Skip to main content
Vandaag zat ik even wat beveiligingsdingetjes te testen, en merkte ik dat poort 2869 (TCP) aan de WAN-kant openstond. Natuurlijk meteen onderzoek gedaan naar wat dit moet zijn en het blijkt een UPnP-poort te zijn (volgens mij vooral door Windows benut).



Het eerste wat in me opkwam was dat een port forward die poort had ingeschakeld, maar dit bleek niet het geval. Wat het wel was: het UPnP-vinkje van de DrayTek zelf! Dit is te vinden onder Applications > UPnP.



Volgens de notitie zou het moeten gaan om UPnP aan de LAN-kant:

Note: To allow NAT pass-through to a UPnP-enabled client on the LAN, enable UPnP service above and ensure that the used connection service is also ticked.


Echter gaat zodra je dat vinkje aanzet poort 2869 ook open aan de WAN-kant! Zelfs als je een firewall-regel toevoegt om deze poort te blokkeren, blijft hij openstaan.



Ik heb UPnP natuurlijk meteen dichtgezet (sowieso wel beter natuurlijk) maar ik kan me voorstellen dat dit vinkje ervoor zorgt dat er nog veel meer apparaten mogelijk vanaf internet te beheren zijn met UPnP...



Is dit nu een fout in de firmware of is dit intended behaviour?
Hey jeroenhd,



Goed dat je de opties al in het menu hebt teruggevonden. Ik weet dat UPnP wel enkele veiligheidsrisico's met zich meebrengt. Het zou dus zomaar intended kunnen zijn. Ik zal eens voor je nagaan hoe het precies zit! Het kan even duren, maar ik kom erop terug.
Ik denk niet dat het 'intended' zou behoren te zijn dus als het al bewust gedaan is dan is het nog steeds niet goed. UPnP behoort de aansluiting van apparaten op je thuisnetwerk te vergemakkelijken. Maar het is naar mijn beste weten niet bedoeld om toegang van buiten je netwerk naar jouw netwerk in gevaar te brengen. Dat doet het vaak wel.....



Hoe heb je het ontdekt? Met welke test? En zou het zo kunnen zijn dat een apparaat dat op jouw netwerk draait een poort opent? Dus dan doet de Draytek het niet maar wordt een poort door een ander apparaat met behulp van UPnP geopend.
Ik denk niet dat het 'intended' zou behoren te zijn dus als het al bewust gedaan is dan is het nog steeds niet goed. UPnP behoort de aansluiting van apparaten op je thuisnetwerk te vergemakkelijken. Maar het is naar mijn beste weten niet bedoeld om toegang van buiten je netwerk naar jouw netwerk in gevaar te brengen. Dat doet het vaak wel.....

Precies mijn gedachte!



Hoe heb je het ontdekt? Met welke test? En zou het zo kunnen zijn dat een apparaat dat op jouw netwerk draait een poort opent? Dus dan doet de Draytek het niet maar wordt een poort door een ander apparaat met behulp van UPnP geopend.

Ik heb het ontdekt door een port scan op mijn IP uit te voeren vanaf mijn Leaseweb VPS.

Op zich heb je een goed punt; het zou kunnen dat het een device is dat UPnP gebruikt om een UPnP poort open te gooien...



Is er een manier om UPnP poorttoewijzingen in te zien op de Draytek als gebruiker? Omdat T-Mobile het adminaccount ontoegankelijk heeft gemaakt heb ik alleen user access (dus geen toegang tot de syslog settings). Als iemand me root access op de router kan geven mag dat natuurlijk ook :)



Het beste wat ik heb kunnen bedenken is de forwards checken met PortMapper en UPnP Router Control welke alleen een vreemde maar nutteloze forward vonden*. Het programma werkt prima want ik kan er nieuwe poorten mee openzetten en ik heb die rare port forward ook met deze programms's kunnen verwijderen



*=een Android device had poort 21 opengezet met "Microsoft example" als description... heel vreemd. Maar poort 21 stond gelukkig toch al dicht volgens de router config dus de forward was nutteloos.
Ik zou de UPnP functie uitschakelen. Als je toch zelf poorten makkelijk opent en je weet wat je aan het doen bent, is dat waarschijnlijk veiliger. Vergeet niet dat als je het controleert, dit slechts een moment-opname is van de situatie zoals die zich dan voordoet. Maar programmaatjes die met UPnP poorten openen en weer sluiten kunnen dat veranderen van moment tot moment.



Zelf heb ik nooit een open poort kunnen ontdekken met behulp van Gibson (https://goo.gl/9oytx). Maar heb na die test UPnP toch weer uitgezet. Het kan goed werken en het kan niet goed werken en het kan verouderen etc etc. De updates van T-Mobile kunnen ook nog eens achter de officiële Draytek updates aanlopen en dan heb je zo een korte of langere periode met extra risico.



Mij geeft het een veiliger gevoel als ik het niet gebruik.
Oh zie je wel zelfs de FBI denkt er net zo over ;-)



UnPlug n' Pray

As originally urged by the FBI, and still urged by prominent security experts, our UnPnP utility easily disables the dangerous, and almost always unnecessary, Universal Plug and Play service. If you don't need it, turn it off. (For ALL versions of Windows.)





Van de Gibson Research website.
Yes, ik heb het uitgezocht (bedankt voor je geduld). Standaard is UPnP uitgeschakeld op de Draytek. Qua beveiliging wel zo fijn. De optie is wel makkelijk aan te zetten, dit voorkomt lastige kwesties rondom portforwarding, maar ik kan mij voorstellen dat je UPnP liever uitlaat.



Hoe dan ook, hieronder nog even de uitleg hoe het IN te schakelen:


UnPlug n' Pray




Hahaha! Bedankt lemonkid voor deze prachtvondst! En je hulp uiteraard. 😉

Reageer