Beantwoord

Poort 443 staat ongevraagd open op MVG8825-T50 (vervolg)


Ook ik loop er tegen aan dat poort 443 ongevraagd open staat op mijn MVG8825-T50. Er bestaat al een topic over, waar ik graag om wat extra uitleg had gevraagd, maar helaas is dat topic gesloten. Hopelijk mag ik hier alsnog mijn vragen stellen?

Shodan had vandaag one-time accounts in de aanbieding ($5 ipv $49); ik heb zo’n account gekocht, maar tot mijn verbazing vindt Shodan helemaal niets op mijn publieke IP adres. Dat leek me sterk (ik weet dat ik enkele poorten heb “open” staan, maar niet 443), dus ik heb ook gekeken met “nmap” en “ShieldsUP!”. Tot mijn verbazing melden die allebei dat (alleen) poort 443 open staat (dus niet “closed” of “stealth”).

  1. Ik heb geen behoefte aan remote management van mijn T-Mobile router (tenzij op verzoek van de T-Mobile klantenservice) dus zou het liefst Extern Beheer uitzetten. Die router pagina vind ik erg verwarrend: de kolommen “WAN” en “Vertrouwelijk domein” staan uit, maar “WAN/LAN” staat aan. Waarom is er geen optie “LAN”? Wat is het verschil tussen “WAN” en “WAN/LAN”? Kan ik als ik alle vinkjes uitzet nog steeds lokaal de router beheren (via LAN)?
  2. Op die Extern Beheer pagina staan vinkjes bij HTTP (poort 80) en HTTPS (poort 443). Waarom wordt poort 443 gevonden, maar poort 80 niet?
  3. Waarom vinden Shodan/nmap/ShieldsUP! verder niets? Blokkeert T-Mobile ze? Of zou dat de firewall in mijn eigen ASUS router (achter de T-Mobile router) dat doen?
     
icon

Beste antwoord door Anonymous 18 July 2022, 00:20

Bekijk origineel

This topic has been closed for comments

11 reacties

 

Misschien DMZ naar je Asus geconfigureerd?

Als dit het geval is dan wordt alles direct doorgezet naar je Asus router en staat port 443 hier waarschijnlijk open. De Zyxel doet met DMZ n.l. niets meer dan alles forwarden naar het IP-Adres die bij DMZ is ingesteld.

Ja, ik heb inderdaad op de T-Mobile router een DMZ zone ingesteld voor de ASUS router.

Nee, poort 443 staat niet open op de ASUS router (wel op de T-Mobile router?).

En om het nog verwarrender te maken: die “nmap” van mijn publieke IP adres gisteren was remote en vond alleen 443. Als ik het nu vanuit thuis doe (naar hetzelfde publieke IP adres) vindt nmap 53, 80 en 443...

Waarom is het antwoord van Gerrit als “Antwoord” gemarkeerd? En door wie?

Ik waardeer zijn hulp en hoop ook op een vervolg reactie, maar zijn post is niet het antwoord op mijn vragen.

Reputatie 7
Badge +14

Met het antwoord op de vraag van Gerrit is het nu duidelijk dat de open poort in de Asus moet worden gezocht. De enigste taak van de zyxel router is alle requests doorzetten naar de DMZ.

Shodan had vandaag one-time accounts in de aanbieding ($5 ipv $49); ik heb zo’n account gekocht, maar tot mijn verbazing vindt Shodan helemaal niets op mijn publieke IP adres. Dat leek me sterk (ik weet dat ik enkele poorten heb “open” staan, maar niet 443), dus ik heb ook gekeken met “nmap” en “ShieldsUP!”. Tot mijn verbazing melden die allebei dat (alleen) poort 443 open staat (dus niet “closed” of “stealth”).

 

Voer je nmap niet toevallig uit vanaf je eigen lokale netwerk ? Als dit zo is, dan kan het kloppen dat minstens één poort open staat. Dit komt door local-loopback, ook al test je op het publieke IP-Adres door local-loopback worden alle binnen jou lokale netwerk openstaande poorten (van je modem of DMZ-device) getoond.

nmap moet je dus - als je wilt zien of er poorten open staan (voor het internet) - vanaf een extern apparaat uitvoeren d.w.z. een VPS of een Dedicated Server. Poort 443 is blijkbaar toegankelijk als Shiels Up! dit aangeeft, misschien toch eens een nieuwe scan uitvoeren via grc.com (Shields Up!) zonder dat je Asus is aangesloten.

Remote Management door T-Mobile vind overigens niet plaats via je publiek IP, daar hebben ze dacht ik een andere VLAN (100) voor. Deze kan je zelf niet in of uitschakelen.

 

  1. Die router pagina vind ik erg verwarrend: de kolommen “WAN” en “Vertrouwelijk domein” staan uit, maar “WAN/LAN” staat aan. Waarom is er geen optie “LAN”? Wat is het verschil tussen “WAN” en “WAN/LAN”? Kan ik als ik alle vinkjes uitzet nog steeds lokaal de router beheren (via LAN)?

 

WAN betekent dat je iets alleen voor het internet toegankelijk wilt maken, WAN/WLAN betekent dat je het op in je eigen netwerk (bekabeld en draadloos) toegankelijk wilt hebben. Alleen LAN betekent dat via internet geen toegang verleend mag worden maar alleen via het lokale netwerk. Als je dit voor LAN uitschakelt dan zou je zelf ook niet langer toegang hebben tot het controlpanel van de Zyxel, iets wat niet wenselijk is (lijkt mij?).

 

Nee, poort 443 staat niet open op de ASUS router (wel op de T-Mobile router?).

Misschien DMZ toch echt even verwijderen en opnieuw testen via grc.com. Mocht dan alsnog poort 443 open staan, probeer eens een factory reset op de Zyxel en daarna een nieuwe test (zonder je router).

Zoals gezegd, de Zyxel doet doordat DMZ is ingesteld niets meer of minder dan alles forwarden naar een door jou opgegeven IP-Adres. Firewall en port-forwarding rules worden voor zover mij bekend overruled door de DMZ waardoor alles nu door de Asus wordt afgehandeld.

 

De editor is stuk, waardoor ik niet kan quoten, maar:

  • Ik zou inderdaad graag net “LAN only” willen, maar die optie is er niet? Wat is nou precies het verschil tussen de opties “WAN/LAN” (remote en lokaal toegang?) en “WAN” (alleen remote toegang?)? Of betekent alle opties uitzetten net “geen remote” en “wel lokaal”?
  • Stel dat ik nu even wel die remote functionaliteit wil uitproberen, waar moet ik dan heen surfen? (Een http of https verbinding naar mijn publieke IP adres vanaf een extern netwerk blijkt niet de juiste manier?)
  • Ik heb een vermoeden waarom poort 443 open staat (en dan waarschijnlijk op de ASUS router) en hoop dat vanavond te verifiëren.
Reputatie 7
Badge +6

@sublimerote Waar zie je ‘WAN/LAN’ staan? In screenshots in het oorspronkelijke topic staat LAN/WLAN en WAN. Die eerste geeft lokaal toegang, zowel bedraad als draadloos, de tweede extern. Standaard staat alleen LAN/WLAN aan, zodat je zelf kunt inloggen. Externe toegang via internet (VLAN 300) staat standaard uit. Op VLAN 100 staat dit wel aan (instelling is niet zichtbaar), maar daar kan alleen de klantenservice bij.

@sublimerote Waar zie je ‘WAN/LAN’ staan? In screenshots in het oorspronkelijke topic staat LAN/WLAN en WAN. Die eerste geeft lokaal toegang, zowel bedraad als draadloos, de tweede extern. Standaard staat alleen LAN/WLAN aan, zodat je zelf kunt inloggen. Externe toegang via internet (VLAN 300) staat standaard uit. Op VLAN 100 staat dit wel aan (instelling is niet zichtbaar), maar daar kan alleen de klantenservice bij.

Dat was uit mijn blote hoofd, omdat ik nu niet thuis ben. Het zal wel “LAN/WAN” zijn. Ik vind het “/WAN” deel verwarrend. Waarom heet het niet alleen “LAN”? (Dus de opties “LAN” en “WAN” ipv “LAN/WAN” en “WAN”)

En hoe kan ik die WAN variant uitproberen?

Reputatie 7
Badge +6

@sublimerote Het ging me niet om de volgorde, maar ik denk dat je over de L heen hebt gelezen. De opties zijn dus LAN/WLAN en WAN, oftewel: wil je alleen lokaal toegang (zowel wifi als bekabeld, die kun je niet uit elkaar halen), of wil je (ook) externe toegang. Dit als antwoord op je eerste vraag bovenaan, waarin je aangeeft dat je geen behoefte hebt aan remote management (dus WAN uit), maar er wel lokaal bij wilt kunnen (dus LAN/WLAN aan). Daarmee zou poort 443 aan de WAN-zijde van de Zyxel niet langer open moeten staan, tenzij je port forwarding (of DMZ) gebruikt voor een ander apparaat, zoals de Asus.

@sublimerote Het ging me niet om de volgorde, maar ik denk dat je over de L heen hebt gelezen.

Inderdaad!

Ik heb daar iedere keer overheen gelezen... Nu snap ik eindelijk de kolommen! Dank je.

  • Ik heb een vermoeden waarom poort 443 open staat (en dan waarschijnlijk op de ASUS router) en hoop dat vanavond te verifiëren.

Mijn vermoeden bleek juist: ik heb ooit (toen ik nog bij Ziggo zat) om een VPN naar thuis te kunnen opzetten op een behoorlijk afgeschermd netwerk poort 443 voor de VPN server gebruikt/misbruikt (omdat dit een van de weinige poorten was waarvoor het verkeer niet geblokkeerd werd) en dat nooit meer terug veranderd naar de standaard poort voor die server…

Met jullie antwoorden en wat extra werk van mij zijn al mijn vragen in deze thread beantwoord.

Dank voor jullie hulp!