Portit kiinni - rautavika?

[Catrik]

Kotiserveri lakkasi yhtäkkiä toimimasta, ja syyksi ilmeni, että kaikki tarvittavat portit ovat kiinni. Voiko tämmönen ongelma johtua rautaviasta modeemissa? En itse keksi enää mitään muuta, mutta en toki ole tietoliikenneasiantuntija.

Homma on nyt yksinkertaistettu niin, että netti tulee kuitumodeemiin, malliltaan DZS 2425A1, ja siinä ei ole kiinni mitään muuta, kuin tietokone.
Modeemista on kokeiltu laittaa:

1. DMZ tietokoneelle local IP:n perusteella
2. Yksittäisen portin ohjaus

Testaamiseen käytetty Port Checker - Check Open Ports Online ja sillä ei löydy yhtään avointa porttia, testattu esim 80, 443 ja 8080. Käytetyt asetukset näkyy alla olevissa kuvissa.

Normaalissa käytössä asetukset on hieman monimutkasemmat, koska kuitumodeelta kaikki liikenne sillataan WLAN reitittimeen, ja siellä on vielä erikseen porttiohjaus. Tämä siksi, että kuitumodeemissa ei riitä asetukset serverin conffaukseen. Voin kertoa niistä tarkemmin, jos on syytä epäillä että ne voisivat vaikuttaa asiaan - mutta jos portit ei aukea edes tällä yksinkertaistetulla mallilla, niin ei pitäs vaikuttaa? Tai voi olla että testaan tätä väärin - tämä on kuitenkin toiminut pitkään ongelmitta. Mitään firmiksiä tai asetuksia ei ole muutettu ennen hajoamista.

 

[hsalonen]

Siis sinun internet-operaattorisi (esim. Telia) voi vaan sulkea nuo portit ulkoverkkoon. Kun se on tietoturvariski pitää noita auki suureen maailmaan. Koeta jotain random-portteja, tyyliin 50127.

 

[Catrik]

Siis sinun internet-operaattorisi (esim. Telia) voi vaan sulkea nuo portit ulkoverkkoon. Kun se on tietoturvariski pitää noita auki suureen maailmaan. Koeta jotain random-portteja, tyyliin 50127.

On kokeiltu kaikkia mahdollisia random portteja, yhtään auki olevaa ei ole löytynyt, ei myöskään tuo 50127. Pitääpä laittaa ISP:lle tiedustelua.

 

[Noddy]

On kokeiltu kaikkia mahdollisia random portteja, yhtään auki olevaa ei ole löytynyt, ei myöskään tuo 50127. Pitääpä laittaa ISP:lle tiedustelua.

Tuskin on ispn puolella vika paitsi jos on jostain syystä isketty 4g/5g asetukset eli et saa edes julkista ip-osoitetta. Kai tarkistit että modeemi saa julkisen ip-osoitteen? Portti 25 on toki ISPn puolelta esim. blokattu.

 

[Catrik]

Tuskin on ispn puolella vika paitsi jos on jostain syystä isketty 4g/5g asetukset eli et saa edes julkista ip-osoitetta. Kai tarkistit että modeemi saa julkisen ip-osoitteen? Portti 25 on toki ISPn puolelta esim. blokattu.

Ihan perus 85.29.xxx.xxx IP tässä on. Miksi 25 olisi blokattu? Servun diagnostiikan mukaan se on tarpeellinen, uskoisin että sekin on aikaisemmin ollut auki, koska en ole laittanut virheilmoitusta ignoreen. Toki näyttää olevan sähköpostia varten, joten ei sikäli ole tarpeellinen omassa käytössä.

 

[kuoris]

Miksei portit aukea meille, onko rotumme syy tää..

Eikö se portti 25 blokata yleensä ulospäin kuluttajaliittymistä? Operaattorista riippuen sitten se on sisäänpäin auki tai ei.

 

[telcoM]

https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/regulation/Suositus3122020.pdf sivu 7

Eli tällä hetkellä portti 25 kuluttajaliittymästä ulospäin on yleensä sallittu vain yhteydentarjoajan omaan postipalvelimeen. Yritysliittymissä sitten toinen juttu.

Nykyisin tosin alkaa olla enenevässä määrin niin, että jos et lähetä sähköpostiasi jonkun sellaisen palvelimen kautta jolla on kelvollinen DNS-nimi, sekä nimipalvelun SPF-tietue (ja mieluusti myös DKIM-avaimet, ADSP ja DMARC) kunnossa ja kyky käyttää TLS-salausta SMTP-yhteydellä (STARTTLS), isot palveluntarjoajat katsovat viestin lähtökohtaisesti epäilyttäväksi, jos käytät perinteistä porttia 25. Näiden kaikkien vaatimusten kunnollinen toteuttaminen vaatii hiukan opiskelua.

Lähetettäessä postia käyttäjän koneelta (tai vaikka palvelimeltakin) ulos kannattaa mieluummin käyttää porttia 587 ("submission") jolloin palvelinpää yleensä sallii/vaatii TLS-salauksen ja autentikoinnin käyttöä, tai porttia 465 (smtps) jossa liikenteen on lähtökohtaisesti oltava TLS-salattua.

Toisin sanoen, kun sähköposti lähtee liikkeelle käyttäjän sähköpostiohjelmasta, jos se lähtee vanhaan tapaan salaamattomana porttiin 25, sen on käytännössä pakko kulkea ko. nettiliittymän operaattorin postipalvelimen kautta. Jos lähetät salattuna käyttäen porttia 587 tai 465, silloin voit käyttää ihan mitä tahansa postipalvelinta joka hyväksyy yhteytesi (joko siksi että se tulee yhteydentarjoajan omasta verkosta tai siksi että sinulla on esittää tarvittavat autentikointivälineet).

Eli jos sinulla on operaattorin X tunnukset mutta olet vaikka vieraisilla kaverin luona jonka WiFi tulee operaattorin Y kautta, perinteisen portin 25 käyttöä varten olisi pakko muuttaa vierailun ajaksi sähköpostin lähetysasetukset operaattorin Y mukaisiksi, mutta jos käytät uudempia portteja, yhteyden operaattorin Y verkon läpi operaattorin X postipalvelimen porttiin 587 tai 465 pitäisi yleisesti ottaen onnistua.

Tuon portin 25 ulospäin rajoituksen tekemiseen on sitten kaksi vaihtoehtoa: jos operaattori katsoo että sähköpostiasiakkaat ovat yleisesti ottaen fiksuja, operaattori voi yksinkertaisesti sallia liikenteen portista 25 omaan julkiseen postin lähetyspalvelimeensa, ja torpata yhteydenottoyritykset kaikkiin muihin osoitteisiin porttiin 25 joko ICMP "Administratively Prohibited"-virheviestillä tai yksinkertaisesti heittämällä sellaiset paketit suoraan bittiroskikseen, jolloin yhteysyritys tahmaa aikansa ja sitten kuolee aikakatkaisuun kun vastausta ei kuulu.

Toinen, "tyhmille käyttäjille ystävällinen" vaihtoehto olisi sitten se, että kaikki asiakkaalta ulospäin lähtevä liikenne TCP-porttiin 25 pakotetaan yhteydentarjoajan omaan postipalvelimeen, oli asiakkaan määrittämä kohde-IP-osoite mikä hyvänsä. Tämä on meikäläisittäin viestintäsalaisuuden kannalta rumaa, mutta kannattaa tiedostaa että salaamatonta liikennettä käytettäessä mikään ei teknisesti estä yhteydentarjoajaa (tai vaikka yksittäistä nettikahvilaa) tekemästä näin jos sattuu huvittamaan.

 

[hsalonen]

Itse vaan spekuloin, että portit 80 , 433 ja 8080 voidaan sulkea operaattorien toimesta ihan sillä tekosyyllä, että estetään "tyhmiä käyttäjiä" tekemästä omia web-palvelimia. Käytännössähän nuo ovat HTTP, HTTPS ja vaihtoehtoinen HTTP/proxy.
Se, että operaattori olisi kiristänyt tietoturvapolitiikkaa yllättäen, asiakkaille ilmoittamatta kuulostaa ihan normaalilta toiminnalta ja todennäköisimmältä skenaariolta. Varsinkin 80, kun sitä ei enää suositella käytettäväksi, juuri tietoturvaongelmien takia.

--

Itse olen tosiaan koulutettu näihin, mutta siitä on niin paljon aikaa, että ei ole tuoretta tietoa. Tein kyllä SMTP-palvelimen harjoitustyönä porttiin 25. Silloin niin sai vielä tehdä, niin siitä on kauuuuuuaaaan..
Nykyisestä kiinnostuksesta kertoo se, että vielä en ole jaksanut konffata palvelinkokonaisuutta kotona vetämään samalla sisällöllä 80 ja 433..