Blokování portů Netbox

fos4

Blokování portů Netbox
« kdy: 16. 07. 2020, 11:16:44 »
Ahoj,

řešili jste někdo blokaci portů 135-139/tcp/udp u Netboxu? Chtěl jsem připojit rodičům přes SMB3.0 disk na Azure a bohužel..
Na stránkách netboxu se dozvím, je to je vlastně dobře kvůli ochraně: "Cílem blokování těchto protokolů je tedy především bezpečnost zákaznických počítačů a stabilita přístupové sítě netbox.".. tak mně to přijde jako hloupost..nevím..  psal jsem jim a odblokování není možné :-(

Jde toto nějak jinak vyřešit, nebo zbývá pouze VPNka?

Díky


modnar

Re:Blokování portů Netbox
« Odpověď #1 kdy: 16. 07. 2020, 11:33:52 »
Nekolik veci. Nejedna se o prichozi spojeni, ale o odchozi spojeni. Vymluva na ochranu zakaznika neni relevantni. Odchozi spojeni pouziva port TCP 445. Pokud ISP blokuje i odchozi spojeni, muzes pouzit "Azure File Sync", nebo REST API, ktere pouziva port TCP443 aka HTTPS:

https://docs.microsoft.com/cs-cz/azure/storage/files/storage-troubleshoot-windows-file-connection-problems#cause-1-port-445-is-blocked

TakyPatrik

Re:Blokování portů Netbox
« Odpověď #2 kdy: 16. 07. 2020, 11:46:55 »
Kontaktuj ISP a žádej nápravu. Jinak změna ISP. To by ti taky mohli nechat jen porty 80 a 443, ale i u těch jsem se setkal s blokací příchozích spojení...

Platíš za přístup k internetu nebo za ochranu svého počítače? Oni se navíc rozhodli tě chránit i proti tvé vůli...

Z důvodu zajištění stability sítě by taky mohli zablokovat Youtube, Netflix,...

Re:Blokování portů Netbox
« Odpověď #3 kdy: 16. 07. 2020, 12:01:21 »
Kontaktuj ISP a žádej nápravu. Jinak změna ISP. To by ti taky mohli nechat jen porty 80 a 443, ale i u těch jsem se setkal s blokací příchozích spojení...

Platíš za přístup k internetu nebo za ochranu svého počítače? Oni se navíc rozhodli tě chránit i proti tvé vůli...

Z důvodu zajištění stability sítě by taky mohli zablokovat Youtube, Netflix,...

Setkal jsem se s tím, že ISP nabízejí omezenější variantu (kde blokují porty) a taky neomezenou variantu. Tu blokaci portů podřazují pod technické opatření k zajištění provozu sítě - a k tomu ochrana před hrozbami patří. Pokud ISP nabízí dražší neomezenou variantu, jsou možnosti obrany prakticky nulové.

Re:Blokování portů Netbox
« Odpověď #4 kdy: 16. 07. 2020, 12:16:22 »
Pokud si pamatuji, tak Netbox umožňoval přímé propojení mezi zákazníky uvnitř sítě. A sambu blokoval, protože jeho implementace ve Windows byla velice děravá a při virové infekci to způsobovalo velké problémy právě ve vnitřní síti.

Pamatuju se, když to ještě blokované nebylo a řešilo se to cíleně odstřižením jednotlivých portů. Jenže BFU si to prostě neuměli spravit a zabezpečit, tak sambu v zájmu zachování služby vnitřní sítě odstřihli všem.

Z jejich FAQ:

Citace
Blokuje netbox nějakou síťovou komunikaci?
Ano, v přístupové síti netbox jsou blokovány síťové protokoly používané v lokálních sítích (LAN). Tyto protokoly umožňují snadné šíření virů a jiných nákaz z počítače na počítač a tato komunikace dokáže síť zcela zahltit. Cílem blokování těchto protokolů je tedy především bezpečnost zákaznických počítačů a stabilita přístupové sítě netbox.

Zákazníkům, kteří potřebují tyto protokoly používat i v Internetu, doporučujeme pro tuto komunikaci používat VPN.

Konkrétně jsou blokovány následující protokoly: 135-139/tcp, 135-139/udp, 445/tcp.


TakyPatrik

Re:Blokování portů Netbox
« Odpověď #5 kdy: 16. 07. 2020, 23:30:38 »
No a jedná se teda o připojení k internetu nebo o nějakou komunitní síť? Normální ISP od sebe zákazníky izoluje. Nakonec firewall je dneska v každém routeru. Dovedu si představit, že nějaké "sdílení na přímo" by mohlo být nabízeno jako extra služba před 20 lety. Ne zapnuto by default v době cloudů a sockosítí...

Re:Blokování portů Netbox
« Odpověď #6 kdy: 17. 07. 2020, 12:15:04 »
No však. Bylo to vypnuté by default a nabízeli to před 15 lety (ale myslím, že to pořád funguje).

Nicméně lidi si neumí nastavit router ani dnes. A někteří ho ani nepoužívají. Mají prostě jeden počítač přímo připojený na kabel a hotovo.

Tady na root.cz jste v sociální bublině, ale běžný důchodce routerům nerozumí a wifi v telefonu nemá. Tak proč by měl chtít krabičku navíc?

Re:Blokování portů Netbox
« Odpověď #7 kdy: 17. 07. 2020, 12:42:24 »
Tady na root.cz jste v sociální bublině, ale běžný důchodce routerům nerozumí a wifi v telefonu nemá. Tak proč by měl chtít krabičku navíc?

ISP má zakončit přípojku portem, kde už je provoz ošetřený a dá se do ní zapojit cokoliv - třeba i přímo ten počítač. ISP by měl buďto dodat koncové zařízení, nebo předávat ethernet oddělený od odstatních uživatelů. Zoufalost, kterou někteří "ISP" předvádějí, že předají přístup do své sítě, kde jsou přímo i další uživatelé, nemá smysl moc víc komentovat.

(A mimochodem, důchodce nemusí ničemu rozumět, má si to pak objednat jako službu a zaplatit za ni - podobně, jako za seřízení TV antény).

Re:Blokování portů Netbox
« Odpověď #8 kdy: 17. 07. 2020, 13:03:13 »
ISP má zakončit přípojku portem, kde už je provoz ošetřený a dá se do ní zapojit cokoliv - třeba i přímo ten počítač. ISP by měl buďto dodat koncové zařízení, nebo předávat ethernet oddělený od odstatních uživatelů. Zoufalost, kterou někteří "ISP" předvádějí, že předají přístup do své sítě, kde jsou přímo i další uživatelé, nemá smysl moc víc komentovat.

Ale vždyť tak to přesně je a bylo. I tenkrát to bylo opt-in. Netbox měl v Brně velkou síť a hráči (+ sdíleči :) těch 10 a později 100 Mbit uvnitř sítě dost oceňovali (rychlosti ven byly v té době pod 1 Mbit - já začínal cca před 20 lety na 64kbit, pokud se správně pamatuji).

Citace
(A mimochodem, důchodce nemusí ničemu rozumět, má si to pak objednat jako službu a zaplatit za ni - podobně, jako za seřízení TV antény).

Sněte dál. To žádný uživatel nedělá. Windows přece umí ovládat každý.

A pokud vystavíte osobní počítač přímo na internet, tak ho dříve nebo později zavirovaný mít budete. 0-day zranitelností zase tak málo nebylo. A to i v případě, že tomu rozumíte a pravidelně aktualizujete.

Přidejte si k tomu faktor Windows a přitěžující okolnosti důchodce a samba.. a řekněte mi, jak dlouho takový počítač odolá? Hodiny?

Z pohledu ISP dává neveřejná IP (v4) a blokování samby pro takové uživatele naprosto dokonalý smysl. Vyeliminuje to většinu všech problémů a zákazníci jsou spokojeni (ISP rovněž, méně práce). Zbývající část by asi vyřešilo blokování odchozího provozu na 25/tcp (rozesílání spamu). ale to už myslím nedělá, znalí uživatelé (by) moc nadávali.

Na druhou stranu by to filtrování mohli možná umožnit vypnout, stejně jako umožňují požádat o veřejnou IP, IPv6 nebo o tu vnitřní síť.

Re:Blokování portů Netbox
« Odpověď #9 kdy: 17. 07. 2020, 13:33:46 »
nebo předávat ethernet oddělený od odstatních uživatelů.

Oddělený jak?

Re:Blokování portů Netbox
« Odpověď #10 kdy: 17. 07. 2020, 13:37:28 »
Oddělený jak?

Aby se na provoz mezi uživateli navzájem vztahovala stejná pravidla, omezení i možnosti, jako na pro provoz úplně zvenčí. Toho lze dosáhnout, ale je to pro ISP dražší, než pár (desítek) klientů prsknout do stejného segmentu sítě a provoz "ošetřit" přihlouplou filtrací portů.