Vraag

KPN Extra Veilig Internet (FortiGate) opent extra poorten

  • 17 August 2021
  • 14 reacties
  • 682 keer bekeken

Op onze KPN EEN MKB verbinding hebben we "Extra Veilig Internet" geactiveerd.
Omdat op de website niet echt duidelijk uitgelegd wordt wat het doet, vroeg ik me af of hier iemand is die weet hoe het werkt.

Voor wat ik begrijp, route het je internetverkeer door een (transparante) proxy. Hierdoor kan het http verkeer gescanned worden op virussen etc. https verkeer kan niet bekeken worden.

Ik heb het nog niet in werking gezien, maar ik neem aan dat als een http url blokkeren, je een nette foutmelding pagina van FortiGate te zien krijgt, en bij een https url een https foutmelding.

Wat ik vreemd aan heel dit product vind, is dat sinds dat het aan staat, er allerlei poorten geopend zijn op ons externe ip adres:
code:

2000/tcp open     cisco-sccp
5060/tcp open sip
8008/tcp open http
8010/tcp open xmpp


Ik heb de range van kpn gescanned, en ik kwam verschillende ip's tegen met dezelfde open poorten. Op poort 8010(https) is een foutmelding pagina te zien van FortiGate:
bv: (niet onze ip’s)
https://37.153.193.225:8010/
https://37.153.193.105:8010/

Ik heb even de img url uit de foutmelding pagina in shodan gegooid:
https://www.shodan.io/sea...HDDPFGGHGFHBGCHEGPFBGAHAH
En vooral veel hits in Zuid Afrika.

Volgens mij zijn dit verkeerd ingestelde fortinet / fortigate firewalls.
Deze poorten horen niet naar buiten open te staan volgens mij.


14 reacties

Reputatie 5
Badge +3

@Jimbolino ,

  1. Allereerst wil ik eigenlijk wel aangeven: NOOIT MEER KPN SUBNETS SCANNEN. Dit is echt verboden en strafbaar. KPN kan je hiervoor bannen van het netwerk en zelfs aangifte doen.
     
  2. Ten tweede, zou je de link naar shodan.io en de IP adres voorbeelden uit je bericht kunnen halen door je bericht te bewerken?

Maar om je vraag te beantwoorden. Het kan zijn dat er inderdaad wat extra poorten worden geopend. Veelal zijn dit poorten die benodigd zijn voor de KPN ÉÉN Diensten, zoals het SIP verkeer 5060. Deze poorten staan niet 'open’ naar jouw router, maar staan open richting de Fortinet firewall.

De IP adressen die je eventueel vindt hebben niks te maken met de Extra Veilig internet oplossing, maar zijn fortinet firewalls van klanten die misschien niet goed staan ingesteld. Dit zijn niet de Fortinet Firewalls die gebruikt worden voor Extra Veilig Internet :)

@marvinh de voorbeeld ip’s die ik geef zijn WEL de firewalls van kpn.

waarom zou ik niet mogen linken naar shodan?

Reputatie 5
Badge +3

@marvinh de voorbeeld ip’s die ik geef zijn WEL de firewalls van kpn.

waarom zou ik niet mogen linken naar shodan?

Dat klopt. Dit zijn Fortinet firewalls van KPN. Alleen je vergeet hier één ding; Fortinet Firewall in de Cloud kan je ook afnemen als dienst. Dus klanten / IT partijen hebben dan een eigen firewall in beheer waar KPN zelf weinig mee te maken heeft. KPN biedt de Cloud Firewall aan en het volledige beheer en inrichting ligt bij de klant/IT Partij. De firewalls die je dus als voorbeeld noemt en in Shodan ziet zijn firewalls die in beheer zijn van klanten/IT partijen. Dit staat los van de dienst 'Extra Veilig Internet’. 

Omtrent het linken naar Shodan. Je verwijst hiermee naar een platform die IP Scans uitvoert op het publieke internet. Ik zie het nut ook niet helemaal om Shodan te gebruiken voor je vraagstelling, gezien de hosts die je daar ziet niks te maken hebben met de dienst 'Extra Veilig Internet’.

Fortinet Firewall (of het nu “in de cloud” of on premise is) heeft toch nooit http/https poorten nodig die open staan naar buiten toe?

Zodra dat wel het geval is, is het verkeerd geconfigureerd toch?

Sinds dat we “extra veilig internet” hebben ingeschakeld staat op ons ip die poorten open.

Hierdoor kan een aanvaller dus van buitenaf zien of je wel of niet een firewall aan hebt staan (die alleen voor intern gebruik is)

Lijkt me niet echt correct toch?

Reputatie 5
Badge +3
  1. Fortinet Firewall (of het nu “in de cloud” of on premise is) heeft toch nooit http/https poorten nodig die open staan naar buiten toe?
    Dat hangt van je firewall configuratie af. Echter de voorbeelden die je nu noemt zijn poorten die naar binnen openstaan en niet naar buiten. Ik kan me een scenario bedenken waarbij je poorten naar buiten (dus van LAN naar WAN) openzet. Dit doe je bijvoorbeeld als je alles naar buiten ook blokkeert en alleen bepaalde diensten toestaat naar buiten (zoals POP3, SMTP, HTTP, HTTPS).
     
  2. Zodra dat wel het geval is, is het verkeerd geconfigureerd toch?
    Nee, dat is niet correct. Hangt van de manier af hoe je die configureert. Wel ben ik van mening dat je inderdaad zoveel mogelijk poorten naar binnen alleen moet gebruiken met toegang vanaf bepaalde IP adressen.
     
  3. Sinds dat we “extra veilig internet” hebben ingeschakeld staat op ons ip die poorten open.
    De poorten staan open op jullie IP inderdaad, echter staat dit open naar de Fortinet Firewall en niet naar jullie router op locatie. Inkomend verkeer op jullie IP komt als eerste uit op de Fortinet.
     
  4. Hierdoor kan een aanvaller dus van buitenaf zien of je wel of niet een firewall aan hebt staan (die alleen voor intern gebruik is)
    Dat kan altijd. Een hacker/aanvaller ziet meteen of er wel of geen firewall actief is. Als er geen firewall zou zijn dan staat alles open. Ik zie ook niet helemaal het probleem hierin?? Een firewall is nooit voor alleen intern gebruik. Je gebruikt een firewall juist voor verkeer van intern naar buiten en andersom.
     
  5. Lijkt me niet echt correct toch?
    Is allemaal correct en is niks aan de hand.

Denk dat ik het verkeerd heb uitgelegd, ik bedoel met openstaande poorten dat er een poort open staat waar een service achter zit.

Ik kan geen reden verzinnen waarom poort 2000 + 8008 + 8010 open moeten staan voor de hele wereld.

De foutmelding pagina van Fortinet hoeft toch niet getoond te worden aan random internet gebruikers? Toch alleen intern vanaf onze eigen kpn verbinding zouden we die moeten kunnen zien?

Reputatie 5
Badge +3

Denk dat ik het verkeerd heb uitgelegd, ik bedoel met openstaande poorten dat er een poort open staat waar een service achter zit.

Ik kan geen reden verzinnen waarom poort 2000 + 8008 + 8010 open moeten staan voor de hele wereld.

De foutmelding pagina van Fortinet hoeft toch niet getoond te worden aan random internet gebruikers? Toch alleen intern vanaf onze eigen kpn verbinding zouden we die moeten kunnen zien?

Ik zie geen actieve services op deze poorten. Behalve dat je een 403 forbidden etc. krijgt.

$ curl -v http://37.153.193.225:8008/
* Trying 37.153.193.225:8008...
* TCP_NODELAY set
* Connected to 37.153.193.225 (37.153.193.225) port 8008 (#0)
> GET / HTTP/1.1
> Host: 37.153.193.225:8008
> User-Agent: curl/7.68.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 302 Found
< Location: https://37.153.193.225:8015/
< Connection: close
< X-Frame-Options: SAMEORIGIN
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< Content-Security-Policy: frame-ancestors 'self'
<
* Closing connection 0
jim@jim:~$ curl -v --insecure https://37.153.193.225:8010/
* Trying 37.153.193.225:8010...
* TCP_NODELAY set
* Connected to 37.153.193.225 (37.153.193.225) port 8010 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server did not agree to a protocol
* Server certificate:
* subject: CN=37.153.193.225
* start date: Oct 10 11:26:29 2019 GMT
* expire date: Oct 10 11:26:29 2029 GMT
* issuer: C=US; ST=California; L=Sunnyvale; O=Fortinet; OU=Certificate Authority; CN=FGT3KD3Z17800143; emailAddress=support@fortinet.com
* SSL certificate verify result: self signed certificate in certificate chain (19), continuing anyway.
> GET / HTTP/1.1
> Host: 37.153.193.225:8010
> User-Agent: curl/7.68.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Content-Length: 4613
< Connection: close
< Cache-Control: no-cache
< Content-Type: text/html; charset=utf-8
< X-Frame-Options: SAMEORIGIN
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< Content-Security-Policy: frame-ancestors 'self'
<
<!DOCTYPE html>
<html lang="en">
<head>

 

8008 redirect naar https op poort 8015 ?

poort 8010 geeft een error pagina en een self signed certificaat?

waarom zou je dit voor de wereld open willen zetten?

Reputatie 5
Badge +3

Ik begrijp echt niet precies wat je punt is? Er zit geen actieve service / apparatuur achter. Ik zie 8010 met een foutpagina van de Fortinet op een https site, dus logisch dat je een certificaat ziet. En 8008 / 8015 is een HTTP 302 - Not Found… dus?

Wat maakt het uit dat dit openstaat? Je kan er echt helemaal niks mee :)

Als er geen actieve service/apparatuur achter zou zitten, zou je toch gewoon een closed of filtered port hebben, en dus geen foutmelding pagina van fortinet te zien krijgen?

Het probleem is dat KPN dus per ongeluk deze poorten open heeft gezet richting hun fortinet service/apparatuur .

Iets wat duidelijk niet de bedoeling is.

Reputatie 5
Badge +3

“Het probleem is dat KPN dus per ongeluk deze poorten open heeft gezet richting hun fortinet service/apparatuur .Iets wat duidelijk niet de bedoeling is.”


Het lijkt me ook niet de bedoeling dat de SSH poort openstaat naar een Cisco router, terwijl hier een AccessList op toegevoegd kan worden. Er zijn zoveel zaken die soms mooier zijn om te fixen, maar waarom zou je iets willen fixen als het geen probleem / issue oplevert? Zou me er verder niet zo druk over maken.

“Zou me er verder niet zo druk over maken”
is niet een goed uitgangspunt voor beveiliging :)

Reputatie 5
Badge +3

“Zou me er verder niet zo druk over maken”
is niet een goed uitgangspunt voor beveiliging :)

Staat los van beveiliging… je kan er helemaal niks mee. Zou me drukker maken over de SSH poort die openstaat naar de Cisco router.

“Zou me er verder niet zo druk over maken”
is niet een goed uitgangspunt voor beveiliging :)

Staat los van beveiliging… je kan er helemaal niks mee. Zou me drukker maken over de SSH poort die openstaat naar de Cisco router.

Waarom denk je dat dat een SSH poort is richting een Cisco router?

Reageer