EDPnet blokkeert poorten 53 en 123

sirWard · 14 apr 2014, 12:07

Door middel van een tweet laat EDPnet weten dat het vanaf heden de poorten 53 (DNS) en 123 (NTP) zal blokkeren. Enkel wie een vast IP-adres heeft kan aan EDPnet vragen om deze blokkering op te heffen door contact op te nemen met EDPnet.

Global DNS and NTP amplification attacks
Dear customer

Recently there seems to be a significant increase of cyber-incidents. According to Cert, the federal cyber emergency team, the number of cyber-incidents in Belgium doubled in 2013 (https://www.cert.be/docs/number-cyber-i ... ubled-2013).

More often cyber criminals use so-called amplification attacks that specifically abuse NTP (Network Time Protocol) and DNS (Domain Name Systems) servers: http://www.us-cert.gov/ncas/alerts/TA14-017A (for Belgium: https://www.cert.be/docs/dns-amplificat ... -resolvers). Cyber criminals search for vulnerable devices in a network which are used to initiate such attacks. We can confirm that we see an huge increase of such attacks on our network as well.

Edpnet has always been a provider reluctant to block ports on its network. But because of the increase of these attacks, we are now forced to start blocking certain protocols in order to protect the quality of our network, the internet and your surfing experience as a customer.

Therefore ports 53 (DNS) and 123 (NTP) will be blocked as from today. If you are using a fixed IP-address and you would like these ports to remain open, please contact us. We are able to make exceptions for fixed IP customers.

Do not hesitate to contact us on following number 03 265 67 00 if you should have questions left.

Customer-friendly regards
The edpnet helpdesk team

EDIT: http://edpnetissues.blogspot.be/2014/04 ... um=twitter

ubremoved_539 · 14 apr 2014, 12:14

Ik veronderstel dat het dan gaat om inkomende connecties (naar jou toe dus). In dat opzicht vind ik deze verklaring (net zoals bij TN trouwens) pure nonsens omdat je eerst en vooral in de meeste gevallen achter NAT zit en verder zelf geen DNS of NTP servers actief hebt (misschien is dit bij Linux standaard anders alhoewel).

Als ze het natuurlijk blokken op hun border firewall gaat natuurlijk al die rotzooi niet over hun netwerk.

14 apr 2014, 12:25

Bedankt om dit te melden! Emailtje naar EDPnet is op weg, ik heb namelijk wel een DNS server draaien thuis op één van mijn bijkomende ip's. NTP heb ik vroeger ook gedraaid, maar ik kreeg een pak rotzooi ervan (heel de lijn dichtgenepen door hun attacks etc)

skills · 16 apr 2014, 08:44

Het echte probleem zit volgens mij in het feit dat ze Fritzboxen hebben verkocht aan hun klanten. In oa de 7390 zit een bug waardoor de router gebruikt kan worden als recursive public dns server.
Er is een firmware beschikbaar waarbij deze bug verholpen is, maar deze moet natuurlijk geinstalleerd worden.
Uitzoeken welke klanten lekke routers hebben zal te timeconsuming zijn, dus vandaar dat ze ervoor hebben gekozen om voor de makkelijke oplossing te gaan, namelijk het inkomend blokkeren van de poorten die voor hun problemen veroorzaken.

Tim.Bracquez · 16 apr 2014, 09:00

En poort 161, die kan je nog misbruiken....

skills · 16 apr 2014, 09:12

Veel beter zou zijn om standaard een set van poorten te blokkeren voor onervaren gebruikers, maar de optie te bieden aan de doorwinterde gebruiker om poorten open te zetten. Belgacom biedt dit aan, telenet blockt gewoon.
Ik prefereer toch zeggenschap in het al dan niet blokkeren van poorten. Wat mij betreft een zeer negatieve tendens voor edpnet, want vroeg of laat duikt er wel weer een ander probleem op en blocken ze gewoon nog wat extra poorten. Ook het gebrek aan deugdelijke communicatie en een sperperiode waarin gebruikers zich kunnen voorbereiden ontbreekt volledig.
Het "wij blokkeren niets" was trouwens 1 van hun verkoopsargumenten in de goede tijd, zeer jammer om ook dit te zien verdwijnen.

Ik vraag me trouwens af of dit geen grond is om het contract per direct te mogen verbreken, ze passen in deze zin hun voorwaarden aan.
Dat zou nog handig kunnen zijn voor onze vriend in het edpnet forum met opzeggings"problemen"

16 apr 2014, 12:55

Als "wij blokkeren niks" inderdaad in de algemene voorwaarden / het contract met de klant staat, dan is het een eenzijdige aanpassing van dat contract. Maar dan moet het er wel instaan, en niet gewoon een verkoopsargument geweest zijn, vrees ik.

[ Afbeelding

Post made via mobile device ]

Synman · 16 apr 2014, 17:29

Ze kunnen dit ook verhelpen op hun bordercontrollers, zonder de poorten dicht te draaien, tenzij ze geen prof. Equipment gebruiken.

ubremoved_2964 · 09 mei 2014, 10:48

ik ken mensen die slachtoffer zijn geweest van zulke amplification attack in een datacenter via NTP, dus begrijpelijk als er bij edpnet lekke fritsboxen zouden staan die daarvoor aangewend zouden kunnen worden, dat ze dit dichttimmeren

09 mei 2014, 13:16

Laat ons zeggen dat ik zelf slachtoffer was. Inderdaad volledig begrijpelijk, zeker op abo's voor particulieren.

Masta · 06 dec 2021, 16:22

fyi:
Ik ben er dus net achter gekomen dat ze niet enkel NTP server verkeer blokkeren maar dat ze ook verhinderen dat NTP clients werken (enkel als je een unprivileged port gebruikt - bv met "ntpdate -u" - dan werkt het wel. Maar Windows ondersteunt dit volgens mij niet).

In mijn netwerk werkt er namelijk al maanden (jaren?) niets meer van NTP client en na 10 tallen uren (verspreid over vele maanden) naar een oplossing te zoeken, blijkt het dus aan EDPnet te liggen.

Nadat zij poort 123 terug opzetten, werkt het plots weer wel. (Ik heb trouwens geen fixed IP).

Meer details hier:
https://gathering.tweakers.net/forum/li ... 8#69731018

06 dec 2021, 16:58

Zeer vreemd, want alles wat een NTP client is in mijn netwerk (en dat zijn er toch wel redelijk wat) werkt gewoon ...

gunmaster · 06 dec 2021, 17:45

Ik heb het ook gezien bij mijzelf en een vriend die ook EDPnet heeft.
Ik heb het zelf nooit verder onderzocht want ik heb ook een TN lijn waar van EDP de backup is. Mijn vriend met hetzelfde probleem heeft het toen ook opgelost na contact met EDPnet.

HONcircle · 07 dec 2021, 18:57

Ik heb dit opgelost door de fritzbox 192.168.178.1 als NTP server in te stellen.

Garpenlov · 07 dec 2021, 19:37

Gewoon klantendienst vragen om de poort 123 open te zetten.
Doen ze altijd direct. Ook alheb je een dynamisch ip.

yaris · 07 dec 2021, 20:57

Dat is wel heel bizar. Dat ze dat inkomend blokkeren ... ok maar naar internet toe is gewoon "lomp".

joriz · 08 dec 2021, 18:34

HONcircle schreef:Ik heb dit opgelost door de fritzbox 192.168.178.1 als NTP server in te stellen.

De NTP server op de fritzbox moet toch ook naar buiten gaan om te syncen met een NTP pool? Heeft dit dan wel nut?

DarkV · 10 dec 2021, 22:05

yaris schreef:ok maar naar internet toe is gewoon "lomp".

Dat lijkt me toch een vergissing... ik heb een heleboel toestellen in huis (van PC tot thermostaat) die gewoon NTP nodig hebben voor hun klok.