij staat de instellingen te wijzigen.

Vergeet niet dat de meeste klanten geen IT-ers zijn men inhoudelijke technische kennis, en dat zij helemaal niet geinteresseerd zijn in bijvoorbeeld de vraag welke DNS server ze gebruiken. Dan moet je ze eerst uit gaan leggen wat DNS is.

LAN interface ? WAN interface ? Nogal verschil wat er lokaal openstaat voor je interne netwerk, en wat er openstaat internet-facing op je WAN interface.

Indien ze geen toegang hebben, en daardoor nooit updates kunnen uitrollen (bijvoorbeeld op gebied van beveiliging), maakt dat je dan blij ? Aan de ene kant eisen we dat de provider geen toegang heeft, en aan de andere kant eisen we dat providers wel updates enzo uitrollen, waarvoor deze toegang nodig is.

Verder is het volstrekt logisch dat als je een *managed* router afneemt bij een provider, er toegang nodig is om remote management uit te kunnen voeren. Je huurt het apparaat van de provider, en zij zijn verantwoordelijk voor updates en meer van dat soort zaken.

Bij de meeste providers kan je het apparaat gewoon vervangen door een eigen apparaat, waar de provider geen toegang toe heeft. Kan dat niet, dan zet je er als je paranoia bent nog een router achter waar ze geen toegang toe hebben.

Probleem opgelost.

Nah al zou de AIVD dit niet doen, (de AIVD kan dit ook doen) je kan gewoon via de wifi de router hacken (er bestaan verschillende methodes om via Wifi te hacken en zo op de modem te komen).
Dan zit je zo in het lokale netwerk.
Met deze open poorten zijn de risico's dan wel erg groot voor een hack.
Daarnaast je kan de netwerk van binnen openen en een buitenconnectie vanuit huis mogelijk maken en vanuit daar remote aanvallen uitvoeren.
Je zou eens moeten weten hoeveel hacks zo plaats vinden.

Je kent de persoon niet en misschien heeft deze persoon wel legitieme reden om bang voor de AIVD dat ze hem willen hacken en daarnaast mag hij toch extra paranoide zijn (als je in de secuirty business zit en je bent niet paranoide dan ben je slecht bezig) ook ik wil mijn infrastructuur veilig hebben.

Daarnaast moet je weten dat de AIVD niet een hacker netals jou is en dat hacken veel moeite voorsteld, ze hebben kant en klare tools(NSA heeft deze dus de AIVD vast ook) waarmee ze automatisch hacken.
Een goede hacker heeft zijn tools klaar geconfigureerd en gebruikt geen metasploit en nmap of weet ik het wat jij misschien gebruikt maar voor een goede hacker is een thuisgebruiker hacken een kleine moeite.

Bij ziggo moet je 192.168.178.1(daar hebben we het toch over?) scannen om op de modem in te loggen. Volgens mij is dat de WAN. daar staat alleen 67 open.

Jups KPN medewerkers hebben gewoon voor de lol twee willekeurige poorten gepakt om open te zetten op je LAN interface, geen enkel functioneel nut. Vonden ze lollig ;))

Indien je uPnP gebruikt dan laat je deze poorten open staan. Doe je dat niet, dan zet je de functionaliteit uit. Is iets wat je zelf gewoon kunt instellen in je router en waar je zelf dus de controle over hebt. Indien je het uitschakelt dan moet je iedere port forwarding in je router handmatig configureren.

Het gaat verder om instellingen op je LAN interface, op je lokale netwerk. Om te zorgen dat je zelf minder hoeft te configureren. Het zijn geen porten die op je WAN interface open moeten staan, de provider maakt er geen gebruik van.

==
UPnP (Universal Plug and Play) is basically a protocol designed to automate network settings manipulation or to discover other devices on the network (if they also use UPnP)

For example, if you had an Xbox360, and you would like to play online, the Xbox would automatically use UPnP to talk with your router, and tell him something like, 'open port X' or 'redirect traffic from external IP microsoft.com to my local IP in the NAT'. This is extremely useful for this kind of things, like video games, but unfortunately it's an insecure protocol.

UPnP has no authentication. Yes, this means that anybody in your network can force your router to perform those tasks described above (with a bad intention like opening your gateway(router) to the external network).
==

Waarschijnlijk willen sommigen hier *alle* porten dichtzetten op hun PC en/of router. Waarna ze verwachten dat alles daarna nog probleemloos werkt. Want open poorten, da's slechts een beveiligingsprobleem ;)

Is dit jouw geniale oplossing oplossing hoe jij een netwerk veiliger maakt? Je weet dat de modem van KPN dan gewoon met router aan het communiceren is?
Je moet heel goed een router kunnen segmenteren en policies willen instellen wil je in het theoretische geval dat je moeder router gehacked(laten we hiervan uitgaan ergste geval) is nog veilig gebruik van het internet gebruik maken.
Het maakt het voor de hacker moeilijker maar het is niet de oplossing zoals jij suggerreert. Zeker niet als je je router bijvoorbeeld in bridgemodus zet.

Is er hier echt geen security expert dat inziet dat de laatste twee poorten niet open hoorden te staan en dat de experiaBox gewoon slecht ingesteld is

https://blog.varonis.com/what-is-upnp/

Je zou eens moeten weten hoe actief de AIVD is in het hacken forums, hoe weet je dat security.nl niet gehacked is en jouw berichten gewoon gevolgd worden

https://nos.nl/artikel/580878-aivd-hackt-onterecht-internetfora.html

Ik weet heel goed dat deze poorten voor gebruiksgemak open zijn gegooid.
Ik heb UPNP uitstaan maar toch staat deze poort open bij mij.

UPNP open hebben blijft een grote security risk.

Eindelijk iemand met verstand van security...

Ga toch eerst eens wat leren voor je van die claims maakt. En quote niet iedere keer het hele verhaal.
Ook die ADHD manier van reageren (2 of 3 reacties op hetzelfde artikel vlak na elkaar) helpt niet.

UPNP is niet alleen voor het forwarden van poorten. UPNP kan ook gebruikt worden voor monitoring, bijvoorbeeld
een tooltje wat aangeeft hoeveel internet verkeer je maakt. Dus zelfs als je dat portforwarden uit zet kun je nog die
monitoring willen gebruiken en daarom is die poort gewoon open.

Maar zolang je niet snapt dat een open poort helemaal niet betekent dat je een onvelig netwerk hebt (heel goed
uitgelegd daarboven) gaan we met jou nergens komen....

Vind jij UPNP geen security risk dan?

IoT botnet "Satori" en "JenX" loopt via deze poort en ook een variant van de Mirai worm.

De Realtek SDK (Software Development Kit) gebruikt deze poort voor uPnP m.b.v. de SOAP methode.
a) https://www.pcworld.com/article/2916412/flaw-in-realtek-sdk-for-wireless-chipsets-exposes-routers-to-hacking.html
b)https://en.wikipedia.org/wiki/SOAP

Het is gevaarlijk als deze poort vanaf het internet toegang biedt. (open poort)
Hoe kan je gemakkelijk testen of dit zo is: ga naar https://www.grc.com/x/portprobe=52869
De status van poort 52869 moet hier closed zijn. De rode kleur is te danken aan het feit dat 52869 geen gestandaardiseerde (vast gedefiniërde) poort is voor een vast algemeen doel.
Realtek heeft deze poort gewoon gekozen omdat ze vrij ter beschikking staat.

Maar mijn motto is: "If you don'use or need it make it unavailable."
Dat komt meestal neer op Upnp uitzetten, in ieder geval in de router en verder waar je maar kan.
In het engel(and)s: https://www.zdnet.com/article/how-to-fix-the-upnp-security-holes/
Maar maak eerst een backup van de router configuratie voor het geval dat je iets doet dat je niet had moeten doen.

Plaatje uPnP instellingen: http://screenshots.portforward.com/routers/ZTE/H369A/UPnP_Settings.htm (alleen http!)
In geval 1 of meerdere onnodige port forwards zijn ingesteld knikker je die er ook uit.
Daarna router uit effe wachte... nog effe wachte... effe wachte nog.. router AAN.

1900 en 52869 zijn overigens geen willekeurige poorten die KPN zomaar zou hebben gekozen.
Poort 1900 (UDP) is sinds jaar en dag bestemd voor uPnP.
Poort 52869 (TCP) wordt gebruikt door de Realtek SDK voor SOAP PnP. (apparaten die de miniigd daemon runnen)

Eindelijk iemand een goede mentaliteit kwa security, als je goede security wilt moet je gewoon zoveel mogelijk uitzetten, niet voor niets zijn zoveel mensen bezig met verharden van hun systemen.

Ja joh de personen die zich niet druk maken over open poorten zijn gewoon toetsenbord helden. Waarom zou je iets aan willen staan wat ook bekend staat als kwetsbaar.
Ik zou zeggen test het uit met Kali en zie wat er allemaal lokaal mogelijk is met deze poorten.

Dit moet ik even herroepen. Het zal vermoedelijk rood aangeven omdat deze WAN-poort bij mij niet in "stealth" staat.
(Gibson logica).
"Stealth" en "closed" van deze poort zijn allebei acceptabel.
Het is geen garantie dat de poort altijd in die toestand blijft. Dat hangt mede van je software af.
Maar in ieder geval is er geen gapend gat van een altijd open poort.

Ik wil TS bedanken, we hebben hier intern een flinke lach gekregen van je vraag.

Wel willen we erbij zeggen dat je zowel intern als extern TCP en UDP van * naar * alles moet blocken. Alleen op deze manier ben je veilig voor aanvallen van het AIVD.

Deze kijken namelijk altijd mee.

Ja dude, maak je niet zo zorgen om de AIVD, de aivd mag tegenwoordig via de NSA en britse inlichtingendienst gehackte inlichtingen ontvangen ze hoeven hun handen niet eens vuil aan jou te maken.

Ze beschikken ook over genoeg 0days die ze van andere overheden hebben gekocht.

Wat zijn er hier toch paranoide gasten aanwezig zeg. Ga googlen en doe een poortscan op je router. Dan zie je of je kwetsbaar bent of niet. Ik heb zelf de v10 van kpn..die is gewoon dichtgetimmerd..de poorten waarvan de scan zegt dat ze open zijn, zijn niet gevoelig van buitenaf. De v10 is gewoon veilig. En voor lui die zo geheimzinnig doen over hun privacy? Denk maar niet dat een eigen router bescherming biedt. Alles wat aangesloten is op het internet is te kraken. alles. Hoe geheimzinniger jij doet hoe meer een poi( person of interest) jij wordt

Ah man wat een hoop onzin in dit topic, er is niets schadelijk aan de poorten die openstaan. upnp zou je dicht kunnen zetten maar is niet noodzakelijk, wel veiliger maar zeker niet beter voor de gemiddelde thuisgebruiker waarbij zijn Xbox ineens niet meer fatsoenlijk werkt bijvoorbeeld.

Voor de opmerking over het hacken van je wifi om dan iets op je router te doen. mocht een Aivd dit willen doen laten ze de betreffende provider wel een update met backdoor sturen. Mochten ze je wifi hacken hebben ze al toegang tot je netwerk. Er zijn dan veel betere dingen die je kan doen dan het overnemen van een router/modem. Al zal dit niet eens hun primaire manier zijn om dat te doen.

Ja. Mijn port 80 blijkt altijd open te staan. En port 443 ook. En die 80 stuurt alles door naar 443. Is dat gevaarlijk? Kan ik gehackt worden? Wwet iemand hoe ik die af kan sluiten?

1. Ik heb geen reden die man te wantrouwen. Hij is een ouwe rot in het vak.
Ik kan hem goed volgen al wordt ik er wel eens moe van omdat hij zo compleet is en alles probeert uit te leggen.
Zodat degenen die op dit gebied minder onderlegd zijn er ook iets van zouden kunnen begrijpen.

2. Via continu openstaande poorten op het WAN (internetzijde) kan er met je applicatie (software) worden gecommuniceerd.
Als je software 1 of meer zwakke plekken bevat dan zou je kunnen worden gehackt.
Maar dit is niet altijd zo. Moderne routers zijn NAT-routers met Statefull Packet Inspection. Dit is een soort intelligentie van je router dat deze let op waar netwerkpakketjes vandaan komen. Als er een netwerkverbinding wordt aangevraagd vanaf een IP-adres waar jouw apparaten niet kortgeleden om hebben gevraagd, dan laat de modemrouter die informatie niet door.

Bij scannen met scansoftware op je PC van je LAN zijn enkele open poorten zoals 80 en 443 heel gebruikelijk, anders kan je niet communiceren met andere apparaten op je netwerk, of met internet.