Veilig Internetten (tips)

Je krijgt een melding dat iets van de beveiliging niet in orde is.
Verder gaan doe je dan op eigen risico.

2 dagen geleden heeft Ziggo mijn internet geblokkeerd omdat er volgens hun 'grote aantallen' emails werden verstuurd. Ik had een dag daarvoor mijn router ge-upgrade met dd-wrt. Later meer daarover...

Na een belletje met de helpdesk heb ik aan mijn kant mijn NAS, laptop en mac-mini (met windows vm) uitgezet. Ik heb daarna eerst de mac aangezet en gescand op virussen en malware etc. Niets. Daarna de windows vm. Niets. Na een uurtje had Ziggo de verbinding (op mijn verzoek) weer aangezet (met de restrictie dat als ze weer wat zien, ik een week geblokkeerd zou worden) en ik heb toen de logging en gebruikte bandbreedte van mijn router (Netgear met dd-wrt) goed in de gaten gehouden. Wederom... niets raars. 's avonds de NAS weer aangezet, ook weer alles goed in de gaten gehouden... wederom zie ik niets geks.

Ik heb wel uit voorzorg op de router de uitgaande poort 25 geblokkeerd, en een beter wachtwoord voor dd-wrt gekozen (dat was niet het standaard root/admin maar wel haast even simpel helaas) en ook alle ssh en telnet services uitgezet.

Maar goed, ik heb dus geen idee wat er nu gebeurd is... of wat de oorzaak was. Ziggo mocht mij 'in verband met privacy wetgeving' ook niet meer vertellen over wat voor emails en aan wie en van wie... dus daar heb je ook geen reet aan.

Ik hou het er maar op dat de router na het upgraden even onbeschermd op het internet heeft gezeten, misschien een paar minuten, voordat ik de user/password wijzigde. Of dat het gewijzigde user/password inderdaad te simpel was, anders weet ik het niet.

Zijn er tools die je netwerk kunnen monitoren op grote hoeveelheden uitgaande emails?
Als er iemand is binnengekomen, wat hebben ze dan gedaan?

jowi zei:

Maar goed, ik heb dus geen idee wat er nu gebeurd is... of wat de oorzaak was. Ziggo mocht mij 'in verband met privacy wetgeving' ook niet meer vertellen over wat voor emails en aan wie en van wie... dus daar heb je ook geen reet aan.

Klik om te vergroten...

Ziggo hoeft jou niet te vertellen aan wie er mail is gestuurd maar ik zou wel een log vragen waaruit blijkt dat jij rotzooi verstuurd.. of verdacht verkeer maakt en die behoren ze jou ook te overhandigen.

Wat betreft jou router, ik neem toch aan dat je beheer vanaf de WAN zijde uit hebt staan hoop ik. En draai jij toevallig een eigen mail server of heb je bepaalde poorten open staan?

Beheer vanaf WAN stond blijkbaar standaard open in DD-wrt, dat is echt slecht (ssh, telnet). Staat nu dus allemaal dicht. Kan me voorstellen dat daar ook nog een standaard root/admin ofzo credentials op stonden... slecht hoor van zo'n product wat claimed heel goed te zijn...

Draai zelf geen mailserver. Alle poorten van buiten stonden ook dicht, behalve 443 (https), die loopt naar een reverse proxy.

Man man man... was dinsdag al afgesloten en na bellen na een uur weer aangesloten; krijg ik nu op zaterdag een brief dat ze me afgesloten hadden... ja dat had ik nog niet gemerkt zeg... wat denken ze, dat mensen 1x per maand hun mail checken en even naar nu.nl gaan ofzo? Hahaha... wat een idioot bedrijf is het toch.

jowi zei:

Zijn er tools die je netwerk kunnen monitoren op grote hoeveelheden uitgaande emails?
Als er iemand is binnengekomen, wat hebben ze dan gedaan?

Klik om te vergroten...

Wireshark kan dat

uBlock Origin is ook een goede pop up / adware blocker plug in

Timbo25 zei:

Wireshark kan dat

Klik om te vergroten...

Eigenlijk het commando tcpdump. (dat is waar Wireshark gebruik van maakt). Met tcpdump kun je al het uitgaande verkeer via poort 25 ook in een file weg te schrijven. (Daarna wel Wireshark gebruiken om de dumpfile goed te bekijken)
Het mooiste is als je tcpdunp op je router kunt gebruiken. (Zoals mijn Synology router) Dan ontkomt geen apparaat aan je zoektocht.