Alhoewel ik nog wel begrijp dat browsers het niet meer ondersteunen (iedereen gebruikt toch wel gespecialiseerde software voor FTP) is het onbegrijpelijk dat KPN dit standaard gaan blokkeren. FTP wordt echt nog heel veel gebruikt en is in principe helemaal niet onveilig als je het maar gebruikt in combinatie met TLS/SSL: FTP over TLS, oftewel FTPS. Er is ook SFTP maar dat is eigenlijk filetransfer via SSH en is compleet wat anders.

Door deze maatregel moet de server dus Implicit FTPS ondersteunen en zal Explicit FTPS dus ook niet meer mogelijk. Bij Implicit FTPS wordt er geconnect naar een andere poort (990) waarbij er vanuit wordt gegaan dat de server TLS ondersteunt en de communicatie volledig encrypted it (net als bij HTTPS). Bij Explicit FTPS zal eerst via de reguliere poort 21 een normale verbinding worden opgezet welke vervolgens wordt geupgrade naar een TLS verbinding. Explicit FTPS is een beetje de defacto standaard en wordt door de meeste software ondersteund. Implicit FTPS is (nog) minder populair.

Eh... vuurmuur op het modem? Kan dat gewoon uit!?!
Te vertrouwen is het niet, als ik er dan toch nog zelf wat achter moet zetten, dan wil ik er ook geen last van hebben.

Versleuteling kan het probleem niet zijn. Ze willen maar al te graag mee kijken.

Misschien dan ook maar http verkeer blockeren?

Ik begrijp het probleem niet:
- voor mensen die geen technische kennis hebben is het veiliger (die gebruiken zelf geen ftp, en malware die het misbruikt wordt nu geblokkeerd)
- voor mensen met technische kennis is het eenvoudig om het aan te zetten.

Kortom, extra veiligheid, maar nog steeds de mogelijkheid voor een techneut om het (bewust) aan te zetten

Q

Je kunt bij KPN ook voor een eigen modem kiezen, ik gebruik b.v. een FritzBox, die hebben hun eigen software, daar heeft KPN helemaal niets mee te maken, en kun je gewoon een FTP poort openen als je dat zou willen.

Gaan ze SMTP - poort 25 ook blokkeren? E-mail wordt in veel gevallen onversleuteld verstuurd.

Zou prima kunnen.

email wordt in ontzettend veel gevallen "verstuurd" met een webinterface , dus voor het modem is dat TCP/UDP 443.

En als je een mail-client gebruikt mag je in 2024 toch echt hopen dat die SMTP submit (TCP/587 , TCP/465) gebruikt .

Vertel eens, welke legacy gebruikt nou nog tcp/25 voor mail _clients_ ?

De hobby bob's die thuis een eigen _server_tje draaien moeten dan maar slim genoeg worden om de modem firewall aan te passen. Voor mail transport - daar gaan tenminste geen credentials over de sessie .

De Fritzbox kan ook door KPN geleverd worden, en door KPN beheerd.
Het was de default bij xs4all, en die beheerden (voor bijna alle klanten) de fritzbox.

Maar ook op de Experia12 box is deze router-firewall door de gebruiker in te stellen/uit te zetten .
Je _hoeft_ er geen eigen router voor te kopen .

Maar het staat zo interessant. Zo van kijk mij eens!

blokkeert straks kpn alle poorten als de eu alle encryptie van backdoor heeft voorzien?

MFC (Printer/Copiers/Scanners) bijvoorbeeld, zijn er nog genoeg. Vooral de kleinere. Doen alleen SMTP.
Providers hebben dan nog steeds veelal een alternatief (andere poort dan 25 of via een netwerkadres gelimiteerde toegang.

Succes met je Windows updates dan.
die gaan nog altijd gewoon via http helaas.

Waarom "helaas"? Dat werkt toch prima.
Je PC rekent zich al over de kop aan het cryptografisch valideren van updates (houd het CPU gebruik tijdens "downloaden"
maar eens in de gaten!) en nog een extra laag van https eroverheen gaat dat echt niet beter maken.

HTTPS voor updates is wel degelijk zeer aan te raden:
Het biedt geen aanvullende mate van "veiligheid" maar wel van "anonimiteit": je voorkomt ermee dat een MITM kan zien wat jij allemaal op je apparaat geïnstalleerd heeft en welk patchniveau dat heeft.

Port 25 met STARTTLS requirement is heel gebruikelijk.

Voor mail clients helemaal niet.

Die horen de laatste twintig jaar tcp/587 (evt met STARTTLS) te gebruiken. ( Of 465, dat meteen TLS verwacht en geen plain-text support heeft).

MUA en MTA zijn gewoon verschillende functies - en de wereld heeft de laatste twee decennia ook bedacht om daar verschillende poorten aan te koppelen.

Het argument van malware is gewoon door de marketing afdeling erbij verzonnen. Zal vast wel eens gebeurd zijn maar als FTP niet meer werkt dan kan die malware toch ook via HTTP(S) zijn data versturen. Ik denk dat sowieso 99,9% van de malware dat via HTTP(S) doet en niet via FTP want HTTP(S) werkt overal.

Uitgaande verkeer via poort 25 is bij veel (zo niet alle??) providers geblokkeerd en dat is maar goed ook. Daar werd natuurlijk ontzettend veel misbruik van gemaakt om spam e-mails te versturen. Maar dat argument geldt niet voor FTP verkeer. Ik ben in ieder geval erg benieuwd naar de misbruik die dan zou plaatsvinden via de FTP poort.

Dat kan al. Zit zelfs al een tijdje ingebouwd. Je moet dan de extra veilige mode activeren, waardoor hackers geen kans meer krijgen. Dat kan vrij eenvoudig door de stekker van het modem uit het stopkontakt te halen.

Dat is maar goed ook ???
Dus elke poort waar iedereen maar misbruik van kan maken dicht zetten ??
Neen dat is helemaal niet goed.
--- Veiligheid door restricties ? dat heeft nog nooit gewerkt. ---

Administreer je mail server/of wat dan ook correct en je hebt geen last van mensen die misbruik maken van poort 25 of welke andere poort dan ook.

Je ontneemt wel legios aan mensen de mogelijkheid om door schade en schande wijs te worden door zelf dingen op te zetten . PLUS !! dat een mail-server alleen maar door een select aantal partijen ingezet kan worden dus overheden, cloud hosting etc alsof dat zo veilig is en dan nog niet te spreken wat een monopoly doet.

Nee geef mensen nu de mogelijkheid om te ontdekken wat een mooie technieken er zijn om b.v. een mailserver in te richten waardoor ze ontdekken dat complexe technieken ook doeltreffend ingezet kan worden. Een betere leerschool is er niet !!!

Ik ben een IT professional ik host zelf mijn mailserver sinds de komst van dsl thuis(DSL waar ik zelf aan de landelijke uitrol heb deelgenomen) op mijn adsl lijn.
Dit is prima veilig te doen zonder dat je op spamhaus of andere rbls terecht komt. Als je de moeite neemt om dit uit te zoeken.

Het beveiligen door beperken is een farce en alleen maar een commerciele beslissing bewust gemaakt door veel ISP's. ( ik heb bij die partijen gewerkt, en dat is de reden los van publicaties)

Die poort 25 of welke andere poort ook hoeft echt niet dicht om veiligheids redenen dit is klinklare nonsense.
Analogie: We verbieden verkoop, bezit en gebruik van vuurwerk behalve lichte soorten voor een paar uur per jaar.
Dat werkt ook zo formidabel. (sarcasme)

Voorbeeld, ben jij je eerste ervaring met je eigen mail server aan het opdoen vanaf dsl dan kom je heel snel op een rbl terecht.
Om eraf te komen moet je aan een voorwaarden voldoen. Daar kom je achter en je leert door schade en schande hoe het wel moet.

Ben iemand die dit misbruiken wilt? naja dan kom je ook op rbl's terecht daar kom je dan ook niet vanaf. Dus wat doe je ?
Je hacked een van de miljoenen servers die openstaan die wel een ripe ip hebben en misbruikt die. ( hier zijn zelfs kitjes voor)
Zo omzeil je poort 25 blokkade en je aanval komt dan uit,... uhm China ?
Wat in dit laatste scenario wel geholpen zou hebben is dat publieke servers/apparaten aan het net fatsoenlijk geadministreerd worden. Helaas is dit het probleem wereldwijd, niet poorten die open of dichtstaan bij een provider. Ze verhuren wel een virtuele server of rackspace.

Ik hoop met dit betoog iets van de misconceptie af te knabbelen dat beperken en limiteren van vrijheid bijdraagt aan veiligheid.