Beste klant
Sinds kort is er een globale toename van cyber-incidenten. Meer en meer gaan cyber-criminelen wereldwijd gebruik maken van NTP (Network Time protocol) en DNS (Domain Name Systems) ‘amplification attacks’: http://www.us-cert.gov/ncas/alerts/TA14-017A
Ook de Nederlandse media maakte dit nieuws bekend:
– http://tweakers.net/nieuws/94309/nederlandse-ntp-servers-misbruikt-bij-grote-ddos-aanval-op-cloudflare.html
– http://www.ispam.nl/bedrijfsnieuws/38093/ddos-aanvallen-via-ntp-protocol-binnen-30-dagen-met-371-procent-toegenomen/
Cybercriminelen gaan op zoek naar kwetsbare computers/servers in een netwerk en gebruiken deze om een aanval uit te voeren. Sinds enkele maanden zien wij effectief dat het aantal aanvallen komende vanuit ons netwerk stijgt.
Edpnet is een provider die door de jaren heen altijd weigerachtig stond, en nog steeds staat, tegenover het blokkeren van poorten op haar netwerk. Maar door de toename van oa de amplification attacks, zien wij onszelf genoodzaakt om toch bepaalde protocols te blokkeren ter bescherming van de kwaliteit van ons netwerk en de algemene kwaliteit van uw surfervaring.
De poorten 53 (DNS) en 123 (NTP) zullen voortaan geblokkeerd worden. Mocht u over een vast IP-adres beschikken en u wenst toch om deze poorten geopend te laten, neem dan even contact met ons op. Wij kunnen dit op individuele basis aanpassen.
Indien u vragen heeft, aarzel dan niet om contact te nemen op het nummer 020 712 94 00.
Met vriendelijke groeten
Het edpnet helpdesk team
Dear customer
Recently there seems to be a significant increase of cyber-incidents. According to Cert, the federal cyber emergency team, the number of cyber-incidents in Belgium doubled in 2013 (https://www.cert.be/docs/number-cyber-incidents-belgium-doubled-2013).
More often cyber criminals use so-called amplification attacks that specifically abuse NTP (Network Time Protocol) and DNS (Domain Name Systems) servers: http://www.us-cert.gov/ncas/alerts/TA14-017A (for Belgium: https://www.cert.be/docs/dns-amplification-attacks-and-open-dns-resolvers). Cyber criminals search for vulnerable devices in a network which are used to initiate such attacks. We can confirm that we see a huge increase of such attacks on our network as well.
Edpnet has always been a provider reluctant to block ports on its network. But because of the increase of these attacks, we are now forced to start blocking certain protocols in order to protect the quality of our network, the internet and your surfing experience as a customer.
Therefore ports 53 (DNS) and 123 (NTP) will be blocked as from today. If you are using a fixed IP-address and you would like these ports to remain open, please contact us. We are able to make exceptions for fixed IP customers.
Do not hesitate to contact us on following number 03 265 67 00 if you should have questions left.
Customer-friendly regards
The edpnet helpdesk team
Closed / Issue /
Dear customers,
Our DNS servers are currently being used in a DNS amplification attack. Our NOC is currently doing its best to block off as much as possible.
You may have issues reaching some websites during this attack. It’s best to retry again when a lookup fails.
We apologize for the inconvenience.
Closed / Maintenance /
Om de laatste stap in het verbeteren van onze mailservers uit te voeren hebben we een onderhoud gepland op 16 maart, rond 01:00.
Betreft: E-mails
Onderhoudstijdstip: 01:00 – 02:00
Duurtijd: 1 uur
Gedurende dit onderhoud zullen onze mailservers niet bereikbaar zijn. Uw e-mails zullen niet verloren gaan.
Wij excuseren ons voor het ongemak.
Closed /
Maintenance has been concluded. All systems back online.
In order to execute the final step in improving our mail servers, we have planned a scheduled maintenance on the 16th of March, at 01:00 CET.
Affected services: E-Mail
Maintenance window: 01:00 – 02:00 CET
Downtime: 1 hour
During the maintenance our mail servers will not be reachable. Your emails will not be lost.
We apologize for any inconvenience.
Closed /
A fiber cut in London and a planned maintenace in Rotterdam cause internet connectivity issues. We try to resolve these as soon as possible. Sorry for the inconvenience.
Update 0:45
The maintenance could take up to 6 hours, and is not under control of edpnet.
Update 1:07
London doesn’t seem to be a fiber cut after all, but an emergency maintenance, but it could also take several hours.
Update 3:23
Traffic restored.
Recent heeft de fabrikant van de FRITZ!Box modems, AVM, een firmware update uitgebracht naar aanleiding van gerapporteerde aanvallen van hackers op dit type toestel. Hackers zouden op die manier via uw nummer kunnen bellen. Zowel in Duitsland, het thuisland van AVM, als in Nederland, waar oa de ISP XS4ALL ook de FRITZ!Box modems aanbiedt, waren er problemen gemeld.
Ondertussen communiceerde AVM dat ze samenwerken met opsporingsautoriteiten om de daders te achterhalen. Met nieuwe firmware moeten verdere aanvallen voorkomen worden. De getraceerde aanvallen betroffen alle modellen, en intussen heeft AVM een upgrade voorzien voor meer dan 40 modellen die ze verdelen (http://www.avm.de/en/Sicherheit/update_list.html).
Uiteraard moet edpnet ook u als FRITZ!Box gebruiker beschermen. Wij hebben intussen zelf ook meldingen van klanten met een FRITZ!Box modem die verdachte activiteiten hebben opgemerkt. Daarom raden wij u ten stelligste aan om zo snel als mogelijk deze upgrade uit te voeren.
Hoe u de firmware upgrade op uw modem opstart, wordt u hier heel eenvoudig uitgelegd (in het Engels): http://www.avm.de/de/Service/FRITZ_Clips/start_clip.php?clip=fritz_clip_firmware_update_en
Recently the German manufacturer AVM released a firmware upgrade for their FRITZ!Box modems because of reported hacking attempts on this type of modems. Hackers could break into the modem and call via the customer’s VoIP number. AVM confirmed reported cases in Germany and in The Netherlands.
Meanwhile AVM communicated that they collaborate closely with the authorities to catch the hackers. A new firmware upgrade should do the trick to block future hacking attempts. The reported cases concerned all models and AVM provided an upgrade for over more than 40 distributed models (http://www.avm.de/en/Sicherheit/update_list.html).
Edpnet needs to protect her FRITZ!Box users as well. We can confirm that we received some complaints of customers who noticed something ‘abnormal’. Therefor we insist on executing the firmware upgrade as soon as possible. All FRITZ!BOX users will receive a ticket with the necessary instructions.
If you do not want to wait for this ticket, please find an online explanation how to start up this firmware upgrade via http://www.avm.de/de/Service/FRITZ_Clips/start_clip.php?clip=fritz_clip_firmware_update_en
Closed / Issue /
Update 15:25We have restarted our systems, everything is back up and running. We are looking into the cause with our supplier.
Dear customers,
Since 2:30 we are having a problem with Voip and SIP trunks, including our own telephone systems. We are currently not or difficult to reach via telephone.
Our network team is currently trying to resolve this issue as soon as possible.
More news will follow.
Issue / Solved / Update /
Update 18/02/2014 – 14u00Spamhaus reageert (nog) niet op onze tickets en mails, maar ze reageerde deze middag wel op Twitter. Wij hebben momenteel nog geen officiële bevestiging via email van Spamhaus dat we gedeblokkeerd zijn, maar het lijkt er op dat onze range is vrijgegeven. We zien online ook op
http://www.spamhaus.org/sbl/latest/ dat we een GO hebben gekregen. Enkele van onze eerste testmails lijken te lukken, andere dan weer (nog) niet. Wij blijven verder testen en wij adviseren u om dat ook te doen. Het kan enkele uren duren vooraleer het internet volledig up to date is van het vrijgeven van onze IP range. Van zodra Spamhaus naar ons officieel communiceert, zullen wij onze blog terug een update geven.
Update 18/02/2014 – 10u30
1 spam listing/melding dient door Spamhaus nog bevestigd te worden. Na bevestiging zal Spamhaus (van zodra zij dat effectief ook willen doen) onze volledig IP range deblokkeren. Zoals reeds gezegd, blokkeert Spamhaus volledige IP ranges van providers in plaats van het specifieke range of IP-adres van de spammer zelf. Blokkering van een volledige IP range van een ISP is een zeer drastische maatregel, maar als een onafhankelijke organisatie kunnen zij zelf de regels en procedures bepalen. Hierdoor hebben zij vaak providers soms ongewild in een wurggreep. Desondanks hebben wij steeds een goede communicatie/verstandhouding met Spamhaus. Onze excuses voor de ongemakken.
Update 17/02/2014 – 16h47
12 individuele Spamhaus vermeldingen zijn geblokkeerd. 8 daarvan zijn bevestigd door Spamhaus. We wachten voor de laatste 4 vermeldingen om door Spamhaus erkend te worden waarna we hopen dat Spamhaus onze volledige reeks zal deblokkeren.
Beste klant
Spamhaus.org heeft onze IP ranges geblokkeerd omwille van 2 klanten die blijkbaar spam uitstuurden. Intussen heeft ons Network Operations Team beide klanten zelf geblokkeerd. Momenteel zal u problemen ondervinden in het versturen van emails naar personen die Spamhaus.org gebruiken als spamfilter.
Enige tijd geleden hadden we gecommuniceerd dat Spamhaus.org steeds drastische maatregelen neemt, nl. het blokkeren van volledige IP-ranges ipv de specifieke spammende IP-adressen.
Als ISP willen we trafiek niet filteren en laten we onze klanten met vast IP-adres toe om hun eigen mail servers te hebben. We kunnen proberen om op een pro-actieve manier trafiek te checken op mogelijk misbruik, en we hebben nze policy ivm trafiek-filtering reeds verscherpt omwille van gelijkaardige problemen in het verleden. Bovendien hebben we poort 25 gesloten voor onze klanten met dynamisch IP-adres om misbruik en spam te voorkomen. Edpnet implementeerde zelfs een Cisco Iron Port mail systeem om spam tot het minimum te herleiden.
Ons Network Operations Team is in contact met Spamhaus.org om onze IP-ranges zo snel als mogelijk ge-deblokkeerd te krijgen.