Netwerk te makkelijk om gehackt te worde.

Wat heb je precies van KPN te horen gekregen? Ziggo stuurt dit soort berichten als er spam vanuit je IP wordt verstuurd en als dat hier geval is dan is er wel meer aan de hand.

Makkelijkste optie lijkt me overigens om een VPN te gaan gebruiken zodat de verschillende apparaten in het netwerk niet direct toegankelijk zijn vanaf het internet. Kan bijvoorbeeld via een losse server of via een router die dat ondersteunt ( Fritzbox, Unifi USG, etc)

[ Voor 3% gewijzigd door Sethro op 24-12-2018 09:44 ]

Zonder enige technische info over wat er nu geconstateerd is, hoe dit wel/niet benaderbaar is en over welke wegen, is het een beetje prijsschieten en is er weinig over te zeggen.

Maar een paar aannames die je doet, zijn al niet helemaal "erg"; een port-forward is benodigd voor sommige zaken en dat stel je in op de router. Dus als je portforwards wil hacken, moet je eerst inloggen op de router. Ik mag toch hopen dat die interface dicht staan aan de WAN-kant; zo niet, dan is dat "bewust" door iemand opengezet (niet KPN).

Sethro schreef op maandag 24 december 2018 @ 09:43:

Makkelijkste optie lijkt me overigens om een VPN te gaan gebruiken zodat de verschillende apparaten in het netwerk niet direct toegankelijk zijn vanaf het internet. Kan bijvoorbeeld via een losse server of via een router die dat ondersteunt ( Fritzbox, Unifi USG, etc)

Ik neem aan dat je eerst VLAN bedoelt om zaken op het interne netwerk te scheiden? En dat alleen WAN -> LAN traffic gebruikt maakt van een VPN om de camera's te bekijken?

@kickstart. mogelijk dat de vraagstelling ook hier iets ontbreekt; "waarom" moeten de camera's over het internet bereikbaar zijn?

Nu blijkt volgens KPN het netwerk niet veilig genoeg te zijn en hebben ze hun van het internet afgegooid.

Dan is er altijd al ten minste 1 waarschuwing aan vooraf gegaan, je krijgt van de abuseafdeling een bericht wat er in je netwerk is geconstateerd. Wordt hier geen actie op ondernomen, dan volgt de 'verbanning' naar de walled garden en kan je inderdaad niet veel meer. (Wellicht dat bij actief misbruik, bijv. apparaten in een botnet sneller actie wordt ondernomen, daar heb ik geen ervaring mee gelukkig. )

Het is voor mij ook nog klein beetje prijsschieten, maar wil voorbereid op pad gaan.

Dan is het zaak om eerst duidelijk te krijgen wat de exacte reden van afsluiting is geweest, voor hetzelfde geld staat er een apparaat DNS recursion te doen in het netwerk en is deze vanaf buitenaf benaderbaar, poort 53 open + recursor die misbruikt kan worden voor amplification attacks is ook een bekende reden om afgesloten te worden.

Of het camerasysteem zou besmet kunnen zijn geraakt en vormt nu een onderdeel van een botnet, in dat geval kan je wellicht beter het bedrijf dat de boel geleverd heeft raadplegen om het e.e.a. weer schoon te krijgen. Netwerk dichttimmeren is uiteraard prima, maar ga eerst even na bij KPN wat nu exact het geconstateerde probleem is om te voorkomen dat je straks weer afgesloten wordt. Hoe vaker je dat overkomt in een korte tijd, hoe lastiger het wordt om weer online te komen.

[ Voor 5% gewijzigd door Aganim op 24-12-2018 10:05 . Reden: Grammatica ]

Er lijken dus 2 netwerken te zijn? 1 Netwerk in het huis. en 1 netwerk in de stal. Zijn deze netwerken nu beide afgesloten van het internet? Of enkel het camera netwerk.

Aganim schreef op maandag 24 december 2018 @ 10:03:
[...]

Dan is er altijd al ten minste 1 waarschuwing aan vooraf gegaan, je krijgt van de abuseafdeling een bericht wat er in je netwerk is geconstateerd. Wordt hier geen actie op ondernomen, dan volgt de 'verbanning' naar de walled garden en kan je inderdaad niet veel meer. (Wellicht dat bij actief misbruik, bijv. apparaten in een botnet sneller actie wordt ondernomen, daar heb ik geen ervaring mee gelukkig. )


[...]

Dan is het zaak om eerst duidelijk te krijgen wat de exacte reden van afsluiting is geweest, voor hetzelfde geld staat er een apparaat DNS recursion te doen in het netwerk en is deze vanaf buitenaf benaderbaar, poort 53 open + recursor die misbruikt kan worden voor amplification attacks is ook een bekende reden om afgesloten te worden.

Of het camerasysteem zou besmet kunnen zijn geraakt en vormt nu een onderdeel van een botnet, in dat geval kan je wellicht beter het bedrijf dat de boel geleverd heeft raadplegen om het e.e.a. weer schoon te krijgen. Netwerk dichttimmeren is uiteraard prima, maar ga eerst even na bij KPN wat nu exact het geconstateerde probleem is om te voorkomen dat je straks weer afgesloten wordt. Hoe vaker je dat overkomt in een korte tijd, hoe lastiger het wordt om weer online te komen.

Ze geven niet altijd een waarschuwing hoor in mijn pruts jaren ooit een NTP server perongeluk aan het internet gehangen en bam geblokkeerd enige wat nog kon was de KPN webmail geloof ik daar zat wel een mail in maar niet de reden.... en aangezien je alleen met ze kan mailen duurde het een week voordat ik weer internet had

[ Voor 4% gewijzigd door HKLM_ op 24-12-2018 10:13 ]

@HKLM_, vooruit, kleine disclaimer: in de gevallen waar ik afsluitingen ben tegengekomen bleek er op het hoofdadres (dat adres wat je standaard krijgt en niemand leest ) altijd een of meerdere berichtjes te staan met wat er aan de hand is.

[ Voor 5% gewijzigd door Aganim op 24-12-2018 10:23 ]

Wat ik niet helemaal uit het verhaal opmaak is of de blokkade überhaupt te maken heeft met de portforward of het camerasysteem. Het kan net zo goed een ander systeem zijn wat er op het netwerk aangesloten is?

Als de camera's alleen vanuit een locatie/huis (met een vast ip / pool) worden bekeken kan je voor je port forward eventueel ook een source ip adres opgeven (ofwel portforward alleen toestaan vanaf ip x).

Vaak staan die camera systemen ingesteld op Chinese reverse DNS servers zodat iedereen plug en play gebruik kan maken om over het internet het camerasysteem te beheren.
KPN ziet dat er verkeer helemaal uit China komt naar jouw IP adres waardoor ze denken dat er illegale activiteiten plaatsvinden.

kickstart. schreef op maandag 24 december 2018 @ 10:30:
[...]


dat zocht ik, wist niet of het mogelijk was om enkel toegang te geven voor een bepaald ip (source)

Dat kan, maar dat kan niet elke modem/router 'zomaar'. Een echte Firewall oplossing of iets zoals pfSense kan dit prima. Volgens mij kunnen die standaard Experia boxen van KPN dit niet, maar ik kan het mij niet helemaal correct herinneren hoe dit er bij mij uitzag.

In simpele oplossing is inderdaad alles dichtgooien behalve 1194 (VPN port) en daarna via VPN connecten op bijvoorbeeld een klein servertje of een Raspberry Pi.

True schreef op maandag 24 december 2018 @ 10:34:
[...]


Dat kan, maar dat kan niet elke modem/router 'zomaar'. Een echte Firewall oplossing of iets zoals pfSense kan dit prima. Volgens mij kunnen die standaard Experia boxen van KPN dit niet, maar ik kan het mij niet helemaal correct herinneren hoe dit er bij mij uitzag.

In simpele oplossing is inderdaad alles dichtgooien behalve 1194 (VPN port) en daarna via VPN connecten op bijvoorbeeld een klein servertje of een Raspberry Pi.

Een simpele oplossing is inderdaad alles dichtgooien behalve 1194 port van opgestelde VPN server (VPN port) en daarna via VPN connecten een VPN server opzetten op bijvoorbeeld een klein servertje of een Raspberry Pi.

1194 zomaar openzetten heeft natuurlijk geen zin en is alleen maar de default port voor OpenVPN, met een andere VPN server of een custom config doet het niets natuurlijk.

@Kaalus dat is natuurlijk waar, maar in mij voorbeeld noem ik ook specifiek een RPi.
@kickstart. kijk eens naar: https://github.com/angristan/openvpn-install hoef je amper wat te doen en kun je certificaten met of zonder wachtwoord genereren.

True schreef op maandag 24 december 2018 @ 11:01:
@Kaalus dat is natuurlijk waar, maar in mij voorbeeld noem ik ook specifiek een RPi.
@kickstart. kijk eens naar: https://github.com/angristan/openvpn-install hoef je amper wat te doen en kun je certificaten met of zonder wachtwoord genereren.

Een VPN server draaien op een Raspberry Pi is niets anders dan er eentje draaien op welke willekeurige andere doos hoor. En dat hoeft dus zeker geen standaard OpenVPN te zijn, kan net zo goed een andere server zijn. Bedoel je met de Pi VPN server wellicht http://www.pivpn.io/ ?

Voordat je van alles gaat optuigen eerst maar eens kijken wat er aan de hand is:
- Is KPN wat specifieker geweest? Vraag deze info dan op
- In de meeste gevallen sluit KPN af omdat er een geinfecteerd apparaat in het netwerk aanwezig is als SPAM versturen of DDOS aanvallen uitvoeren. Welke apparaten zijn er allemaal in het netwerk actief?
- De cameras zijn een belangrijke verdachte, het Mirai botnet scant bijvoorbeeld geautomatiseerd kwetsbare apparaten af zoals ip cameras om ze te infecteren. Werd er een standaard/eenvoudig gebruikersnaam/wachtwoord op het camera systeem gebruikt en/of draaide er oude software op?

Als er al systemen zijn di geïnfecteerd zijn dan gaat een VPN/portforward niets meer helpen, die systemen bouwen dan zelf via internet verbinding op, die moeten dus eerst schoongemaakt worden.
De portforward wordt meestal alleen voor de initiële infectie gebruikt

Mocht het de camera zijn die gehackt is (reele kans) dan zou er het volgende aan de hand kunnen zijn:

[ Voor 27% gewijzigd door laurens0619 op 24-12-2018 11:32 ]

Ziet er interessant uit. Ben je er al achter?

Zelf hebben we hier ook een paar extern benaderbare IP camera's. Tot nu toe heb ik er geen gedoe mee, maar je moet wel even een paar dingen controleren.

- IP Camera's moeten op de laatste firmware versie draaien -> I.v.m. veiligheid zoals @laurens0619 meldt. De kans is groter dat de fouten uit die firmwares zijn.
- Gebruik never never nooit standaard wachtwoorden en poorten bij (extern benaderbare) apparaten. Stel de camera's handmatig zo in dat ze dat niet doen. Vaak gaan meegeleverde handige apps veel makkelijker om met standaardinstellingen.
- Niet meer poorten open zetten dan nodig is (UPNP is een groot lek als je een geinfecteerd apparaat hebt).
- Controleer alle andere apparatuur op malware/spyware/virussen. Die kunnen ook een lek veroorzaken.