De ISP routers zijn nodig voor compliance en onderhoud. Klanten die allemaal met hun eigen router online gaan geeft problemen, dan bellen ze de helpdesk en dat wordt een onnodige belasting. Daarom heeft iederen een "fabrieksrouter" die ze op afstand kunnen bedienen. De meeste mensen zijn niet technisch.

Ik ga er van uit dat ze ook (opsporing) op afstand dus je hele LAN op kunnen als je er geen extra firewall tussenzet.

Wie is jouw provider? En kun je de settings niet allang vinden als je even zoekt?

Vooral dat....bij welke ISP zit je? Ikzelf zit bij XS4ALL en gebruik al jaren een eigen OPNSense router...

Ik heb mijn Ziggo modem gewoon in bridge modus laten zetten. Dan wordt het namelijk gewoon een doorgeefluik. Daarachter zit mijn Ubiquiti USG die de router en firewall taken voor mij doet. Die USG heeft aan zijn WAN kant ook het Ziggo IP, niet het modem van Ziggo.

TS heeft veel te weinig informatie gegeven, maar zei wel "adsl" . Conclusie : TS heeft geen Ziggo .

Mijn provider is Tele2. Zij geven deze gegevens niet vrij. Bridged is geen optie omdat ik juist van 2 routers naar 1 wil. Voor mijn vraag was adsl als informatie voldoende. Het gaat immers over of ik de settings onderscheppen kan in de situatie waarin mijn provider ze niet vrijgeeft. XS4ALL is de enige die dat wel doet.

Het plaatsen van een eigen standaard router met wat statische firewall zal jou misschien een gevoel van veiligheid geven, maar mijn vraag is dan biedt dit ook echt een extreem grote toegevoegde waarde toe.

Wat denk jij anders te doen dan de router van jouw ISP? (Deze zijn vaak zware pentesten ondergaan (ken mensen die dit doen namelijk)). (Behalve hun het recht ontnemen om jouw support te leveren wanneer dat eventueel nodig zou zijn)

In principe is het internet een soort van routers achter elkaar en is de vraag voor wie doe jij deze moeite allemaal?

@ TS : Ja je kan rustig een eigen modem/router aan je dsl lijn hangen.

Als je geen login gegevens van je ISP hebt gekregen, zoek effe op internet naar "login modem" met evt modem naam en type om je standaard user en password te vinden. Ik gok op admin / admin, of zo iets stoms..

Login op de ouden en kijk naar je VPI - VCI - ENCAP - HLDC en ATMQos waarden. Klop die in je nieuwe modem en aansluiten en booten. Heeft tot nu toe nog bij al mijn DSL providers gewerkt..

Suc6
HaSo

Jij wil dat soort dingen over laten aan je ISP, prima. Je hebt waarschijnlijk ook een slimme meter, want waarom niet. Moet je ook helemaal zelf weten. Ik denk daar gewoon anders over. Het is mijn huis en mijn interne netwerk (en bijv. mijn meterkast), daar wil ik gewoon zelf zeggenschap over hebben en zelf de voordeur beheren. Ik gebruik daarvoor professionele hardware en weet wat ik doe, daarom heb ik geen ISP nodig die dit voor mij doet en hoef ik niet op de kennis en kunde van iemand anders te vertrouwen. Ik doe die moeite (zoals veel dingen in het leven) voor mezelf.

Als Professional weet je dan ook dat een ISP geen gezeur wilt hebben met niet werkende modems of instabiliteit op hun netwerk. Dat doen een budget ISP. Immers het kost geld en er is gewoon maar heel weinig vraag voor.

En je hebt ze zeggenschap om zelf keuzes te maken. Oa slimme meter weigeren (keuze bestaat vaak op misverstanden, maar dat is een hele andere discussie) en het is pas jouw meterkast vanaf de (slimme) meter. Daarvoor is het de verantwoording van de netbeheerder.
Maar je ISP kun je gewoon kiezen, dus ook een ISP die je wel de keuze vrijheid heeft. Probleem opgelost.

Wil je meer en kwaliteit dan ga je voor een goede ISP die dit wel toestaat en ondersteund. Ofwel XS4ALL (tot zo lang het duurt) of ziggo in bridge mode.

@anon 22:15
Ik zoek geen toegevoegde veiligheid maar minder stroomgebruik. De router van Tele2 gebruikt 24 uur per dag 10-12 watt per uur en ik ben buitengesloten van de instellingen om hem goed te beveiligen en hij is te beperkt. Ik kan hem ook niet uitzetten want dan denkt de wijkcentrale dat er iets loos is en schakelt de snelheid naar beneden en het duurt een halve dag voor die weer normaal is na de router opnieuw te hebben aangesloten. En dus gebruik ik nu ook een 2de router voor VPN, fatsoenlijk Wifi, nas en dergelijke. Die 2de router gebruikt maar iets van 8 watt als ik Wifi gebruik en 5 zonder en nog minder als mijn clients uitstaan. Ik denk dat ik het met 1 router dus wel af kan maar zelfs als dat niet zo is zijn 2 goede routers beter dan 1 slechte stroomslurpende router die niets kan en 1 die wel doet wat ik wil.

Of je verandert gewoon van provider

Ik weet niet of jij de originele vraagsteller bent maar als dat zo is zie ik toch wel een discrepantie tussen je geclaimde
vaardigheden en je situatie nu. Als ik even google vind ik in no-time settings voor Tele2 waarvan geclaimed wordt dat
deze werken, en inderdaad ook een hoop discussies over het feit dat Tele2 deze niet zelf publiceert.
Plus de gebruikelijke verhalen van helpdeskmedewerkers dat het allemaal niet veilig is en ze het niet kunnen ondersteunen.
Als je echt weet wat je doet gaat dat jou ook lukken.
Zo niet dan moet je je even afvragen of je keuze voor Tele2 wel de juiste is, gegeven wat je wilt doen.

Secure Router Configuration
https://routersecurity.org/#StartHere

Zodra je daar bij het lezen verder naar beneden begint te scrollen, dan begint het je snel te dagen wat het probleem is.

Nee ik ben niet de TS, maar gewoon een random anoniempje hier. Ik hoef bijv. ook niet perse een eigen modem/router te hebben. Het Ziggo modem vind ik prima, hij doet toch niets voor mij behalve het verkeer doorgeven. Uiteraard is het wel een extra apparaat wat 24/7 aanstaat.

Wat is het probleem dan? Er is toch niks mis mee als de provider dat allemaal voor jou doet?
Juist omdat het doorwerken van dit soort lijsten door "pa die het internet aansluit" wellicht tot slechtere resultaten
leidt dan een deskundige ISP die dat managed.

En de ISPs snappen tegenwoordig ook echt wel wat de behoeftes zijn. Dus als je ISP die dingen niet aabiedt zit
je wllicht gewoon niet bij een goede.

De tips die jij benoemt zijn basis security instellingen. Maar veel succes met het downgraden van jouw infrastructuur!

Het probleem is dat veel goedkope consumenten routers brak zijn, verouderd of niet voldoende veilig. Dat vormt niet alleen een risico voor de providers zelf en veel huishoudens, maar ook voor de maatschappij als geheel.

https://www.security.nl/posting/623574/WRR%3A+Nederland+niet+goed+voorbereid+op+digitale+ontwrichting



Mij hoor je niet klagen over hun service.

Niets mis met de router van mijn provider, voor zover ik weet. Dat kan ik echter niet zelf controleren. Daarom heb ik liever een betere -- tweede -- garantie, omdat ik de hard- en firmware van mijn eigendom wel zelf kan controleren.

Wat is er tegen de gateway door de provider in bridge functie te laten zetten, om er een eigen LAN-router thuis achter te plaatsen? De techneut bij de provider is dan blij, want weer een goede klant die veiligheid tenminste serieus neemt.


Vergelijk de router thuis met jouw voordeur.

Jij laat 's avonds de sleutels van je voordeur, en die van de zaak, toch ook liever niet buiten in het slot steken? Die heb ik liever binnen, in het keukenkastje, liggen. Dus waarom zou ik dan de sleutels van mijn router thuis uit handen geven?

Tja dat is een beginsel wat ik weliswaar herken, maar waarvan je kunt stellen dat je daar in de IT wereld niet ver meer mee
gaat komen. Er verdwijnt steeds meer naar buiten je eigen invloeds- en controlesfeer. Toen ik begon met computers kon
ik nog zelf 100% begrijpen wat er in mijn computer gebeurde en hoe dat allemaal werkte. BASIC ROM en disk operating
system helemaal zelf uitgezocht, aan veranderd, uitgebreid, omgebouwd etc.

Idem met netwerken. Vroeger kon je overal mee meekijken, protocolnamen begonnen met de S van Simpel, het was
duidelijk wat een router deed, etc.

Maar dat is allemaal veranderd. Je hebt een PC voor je staan met gigabytes aan software waarvan je van 99.9% geen
idee hebt wat er gebeurt (je kent de principes van een browser of een mailprogramma, maar daar houdt het wel mee
op), er draaien 100 services waarvan niet duidelijk is wat ze doen (zelfs op Linux is het overzicht vakkundig omzeep
geholpen door Poettering C.S.) en van allerlei servers die je dagelijks gebruikt is niet duidelijk waar ze staan, wie ze
beheert, en wie er toegang hebben tot de gegevens.

Dus als controlfreak maak je steeds minder kans, behalve dan kans om gefrustreerd te raken omdat je niet meer alles
in eigen hand hebt. Dat kun je dus beter los laten en ook eens een ander vertrouwen, zelfs al blijkt dat soms niet terecht.

Ik zie de router als een hek, met gaten. (Ongeacht hoe de router is ingesteld)

Jij heb het goed begrepen :-))

Dit volgende handboek beschouw ik als een redelijk goede handleiding voor de basis instellingen:

Practical OPNsense
by Markus Stubbig
https://opnsense.org

Dat heeft weinig met een controle dwang te maken, meer met gezond verstand. Mijn provider heeft SSH toegang op de geleverde router en kan de firmware daarmee op afstand upgraden.

Daarmee leveren ze service op afstand.

Dat is prima.

Mocht het toch een keer fout gaan, en de ISP gateway onverhoopt toch wijd open blijven staan, dan stuit de inbreker, of het botnet, op een OpenBSD router met een IDS. En die twee zijn van mij.

Daar is weinig omkijken naar. Het risico, als ik dat niet doe, en het gaat eens fout, is anders dat Jan en alleman met mijn IP-cam of de PostScript invoer van de netwerk printer mee kan kijken...

Nee, dank je.

Zoiets kan ik mijn gezin, werkgever en opdrachtgevers niet uitleggen.

Inderdaad een goed idee, om een eigen OpenBSD router, of vergelijkbaar ding, achter de ISP gateway, in bridge mode, te zetten, want waar de Fransen nu last van hebben, dat wordt het voorland van de naïeve Nederlandse internet consument:

Onlangs werd dit gegeven op Security.NL gemeld:


Franse overheid waarschuwt voor aanvallen via serviceproviders
Redactie, 9 oktober 2019
https://www.security.nl/posting/627079/Franse+overheid+waarschuwt+voor+aanvallen+via+serviceproviders

Ik geef je hierbij alvast op een briefje dat ons geroemde Nationaal Cyber Security Centrum vast ook binnenkort met vergelijkbare waarschuwingen voor ISPs, ingenieurbureau's en hun kwetsbare klanten op de proppen komt.

SSH toegang hebben ze vast niet, je zult TR-069 bedoelen. Een heel ander protocol...., of afhankelijk van de door jou provider geleverde router toegang via de API of een ander, merk specifiek, management protocol.

Maar dan nog doen ze die upgrade's echt niet om jou te pesten, maar om hun hele netwerk met vele duizenden van die routers stabiel en uniform te houden.

Indien de settings door een update niet langer meer werken, dan zit je wel met het probleem dat je zelf mag gaan uitzoeken hoe je alles (hopelijk) weer werkend krijgt.

En toen werd ik teruggebeld door gaslicht punt com over een upgrade naar een andere provider.

TR-069 Security


https://en.wikipedia.org/wiki/TR-069#Security


De verbinding is stabiel en de service van de ISP is uitstekend, je hoort mij niet klagen. Alleen hangt er een eigen OpenBSD router achter, vanwege de in de praktijk van alledag gebleken onveiligheid van het TR-069 protocol.

Gaslight is toch een NRG keuzewijzer?

Heeft hier iemand ervaring met een goede VPN router ?