image

KPN rolt modem-update uit die FTP standaard op firewall blokkeert

donderdag 13 juni 2024, 13:20 door Redactie, 21 reacties

KPN heeft een update voor de KPN Box 12 uitgerold waarmee FTP standaard op de firewall wordt geblokkeerd. "In deze update zijn de firewall instellingen veranderd/verbeterd. Op het standaardniveau (midden) wordt FTP geblokkeerd. Dit omdat het een protocol is dat standaard unencrypted communiceert en vaak misbruikt wordt", zo laat een KPN-medewerker op vragen van een klant op het KPN-forum weten.

De firewall op de modem kent verschillende beveiligingsniveaus. Op beveiligingsniveau midden worden standaard verschillende protocollen geblokkeerd, waaronder FTP, Telnet, SMTP, SMB en IRC. "Maak je actief gebruik van FTP? Gebruik dan firewall niveau ‘Aangepast’ om FTP wel toe te staan", zo stelt KPN in een artikel over de firewall-instellingen.

Het File Transfer Protocol (FTP) is een uit 1971 stammend protocol voor het uitwisselen van bestanden. Omdat FTP onversleuteld gegevens uitwisselt wordt het als een onveilig en verouderd protocol beschouwd en hebben meerdere browsers het inmiddels uitgefaseerd. De update voor KPN Box 12 verhoogt ook het standaard beveiligingsniveau van wifi van WPA 2 naar WPA 2/3.

Reacties (21)
13-06-2024, 13:42 door eMilt
Alhoewel ik nog wel begrijp dat browsers het niet meer ondersteunen (iedereen gebruikt toch wel gespecialiseerde software voor FTP) is het onbegrijpelijk dat KPN dit standaard gaan blokkeren. FTP wordt echt nog heel veel gebruikt en is in principe helemaal niet onveilig als je het maar gebruikt in combinatie met TLS/SSL: FTP over TLS, oftewel FTPS. Er is ook SFTP maar dat is eigenlijk filetransfer via SSH en is compleet wat anders.

Door deze maatregel moet de server dus Implicit FTPS ondersteunen en zal Explicit FTPS dus ook niet meer mogelijk. Bij Implicit FTPS wordt er geconnect naar een andere poort (990) waarbij er vanuit wordt gegaan dat de server TLS ondersteunt en de communicatie volledig encrypted it (net als bij HTTPS). Bij Explicit FTPS zal eerst via de reguliere poort 21 een normale verbinding worden opgezet welke vervolgens wordt geupgrade naar een TLS verbinding. Explicit FTPS is een beetje de defacto standaard en wordt door de meeste software ondersteund. Implicit FTPS is (nog) minder populair.
13-06-2024, 14:12 door Anoniem
Eh... vuurmuur op het modem? Kan dat gewoon uit!?!
Te vertrouwen is het niet, als ik er dan toch nog zelf wat achter moet zetten, dan wil ik er ook geen last van hebben.

Versleuteling kan het probleem niet zijn. Ze willen maar al te graag mee kijken.
13-06-2024, 14:17 door Anoniem
Misschien dan ook maar http verkeer blockeren?
13-06-2024, 14:20 door Anoniem
Door eMilt: Alhoewel ik nog wel begrijp dat browsers het niet meer ondersteunen (iedereen gebruikt toch wel gespecialiseerde software voor FTP) is het onbegrijpelijk dat KPN dit standaard gaan blokkeren. FTP wordt echt nog heel veel gebruikt en is in principe helemaal niet onveilig als je het maar gebruikt in combinatie met TLS/SSL: FTP over TLS, oftewel FTPS. Er is ook SFTP maar dat is eigenlijk filetransfer via SSH en is compleet wat anders.

Door deze maatregel moet de server dus Implicit FTPS ondersteunen en zal Explicit FTPS dus ook niet meer mogelijk. Bij Implicit FTPS wordt er geconnect naar een andere poort (990) waarbij er vanuit wordt gegaan dat de server TLS ondersteunt en de communicatie volledig encrypted it (net als bij HTTPS). Bij Explicit FTPS zal eerst via de reguliere poort 21 een normale verbinding worden opgezet welke vervolgens wordt geupgrade naar een TLS verbinding. Explicit FTPS is een beetje de defacto standaard en wordt door de meeste software ondersteund. Implicit FTPS is (nog) minder populair.

Ik begrijp het probleem niet:
- voor mensen die geen technische kennis hebben is het veiliger (die gebruiken zelf geen ftp, en malware die het misbruikt wordt nu geblokkeerd)
- voor mensen met technische kennis is het eenvoudig om het aan te zetten.

Kortom, extra veiligheid, maar nog steeds de mogelijkheid voor een techneut om het (bewust) aan te zetten

Q
13-06-2024, 14:51 door Anoniem
Je kunt bij KPN ook voor een eigen modem kiezen, ik gebruik b.v. een FritzBox, die hebben hun eigen software, daar heeft KPN helemaal niets mee te maken, en kun je gewoon een FTP poort openen als je dat zou willen.
13-06-2024, 15:53 door Anoniem
Gaan ze SMTP - poort 25 ook blokkeren? E-mail wordt in veel gevallen onversleuteld verstuurd.
13-06-2024, 17:26 door Anoniem
Door Anoniem: Gaan ze SMTP - poort 25 ook blokkeren? E-mail wordt in veel gevallen onversleuteld verstuurd.

Zou prima kunnen.

email wordt in ontzettend veel gevallen "verstuurd" met een webinterface , dus voor het modem is dat TCP/UDP 443.

En als je een mail-client gebruikt mag je in 2024 toch echt hopen dat die SMTP submit (TCP/587 , TCP/465) gebruikt .

Vertel eens, welke legacy gebruikt nou nog tcp/25 voor mail _clients_ ?

De hobby bob's die thuis een eigen _server_tje draaien moeten dan maar slim genoeg worden om de modem firewall aan te passen. Voor mail transport - daar gaan tenminste geen credentials over de sessie .
13-06-2024, 18:38 door Anoniem
Door Anoniem: Je kunt bij KPN ook voor een eigen modem kiezen, ik gebruik b.v. een FritzBox, die hebben hun eigen software, daar heeft KPN helemaal niets mee te maken, en kun je gewoon een FTP poort openen als je dat zou willen.

De Fritzbox kan ook door KPN geleverd worden, en door KPN beheerd.
Het was de default bij xs4all, en die beheerden (voor bijna alle klanten) de fritzbox.

Maar ook op de Experia12 box is deze router-firewall door de gebruiker in te stellen/uit te zetten .
Je _hoeft_ er geen eigen router voor te kopen .
13-06-2024, 22:17 door Anoniem
Door Anoniem:
Door Anoniem: Je kunt bij KPN ook voor een eigen modem kiezen, ik gebruik b.v. een FritzBox, die hebben hun eigen software, daar heeft KPN helemaal niets mee te maken, en kun je gewoon een FTP poort openen als je dat zou willen.

De Fritzbox kan ook door KPN geleverd worden, en door KPN beheerd.
Het was de default bij xs4all, en die beheerden (voor bijna alle klanten) de fritzbox.

Maar ook op de Experia12 box is deze router-firewall door de gebruiker in te stellen/uit te zetten .
Je _hoeft_ er geen eigen router voor te kopen .
Maar het staat zo interessant. Zo van kijk mij eens!
14-06-2024, 06:59 door Anoniem
blokkeert straks kpn alle poorten als de eu alle encryptie van backdoor heeft voorzien?
14-06-2024, 07:48 door Bitje-scheef
Door Anoniem:
Door Anoniem: Gaan ze SMTP - poort 25 ook blokkeren? E-mail wordt in veel gevallen onversleuteld verstuurd.

Zou prima kunnen.

email wordt in ontzettend veel gevallen "verstuurd" met een webinterface , dus voor het modem is dat TCP/UDP 443.

En als je een mail-client gebruikt mag je in 2024 toch echt hopen dat die SMTP submit (TCP/587 , TCP/465) gebruikt .

Vertel eens, welke legacy gebruikt nou nog tcp/25 voor mail _clients_ ?

De hobby bob's die thuis een eigen _server_tje draaien moeten dan maar slim genoeg worden om de modem firewall aan te passen. Voor mail transport - daar gaan tenminste geen credentials over de sessie .

MFC (Printer/Copiers/Scanners) bijvoorbeeld, zijn er nog genoeg. Vooral de kleinere. Doen alleen SMTP.
Providers hebben dan nog steeds veelal een alternatief (andere poort dan 25 of via een netwerkadres gelimiteerde toegang.
14-06-2024, 09:24 door Anoniem
Door Anoniem: Misschien dan ook maar http verkeer blockeren?
Succes met je Windows updates dan.
die gaan nog altijd gewoon via http helaas.
14-06-2024, 10:39 door Anoniem
Door Anoniem:
Door Anoniem: Misschien dan ook maar http verkeer blockeren?
Succes met je Windows updates dan.
die gaan nog altijd gewoon via http helaas.
Waarom "helaas"? Dat werkt toch prima.
Je PC rekent zich al over de kop aan het cryptografisch valideren van updates (houd het CPU gebruik tijdens "downloaden"
maar eens in de gaten!) en nog een extra laag van https eroverheen gaat dat echt niet beter maken.
14-06-2024, 11:15 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Misschien dan ook maar http verkeer blockeren?
Succes met je Windows updates dan.
die gaan nog altijd gewoon via http helaas.
Waarom "helaas"? Dat werkt toch prima.
Je PC rekent zich al over de kop aan het cryptografisch valideren van updates (houd het CPU gebruik tijdens "downloaden"
maar eens in de gaten!) en nog een extra laag van https eroverheen gaat dat echt niet beter maken.

HTTPS voor updates is wel degelijk zeer aan te raden:
Het biedt geen aanvullende mate van "veiligheid" maar wel van "anonimiteit": je voorkomt ermee dat een MITM kan zien wat jij allemaal op je apparaat geïnstalleerd heeft en welk patchniveau dat heeft.
15-06-2024, 18:51 door Anoniem
Door Anoniem:
Door Anoniem: Gaan ze SMTP - poort 25 ook blokkeren? E-mail wordt in veel gevallen onversleuteld verstuurd.

Zou prima kunnen.

email wordt in ontzettend veel gevallen "verstuurd" met een webinterface , dus voor het modem is dat TCP/UDP 443.

En als je een mail-client gebruikt mag je in 2024 toch echt hopen dat die SMTP submit (TCP/587 , TCP/465) gebruikt .

Vertel eens, welke legacy gebruikt nou nog tcp/25 voor mail _clients_ ?

De hobby bob's die thuis een eigen _server_tje draaien moeten dan maar slim genoeg worden om de modem firewall aan te passen. Voor mail transport - daar gaan tenminste geen credentials over de sessie .
Port 25 met STARTTLS requirement is heel gebruikelijk.
16-06-2024, 15:40 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Gaan ze SMTP - poort 25 ook blokkeren? E-mail wordt in veel gevallen onversleuteld verstuurd.

Zou prima kunnen.

email wordt in ontzettend veel gevallen "verstuurd" met een webinterface , dus voor het modem is dat TCP/UDP 443.

En als je een mail-client gebruikt mag je in 2024 toch echt hopen dat die SMTP submit (TCP/587 , TCP/465) gebruikt .

Vertel eens, welke legacy gebruikt nou nog tcp/25 voor mail _clients_ ?

De hobby bob's die thuis een eigen _server_tje draaien moeten dan maar slim genoeg worden om de modem firewall aan te passen. Voor mail transport - daar gaan tenminste geen credentials over de sessie .
Port 25 met STARTTLS requirement is heel gebruikelijk.

Voor mail clients helemaal niet.

Die horen de laatste twintig jaar tcp/587 (evt met STARTTLS) te gebruiken. ( Of 465, dat meteen TLS verwacht en geen plain-text support heeft).

MUA en MTA zijn gewoon verschillende functies - en de wereld heeft de laatste twee decennia ook bedacht om daar verschillende poorten aan te koppelen.
17-06-2024, 13:48 door eMilt
Ik begrijp het probleem niet:
- voor mensen die geen technische kennis hebben is het veiliger (die gebruiken zelf geen ftp, en malware die het misbruikt wordt nu geblokkeerd)
Het argument van malware is gewoon door de marketing afdeling erbij verzonnen. Zal vast wel eens gebeurd zijn maar als FTP niet meer werkt dan kan die malware toch ook via HTTP(S) zijn data versturen. Ik denk dat sowieso 99,9% van de malware dat via HTTP(S) doet en niet via FTP want HTTP(S) werkt overal.
17-06-2024, 13:52 door eMilt
Door Anoniem: Gaan ze SMTP - poort 25 ook blokkeren? E-mail wordt in veel gevallen onversleuteld verstuurd.
Uitgaande verkeer via poort 25 is bij veel (zo niet alle??) providers geblokkeerd en dat is maar goed ook. Daar werd natuurlijk ontzettend veel misbruik van gemaakt om spam e-mails te versturen. Maar dat argument geldt niet voor FTP verkeer. Ik ben in ieder geval erg benieuwd naar de misbruik die dan zou plaatsvinden via de FTP poort.
18-06-2024, 00:06 door Anoniem
Door Anoniem: Misschien dan ook maar http verkeer blockeren?
Dat kan al. Zit zelfs al een tijdje ingebouwd. Je moet dan de extra veilige mode activeren, waardoor hackers geen kans meer krijgen. Dat kan vrij eenvoudig door de stekker van het modem uit het stopkontakt te halen.
18-06-2024, 20:55 door Anoniem
Door eMilt:
Door Anoniem: Gaan ze SMTP - poort 25 ook blokkeren? E-mail wordt in veel gevallen onversleuteld verstuurd.
Uitgaande verkeer via poort 25 is bij veel (zo niet alle??) providers geblokkeerd en dat is maar goed ook. Daar werd natuurlijk ontzettend veel misbruik van gemaakt om spam e-mails te versturen. Maar dat argument geldt niet voor FTP verkeer. Ik ben in ieder geval erg benieuwd naar de misbruik die dan zou plaatsvinden via de FTP poort.

Dat is maar goed ook ???
Dus elke poort waar iedereen maar misbruik van kan maken dicht zetten ??
Neen dat is helemaal niet goed.
--- Veiligheid door restricties ? dat heeft nog nooit gewerkt. ---

Administreer je mail server/of wat dan ook correct en je hebt geen last van mensen die misbruik maken van poort 25 of welke andere poort dan ook.

Je ontneemt wel legios aan mensen de mogelijkheid om door schade en schande wijs te worden door zelf dingen op te zetten . PLUS !! dat een mail-server alleen maar door een select aantal partijen ingezet kan worden dus overheden, cloud hosting etc alsof dat zo veilig is en dan nog niet te spreken wat een monopoly doet.

Nee geef mensen nu de mogelijkheid om te ontdekken wat een mooie technieken er zijn om b.v. een mailserver in te richten waardoor ze ontdekken dat complexe technieken ook doeltreffend ingezet kan worden. Een betere leerschool is er niet !!!

Ik ben een IT professional ik host zelf mijn mailserver sinds de komst van dsl thuis(DSL waar ik zelf aan de landelijke uitrol heb deelgenomen) op mijn adsl lijn.
Dit is prima veilig te doen zonder dat je op spamhaus of andere rbls terecht komt. Als je de moeite neemt om dit uit te zoeken.

Het beveiligen door beperken is een farce en alleen maar een commerciele beslissing bewust gemaakt door veel ISP's. ( ik heb bij die partijen gewerkt, en dat is de reden los van publicaties)

Die poort 25 of welke andere poort ook hoeft echt niet dicht om veiligheids redenen dit is klinklare nonsense.
Analogie: We verbieden verkoop, bezit en gebruik van vuurwerk behalve lichte soorten voor een paar uur per jaar.
Dat werkt ook zo formidabel. (sarcasme)

Voorbeeld, ben jij je eerste ervaring met je eigen mail server aan het opdoen vanaf dsl dan kom je heel snel op een rbl terecht.
Om eraf te komen moet je aan een voorwaarden voldoen. Daar kom je achter en je leert door schade en schande hoe het wel moet.

Ben iemand die dit misbruiken wilt? naja dan kom je ook op rbl's terecht daar kom je dan ook niet vanaf. Dus wat doe je ?
Je hacked een van de miljoenen servers die openstaan die wel een ripe ip hebben en misbruikt die. ( hier zijn zelfs kitjes voor)
Zo omzeil je poort 25 blokkade en je aanval komt dan uit,... uhm China ?
Wat in dit laatste scenario wel geholpen zou hebben is dat publieke servers/apparaten aan het net fatsoenlijk geadministreerd worden. Helaas is dit het probleem wereldwijd, niet poorten die open of dichtstaan bij een provider. Ze verhuren wel een virtuele server of rackspace.

Ik hoop met dit betoog iets van de misconceptie af te knabbelen dat beperken en limiteren van vrijheid bijdraagt aan veiligheid.
25-07-2024, 07:33 door Anoniem
Ook ik heb de afgelopen weken meerdere problemen ondervonden na deze update. Hoewel ik geen gebruiker ben van FTP, maak ik wel gebruik van de mailserver. In dit geval lijkt alles te draaien om communicatie. Als 99% van de gebruikers een bepaalde functie niet gebruikt, is het beter om deze standaard uitgeschakeld te laten om misbruik door (verkeerde) software te voorkomen. De meeste mensen hebben hier namelijk geen verstand van, willen er geen verstand van hebben en hebben er ook totaal geen baat bij om hier verstand van te hebben.

Helaas werd bij mij onder andere poort 25 voor uitgaande mail geblokkeerd, waardoor mijn e-mails ongemerkt twee weken lang in de wachtrij bleven hangen. Dit is normaal niet iets waar je naar kijkt, en omdat je niet aan de ontvangende kant zit, valt het ook niet meteen op. Dit was dus erg vervelend.

Of ik heb de mail gemist met uitgebreide uitleg, maar zover ik terug kan zien is die er niet geweest?!

TLDR: Het wordt geblokkeerd maar onder 'beveling' -> 'firewall' op je KPN router kan je accept rules toevoegen. Dus je kan dit gewoon inrichten als je dit wilt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.