Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 110 reacties
Submitter: Doane

Internetaanbieder Xs4all werkt aan een door de klant instelbaar netwerkfilter dat het mogelijk moet maken om bepaalde poorten te blokkeren. De provider zou zelfs overwegen om smtp-poort 25 in de toekomst standaard dicht te zetten.

Xs4all logoVolgens een bericht van Xs4all-medewerker Miquel van Smoorenburg in de nieuwsgroep xs4all.adsl zal de isp te zijner tijd een netwerkfilter introduceren, waarbij de klant de keuze heeft uit vijf beveiligingsniveaus. Op niveau één worden vrijwel alle poorten van de internetverbinding geblokkeerd, terwijl op het hoogste niveau alle poorten openstaan. Bij niveau drie wordt de door spammers veel misbruikte poort 25 geblokkeerd. Deze instellingen zou 'pas veel later' ook daadwerkelijk de standaardwaarde voor Xs4all-abonnees moeten worden, zo schrijft Van Smoorenburg. Het op termijn blokkeren van de mailpoort zou 'een hoop afsluiterij' kunnen schelen en de abuse-afdeling kunnen ontlasten.

Xs4all-woordvoerder Niels Huijbregts haastte zich echter tegenover Tweakers.net te verklaren dat Xs4all nooit uit zichzelf zal overgaan tot het blokkeren van poorten, omdat een dergelijk besluit in strijd zou zijn met de policy van de provider. Volgens Huijbregts geeft Xs4all - in tegenstelling tot andere isp's - zijn klanten juist de volledige vrijheid om eigen servers te draaien. Een instelbaar netwerkfilter voor zijn adsl-klanten zou uitsluitend dienen als extra service.

Verder stelt Huijbregts dat het netwerkfilter niet wordt ontwikkeld vanwege druk vanuit de politiek. De overheid dringt al enige tijd aan op een actievere houding van providers bij het beveiligen van de internetverbinding van hun klanten. Volgens Huijbregts heeft Xs4all al voldoende maatregelen op dit gebied genomen en is eventuele regelgeving van bovenaf daarom bij voorbaat al achterhaald.

Moderatie-faq Wijzig weergave

Reacties (110)

Vaste IP addressen zijn dan ook wel fijn. Een beetje "thuis" server heeft een vaste lijn nodig.

[Reactie gewijzigd door jantje.vlaam op 13 augustus 2008 14:50]

Nou, dat word toch lastig, want de IPv4-range zit al aardig vol, dan moet XS4ALL wel héél veel blokken IP-adressen gaan inkopen als ze iedereen een vast IP willen geven.

Daarnaast, wat is het nut van een vast IP? Als je iets als een webserver wil draaien kan dat ook met een dynamisch IP, daarvoor heb je diverse webservices zoals bijvoorbeeld DynDNS waar je dat soort dingen kan regelen.

Met de invoering van IPv6 word het wel makkelijker om iedereen een vast IP te geven, alleen kan je adressen die weer niet onthouden. En daarnaast zie ik de invoering daarvan de eerste 10-15 jaar nog niet gebeuren.
ik heb al 7 jaar adsl van xs4all, en al die tijd al een vast IP en een zelf te kiezen DNS.xs4all.nl
en xs4all bied ook al heel lang de mogenlijkheid aan om naast je ipv4 ook een ipv6 IP te krijgen

edit: in die 7 jaar ook al 5 keer tijdelijk afgesloten door xs4all omdat broertjes rotzooi op hun pc's hadden staan en spambot aan het spelen waren.... dus prima oplossing.

[Reactie gewijzigd door RocketKoen op 13 augustus 2008 15:17]

xs4all kan natuurlijk ook hun klanten vertellen dat deze de poorten in zijn/haar ADSL router dicht kan timmeren. Dat heeft hetzelfde effect als de voorgestelde maatregel en scheelt een boel negatieve PR.
Het was dus aardig geweest van xs4all als ze daar bij de eerste keer afsluiten op hadden gewezen.
Het lijkt erop dat hier wel een wat deftigere dienst van te maken is, waarbij xs4all een deel van het netwerk beheer en de netwerk beveiliging van het netwerk van de klant voor z'n rekening neemt. Dat is een stuk beter te verkopen dan dit soort simpele poort blokkades.
Ben geen XS4All abo maar heb wat klanten die weleens zijn geblokkeerd.

Ze krijgen netjes een mailtje dat ze zijn afgesloten met wat instructies om het virus te vinden etc. Hun mailservers zijn ook gewoon bereikbaar zodat je je mail kunt ophalen. Tevens kun je gewoon surfen via proxy e.d. Inkomend verkeer wordt volgens mij helemaal niet geblokkeerd, dus je servers blijven bereikbaar.

Zo slecht is die oplossing niet hoor. Ze kunnen moeilijk een boekwerk voor een klant gaan maken wat eventjes vlug uitlegt wat de gevaren van IP zijn, hoe het werkt, hoe ze virussen en spyware en trojans verwijderen en meer van dat soort zooi. Zo'n handleiding van 300 pagina's leest ook niemand.
XS4ALL kan natuurlijk ook hun klanten vertellen dat deze de poorten in zijn/haar ADSL router dicht kan timmeren.
Alleen is dat voor de huis-tuin-en-keuken-klant van ADSL abracadabra, zij begrijpen er niets van, weten niet hoe je dat instelt: Gaan ze alsnog bellen met de helpdesk... ;)

Dus daar schiet je toch niets mee op... :) Zulke klanten hebben liever een simpele webinterface (die van de router is te lastig ;)). Prima service dus van XS4ALL!
AS3265 (XS4ALL) heeft 715776 IP adressen:

http://www.robtex.com/as/as3265.html
de eerste 10-15 jaar? Dat is echt gigantisch lang in computer wereld. Ik denk dat we tegen die tijd wel met IPv6 werken. Ik hoop dat het binnen nu en 5 jaar al voor elkaar is.
Aangezien RFC 2460 (IPv6 specificatie) dateerd van december 1998 zijn we al 10 jaar verder. Een compleet nieuwe specificatie leg je niet even in een paar jaartjes neer. Dat kost gigantisch veel tijd (uittesten, betrouwbaarheid) en geld (apparatuur die vervangen moet worden, software aanpassingen).

Er wordt geschat dat in 2010 of 2011 alle IPv4 adressen gebruikt zullen zijn. Dus voor die tijd is het wel verstandig om een groot deel al op IPv6 te hebben zodat er een hoop IPv4 adressen terugkomen.

edit:
Thanks ashemedai, 1998 inderdaad :-)

[Reactie gewijzigd door Myrdhin op 13 augustus 2008 16:09]

effe kort door de bocht;
IPv4 adres; 123.456.789
iPv6 adres; 123.456.789.012

als we nu alle adressen met iPv4 laten beginnen met 000.
wordt dat dus 000.123.456.789

krijgt een router nog ergens een iPv4 adres binnen, maakt hij er gewoon een iPv6
adres van.
vervolgens kan de rest gewoon verder met de nieuwe adressen..

of is daar van te voren nog helemaal niet over nagedacht?
Dat is wel heel erg kort door de bocht... las je kijkt naar een IPv6 adres, ziet dat er ongeveer zo uit:
Rechtstreeks van mijn ifconfig eth0:
IPv4: inet addr:192.168.2.100
IPv6: inet6 addr: fe80::211:d8ff:fe01:1cc1/64

zoals je kan zien bestaat zo'n IPv6 adres niet alleen meer uit cijfers maar uit hexadecimalen. dit betekend dat je per letter/cijfer 16 mogelijkheden hebt, dus dat is al 16^4 voor de eerste reeks.
Dit betekent dat je dus heel veel meer mogelijkheden krijgt, en het mooiste is nog dat je IPv4 en IPv6 tegelijk kunt gebruiken, als ik het goed heb ;). dus dan kunnen we er weer even tegenaan met de hoeveelheid adressen.
Zo'n getal is ook maar een manier om een getal te representeren, hoor. Als je bijvoorbeeld een router hebt op 192.168.0.1, kun je ook de webinterface benaderen door naar http://3232235521 te gaan ;)

Die hexadecimale weergave is er gekomen omdat het compacter opschrijft als die ´dotted quad´ van IPv4, zodat je maximaal acht blokken van 4 getallen hebt. Dus terwijl het adres 4 keer zo groot is geworden, is de representatie ervan hoogstens 3x zo lang.

[Reactie gewijzigd door Jaap-Jan op 13 augustus 2008 17:28]

IPV4 is een 32 bits adres. IPV6 is 128 bits. Er is een range (niet met allemaal nullen, maar iets anders) gereserveerd om de IPV4 adressen te kunnen mappen op de IPV6 range. Dat is echter bedoeld om IPV4 adresseerbaar te houden vanuit een IPV6 netwerk. In principe moet je eigen locale router de omzetting doen en de boel als IPV4 uitsturen. Dan moet natuurlijk ook je DNS de A records van internet vertalen naar AAAA records. Er zijn nog wat technische maatregelen nodig.

Je kunt intern dus al overgaan naar volledig IPV6 en toch IPV4 bereikbaar houden.

De andere kant op kan echter niet, en daar zit het probleem. Als je zelf nog alles op IPV4 hebt dan kun je geen IPV6 hosts bereiken anders dan via een proxy.
Kort door de bocht? Jij slaat de hele bocht gewoon over ;)

IPv6 is een heel nieuw protocol, dat alleen in grote lijnen en functionaliteit nog overeenkomt met IPv4. Een router kan dus niet 'gewoon' een IPv6 adres maken van een IPv4 adres (hoewel v4-in-v6 adressen wel hetzelfde werken trouwens: gewoon nullen vooraan.)
Er bestaan wel IPv4 to IPv6 address mappings maar dat gaat niet werken op de manier waarop jij het bedoelt. Daarnaast bestaat een IPv6 adres, zoals the-virus-in-u al zegt, uit 128 bits die worden gepresenteerd als 8 blokken van 4 hexadecimale karakters (0-9, a-f) gescheiden door een dubbele punt (afkortingen zoals :: daargelaten)
mijn gevoel zegt me dat de gemiddelde router van zo'n 40bits IP als je nu voorstelt behoorlijk over z'n nek gaat als er niet specifiek voor gecode is.

het alternatief is inderdaad alle huidige IPv4 apparatuur laten stikken "schaf je maar wat moderner spul aan" maar dat wordt eenvoudigweg niet geaccepteerd natuurlijk :)
Ik denk dat we tegen die tijd wel met IPv6 werken.
Ik en vele anderen denken van niet. IPv6 heeft geen toekomst, als er echt behoefte aan was werd het allang gebruikt, het is immers niet iets van vorig jaar. Alle IPv4 workarounds werken prima en zullen dat blijven doen.
Maar dat is juist het punt, het was en is nog niet nodig. Dat is de rede waarom bedrijven er geen geld aan uit willen geven. Die gaan er pas geld aan uitgeven als bij hun volgende geplande netwerk-hardware upgrade blijkt dat het echt nodig is om te kunnen blijven functioneren. Het is dan ook totaal niet relevant wanneer iPv6 is uitgevonden, maar wanneer het nodig is. En dat is niet nu, maar over een jaar of 5-8. Ook zou ik graag wel eens willen weten hoe je denkt de huidige en toekomstige groei bij te kunnen benen met IPv4 workarounds, want volgens mij gaat dat je echt niet lukken.
Kijk gewoon eens naar de verdeling van ipv4 adressen. Deze is gewoon foutief gedaan.
Heb je er nu 1 dan kan je rustig verder gaan.
Wil jij china ook op het internet krijgen en achter die firewall weghalen dan heb je opeens een hele rits ipv4 adressen nodig die er niet zomaar meer zijn.

Zelfde met afrika, wil jij hier internet goed van de grond krijgen dan heb je wederom een reeks ipv4-adressen nodig die er bijna niet meer zijn.

Leuk staatje voor je : http://www.ip2location.co...-address-2008-report.aspx. USA en UK bevatten volgens dit staat 50% van de ipv4 adressen...
China 6% en NL 2%.

Hmmm, volgens mij kloppen deze verhoudingen niet helemaal qua inwoners etc. Maar voor de rest kunnen we vast zo doorgaan met ipv4 hoor
Amerika heeft een groot deel van de IP adressen toegeëigend.
In Europa en zeker in Amerika zal de IPv4 --> IPv6 migratie niet zo snel gaan.

In Japan / Korea zitten veel consumenten al gezamenlijk achter een NAT router.
(Een NAT router van de ISP, niet van de consument.)

Landen in opkomende economieën (China, India, Brazilië) zullen snel, veel IPv4 adressen consumeren. Vandaar dat de IPv4 --> IPv6 migratie hier al eerste plaats vindt.
Overigens heeft de Amerikaanse overheid wetgeving dat nieuwe netwerk apparatuur IPv6 ready moet zijn.

- Je kunt meteen overstappen op IPv6.
- Je kunt Dual-Stack draaien.
- Je kunt IPv6 / IPv4 tunnelen over IPv4 / IPv6.
- En je kunt protocol NAT doen (NAT-PT) om IPv6 adressen te mappen aan IPv4.

IPv6 is één ding, maar boven liggende protocollen / applicaties moeten het ook ondersteunen. Denk aan firewalling, DNS systemen, enz.
Omdat IPv6 adressen groter zijn, is de performance van routers / firewalls lager dan bij IPv4.

Deploying IPv6 in Branch Networks
Deploying IPv6 in Campus Networks

[Reactie gewijzigd door Bl@ckbird op 14 augustus 2008 10:20]

los van het oplossen van het gebrek aan Ip adressen , speelt er nog iets anders.
Met Ip6 ,, is het mogelijk om ook wat dat spamm gevoelige SMTP protocol te doen,, en al die brakke routers die overal staan zonder fatsoenlijk onderhoud ,, die zullen allemaal weer eens bijgewerkt gaan worden of vervangen,, en geld ook voor oudere server.
M$ en een aantal ander Server OS bakkers kunnen dan eindelijk het licht uit doen voor oude server systemen die niet vervangen worden omdat ze het nog steeds doen
Tsja, alle voorgestelde vervangers voor SMTP hebben zo hun eigen nadelen en zijn bovendien per definitie op enige wijze nog steeds gevoelig voor spam... Dan lijkt met IPv6 een veel duidelijker gedefinieerde oplossing voor een concreet probleem.
Alle IPv4 workarounds werken prima en zullen dat blijven doen.
Cool. Kan je mij dan misschien een IPv4 workaround aanwijzen waarmee meerdere machines samen 1 adres kunnen delen en nog steeds allemaal op alle 65535 poorten een internet-bereikbare server kunnen draaien, zonder medewerking van de server- of client-programmas?
Kun je mij mischien een praktijk voorbeeld aandragen waar dit nodig zou zijn? of zelfs maar nuttig?
De Markt is namelijk helemaal niet geinteresseerd in dit soort theoretische mogelijkheden. Geld uitgeven voor iets wat je nooit zult gebruiken gaat in het bedrijfsleven niet gebeuren. Dus als dit je enige argument voor IPv6 is dan ga er maar gerust van uit dat het de eerste tijd nog niet gaat komen.
Hier in de VS hebben ze beschikking over zo'n 40% van de werelds IPv4 adressen, de rest van de wereld mag de overige 60% verdelen..... de VS heeft dus weinig haast met IPv6 richting de klanten toe, alleen de grote routingcenters draaien op IPv6 om met de rest van de wereld te kunnen praten als ze naar IPv6 overstappen.

Overigens moet er aardig wat veranderen in bijv. de kabel-modem structuur. DOCSIS 1.x en 2.x ondersteunen namelijk geen IPv6, DOCSIS 3.0 wel, maar dat is pas enkele maanden geleden echt goedgekeurd en op de markt verschenen. Voordat alle ISP's hun netwerken geheel DOCSIS 3.0 hebben gemaakt zijn we wel 10 jaar verder, de meesten draaien nog op een combo tussen 1.1 en 2.0, (2.0 is net als 3.0 downwards compatible), en de 1.1 standaard dateert ook al weer van 1998. (1.0 was 1997 geloof ik)

Dat gaat nog wel 10-15 jaar duren denk ik MINSTENS!..... en dan nog blijft er de komende 50 jaar (gok) wel downwards compatability met IPv4.
99% van de mensen zet hun router niet uit, dat wil dus zeggen dat zij altijd een IP adres nodig hebben.

Alleen Alice doet erg moeilijk met IPnummers. Volgens de diverse fora willen die gedurende de dag wel eens wisselen.
Eventueel heeft Xs4all dan al een flinke zak adressen gekocht, want elke adsl-klant krijgt een vast ip-adres.

Het nut van een vast ip? Vpn's tussen routers zijn een stuk lastiger als beide kanten een dynamisch ip hebben.
Met de invoering van IPv6 word het wel makkelijker om iedereen een vast IP te geven, alleen kan je adressen die weer niet onthouden.
Hoe kun je eerst een DNS-oplossing aankaarten voor een dynamisch ipv4-probleem, en daarna het onthouden van ip-adressen (waarvoor DNS de oplossing is) als nadeel voor ipv6-adressen opgeven?
Nou, dat word toch lastig, want de IPv4-range zit al aardig vol, dan moet XS4ALL wel héél veel blokken IP-adressen gaan inkopen als ze iedereen een vast IP willen geven.
Zoals door anderen al gemeld wordt: dat schijnt niet zo'n probleem te zijn. Elke klant krijgt al een vast IP addres
Daarnaast, wat is het nut van een vast IP? Als je iets als een webserver wil draaien kan dat ook met een dynamisch IP, daarvoor heb je diverse webservices zoals bijvoorbeeld DynDNS waar je dat soort dingen kan regelen.
Ja, het kan ook met DynDNS. Dat wil niet zeggen dat alles dan lekker functioneert, natuurlijk. Verder is 't wel fijn met VPN verbindingen dat je IP niet steeds wijzigt, maar dat geldt natuurlijk net zo hard voor een FTP server.
Met de invoering van IPv6 word het wel makkelijker om iedereen een vast IP te geven, alleen kan je adressen die weer niet onthouden. En daarnaast zie ik de invoering daarvan de eerste 10-15 jaar nog niet gebeuren.
Waarom zie jij dat nog niet gebeuren? RIPE is er al volop mee bezig (http://www.ripe.net/info/faq/rs/ipv6.html). Ik vermoed dat 't niet zo lang meer duurt.

[Reactie gewijzigd door tomhagen op 13 augustus 2008 15:46]

Word wel een beetje moe van dat ipv4 range zit aardig vol... Dat roept men al jaren, en toch is er nog niets aan de hand.

Waarom maken ISP's niet verschillende abbo's met verschillende prijzen voor statisch/dynamisch/intern ip? Maak je de intern ip abbo's stukken goedkoper, je pa/ma/opa/oma/oom/etc. blij, je provider blij, ripe blij, en heb je het probleem met spammers die poorten misbruiken meteen gefixed.
Wat een lulkoek. Dynamisch of statisch, maakt maar een fractie uit qua totaal aantal gebruikte IP-adressen. Ik durf wel te wedden dat 95% van de IP-adressen tegelijk in gebruik zijn s'avonds tussen 20:00 en 22:00
Bovendien hebben veruit de meeste mensen tegenwoordig een router die 24/7 aanstaat en die moet een IP hebben. Of dit nu statisch of dynamisch is, er word dus EEN ip gebruikt...
De enige reden dat je vaak hetzelfde dynamische IP krijgt is omdat de lease van je IP nog niet afgelopen is tegen de tijd dat je je pc/router weer aanzet (Als je die uberhaupt al uitzet) Als je 2 weken op vakantie bent en je zet je pc en router uit is de kans zeer groot dat je na de vakantie een ander IP hebt.

[Reactie gewijzigd door ravenamp op 14 augustus 2008 09:49]

Uh... Ik heb 5 jaar lang hetzelfde IP adres gehad toen ik nog via KPN een xs4all abo had... Nu ik XS4all only heb, heb ik welliswaar een ander, maar ook al bijna twee jaar hetzelfde IP adres...
Waarom moet XS4all ipadressen extra gaan inkopen.
Het lijkt erop alsof ze er prima mee uitkomen ?
}>
Vormt dat een probleem dan? Ik ben al jaren klant bij xs4all, en ik heb altijd een vast ip-adres, dat enkel verandert wanneer ik verhuis.

Verder vind ik dit een goede zaak, op deze manier is de onwetende klant enigzins beschermd, terwijl de proffesionelere klant gewoon kan doen en laten wat ie wil.
Drie opmerkingen hierover:

1) XS4ALL geeft je een vast IP adres
2) DynDNS is een oplossing als je een dynamisch IP adres toegewezen krijgen
3) Mijn kabel aansluiting met dynamisch IP doet het erg goed als "thuis" server

;)
Vaste IP addressen zijn dan ook wel fijn. Een beetje "thuis" server heeft een vaste lijn nodig.
ADSL klanten van xs4all krijgen altijd een vast IP, je kan zelfs een hele berg IPv6 adressen van ze krijgen. (tunnel based, not yet native). Alleen als je overstapt van KPN naar xs4all only veranderd je IP, als je bij xs4all only zit veranderd ie niet meer. (pas toevallig m'n abo gedowngrade)

het is trouwens ook de reden dat ik voor xs4all heb gekozen heb, ik mag gewoon alles (wat niet verboden gedrag vertoont) doen op m'n lijn. Ooit 1 keer van iemand bij hun abuse afdeling een mailtje gehad, en dat bleek een virus te zijn bij iemand anders die de header van outbound mail vervalste zodat ik de boosdoener leek. Dat soort fouten zijn zeldzaam (al helemaal van die persoon - want ik ken hem uit m'n rol als abuse techie bij een andere ISP :) )
Het enige was ik nog mis bij Xs4all is dhcp relay functie op mijn modem, zoals men dat bij Demon en Cistron wel had. Diezelfde klanten zitten bij Xs4all en daar werkt het prima, maar ik moet aanklooien met IP spoof setups mijn speedtouch...
Dat mis je dus in je modem... niet bij je provider...
Optie zit wel in de modem, alleen werkt het niet bij Xs4all. Het is iets wat ze niet (willen) ondersteunen.
Optie zit wel in de modem, alleen werkt het niet bij Xs4all. Het is iets wat ze niet (willen) ondersteunen.
En terecht, zal een boel gespam schelen op die manier... :)
Goed initiatief, gelijk voor iedereen het profiel aan zetten waarbij poort 25 geblocked wordt. De meeste klanten van xs4all draaien toch geen eigen mailserver en degenen die het wel doen zijn wel zo handig om bij xs4all het profiel aan te passen. Ik zou er alleen nog een profiel bij willen zien waarbij de gebruiker op poortniveau aanpassingen kan doen. _/-\o_ keep it up ;)
De userbase die een mailserver gebruikt is echt bijna helmaal te verwaarlozen., enkele honderden maximaal op honderduizenden klanten.

Daarnaast hebben duizenden virussen/spam rotzooi, waarbij er poort 25 wordt gebruikt.

Volgens mij wordt door het meer automatisch patchen (lees afdwingen) van windows na SP2 en met vista zijn er steeds minder mensen die vatbaar zijn voor die meuk en dus ook minder gedoe met afsluiten. Echter is een stap als dit erg goed.

Naar mijn mening moet echt elke provider overal en altijd deze poorten blokkeren. KPN bijvoorbeeld gebruikt gewoon een relay server die iedereen kan gebruiken als ze een mailserver zouden willen opzetten. Wel zo handig. en voorkomt dat mijn mailbox volloopt met 300+ viagra bagger
Ah, het aloude 'ikke, ikke, ikke en de rest kan stikken argument' O-)

Ik denk dat je schatting van maximaal een paar honderd gebruikers met een eigen mailserver veel te laag is. Ik verwacht dat het er eerder een paar duizend zullen zijn.

En ja, poort 25 wordt misbruikt, maar je dacht toch echt niet dat het dichtzetten ervan het spam probleem oplost? Het verplaatst het alleen maar naar de volgende zwakste schakel.

Neemt niet weg dat je het spammers best wat mag tegenwerken. En aangezien de overgrote deel van de ADSL-gebruikers geen eigen mailserver draait is het een goede zaak om die poort voor deze gebruikers dicht te zetten. Maar degenen die wel een eigen mailserver draaien doen dat meestal heel bewust en zullen dus juist zelden door spammers misbruikt worden. Het zijn de computers waarop de spammers een eigen mailservertje installeren die het probleem zijn.
Dus waarom poort 25 dicht zetten voor die gebruikers die juist wel bewust met hun aansluiting omgaan en niet onderdeel van het probleem vormen? Kostenbesparing is daar een argument, maar duidelijk niet voor XS4ALL. Zij hebben het er voor over om die afsluiting per klant instelbaar te maken. Lijkt mij een veel betere zaak dan gewoon maar alles voor iedereen dicht zetten zodat je een paar SPAM mailtjes bespaart blijft.
in aansluiting hierop zou het handig zijn vrjiwel alle netwerkverkeer te blokkeren indien een bepaalde gebruiker over Windows als OS beschikt en niet de laatste SP geinstalleerd heeft staan. Om deze SP dan mogelijk te laten installeren, moet je wel toegang toelaten tot de services van Microsoft Update, of deze updates zelf aanbieden.
Voor Linux OSen en MacOS kan een analoge implementatie ingevoerd worden, hoewel het merendeel van de problemen voortkomt uit windows gebruikers.
Daarnaast valt dit systeem uiteraard te omzeilen als je je verkeer laat porten door een linux servertje. Daarom het ook zo eenvoudig mogelijk houden wat dat betreft.
Volgens mij zal dit in de praktijk geen werkende oplossing opleveren.

Lees maar eens op GoT (Gathering of Tweakers) hoe vaak geadviseerd wordt om de firewall volledig uit te zetten, omdat bijvoorbeeld Internet niet werkt.

Daar staat echter wel tegen over dat het een veel betere oplossing is dan standaard poort 25 blokkeren.
Lees maar eens op GoT (Gathering of Tweakers) hoe vaak geadviseerd wordt om de firewall volledig uit te zetten, omdat bijvoorbeeld Internet niet werkt.
Dit is vaak omdat het uitgaande verkeer geblokkeerd wordt door software firewalls. De software firewalls werken veel op applicatieniveau. Natuurlijk kun je ook op IP ranges werken voor LAN en WAN maar als iemand dit doet is hij/zij al een gevorderd gebruiker en deze mensen hangen zelden aan de telefoon. Na een update van een programma werkt vaak de verbinding niet meer omdat de applicatie een andere beschrijving/versie heeft gekregen en deze dus net niet in de White List staat om naar binnen/buiten te mogen.

XS4All wil een poort filter aanbrengen, dit is toch een niveau abstracter / hoger, meer gekeken naar de functionaliteit. Als je mail niet geïnstalleerd hebt zul je ook nooit bijv. poort 25 open willen hebben ongeacht alle updates die er verder binnen stromen.

Ik hoop wel dat XS4ALL de mogelijkheid biedt om naast de niveaus een aantal poorten zelf te kunnen aangeven. Nieuwe P2P netwerken kunnen anders alleen maar op het laagste beveiligingsniveau draaien. Een goed initiatief ... maar ik beheer mijn routers zelf al op basis van poortnummers dus voor mijn geen extra functionaliteit.

[Reactie gewijzigd door hamsteg op 13 augustus 2008 15:10]

Idd, je ziet heel vaak (weet ik uit ervaring van m'n tijd op de helpdesk) dat (l)users maar een beetje random op accept en deny lopen te rammen als zo'n norton internet security begint te bleren dat er iets probeert te connecten. Deze settings worden bewaard en voor dat je het weet zijn alle applicaties buiten gesloten. (Iets wat ik nooit heb begrepen, een firewall op applicatie niveau, als er iets ontzettend makkelijk te omzeilen is, is dat het wel.)
Ik hoop wel als er IPv6 er binnekort komt dat er dan 'hybride' routers komen, die ook nog NAT met ipv4 ondersteunen. Dat ik dan een WAN IPv6 adres heb kan mij niet veel schelen, maar ik heb niet veel zin om mijn ganse interne LAN netwerk te gaan beheren met IPv6 adressen. Dat is echt veel te onoverzichtelijk. Daarbij, omdat IPv6 zoveel adressen ter beschikking heeft dat ze nooit meer zonder kunnen geraken zit NAT ook niet meer in de specificatie geloof ik. Alles staat dan open, en elke device in huis zou dan zijn eigen IPv6 adres krijgen. Ok, er zijn daar ook wel voorbepaalde ranges in, maar ik zou toch graag die NAT houden, als beveiligingsniveau. Dat is nog een bijkomende reden waarom ik niet op IPv6 zit te wachten.
NAT is nooit ontworpen als security-mechanisme, en zou ook nooit als dusdanig gebruikt moeten worden. Het biedt niet meer security dan een basic firewall op basis van accesslists (ofwel, poortjes dichtzetten), dus als security je enige reden is, neem dan een simpele firewall, kans dat die meer beveiliging biedt dan NAT.

NAT is alleen nog handig omdat de pool IPv4-adressen te klein is geworden om elk apparaat een eigen adres te geven.

Met IPv6 heb je straks gewoon een basic firewall in je routertje waarin je aangeeft wat wel en niet doormag, bijvoorbeeld default alles uit en enkel je mailserver open. Dat biedt evenveel security als NAT met een statische portforwarding nu doet.

[Reactie gewijzigd door 19339 op 13 augustus 2008 15:49]

NAT is nooit ontworpen als security-mechanisme, en zou ook nooit als dusdanig gebruikt moeten worden. Het biedt niet meer security dan een basic firewall op basis van accesslists (ofwel, poortjes dichtzetten), dus als security je enige reden is, neem dan een simpele firewall, kans dat die meer beveiliging biedt dan NAT.
Wat je zegt is correct, maar met de voetnoot dat een hardware firewall die je op je inkomende lijn kan zetten superieur is aan software firewalls voor dit doel, omdat hij minder kwetsbaar is voor aanvallen van binnenuit (malware wil best je firewall uitschakelen als dat zo uitkomt) en bovendien in een keer het hele netwerk beschermt. Het toeval wil dat NAT routers de goedkoopste hardware firewalls zijn die je kunt vinden (afkloppen).
Pfrt... IPV NAT als obscure beveiliging kun je op je router ook gewoon een firewall met input policy drop draaien op alles wat niet related,established is (in iptables termen). Loop je ook geen risico met incidentele default servers.
Daarnaast is IPv6 niet noodzakelijk minder overzichtelijk. Normaalgezien zou op 1 blok na elk apparaat in je eigen netwerk eenzelfde adres moeten krijgen.
De meeste klanten hebben de porten al geblokkerd door xs4all's NAT modem/router. Mensen die zijn eigen router gebruiken zou niet dom genoeg zijn om een open relay te draaien. Neem ik aan.
NAT blokkeert alleen ingaand verkeer, het probleem is juist dat spam via poort 25 uitgaand is. En dat lukt prima via NAT.
Ja bij een huis tuin en keuken router, met een tcp connection established functie.
Met een fatsoenlijke router zet je dat gewoon dicht.

SPF is juist om te voorkomen dat anderen zich voordoen als jou. Als je SPF goed gebruikt maakt het niets uit of je via de mailrelay van je provider gebruikt. de source staat altijd in de header, dus ook de verzendende pc/server. Ik ben het met je eens dat als iemand de DNS cache poisoning exploit misbruikt ... ah well you get the point.

[Reactie gewijzigd door Kabouterplop01 op 13 augustus 2008 20:05]

Nou nou... gaat lekker.

NAT blokkeert niets. NAT vertaalt alleen source (of zelfs destination) adressen.
Het 'blokkeren' is niets anders dan een neveneffect van het niet kunnen herleiden van het oorspronkelijke sourceadres om je pakketten naar terug te sturen.

poort 25 uitgaand klopt ook niet. Poort 25 is een luisterende poort van je MTA.
Als er mail verstuurd wordt, wordt er lokaal een poortje open gegooid naar een poort van een mailserver. Deze poort aan de verzendende kant is random en boven de 1024.

Overigens, meer on-topic, is het blokkeren van poort 25 en het instellen van een extra relay server geen slecht idee. Zo kan via MX2 naar MX1 toch de mail worden afgeleverd op je mailserver, en maken je relay regels niets uit, als je ISP instelt dat de MX2 relay server wel bij alle poort 25's mag.

Zo werkt het bij Planet (of KPN) ook, en ik ben er al jaren tevreden over.
Die extra relay is zwaar onwenselijk.

Als je mail verstuurd via een relay klopppen jouw SPF headers niet meer, daardoor kan de authenticiteit van de verzendende mailserver niet meer vastgesteld worden.
En het lijkt me zeer slecht als je dan maar de mailrelay van je provider opneemt in SPF als verzendende MTA.
Dat kan betekenen dat iedereen namens jou mail via die relay kan verzenden!.

TCP25 dient gewoon open te staan als je dat wil.
Het was exact voor mij de reden om alle Hetnet abbo's die ik voor mensen had afgesloten te annuleren. Men kon niet meer mailen via mijn eigen mailserver.
SPF wordt toch alleen door spammers gebruikt?

Daarbij, je mag altijd blijven kiezen of je een open lijn wilt of een paar poorten dicht..
Zowel inkomend als uitgaand verkeer op poort 25 is een bedreiging. Uitgaand kan niet volledig dicht, anders wordt het een beetje moeilijk om te mailen. Vaak zijn het SMTP servertjes die op de client staan die voor de spam zorgen. Deze worden gevoed door de inkomende poort 25.
Je hoeft zelf geen mail server te hebben draaien (open relay) om geinfecteerd te worden door een spam bot. Die kan prima zijn mailtjes versturen vanaf jouw machine zonder geinstalleerde mailserver.
Hoe wordt je geacht zelf e-mail te verzenden als poort 25 dicht zit?

[Reactie gewijzigd door Edmond Dantes op 13 augustus 2008 15:22]

VIa de mailserver van Xs4all (ook wel relay-server genoemd). Dat zal dan een uitzondering op de regel zijn. Zo werkt het al bij veel providers (helaas dan wel zonder dat je zelf kan kiezen of de poort open, danwel dicht is).

[Reactie gewijzigd door Mr_Big op 13 augustus 2008 15:26]

Maar dan kunnen zombie-pc's toch ook van die uitzondering gebruik maken en ook via de smtp-server van XS4All verzenden?
Dan zullen ze nog altijd credentials (username + password) nodig hebben, anders zal de mailserver van XS4ALL hun mail gewoon niet accepteren.

En dat is nu eenmaal niet te voorkomen, want met username en password kun je gewoon alle faciliteiten die die user ter beschikking heeft ge/misbruiken.

Maar dat is nog altijd beter dan de huidige situatie, waar als poort 25 openstaat, want dan kan vanaf *iedere* PC worden gemaild door backdoors/trojans, die hebben óf een ingebouwde mailserver aan boord, óf gebruiken een of andere server in een ander land oid.

Door het dichtzetten van port 25 voorkom je dus inderdaad een hoop spam, simpelweg omdat de bots niet meer naar buiten kunnen.
Je hebt geen credentials nodig voor xs4all's smtp-server, zolang je maar vanaf hun eigen netwerk (dus vanaf je eigen adsl-verbinding) mailt.
Dan nog helpt het tegen spam. De meeste spambots kijken namelijk volgens mij helemaal niet naar de mailserver van je provider, maar hebben een ingebouwde SMTP-server ingebouwd. En die kan straks dus zijn werk niet meer doen.
Wat ook weer direct betekend dat je van buitenaf met je laptop niet kan mailen met je XS4all account...
van buitenaf kun je wel mailen met je xs4all account, omdat je van buitenaf eerst kan authenticeren op de mailserver van xs4all waarna je alsnog kan versturen (bv. via pop3 first authenticatie of directe authenticatie op smtp).
POP before SMTP werkt niet meer bij XS4ALL, alleen direct authen op de SMTP server.
De mailservers van providers hebben meestal een spamfilter voor zowel ontvangende als versturende post.
Dat spamfilter voor versturende post is bedoelt om spambots van zombie pc's tegen te gaan. Als alles dus via de relay agent gaat, is dat alleen maar goed, omdat de spam dan ook aan de source wordt geblocked.

Als een provider geen relay via hun mailserver vereist, dan kan de zombie rechtstreeks zijn mail kwijt bij andere mailservers en mis je de extra spam beveiling op de mailserver van de versturende provider.
Ja, maar op die server van Xs4all zit vast een spamfilter die het niet leuk vindt als er mail gerelayed moet worden naar 100.000 adressen.

Bovendien gebruiken zombie's vaak een eigen mini-smtp-servertje die rechtstreeks via dns naar doel-smtp-server's gaat, en niet de smtp-server van Xs4all die in je Outlook staat ingesteld.
Als XS4ALL weet waar het mee bezig is, niet.
Er zijn legio checks die gebruikt kunnen worden om spam te herkennen, en dan heb ik nog niet eens op patroonherkenning zoals spamasassin dat doet.
Zaken zoals checks op FQDN in de HELO, gray listing, enz.

edit: en het is moeilijk voor een globaal malwaretje zus om zaken als een fqdn ed goed in te vullen.)

[Reactie gewijzigd door Rune op 13 augustus 2008 16:12]

Wat dan weer grappig is, want een tijd geleden had ik problemen met email af te leveren bij bepaalde hosts in Japan als ik gebruik maakte van XS4All's relay server. Toen werd mij aangeraden gewoon zelf de emails naar die machines eruit te sturen. Uiteraard zo aangepast in Postfix.
Ook dat is gewoon email versturen via SMTP en is helemaal niet aan de orde. (uitgaand)
Het gaat over het ontvangen van mail via een eigen SMTP server. (inkomend)

Het voorkomen dat je gare idioten in je netwerk hebt die een open relay server draaien waarover vrolijk gespamd kan worden.
Het gaat over beide. Inkomende connecties naar poort 25 worden geblokkeerd zodat open-relay servers niet misbruikt kunnen worden en uitgaand verkeer naar poort 25 wordt geblokkeerd om ervoor te zorgen dat mallware geen spamberichten kunnen gaan versturen naar open-relay servers elders op het internet. Wil je zelf mail versturen dan kan je dat altijd via de mailserver van je internet provider (dus via een gecontroleerd pad).
Het gaat over luisterende poorten op je verbinding.
Dus poorten die bij JOU open staan.
Iemand die mail verstuurt heeft zelf geen poort 25 open staan.
Euh, nee. Het gaat over uitgaande poorten op jouw verbinding. Spammers gebruiken botnets om via geinfecteerde PC's mail te versturen. Da's uitgaand, niet luisterend.

En aangezien SMTP via port 25 werkt heb je poort 25 wel degelijk open staan als je mail verstuurt.
Zolang elke abbonee erover geinformeerd word hoe wat waar waarom en hoe het ook weer uit te zetten EN zolang je je eigen filters kunt maken is het een prima initiatief.
Dit klinkt best interessant. Als ik het goed heb zijn we dan ook geen router mee nodig, want de ISP blokt het verkeer of loop ik nu verkeerd te denken?
Je bent in de war met een firewall, vrij simpel gezegd blokkeert die poorten. Een van de belangrijkste functie van een router is ervoor zorgen dat pakketjes op de juiste bestemming komen. Daarnaast bieden de meeste routers nog vele andere functies waaronder bij huis tuin en keuken routertjes vaak firewall functionaliteit.
Mijn excuses, je hebt gelijk ik bedoelde ook de firewall in de router... Die zijn we opzich niet meer nodig, alleen een Switch of zelfs een Hubje kan nu denk ik wel voldoende zijn of niet? Een firewall op de PC heeft toch geen nut.
Nee, die blijven nodig.

Je krijgt 1 publiek adres van je provider, en tenzij je maar 1 host hebt (en geen netwerkje, xbox, playstation, extra laptop, ...) doet een router ook nog NAT, zodat je meerdere hosts achter 1 publiek ip-adres kunt hangen, en routeert het verkeer van je eigen netwerkje naar de provider.

En hoewel het functioneel gezien niet bij de definitie van een router hoort, zet het vaak ook ethernet om in bijvoorbeeld adsl of andere breedband-interfaces. Dat doet een switch niet, en een hub al helemaal niet.

edit @ hieronder: klopt inderdaad, je hebt geen NAT meer nodig. Je krijgt een subnetje van IPv6-adressen van je provider, ter grootte van enkele honderden zoniet duizenden adressen, wat plenty zou moeten zijn. Wel moet er nog routering plaatsvinden tussen dat subnetje bij jou thuis, en de rest van het internet (via de gateway van je provider), dus een router zal nog steeds nodig blijven (hoewel die theoretisch bij je provider zou kunnen staan, al blijft een adsl/ethernet-omzetting thuis nodig). Maar dat pokke-NAT zijn we eindelijk van verlost dan. :+

[Reactie gewijzigd door 19339 op 13 augustus 2008 15:43]

weer wat geleerd zullen we maar zeggen, maar: Als we gaan kijken naar IPv6 dan heb je geen NAT meer als ik mij niet vergis?
je kunt in principe nog steeds NAT doen, het is alleen totaal nergens meer voor nodig. dat, en het zit alleen maar te irriteren.
je hebt het zeker nog wel (en da's wel zo handig ook, kun je mooi al je oude IPv4 only meuk achter de NAT router hangen :) )
Het is maar net wat je wilt... Je kunt NAT achterwege laten, zodat elke machine een publiek IP toegewezen krijgt, maar je kunt ook gerust 1 publiek IPv6 adres hebben en intern achter een NAT met IPv4 werken...
Ik zou NAT blijven gebruiken. Is gelijk een goede beveiliging daar je niet direct ontsloten bent aan het internet.
Onzin. Of je direct of indirect aan het internet zit hangt af van het feit dat er een firewall tussen zit. Ik ken een bedrijf met eigen B-subnet, waarbij iedere PC gewoon een publiek adres heft, maar iedere PC zit wel gewoon achter een firewall.

De firewall zit namelijk gewoon net als bij NAT in de router. Ik zie geen nadelen in het hebben van het hebben van een publiek ip adres voor al mijn apparatuur zolang het maar netjes beveiligt wordt.
Het zou wel echt enorm handig zijn wanneer je meer kan doen dan alleen die levels kiezen.
Ik zie het in de toekomst best mogelijk om zelf geen firewall meer nodig te hebben en deze rechtstreeks bij de provider te kunnen configureren voor je lijn.
Mja, of je het nou lokaal in je eigen firewall regelt, of op ISP-niveau, het maakt volgens mij weinig tot geen verschil.. Persoonlijk heb ik zo iets van ik regel het het liefst lokaal zelf, en dat de internetverbinding voor de rest gewoon helemaal open is..

Wel is het handig als poorten die vaak misbruikt worden standaard voor iedereen dicht staan, zoals dus b.v. poort 25 voor mailservers.. Mocht je die poort dan wel nodig hebben dan kan je hem altijd openzetten.. Dat zou een hoop ellende schelen op internet als elke ISP dat deed.. Maargoed, dan vindt 'men' helaas waarschijnlijk wel weer nieuwe manieren om de boel te misbruiken..

[Reactie gewijzigd door Inflatable op 13 augustus 2008 15:24]

En je geeft zelf al aan, waarom het beter is dat de provider dit gaat regelen. Ik wil dat voor mezelf ook liever niet en een setting die je zelf kunt uitzetten / aanpassen is dus ook een must. Alleen kom ik te veel bij mensen die te weinig verstand hebben van de materie en tenzij we naar een systeem gaan, waarbij iedereen die op het net wil eerst een proef van bekwaamheid moet afleggen, vind ik dat je gebruikers in bescherming moet nemen.
En dan zit je hier in België met een Telenet die alle poorten tot en met 1024 gewoon blokkeerd. Weer iets dat ze nog moeten leren.
95% van ale webservers?(poort 80) FTP? etc. etc. etc ? Lijkt me sterk. werkt alles via een proxy dan?
Eventueel heeft Blokker het over consumenten-lijnen, om te voorkomen dat mensen eigen servers gaan draaien.

Lijkt me duidelijk dat bedrijven wel eigen servers kunnen hosten op de well-known ports (<1024), maar dat is een ander segment van de markt.
In de beginjaren moest je langs hun proxy gaan, tegenwoordig niet meer, maar alle inkomende poorten staan nog steeds dicht, je kan dus zelf geen web, mail of ftp server opzetten op de standaard poort.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True