Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Wake On Lan via internet veilig genoeg

Pagina: 1
Acties:

Vraag

donderdag 29 juni 2017 13:29

Acties:
  • Gecko123
  • Registratie: Januari 2017
  • Laatst online: 15-11 23:31

Gecko123

Topicstarter
Goedendag,

Ik heb een vraag voor de echte netwerkspecialisten...

Om te voorkomen dat mijn server (Synology) onnodig aanstaat maar toch beschikbaar is wil ik gebruik maken van Wake On Lan (WOL). Nu heb ik de gebruikelijke poort hiervoor opengesteld in mijn modem (KPN Experiabox 10) en alles werkt prima en zo, echter. Is het openzetten van een poort voor WOL naar internet nu wel veilig genoeg? Wat zijn hier nou eigenlijk de risico's?

Met veilig bedoel ik kwaadwillende informatie van mij synology afhalen en niet belletje lellen (jammer dat ie een keer aanspringt omdat een onbekende een WOL stuurt)

Een collega op het werk vertelde mij namelijk dat iemand die kwaad wil nep WOL-pakketjes kan versturen met kwaadaardige bedoelingen. Ik snap het risico dat mijn Synology ineens aangaat omdat iemand een WOL pakket verstuurd, echter betekend dit ook dat mijn Synology kwetsbaar is zoals door mijn collega genoemd?

Is het bijvoorbeeld niet mogelijk om de Experiabox lokaal een WOL-pakket te versturen aan mijn Synology wanneer bijvoorbeeld 'getriggerd' via een poort buitenaf? :P

Beste antwoord (via Gecko123 op 29-06-2017 15:57)

donderdag 29 juni 2017 14:39

  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Gecko123 schreef op donderdag 29 juni 2017 @ 13:29:
Nu heb ik de gebruikelijke poort hiervoor opengesteld in mijn modem
Je bedoelt port 9 UDP? Volgens mij is dat veilig. Er zit niemand daar te 'luisteren', dus de pakketjes worden gewoon gedropt.
De NIC die op WOL zit te wachten, kijkt alleen of het pakketje op een bepaalde offset 16 keer het MAC adres bevat, zo ja, schakelt die aan, zo nee, wordt het genegeerd.
(Dat pakketje kan dus van alles zijn, als het maar bij de NIC uitkomt. Hoeft niet UDP 9 te zijn. Ping kan ook)
Ik zou niet weten hoe je een kwaadaardige payload in een pakketje kan stoppen wat wordt gedropt, of alleen wordt gecontroleerd op een heel specifieke inhoud.
Als die collega niet meer info heeft zou ik het broodje aap noemen.

Alle reacties

donderdag 29 juni 2017 13:31

Acties:
  • mclegodude
  • Registratie: November 2013
  • Laatst online: 22-11 16:45

mclegodude

Een synology verbruikt Zeer weinig als hij niets doet, gewoon lekker aan laten staan en jezelf de gemoedsrust gunnen dat er niks naar buiten openstaat. Als je hem toch echt aan wil laten springen, een magic packet is niets anders dan dat. ze kunnen niet zomaar bij je files als je het poortje voor die magic packet openzet. Zorg wel dat de forwards kloppen!

donderdag 29 juni 2017 14:32

Acties:
  • Mattie112
  • Registratie: Januari 2007
  • Laatst online: 22-11 20:45

Mattie112

Waarom laat je de poort niet dicht en zet je een VPN server open? Dan kan je "veilig" op je interne netwerk inloggen en een WOL packet versturen.

(weet niet of de Experiabox VPN support)

3780wP (18x 210wP EC Solar) | 2x Marstek Venus E (5.12kWh)

donderdag 29 juni 2017 14:39

Acties:
  • Beste antwoord
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Gecko123 schreef op donderdag 29 juni 2017 @ 13:29:
Nu heb ik de gebruikelijke poort hiervoor opengesteld in mijn modem
Je bedoelt port 9 UDP? Volgens mij is dat veilig. Er zit niemand daar te 'luisteren', dus de pakketjes worden gewoon gedropt.
De NIC die op WOL zit te wachten, kijkt alleen of het pakketje op een bepaalde offset 16 keer het MAC adres bevat, zo ja, schakelt die aan, zo nee, wordt het genegeerd.
(Dat pakketje kan dus van alles zijn, als het maar bij de NIC uitkomt. Hoeft niet UDP 9 te zijn. Ping kan ook)
Ik zou niet weten hoe je een kwaadaardige payload in een pakketje kan stoppen wat wordt gedropt, of alleen wordt gecontroleerd op een heel specifieke inhoud.
Als die collega niet meer info heeft zou ik het broodje aap noemen.

donderdag 29 juni 2017 15:45

Acties:
  • Gecko123
  • Registratie: Januari 2017
  • Laatst online: 15-11 23:31

Gecko123

Topicstarter
Mattie112 schreef op donderdag 29 juni 2017 @ 14:32:
Waarom laat je de poort niet dicht en zet je een VPN server open? Dan kan je "veilig" op je interne netwerk inloggen en een WOL packet versturen.

(weet niet of de Experiabox VPN support)
Dat zou een optie kunnen zijn alleen is in dit geval de Synology de VPN server en die staat dan uit :+.

Een snelle google search geeft dat de Experiabox geen VPN server kan hosten.

donderdag 29 juni 2017 15:48

Acties:
  • Lawwie
  • Registratie: Maart 2010
  • Laatst online: 17-11 15:14

Lawwie

Het beste bier, brouw je zelf!

Gecko123 schreef op donderdag 29 juni 2017 @ 15:45:
[...]


Dat zou een optie kunnen zijn alleen is in dit geval de Synology de VPN server en die staat dan uit :+.

Een snelle google search geeft dat de Experiabox geen VPN server kan hosten.
Voor de VPN zou je mogelijk een raspberry pi zero voor een tientje neer kunnen zetten.

Maar alle gekheid op een stokje, zoals hierboven al gezegd, het levert geen beveiligingsissue op, behalve dat inderdaad iemand zou kunnen belletje lellen. Je zou ook, als je daar zorgen overmaakt, een compleet andere externe poort voor gebruiken. Bijv poort 50.000 (extern) naar 9 (intern).

donderdag 29 juni 2017 15:53

Acties:
  • Gecko123
  • Registratie: Januari 2017
  • Laatst online: 15-11 23:31

Gecko123

Topicstarter
Mijzelf schreef op donderdag 29 juni 2017 @ 14:39:
[...]

Je bedoelt port 9 UDP? Volgens mij is dat veilig. Er zit niemand daar te 'luisteren', dus de pakketjes worden gewoon gedropt.
De NIC die op WOL zit te wachten, kijkt alleen of het pakketje op een bepaalde offset 16 keer het MAC adres bevat, zo ja, schakelt die aan, zo nee, wordt het genegeerd.
(Dat pakketje kan dus van alles zijn, als het maar bij de NIC uitkomt. Hoeft niet UDP 9 te zijn. Ping kan ook)
Ik zou niet weten hoe je een kwaadaardige payload in een pakketje kan stoppen wat wordt gedropt, of alleen wordt gecontroleerd op een heel specifieke inhoud.
Als die collega niet meer info heeft zou ik het broodje aap noemen.
Fijn om te weten dat met WOL alleen naar het MAC adres wordt gekeken.

Ik wist niet dat je met ping ook een WOL kan activeren. Maar in ping zit toch geen MAC adres verstopt? Of vergis ik me? :?

donderdag 29 juni 2017 15:54

Acties:
  • Gecko123
  • Registratie: Januari 2017
  • Laatst online: 15-11 23:31

Gecko123

Topicstarter
Lawwie schreef op donderdag 29 juni 2017 @ 15:48:
[...]


Voor de VPN zou je mogelijk een raspberry pi zero voor een tientje neer kunnen zetten.

Maar alle gekheid op een stokje, zoals hierboven al gezegd, het levert geen beveiligingsissue op, behalve dat inderdaad iemand zou kunnen belletje lellen. Je zou ook, als je daar zorgen overmaakt, een compleet andere externe poort voor gebruiken. Bijv poort 50.000 (extern) naar 9 (intern).
Goeie tip! Staat nu op de standaard poort maar ga ik op een minder gebruikelijk poort zetten 8)

donderdag 29 juni 2017 21:02

Acties:
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Gecko123 schreef op donderdag 29 juni 2017 @ 15:53:
Ik wist niet dat je met ping ook een WOL kan activeren. Maar in ping zit toch geen MAC adres verstopt? Of vergis ik me? :?
Een ping pakketje kan een payload bevatten (max 64k, dacht ik). De gepingde client wordt geacht die payload te retourneren. Die payload mag van alles zijn. Ook een magic packet. En als je zo'n ping pakketje naar een WOL client zou sturen wordt hij wakker.
quote: Wikipedia
The magic packet is a broadcast frame containing anywhere within its payload 6 bytes of all 255 (FF FF FF FF FF FF in hexadecimal), followed by sixteen repetitions of the target computer's 48-bit MAC address, for a total of 102 bytes.
Dat 'broadcast frame' is nodig omdat de client uit staat, en dus normaal gesproken niet in een ARP tabel zal zitten. Dus de enige betrouwbare manier om dat pakketje daar te krijgen is een broadcast. Maar in de praktijk is elk pakketje met die 102 bytes die je bij die NIC kan krijgen afdoende. De NIC kijkt niet naar het type pakket.

vrijdag 30 juni 2017 11:03

Acties:
  • Ben(V)
  • Registratie: December 2013
  • Nu online

Ben(V)

Denk niet dat het gaat werken, maar is nogal afhankelijk hoe de hardware van de nic is opgezet.

Normaal gesproken is het ipadres van de nic niet meer aanwezig in het lan als die computer in "sleep" mode staat en dus niet in de ARP tabellen van routers en switches.
Het ping pakketje gaat dus nergens heen behalve als er geen router of switch tussen zit.

Verder kun je uiteraard helemaal geen brodcast over het internet sturen want dat kan niet gerouteerd worden.
Er zijn echter een aantal routers waarbij je als je een fixed ipadres-mac adres binding maakt en je stuurt dan naar poort 7 en/of poort 9 van dat ipadres een magic wol pakketje deze door de router uitgepakt wordt en als broadcast op je lan gezet wordt.

Ik weet niet of dat zo is, maar het is mogelijk dat deze router ook zo reageren als je dit vanaf het lan doet, maar als er dan weer een switch tussen zit werkt het ook niet.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 30 juni 2017 11:41

Acties:
  • Gecko123
  • Registratie: Januari 2017
  • Laatst online: 15-11 23:31

Gecko123

Topicstarter
Oke bedankt voor ieders antwoorden. WOL blijf lastig. Daarom heet het waarschijnlijk ook MAGIC packet. O-)

vrijdag 30 juni 2017 11:43

Acties:
  • Gecko123
  • Registratie: Januari 2017
  • Laatst online: 15-11 23:31

Gecko123

Topicstarter
Wat mij betreft is mijn vraag beantwoord en kan dit topic dicht.

Gaat dit nu 'vanzelf'? :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq