UPC port filter

[donnie]

Pred par dny (dva az tri dny zpet) jsme si vsiml ze mi prestalo fungovat pripojeni z domova na muj vzdaleny server pres ssh.

Nebyl jsem moc doma takze jsem to neresil, nicmene dnes vecer jsem zacal zjistovat co se deje a zatim to vypada ze UPC mi zacalo plosne (pres cely IP range) blokovat vsechny TCP porty krome 4:
80/tcp  open  http
110/tcp open  pop3
143/tcp open  imap
443/tcp open  https

Pokud se chci pripojit na cokoliv jineho (22/ssh, 8080/tomcat, etc...) na jakykoliv server tak to skonci na timeoutu. Cili jsem odriznuty.

1) Zkousel jsem se pripojit pres svuj telefon se 4g pripojenim (skrz wi-fi hotspot) a skrz takove pripojeni se ze sveho domaciho pocitace dostanubez problemu na vsechny porty, tj. blkovane neni nic.
2) Pro jistotu jsem i restartoval UPC router (Technicolor ktery UPC standardne dodava), nicmene problem trva
3) Pres web admin konzoli jsem overil ze router nema nastavene zadne fitlrovani IP nebo portu

Ja sam zatim nemuzu prijit na to v cem je problem a ziztra budu volat na UPC, nez zacnu delat nejake zavery tak by me zajimalo, jeslti s timto nezapasi take nekdo dalsi.



jsem z Prahy, pripojeny pres UPC.

[Reklama]

[#]

ssh na port 322 bezi pres upc v poradku ... takze to za budto neni plosny (proc by to taky nekdo delal) a je to jen naka chyba nekde nebo je problem u tebe?

[#]

jinak bych spis doporucil http://www.upczone.cz/

[donnie]

Tim plosne jsem mel na mysli plosny rosah Ip adres dostupny z meho pocitace, ne to, ze by UPC tohle blokovalo vsem (to uz by resily tisice lidi predpkladam).

Jinak zkousel jsem to na svem domacim linux stroji (mint) a pro jistotu to vyzkousel na druhem notebooku, starsi nb s windows XP a tam je ten samy problem, oba v ramci domaci wifi site.

Takze se da bezpecne rict, ze to neni to problem v mem notebooku a souvisi to nejak s routerem od UPC. Nicmene co se s nim deje to netusim, za poslednich x mesicuc jsem na nej nijak nesahal, nic nemenil etc.

Cili bud doslo ke zmene v routeru (nejaky hack z venku ?) nebo doslo o omezeni UPC sluzeb v mem okoli.

[donnie]

Jinak diky za referenci na upc forum, vytvoril jsem tam post http://www.upczone.cz/viewtopic.php?f=8&t=6016.

[Reklama]

[Jenda]

UPC toto dělávalo, když jsi rozesílal spam.

[donnie]

Rozesilal spam. Zajimavy, spam neposilam ale stahuju treba torrenty, nejsou to ale nejake stovky Gb a nemel jsem s tim problem do ted.

Ohledne spamu, jedine ze by nejaky treti subjekt vyuzil jedno ze zarizeni v me domaci siti.

[donnie]

Takze vysvetleno.

Zablokovali my porty z duvodu malware/virusu ktery se pripojoval z me domaci wifif site ven skrz UPC router. Po telefonatu mi porty oblokovali.

To bylo to dobry (tedy ze se to vysvetlilo), ted to spatny.

1) Porty zablokovali vzdalene na mem UPC routeru bez toho, aniz by mi dali jakkoliv vedet nebo poslali nejake upozorneni proste cokoliv (samozrejme dostavam x mailu o vyhodnych nabidkach upc apod ale na neco tak zavazneho jako pripadny malware/virus a omezeni sluzeb proste upozorneni neposilaji).

2) Admin rozhrani routeru samo o sobe zadne blokovani portu neukaze. UPC ma v routerech (Technicolor ktery mam i ja) nainstalovan nejaky specialni softw. agent, ktery je kontrolovan supervisorem v UPC tech. centru a  fakticky timto supervisorem router cely ovladaji. Ja jako zakaznik v tom nemam zadne slovo a router nemuzu sam ve vysledku ovladat nebo i jen zjistovat co se na nem deje. Leda ze bych zrejme router zmenil (odstranil agenta) ale to je jednak narocne a jednak nevim zdali to je v souladu s UPC podminkami.

3) Neni pry mozne dostat log vypisu vsech prichozich/odchozich spojeni vedene skrz muj UPC  router ktere UPC monitoruje (prestoze jsem vlastnik routeru a UPC smlouva je psana na me), takze vlastne nikdy nevim co se tam deje.

Bohuzel tech virtualnich masin, notebooku, tabletu a telefonu mam vic, vsechny napojene na me domaci wifi. Najit na kterem z tech zarizeni nebo virtualnich masin je malware pritomen je vysoce zdlouhava cinost. UPC mi podalo jen info, ze z me domaci site, skrz UPC router sel nejaky "malware/virus", nicmene pry nevi co to bylo za malware, co se to snazilo delat, jake porty to kontaktovalo etc, takze k tomu nemam vlastne zadne info.

Trochu me stve ta totalni nemoznost nejak monitorovat co mi leze ven z meho routeru i neochota UPC poskytnout detaily k zarizeni ktere plne vlastnim (UPC modem mam koupeny ne pronajaty).

[MD]

Mně se před nějakou dobou podařilo nechtěně spustit malware na virtuálním stroji s přístupem k internetu, a i když VM běžela jen pár vteřin, malware stačil zřejmě poslat pár mailů, protože se moje IP adresa objevila na blacklistech.

UPC mi zablokovalo většinu portů, o čemž mě informovalo mailem (už si nepamatuju, zda mezi zablokováním a odesláním emailu bylo nějaké zpoždění). Odstranil jsem se z blacklistů a informoval UPC, že je vše OK. Do půl hodiny porty odblokovali.

Pokud chcete monitorovat, co se na vaší síti děje, možná by stálo za to předřadit UPC routeru vlastní router, na jehož Wifi se budete připojovat. Jistě, chování UPC v tomto ohledu není moc super, ale řešit se to podle mě dá.

[donnie]

To je zajimave ze jste dostal vedet o blokaci. Technik mi po telefonu na muj dotaz sdelil, ze takovou notifikaci neposilaji a bezne se o tom uzivatel nijak nedovi, takze budto doslo ke zmene (k horsimu) a nebo je to pripad od pripadu.

Dalsi router se da predradit, problem je, ze to stejne poleze ve vysledku ven z UPC routeru a tedy opet nebudu mit prehled o tom co je nebo neni blokovane dokud se na to vylozene UPC telefonicky nezeptam. Dalsi vec je, ze me proste zajima co skutecne leze ven, vcetne zasahu od UPC, chci videt jak se kdo montuje do toho co stahuju nebo posilam. Bohuzel se take muze stat, ze nekdo hackne primo UPC router a pak opet nebudu vedet, ze to co leze ven, je jine nez to, co si myslim ze posilam, diky tomu ze na ten UPC router nemam pristup abych si to overil.

[donnie]

Hm, tak stacilo jen hledat.

Ten samy problem reportovany jinym clovekem pred par dny na (neoficialnim) UPC foru http://www.upczone.cz/viewtopic.php?f=8&t=6006.

[Jurkanin]

Mne se to stalo s Routrem tp link wr741nd https://plus.google.com/u/0/101553264427446870609

[anonym]

Vůbec se UPC nedivím. Je asi nutné si uvědomit, že 99% zákazníků jsou běžní facebook uživatelé. Když se kouknete na ty porty, tak Facebook funguje, není tedy problém, https do bankovnictví funguje taky, a zbytek portů většina uživatelů používá více méně zřídka. To že neposílají email se také nedivím, jak by bylo vytíženo technické oddělení, kdyby měli Fandovi Vomáčkovi vysvětlovat, že má zavirovaný počítač. Pokud jste odborník a o tomhle chování nevíte, tak otevřete tiket a takových bude jen pár, v porovnání s počtem reakcí na případný email. A znalému jednotlivci je snadnější vysvětlit, kde je problém.

[8179]

napíchni si na router wireshark a hned zjistíš, co to je za červa ;-)

[j]

Vůbec se UPC nedivím. Je asi nutné si uvědomit, že 99% zákazníků jsou běžní facebook uživatelé. Když se kouknete na ty porty, tak Facebook funguje, není tedy problém, https do bankovnictví funguje taky, a zbytek portů většina uživatelů používá více méně zřídka. To že neposílají email se také nedivím, jak by bylo vytíženo technické oddělení, kdyby měli Fandovi Vomáčkovi vysvětlovat, že má zavirovaný počítač. Pokud jste odborník a o tomhle chování nevíte, tak otevřete tiket a takových bude jen pár, v porovnání s počtem reakcí na případný email. A znalému jednotlivci je snadnější vysvětlit, kde je problém.

Jako sorry, ale poslat informaci o zmene je zaklad solidniho jednani (coz samo presne odpovida prave UPC, kdykoli to jen trohu jde, rad se jim vyhnu, i za cenu dvojnasobny ceny). Nemluve o tom, ze neznam moc cervu, ktery by pouzivaly jiny porty nez prave http(s).