Ervaringen topic Ubee EVW3200 WiFi-modemrouter Ziggo (Deel 2)

Van die hoeveelheden hoef je ook niet direct iets te merken. Bij elk datablok zitten aan paar checksums. Als er maar 1 bitje fout is kan hij met behulp van die checksum de data weer herstellen. (Correctables). Als er teveel fouten in zitten, dan moet het hele datablok opnieuw verzonden worden. (UnCorrectables) Dat geeft natuurlijk wel een vertraging. Een typisch datablok is 1.5kB groot. Als jij nu iets van 1200 uncorrectables hebt betekent dat er 1200 x 1.5kB = ca 1.8MB data opnieuw verzonden is. En verdeelt over die 5 dagen en 15 uur die je noemt, zal dat niet echt opvallen.

Maar een klein beetje storing kan natuurlijk snel meer worden. Ziggo zal wel een norm hebben van wat nog toelaatbaar is.
 
(…)

Standaard staan de meeste options aan:

Gateway_Options_Detaill_zpsb89df1dd.png


De eerste 6 worden al in de oude handleiding besproken. Vanaf "NAT ALG Status" is alles nieuw. (ALG = application-layer gateway)
Als je ze uit zet, worden verbindingen geblokkeerd die de opgesomde features gebruiken. Dus kun je in twijfel beter alles aan laten. (Wat dit in detail doet is me op dit moment niet duidelijk. Wie?

De opties ónder NAT-ALG Status zijn veelal toepassingen of -protocollen.

RSVP = Resource Reservation Protocol; reserveert bronnen teneinde een goede verbinding te leveren voor Integrated Services Internet

FTP = File Transfer Protocol; protocol voor bestandsoverdracht. Indien deze optie wordt uitgeschakeld is bestandsoverdracht via FTP buiten het lokale netwerk niet mogelijk.

TFTP = Traversal File Transfer Protocol; een ander protocol voor bestandsoverdracht, soms gebruikt voor het toepassen van firmware updates voor netwerkapparaten.

Kerb88 = onderdeel van de Kerebos-protocol suite; voorziet in authenticatie bij en communicatie met servers in bijvoorbeeld een Active Directory netwerk.

NetBIOS (NetBeUI); een protocol voor computerverkenning in een (Microsoft Windows) netwerk, waarbij nog geen gebruik werd gemaakt van DNS en TCP/IP. NetBIOS werd vooral gebruikt met IPX/SPX. Tegenwoordig wordt de NetBIOS Computer Browser Service nog steeds gebruikt vanwege compatibiliteitsdoeleinden. Een belangrijke toepassing ervan bevindt zich in Samba-bestandsdeling in *nix-systemen.

IKE =Internet Key Exchange; een protocol dat middels sleuteluitwisseling authenticatie bewerkstelligt, bijvoorbeeld bij bedrijfsservers. Wordt vaak gebruikt icm. IPSec.

RTSP = Real Time Streaming Protocol; Een protocol dat wordt gebruikt om (Multimedia)content als unicast-stream te bezorgen, bijvoorbeeld een stream van een live-uitzending.

Kerb1293 = onderdeel van de Kerebos-protocol suite; voorziet in authenticatie bij en communicatie met servers in bijvoorbeeld een Active Directory netwerk.

H.255 = belangrijk protocol voor gebruik van VoIP-services, met name voor oproepsignalering (Call Signaling) en Registratie-toewijzingsstatus (RAS, Registration Admission Status)).

PPTP = Point To Point Tunnelling Protocol; Een protocol voor het opzetten van VPN-verbindingen.

MSN = Microsoft Network; Het uitschakelen van deze optie verhindert het gebruik van alle diensten binnen MSN (meer bepaald de Microsoft Messenger), anders dan de chatservice, die over HTTP80 loopt. Bij het uitschakelen van deze optie worden bijvoorbeeld spraakoproepen niet naar de MSN client doorgestuurd, en kunnen de online spelletjes niet worden gebruikt. Uiteraard is deze informatie binnenkort overbodig, daar Microsoft de ondersteuning voor Microsoft Network en de MSN Messenger de wacht aanzegt. Deze optie heeft op Skype geen invloed, want de datagrammen van het Skype-protocol zijn totaal verschillend en Skype gebruikt bovendien andere communicatiepoorten.

SIP = Session Initiation Protocol; wordt veel gebruikt voor internettelefonie bij andere diensten dan Skype. Ook veel Internet-belabonnementen, waaronder die van KPN en diens dochters, maken gebruik van SIP voor de telefoniediensten.

ICQ (I Seek You) = Een sociale netwerkdienst (tegenwoordig onderdeel van AOL) met een compeet eigen set aan protocollen. De eerste versies van ICQ boden alleen tekstchat, later werden daar spraak- en video-oproepen aan toegevoegd. ICQ wordt tegenwoordig zo goed als niet meer gebruikt in Europa, maar het platform draait nog steeds.

IRC666x = Internet Relay Chat; één van, zo niet dé eerste vorm van chatten op het internet. In latere versies van het protocol werd het mogelijk om via IRC zelfs bestanden te versturen. In sommige kringen is IRC zelfs nu nog mateloos populair. Wellicht een van de bekendste IRC clients is mIRC. 666x duidt op de gebruikte versie van het IRC-protocol).

ICQTalk = ICQ Talk is de dienst voor spraak- en later video-oproepen binnen ICQ.

Net2Phone = een toepassing waarmee men via het internet naar gewone PSTN-toestellen kon bellen. Deze toepassing had een heel eigen protocol, dat in niets leek op VoIP, SIP, VoDSL of PacketCable. In het verleden moest bij de keuze van een internetabonnement speciaal worden gelet op ondersteuning voor Net2Phone. Tegenwoordig is Net2Phone nog steeds actief, maar werkt het wel met SIP- en VoIP-compatible protocollen.

IRC7000 : Zie IRC666x
IRC8000 : Zie IRC666x

Zoals bij sommige van de protocollen zelf al vermeld: als deze opties worden uitgeschakeld, kunnen de voornoemde protocollen niet gebruikt worden. Er kunnen dan geen in- of uitgaande verzoeken worden gedaan tot communicatie, door toepassingen die deze protocollen vereisen. Het uitschakelen van deze opties gaat verder dan het blokkeren van een poort. Het blokkeren van poort 21 stopt bijvoorbeeld alle verkeer op poort 21 (FTP), maar FTP-verkeer op een andere poort zou gewoon doorgang kunnen hebben. Als hier echter bijvoorbeeld de optie FTP wordt uitgeschakeld, dan gaat dit type verkeer überhaupt niet meer over de lijn heen (lees: de modem houdt het tegen). Een en ander gebeurt middels SPI (Stateful Packet Inspection).
Merk op dat dit niet hetzelfde is als wanneer Ziggo of enige andere ISP gebruik maakt van SPI. Deze vorm van SPI gaat niet ver genoeg om te vertellen voor wie de correspondentie bedoeld is, maar helpt alleen bij het bepalen met welk sóórt verkeer we te maken hebben.

Het wordt niet aangeraden om deze opties te wijzigen tenzij je heel goed weet waar je mee bezig bent.
 
csteelooper, bedankt voor de bovenstaande info. Ik heb vanuit de eerste pagina een link gemaakt naar bovenstaande message om het ook in toekomst makkelijk te vinden.

En ik kwam er vandaag achter dat Ziggo een heel vreemde keus gemaakt heeft in de firewall instellingen voor verzenden van mail.

De onbeveiligde poort 25 wordt zelfs in de High stand doorgelaten. Echter de beveiligde poort 587 die ook door ziggo's mailserver ondersteunt wordt, is zelfs bij de medium settings geblokkeerd. Voor mij is die keus onbegrijpelijk. Als je via je smartphone van overal wilt kunnen verzenden moet je poort 587 gebruiken, maar dan kan het thuis plots niet meer als je de firewall in medium of high wilt gebruiken. ???
 
Toen 9.9.5007 net uit was heb ik beweerd dat hij ook andere wifi's kon scannen. Dat bleek bij nader inzien niet te werken, maar ik wist zeker dat ik het in de eerdere versie 9.9.5005 wel gezien had. Net vond ik een stukje tekst om mijn HD die ik indertijd uit mijn Ubee settings pagina gecopiëerd had:
Code:
Nearby Wireless Access Points
Network Name  Security Mode	Mode    PHY Mode   RSSI    Channel   BSSID
Guests    WPA2-PSK AES-CCMP  Managed  802.11n   -80 dBm   11   96:84:0d:d5:e4:b5
         WPA2-PSK AES-CCMP  Managed  802.11n    -73 dBm     1   b8:8d:12:5e:81:67
         WPA2-PSK AES-CCMP  Managed  802.11n    -79 dBm    11   90:84:0d:d5:e4:b5
Ik heb dus geen idee waarom ziggo deze leuke optie nu weer uit de definitieve versie weggehaald heeft?
 
.
En ik kwam er vandaag achter dat Ziggo een heel vreemde keus gemaakt heeft in de firewall instellingen voor verzenden van mail.

De onbeveiligde poort 25 wordt zelfs in de High stand doorgelaten. Echter de beveiligde poort 587 die ook door ziggo's mailserver ondersteunt wordt, is zelfs bij de medium settings geblokkeerd. Voor mij is die keus onbegrijpelijk. Als je via je smartphone van overal wilt kunnen verzenden moet je poort 587 gebruiken, maar dan kan het thuis plots niet meer als je de firewall in medium of high wilt gebruiken. ???

Poorten blokkeren voor uitgaande verbindingen ????
Weet je zeker dat het niet om inkomende poorten gaat hier ?
 
De firewall in medium of high zet echt alle poorten die niet genoemd worden in beide richtingen dicht. Mail versturen via 587 gaat niet meer. Zet ik hem weer low dan blijven alle poorten wel open en gaat de mail wel weg. Ik had het vorig jaar ook al gemerkt toen ik hem op high had laten staan: pop3 mail kon ik plots niet meer ophalen.

Overigens zet de port filtering pagina ook alle poorten in alle richtingen dicht. Daar kun je 10 ranges definiëren die op slot gaan. Om poorten dicht te gooien is die vriendelijker dan die firewall opties.
 
De firewall in medium of high zet echt alle poorten die niet genoemd worden in beide richtingen dicht. Mail versturen via 587 gaat niet meer. Zet ik hem weer low dan blijven alle poorten wel open en gaat de mail wel weg. Ik had het vorig jaar ook al gemerkt toen ik hem op high had laten staan: pop3 mail kon ik plots niet meer ophalen.

Overigens zet de port filtering pagina ook alle poorten in alle richtingen dicht. Daar kun je 10 ranges definiëren die op slot gaan. Om poorten dicht te gooien is die vriendelijker dan die firewall opties.

Maar dit staat nog steeds los van portforwarding toch?
Want eigenlijk hoef je in een NAT omgeving geen firewall te gebruiken om inkomende poorten te beveiligen omdat die via de NAT portforwarding instellingen gedaan worden. Een firewall is dan een extra-tje die je alleen zult gebruiken voor een beveiliging voor uitgaande poorten. Dat hij dan voor normaal gebruik op 'low' moet staan (of zelfs op 'uit' als dat mogelijk is) is nog niet een onveilige situatie.
 
Het klopt dat NAT eigenlijk al vanzelf alle ingaande poorten tegenhoudt. De huidige 'low' stand is vergelijkbaar met de oude 'aan' stand. Standen hoger dan 'low' zijn er voor om er voor te zorgen dat ook diensten geblokkeerd worden die vanuit je computer gestart worden. Als je niet precies weet waar je mee bezig bent zullen de medium en high instellingen waarschijnlijk alleen voor onverwachte problemen zorgen.

En als je echt heel specifieke poorten wilt sluiten, gaat dat flexibeler in de port-filtering pagina. Zelf heb ik daar b.v. de UPnP poort dicht gegooid. Alleen maar voor het geval er een bug in de router zou zitten omdat hij toch al niet van buiten benaderbaar mag zijn. Ook heb ik de poort voor het syslog daar dicht gegooid omdat ik intern wel alles via dmz open heb staan naar de server, en syslog werkt zonder wachtwoord.
De firewall opties zijn in mijn optiek te star om bruikbaar te zijn.
 
[quote="csteeloper]Zoals bij sommige van de protocollen zelf al vermeld: als deze opties worden uitgeschakeld, kunnen de voornoemde protocollen niet gebruikt worden. Er kunnen dan geen in- of uitgaande verzoeken worden gedaan tot communicatie, door toepassingen die deze protocollen vereisen. Het uitschakelen van deze opties gaat verder dan het blokkeren van een poort. Het blokkeren van poort 21 stopt bijvoorbeeld alle verkeer op poort 21 (FTP), maar FTP-verkeer op een andere poort zou gewoon doorgang kunnen hebben. Als hier echter bijvoorbeeld de optie FTP wordt uitgeschakeld, dan gaat dit type verkeer überhaupt niet meer over de lijn heen (lees: de modem houdt het tegen). Een en ander gebeurt middels SPI (Stateful Packet Inspection).[/quote]
Interessant, maar het moet toch iets anders werken. Ik had nu 'FTP' en 'TFTP' uitgeschakeld. Dan zou er dus geen ingaande FTP verzoeken meer binnen mogen komen. Via forwarding gaat poort 21 naar mijn nas en daar vond ik in het log:
2013/03/15 11:22:49, FTP client [Administrator] from [218.22.211.69] failed to log in the server.
De Ubee heeft toch een FTP over poort 21 doorgelaten. Dit soort inbraakpogingen komen regelmatig voorbij. Bijna altijd gebruiken ze 'Administrator' als account naam. Maar mijn nas gebruikt een andere default account, dus aan wachtwoord proberen komen ze niet eens toe. Het IP adres is overigens uit China. Op zich niets verontrustends, maar als ik die instellingen goed begrijp, had de Ubee dit al moeten blokken en niet pas de nas.
 
Terug
Bovenaan