Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

Tele2 heeft het interne netwerk van zijn klanten per abuis een week lang opengesteld voor het hele internet. Daardoor waren apparaten met zwakke beveiliging opeens te benaderen. De oorzaak was dat de netwerken van klanten opeens via ipv6 toegankelijk waren.

Tele2 logoDoor het beveiligingsprobleem konden alle internetgebruikers bij het interne netwerk van Tele2-klanten, schrijft vaksite ISPam. Zo waren apparaten die matig beveiligd waren, bijvoorbeeld met gebruikersnaam en wachtwoord 'admin', toegankelijk. Daaronder waren ook apparaten van zakelijke klanten, waaronder overheden en toeleveranciers van de overheid, stelt de website.

De fout werd veroorzaakt door iets wat niet mogelijk zou moeten zijn, stelt ISPam. Een klant, waarschijnlijk iemand met een colocatieserver, installeerde een 6to4-server. Daarmee wordt ipv6-verkeer over ipv4-getunneld. "De klant stuurde vervolgens een route advertisement uit voor het anycast-adres 192.88.99.1", aldus de auteur van het stuk, die anoniem wil blijven, tegenover Tweakers.

Tele2 stelt bij monde van woordvoerder Jan Willem te Gussinklo dat dat 'technisch onmogelijk' is. Volgens Te Gussinklo vond de fout plaats op layer 3 van het netwerk, waardoor de route advertisement niet geplaatst had kunnen worden. De auteur van het stuk stelt echter dat dat op layer 2 gebeurde. "Er was niets verkeerd in het netwerk", stelt Te Gussinklo.

Normaliter moeten routers van klanten lokale ip-adressen in de 192- en 10-ranges wegfilteren, maar om onduidelijke redenen gebeurde dat bij dit ip-adres niet. Daardoor kregen apparaten met ondersteuning voor route advertisements een ipv6-adres van de 6to4-server en waren ze plotseling rechtstreeks aan internet gekoppeld. Normaliter zorgt een nat-router ervoor dat dat niet zo is, maar met ipv6 zijn die niet meer nodig. Omdat er genoeg ipv6-adressen zijn voor elk apparaat op de wereld, is network address translation niet nodig. Vanwege de structuur van ipv6-adressen die van 6to4 gebruikmaken, was het eenvoudig om geautomatiseerd interne systemen van Tele2-klanten te vinden.

Bovendien bevatten routers met ipv6 vaak nog steeds een firewall die het interne netwerk afschermt, omdat veel apparaten niet goed genoeg beveiligd zijn om rechtstreeks aan internet te worden gehangen. "Wij hebben een firewall aanstaan voor ipv6-klanten", zegt woordvoerder Niels Huijbregts van Xs4all. "Standaard zijn systemen op het interne netwerk afgeschermd." Bij Tele2 was dat echter niet zo.

Update, 16:36: Reactie Tele2 toegevoegd.

Moderatie-faq Wijzig weergave

Reacties (46)

De kwaliteit van de tweakers artikelen is echt ziendebarend achteruit aan het gaan ... ik lees de frontpage om meer inzicht te krijgen .. niet om mij te ergeren aan schrijfsels van redacteurs die niet genoeg ervaring of inzicht in de materie hebben een volledig afhankelijk zijn van wat andere hun vertellen/wijs maken. Niet dat ik zelf een absolute tcp/ip specialist ben ... voor mijn werk moet ik mij regelmatig uren aan een stuk inlezen ... gelukkig blijven netwerk principes altijd hetzelfde ... en hoe iets technisch geconfigureerd is is dan vaak goed te begrijpen. Is een duidelijk inzicht noodzakelijk dan bel ik een specialist waarvan ik weet dat hij de nodige ervaring heeft en hang niet op voor al het fijne mij duidelijk is. Het zou aangenaam zijn als redacteurs van tweakers iets meer tijd aan deze artikels besteden ... en ze misschien ook even laten lezen door tweakers van de expert panels. Iets niet weten is absoluut geen probleem, kwestie van iemand vinden met genoeg ervaring die je vertrouwd.
Dit zou zeker een goede methode zijn. Ik snap echter ook dat Tweakers.net een redelijk algemene technische site is met beperkte technische kennis. Zeker in de IT is het tegenwoordig niet meer mogelijk om alle kennis is huis te hebben dus misschien kun je beter je verwachtingspatroon naar beneden stellen ;) .

Als ik hier een artikel tegen kom binnen mijn "specialisme" lees ik deze ook vaak tenenkrommend door. Eventuele correcties kan ik echter misschien in de reacties kwijt. Het gaat hem hier immers om de mooi community, niet?

Daarnaast zou het verifiėren van dieptechnisch nieuws erg veel tijd kosten. Zo veel dat het misschien niet meer nieuws is.

Kort door bocht: Ik heb er wel begrip voor dat het een keer fout kan gaan.
Voor in-depth artikelen, niet aan nieuws gebonden, zijn er de expert panels. Voor nieuws is het inderaad lastig om deze op de korte termijn te raadplegen.
Ik heb al vaak mail gehad van Joost (hoofdredacteur denk ik) met een vraag over een nieuws artikel dat ze willen plaatsen. Een paar keer had ik tijd genoeg om daar op te antwoorden en zijn mijn suggesties inderdaad gebruikt geweest. Maar meestal komt ik niet verder dan ... ik weet precies wie de benodigde expertise heeft om jou vragen te beantwoorden. Ik sta onder een aantal expert panels maar eigenlijk alleen omdat ik werk doe als consultant in die richting. 95% van de tijd is mijn belangrijkste taak om de echte experts te vinden en te communiceren tot het fijne mij duidelijk is. Dan kan ik naar mijn opdrachtgever stappen en het hem proberen uit te leggen. Veel specialisten/hackers/nerds/algemeen_ADD_of_ADHD/tweakers zijn briljant op een bepaald vak gebied maar missen peoplskills of communicatie skills of motivatie om hun standpunten goed uit te leggen of te verdedigen. Boven boven af worden er dan compleet verkeerde beslissingen genomen want wie neemt nu iemand serieus die ze niet kunnen begrijpen. Het is vaak mijn taak om als middelman te fungeren zodat briljante technische implementaties ook zo uitgelegd kunnen worden zodat de business guys met de centen ook effectief het voordeel er van in zien. En wanneer computergeniussen zien dat hun ideen effectief worden uitgevoerd zijn die ook tevreden.

Als het de redacteurs zo veel werk kost ... dan zie ik liever wat minder artikels per dag en wat meer kwaliteit. Kwaliteit > kwantiteit.
Voor een zooi copypast artikels kijk ik wel op Powned.net of 99% van de nieuws websites. Op Tweakers kom ik juist VOOR het inzicht van de redacteurs/community dat zo vaak ontbreekt op andere websites die geen community hebben.

Vermits de FP lekker commercieel is en hopelijk nog altijd rendabel voor VU ... is dat toch echt niet te veel gevraagd? Toen Tweakers alleen maar een uit de hand gelopen hobby was van Femme ging het wel allemaal prima ... en nu krijgen al die redacteurs nota bene geld voor hun werk (ik mag toch hopen van wel) en nu word het steeds meer "Tweakers: nieuws geschreven door nontweakers voor tweakers"

Of ben ik nu gek?
Off topic
Ik vind "zienderbarend" ook leuker klinken dan "schrikogend" ;)
Wat een vaag artikel:

Normaliter moeten routers van klanten lokale ip-adressen in de 192- en 10-ranges wegfilteren, maar om onduidelijke redenen gebeurde dat bij dit ip-adres niet. Daardoor kregen apparaten met ondersteuning voor route advertisements een ipv6-adres van de 6to4-server en waren ze plotseling rechtstreeks aan internet gekoppeld.

Eerst en vooral, zoals hierboven reeds gemeld, het gebruikte anycast adres (als het al waar is, valt helemaal niet in een weg te filteren range, dus dat klopt al niet.

Ten tweede:
* IPv4 RA multicast traffic zou gewoon moeten stoppen aan de NAT gateway, er is immers geen related traffic te vinden in de NAT lookup tables.
* Als er al iemand een IPv6 RA zou uitzenden op het LAN netwerk, dan zou het de gateway zijn

Dit artikel zit vol technisch gebrabbel!

[Reactie gewijzigd door BitProcessor op 7 maart 2014 16:35]

Klopt, het artikel lijkt geschreven door iemand met weinig verstand van netwerken.
Verkeer dat de (IPv4) NAT router volledig passeert via ‘Protocol 41‘ dat ook voor VPN-verbindingen gebruikt wordt.
is ook een prachtige. Volgens mij weet de schrijver het verschil niet tussen protocol 41 en 47.

Ik heb dus ook een beetje m'n twijfels bij het waarheidsgehalte van de bewering.
Wat een vaag artikel, wat ze hier nou precies beschrijven of mee willen zeggen begrijp ik ook niet maar wel wil ik een aantal dingen verduidelijken.

De IPv4 range 192.88.99.0/24 is gewoon een globaal te routeren IPv4 blok. Er is dus geen enkele reden dus om dat als provider op welke manier dan ook te filteren. Wat bijzonder is aan dit IP blok is dat het een anycast blok is speciaal voor 6to4 relay routers. Dat betekent dus dat elke provider die zo'n 6to4 relay draait je dit blok ook naar buiten mag adverteren via BGP, vervolgens dien je het dan in je eigen netwerk naar je 6to4 relay te sturen.

Vanuit de client kant gezien kan in principe iedereen gebruik maken van 6to4 indien je bijvoorbeeld een daarvoor geschikte router hebt. Deze router zal dan via IPv4 verbinding maken met 192.88.99.1. Merk op dat het adres 192.88.99.1 dus op heel veel plekken in de wereld staat, jij wordt gewoon gestuurd naar de 192.88.99.1 (het adres van de 6to4 relay) die in de route tabel van jou provider de 'beste' entry heeft. Indien je provider zelf een 6to4 relay draait zul je waarschijnlijk naar hun eigen relay gestuurd worden.

Voor de binnenkant van je eigen netwerk heb je dan de IPv6 prefix 2002: (16 bits) aangevuld met de 32 bits van je volledige IPv4 adres is een /48 IPv6 beschikbaar. Vanwege het opnemen van de 32 bits van je IPv4 adres heeft dus elk uniek IPv4 adres zijn eigen unieke /48 IPv6. De IPv6 pakketten worden vervolgens door jou router encapsulated in IPv4 verstuurd naar de 6to4 relay. De 6to4 relay zet het dan weer om naar native IPv6 en na die router is je verkeer dus gewoon native IPv6. Voor verkeer terug gaat dit uiteraard hetzelfde de andere kant op.

Dit dus over de werking van 6to4 en de functie van het subnet 192.88.99.0/24. Maar ook met deze informatie kan je enkel speculeren over wat nou in het artikel bedoelt is. Wat ik me bijvoorbeeld kan bedenken is dat TELE2 per ongeluk 6to4 geactiveerd heeft op door hun beheerde routers (zonder IPv6 firewall) waardoor klanten achter die routers direct via IPv6 bereikbaar waren. 6to4 werkt immers overal (tenzij het expliciet wordt gefiltert) zonder dat het WAN netwerk verder geschikt hoeft te zijn voor IPv6.

[Reactie gewijzigd door ik222 op 8 maart 2014 08:49]

Ik heb ook sterke twijfels bij het artikel, al voor het lezen van de andere onderbouwingen zoals hierboven. Maar stel dat het volgende het geval is.

- Door een fout van een klant of tele2 (In beide gevallen wonderlijk) krijgt iedereen een ipv6 verbinding.
- In ieder geval alle windows 7 en 8 clients maken hier zonder verder ingrijpen van de user automatisch gebruik van.
- YouTube/ Facebook en netflix worden opeens via ipv6 geconsumeerd (uit praktijk weet ik dat je hier niets van merkt)
- Tele2 heeft ongeveer 385.000 klanten (nieuws: Tele2 ziet aantal mobiele klanten in Nederland flink stijgen)
- het aantal ipv6 verbindingen is ongeveer 7,51 miljoen huishoudens (http://www.compendiumvoor...-huishoudens.html?i=15-12) X internetpenetratie 94% (http://www.pcmweb.nl/nieu...nternetaansluitingen.html) X aantal ipv6 verbindingen 0,81% (nieuws: Minder dan 1 procent internetters heeft ipv6-verbinding) = 57181 huishoudens met een ipv6 verbinding

Dan zou je verwachten dat met een stijging van het aantal ipv6 verbindingen van meer dan 6x er wel een sprongetje zou zijn in het ipv6 dataverkeer. Ik zie dat echter niet in de grafieken van AMS-IX: https://www.ams-ix.net/te.../sflow-stats/ipv6-traffic
Routers van de ISP filteren 192.168/16 weg. Niet 192/8. De reeks 192.88.99/24 wordt gewoon toegestaan.
whois zegt:
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
#
# The following results may also be obtained via:
# http://whois.arin.net/res...howARIN=false&ext=netref2
#
NetRange: 192.88.99.0 - 192.88.99.255
CIDR: 192.88.99.0/24
OriginAS:
NetName: 6TO4-RELAY-ANYCAST-IANA-RESERVED
NetHandle: NET-192-88-99-0-1
Parent: NET-192-0-0-0-0
NetType: IANA Special Use
Comment: Addresses starting with "192.88.99." are used by anyone running a 6to4 relay router. Many different organizations use these addresses, which means they cannot be used to identify an individual network operator.
Comment:
Comment: The 6to4 protocol provides tunneled IPv6 connectivity for networks without native IPv6 access.
Comment:
Comment: These addresses were assigned by the IETF, the organization that develops Internet protocols, in the Informational document RFC 5737, which can be found at:
Comment: http://datatracker.ietf.org/doc/rfc5737
RegDate:
Updated: 2013-08-30
Ref: http://whois.arin.net/rest/net/NET-192-88-99-0-1

OrgName: Internet Assigned Numbers Authority
OrgId: IANA
Address: 12025 Waterfront Drive
Address: Suite 300
City: Los Angeles
StateProv: CA
PostalCode: 90292
Country: US
RegDate:
Updated: 2012-08-31
Ref: http://whois.arin.net/rest/org/IANA

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org
OrgTechRef: http://whois.arin.net/rest/poc/IANA-IP-ARIN

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org
OrgAbuseRef: http://whois.arin.net/rest/poc/IANA-IP-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
Het hoort dan wel niet bij de 192.168.0.0/16 reeks, het zijn toch geen gewone IP-adressen. En omdat het maar 254 adressen zijn, lijkt het mij dat deze zijn voor IPv6 tunnels op interne netwerken. Kan nuttig zijn als je wel intern IPv6 gebruikt maar alleen een IPv4 internetverbinding hebt. Het lijkt me niet dat een machine met een 192.88.99.0/24 ip zijn nummer op het internet moet adverteren.
xnpu hierboven beschrijft het beter. De 192.88.99 reeks is bedoeld voor een 6to4 relay server. Deze kan beschikbaar gesteld worden voor een eigen netwerk, maar ook voor alle andere gebruikers. Voor zo ver ik weet worden IP adressen anders dan 192.88.99.1 in deze reeks niet gebruikt. En het is wel degelijk de bedoeling dat een machine met dit adres dat op het internet adverteert.

Ik zou zeggen, lees dit stukje even. Dan wordt het vanzelf duidelijk :)
https://en.wikipedia.org/...ween_6to4_and_native_IPv6
De IP range is juist zo gekozen dat deze buiten de normale 192.168/16 filters valt en BGP routering overleefd. Iedereen mag een 6to4 server aanbieden op 192.88.99.1, zowel intern als "publiek".

Dat het gebruiken van een onbekende 6to4 server risico's meebrengt en je deze range dus beter binnenshuis kunt houden staat hier verder los van.

Ik zie hier overigens dat Ziggo deze range niet filtert maar routeert naar een Zweedse provider. Mochten die een 6to4 server opzetten dan zullen mijn Windows PC's die opeens gaan gebruiken. (Windows zoekt actief naar Teredo/6to4 servers op dat adres.)
-oeps, artikel niet goed gelezen-

[Reactie gewijzigd door lonaowna op 7 maart 2014 16:58]

Als jij 'eigenaar' bent van een reeks 192.88 adressen mag je die best op je interne netwerk gebruiken. Er zijn zat interne netwerken die extern routeerbare addressen gebruiken. Ben je meteen van een hoop NAT-problematiek af.
Na de update, wat is nou precies de conclusie van dit verhaal?

Ik ben een netwerk engineer maar snap werkelijk waar geen ene baksteen van de informatie zoals die in dit nieuwsbericht staat.

Persoon A: Er is iets gebeurd
Persoon B: Technisch niet mogelijk

Conclusie: Zoek het maar uit?!
Dat artikel van iSpam legt het uitgebreider uit. Volgens is mij zit er technisch gezien gewoon een lek in het Tele2-netwerk die het daglicht niet kan verdragen en waarbij ze niet zitten te wachten op een onderzoek over de oorzaak daarvan.

Als ik het verhaal goed begrijp kan iemand met een ipv4-only thuisnetwerk die wel een ipv6-compatible router heeft last krijgen van indringers die vrijuit via de router zijn lokale nodes kunnen bereiken omdat een bepaalde Tele2-abonnee een colocatieserver (whatever dat moet voorstellen) icm een 6to4-tunnel draait.
Dus een Tele-gebruiker kan de nodes van lokale netwerken achter andere Tele2-routers rechtsstreeks aan internet hangen door met zijn eigen router te rommelen of zelf online services te draaien die dat realiseren? Volgens mij wijst dat, als het waar is, op een netwerk dat op hardware-level dermate onveilig is dat zoiets eigenlijk niet verkocht zou mogen worden.

[Reactie gewijzigd door blorf op 8 maart 2014 10:09]

Uh, hoe is dit een probleem precies? Het grootste probleem is dat deze feature zonder medeweten van de klant is aangezet, maar dat je interne netwerk voor het internet openstaat, dat is juist een feature van IPv6, dat hoort zo. Je krijgt immers een IP-range, niet een enkel IP-adres.
Maar normaal heeft de provider standaard in het modem/router een IPv6 firewall die inkomend verkeer (excl related en established) tegenhoud. In dit geval was dat dus niet zo.
Het probleem is dat het per ongeluk gebeurt zonder dat de klant of Tele2 het wist. En dan kun je dus ook geen maatregelen nemen om zaken dicht te zetten in je firewall.

Verder is het probleem dat het om 6to4 gaat. D.w.z. dat elk IPv4 adres gemapt wordt naar een IPv6 adres. Deze mapping is 1 op 1 en daarmee kun je dus makkelijk de IP-adressen raden. Met "normaal" IPv6 kan dat niet omdat het er teveel zijn om te raden/scannen.

Dus de betreffende computers/apparaten zijn en makkelijk te vinden en niet beveiligd. Niet goed...
Ik vind het voor een ISP wel slechte reclame als door een fout van een klant alle andere klanten opeens direct aan het internet hangen. Je zou toch verwachten dat de netwerken van de verschillende klanten beter of zelfs fysiek gescheiden zouden zijn?

[Reactie gewijzigd door Iacobus op 7 maart 2014 16:27]

Ik dacht dat private VLAN's, op z'n minst, hier ook al beveiliging tegen opleggen. Maar blijkbaar gebruikt Tele2 dat niet eens als ik het goed heb begrepen. Je kan advertisen wat je wil op een private VLAN, maar als bijvoorbeeld de router of (layer3) switch dat vervolgens gaat advertisen is er toch iets goed mis met de configuratie van de routing protocollen, werken dan kennelijk niet met lijstjes :/
Maar tele2 ontkent dus...?

Wat mij in dit alles voornamelijk opvalt... KPN, KLM, Tele2 en nog wel meer allemaal in het nieuws hierover... Waarom gebruikt men in godsnaam die standaard wachtwoorden???
Ik bedoel, wijzig die dan op z'n minst naar een nieuw universeel wachtwoord. Default voor het bedrijf dus, maar niet default vanuit de fabrikant.
Dat is nog steeds niet de best practice, maar scheelt al een hoop.

Denken ze nou echt niet aan beveiliging en dit soort bizarre scenarios?
Luiheid, maar ook: soms weet je het niet. Grote bedrijven hebben vaak allerlei apparatuur staan die extern wordt onderhouden. Je kunt met je leverancier van alles afspreken maar je zal altijd zien dat er zo'n figuur tussen zit die denk dat het allemaal wel meevalt en "password123" beter kan onthouden.
Inmiddels heeft tele2 al commentaar gegeven dat dit niet mogelijk was en dat de klant die de 6to4 server zelf heeft opgezet contact opnam met ISPAM.

Ook kon niemand bewijs leveren dat dit op grote schaal mogelijk was

[Reactie gewijzigd door GrooV op 7 maart 2014 16:37]

Ook kon niemand bewijs leveren dat dit op grote schaal mogelijk was
Volgens de bron. Hebben ze er ook nog een expert bijgehaald die het kon reproduceren:
Het verbaast onze redactie dan ook dat dit een week lang onopgemerkt gebleven is door de netwerkbeheerders van TELE2. Binnen een uur waren wij op de redactie in staat een succesvolle test te maken en apparatuur achter firewalls te bereiken. Om dit nogmaals te verifiėren hebben we een betrouwbare netwerkbeheerder met een achtergrond in IT-security gevraagd de test te reproduceren. Deze wist te melden dat het niet alleen om enkele particuliere aansluitingen ging, maar wist op deze manier ook ‘binnen te lopen’ bij het Ministerie van Economische Zaken.
Weet natuurlijk niet wie die expert was maar zoals het overkomt hebben ze het wel proberen te verifiėren en is dit ook gelukt.

[Reactie gewijzigd door defixje op 7 maart 2014 23:04]

Doet me denken aan de begintijden van kabelinternet. Toen kon je ook alle pc's in je provider bereiken alsof het je interne netwerk was en zo bij de gedeelde bestanden met 1 klik (veel meer als je it kennis had). Weet niet meer of het bij Chello/UPC was of het oude Sonera Plaza. Zelfde issue herhaalt zich met IPv6.

[Reactie gewijzigd door HakanX op 7 maart 2014 21:48]

Vroegah toen ziggo nog @slome was , kreeg je in het begin alle gedeelde pc's op jouw subnet in je netwerk omgeving te zien, maar door te klikken kreeg je alleen een foutmelding.. (tenminste, ik wel :P )
Ik herinner me een situatie bij @home waarbij klanten die op dezelfde "router" zaten elkaar niet konden bereiken. Ik was een aantal regionale vrienden op MSN ineens kwijt. :)
Ja klopt P2P verbinding was nogal een probleem toen ook hier. Ik weet niet meer wat het exact was, maar ik moest toen handmatig routeringen aanpassen op beide computers om verbinding te kunnen leggen. Wat zijn we toch verwend tegenwoordig :) kleinste foutje is nu wereldnieuws. Alles moet automatisch in orde zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True