Danske fiberkunder kunne se hinandens printere på nettet i 1 år

En forkert opsætning gjorde det muligt for kunderne hos fiberselskabet SE at se hinandens lokalnetværk. Fejlen stod på i op til et år.

Internetkunder hos SE - det tidligere Syd Energi - har igennem længere tid kunnet få adgang til andre kunders printere og andre netværksenheder.

Det bekræfter SE, som to dage efter Version2’s henvendelse fik lukket hullet. Tidligere har også kunder gjort selskabet opmærksom på problemet.

»Vi fik nogle kundehenvendelser i starten af marts og begyndte at fejlsøge. Det viste sig, at vores NAT har været grupperet i nogle aggregeringsringe, og nede bag dem har nogle kunder haft mulighed for at se hinandens printere,« forklarer Michael Lund Jensen, teknisk chef hos SE, til Version2.

NAT (Network Address Translation) er en teknologi, som gør det muligt at dele en IP-adresse, og da IP-adresser i dag er en mangelvare inden for IPv4-standarden, må de fleste kunder dele. Det er så altså sket i grupper, som har fungeret som et lokalnetværk.

Kigget fra kunde til kunde blev stoppet ved at begrænse adgangen mellem de forskellige brugere af knudepunkterne i SE’s net.

»Vi lukkede hullet ved at lægge access-lister på aggregeringsrouterne. Nu giver de ikke adgang til, at man kan se hinanden, så alle har deres eget lokale netværk op til routeren,« siger Michael Lund Jensen til Version2.

Kunne se 300 enheder hos andre

Hvor mange kunder, der blev ramt af fejlen, er ikke opklaret. Men det har været ’begrænset’, vurderer SE.

Kun et par kunder har henvendt sig, men en af dem kunne efter en skanning se omkring 300 enheder fra andre kunder, blandt andet printere.

»Det svarer lidt til, at man har en offentlig IP-adresse og har været koblet direkte på internettet. Så kan netværksudstyr også give sig til kende på netværket,« siger Michael Lund Jensen, der beklager fejlen.

»Vi har lavet en fejl, som gjorde, at man kunne se hinandens netværk. Det er ikke hensigten, at man skal kunne det,« siger han.

Hullet åbent i op til et år

Konsekvenserne har ikke været alvorlige, men har en netværksprinter for eksempel ikke været beskyttet af kodeord, vil andre på samme lokale netværk for eksempel kunne have ændret indstillingerne eller printet fra den.

»Netværksprintere har ikke en voldsom god sikkerhed - de giver sig til kende på nettet. Så man skal sikre sig at have kodeord på,« råder han.

Hvor længe, problemet har stået på, ved SE ikke præcist. Opsætningen af NAT-4-4-routeren skete for omkring et år siden, så hullet har sandsynligvis været åbent siden da.

»Måske har der været en fejl i konfigurationen fra dag ét. Men vi har kørt test i begyndelsen, og koblede så efterhånden kunder på. I lang tid var der ikke ret mange kunder på,« forklarer Michael Lund Jensen til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Thomas Hedberg

"da IP-adresser i dag er en mangelvare inden for IPv4-standarden, må de fleste kunder dele."

Jeg må have været meget priviligeret for jeg har da aldrig nogensinde været ude for at dele en IP adresse med andre kunder - Er ovenstående virkeligt normalt hos nogle udbydere?

  • 0
  • 0
#4 Henrik Kramselund Jereminsen Blogger

Jeg må have været meget priviligeret for jeg har da aldrig nogensinde været ude for at dele en IP adresse med andre kunder - Er ovenstående virkeligt normalt hos nogle udbydere?

Ja, det er på vej til at blive helt normalt, og det er ikke specielt ønskværdigt. Hvis du starter en ISP (LIR) i RIPE regionen får du max en /22 som er ca. 1000 adresser, og det når man ikke langt med.

  • 0
  • 0
#5 Christian Nobel

Selv om man har en CG IP, så er der vel ikke noget til hinder for efterfølgende at have en NAT router.

Så bliver det ret svært at se printerne.

Men lad os så snart få noget IP-V6 - men måske udbyderne slet ikke er så glade for det, for så vil det jo være ret naturligt at kunderne har faste IP adresser, og det vil udbyderne jo gerne have penge for.

@Henrik - en helt anden ting, hvordan håndteres det at sende mails i forbindelse med overgangen fra IP-V4 til IP-V6?

  • 1
  • 0
#6 Peter Makholm Blogger

@Henrik - en helt anden ting, hvordan håndteres det at sende mails i forbindelse med overgangen fra IP-V4 til IP-V6?

Hvis ens udgående mailserver ikke både har IPv4-adgang og IPv6-adgang så kommer man nok i en periode til at have behov for at sætte den op til automatisk at sende noget mail videre til en relayhost med den manglende mulighed.

Lige netop med mail er det ikke så stort et problem fordi SMTP fra begyndelsen er baseret på en 'store and forward' protokol hvor man bare kan sende mailen til en man tror har bedre muligheder for at aflevere den.

En (ny) udbyder vil nok gøre klogt i at afsætte en af de få tilgængelige IPv4 adresser til udgående mail. - og så iøvrigt anbefale kunder at bruge udbyderens udgående mailserver med mindre man selv er kompetent nok.

  • 0
  • 0
#7 Christian Nobel

Men det betyder vel også at man i lang tid vil være nødt til at bibeholde begge dele.

Jeg er udmærket klar over at mail nok ikke er den sværeste øvelse, men jeg kan jo stadig ikke bare sige, at nu går jeg helhjertet over på IP-V6 vognen, for jeg ved jo ikke hvad der er i den anden ende - så hvordan tackles den?

Skal man checke om modpartens mailserver svarer på IP-V6, og hvis ikke, enten sende som IP-V4, eller lave forward via en IP-V6-->4 relay, eller hur?

Og hvad når vi går den anden vej, hvis jeg konsekvent er gået over til IP-V6?

  • 0
  • 0
#8 Peter Makholm Blogger

Hvis ens udgående mailserver ikke både har IPv4-adgang og IPv6-adgang så kommer man nok i en periode til at have behov for at sætte den op til automatisk at sende noget mail videre til en relayhost med den manglende mulighed.

Og for indgående mail bør man nok have en MX record med lavere prioritet som peger på en server der er tilgængelig på den protokol som man ikke selv kan understøtte.

  • 0
  • 0
#9 Peter Makholm Blogger

Skal man checke om modpartens mailserver svarer på IP-V6, og hvis ikke, enten sende som IP-V4, eller lave forward via en IP-V6-->4 relay, eller hur?

Netop.

Tjekket for om modtageren understøttter IPv6 er bare at slå op i DNS. Det vil sige slå op efter MX records for domænet og dernæst slå op en mx'erne har AAAA records (og/eller A) records. Det er helt på samme måde som det foregår i dag.

Problemet kommer hvis man selv er IPv6 only og modtagerens mx'ere kun har A records (eller omvendt). Så bliver man nødt til at sende til et mailrelay som er dual-stacked. Endnu burde de fleste udbydere kunne tilbyde det.

Jeg sender og modtager allerede en del mail via IPv6, for eksempel bliver alt mail til gmail.com sendt via IPv6. Men jeg tror ikke at jeg er stødt på en IPv6 only modtager endnu. Nogen der kender en test-server der er sat sådan op? Ellers kunen det måske være værd at prøve at sætte op hvis man kan lave noget brugbart uden at blive spam-central.

  • 0
  • 0
#10 Henrik Kramselund Jereminsen Blogger

Skal man checke om modpartens mailserver svarer på IP-V6, og hvis ikke, enten sende som IP-V4, eller lave forward via en IP-V6-->4 relay, eller hur?

Det mest almindelige er at have postservere med dual-stack, eller have nogle med IPv4 og nogle med IPv6.

Altså noget i stil med:

hoshlk@katana:hlk$ host -t mx kramse.org  
kramse.org mail is handled by 10 mail.kramse.org.  
kramse.org mail is handled by 10 mail.kramse.dk.

Hvor der til disse er tilhørende A og AAAA (quad A records):

hlk@katana:hlk$ host mail.kramse.org  
mail.kramse.org has address 91.102.91.22  
mail.kramse.org has IPv6 address 2a02:9d0:3000:1::216  
hlk@katana:hlk$ host mail.kramse.dk  
mail.kramse.dk has address 91.102.91.22  
mail.kramse.dk has IPv6 address 2a02:9d0:3000:1::216

Der er ingen grund til at gøre det sværere, og du burde kunne finde et sted at sætte din email server, og du kan så selv vælge at hente med IPv4 eller IPv6 som du lyster bagefter :-) Hvis du vil undersøge hvad der sker hvis man har et mix af IPv4 og IPv6 på diverse prioriteter, så check evt. Postfix sourcen som har haft IPv6 siden 2007 lader det til. http://www.postfix.org/IPV6_README.html :-)

Jeg får en del email via IPv6 og kan huske tidligere at have set gode statistikker for det. Det virker glimrende og kan have været igennem en række mailservere, nogle med IPv4 og nogle med IPv6.

  • 0
  • 0
Log ind eller Opret konto for at kommentere