Namninsamling: Tvinga Comhem öppna port 548 för AFP

Tråden skapades och har fått 226 svar. Det senaste inlägget skrevs .

Vi är "några stycken" som morrar över att våra ISP har behagat stänga ner port 548 för utgående trafik, i mitt fall, med ComHem som ISP, med den föga upplysande motiveringen "av säkerhetsskäl". Jag kan acceptera att man av just säkerhetsskäl väljer att stänga vissa portar, ex.vis 25 som regelmässigt är stängd för att försöka hantera spamfloden, men jag tycker generellt illa om inskränkningar som baseras på löst tyckande, total okunskap, fördomar och moraliska hänsynstaganden.

Det är ju t.o.m. så att samma ISP kan tillåta trafik genom port 548 i en fastighet, men inte i en annan. I ComHems fall är det än mer skrattretande när det visar sig att i just en av de fastigheter som ursprungligen skulle ha den förmenta säkerhetsluckan har öppen port 548, samtidigt som fastigheter som aldrig ens varit i närheten av samma säkerhetslucka, inte tillåter utgående trafik genom port 548.

Jag tror mig förstå att det kanske inte längre finns någon reell säkerhetsrisk förknippad med att ha 548 öppen, men jag vet inte. Finns det någon av oss som med bestämdhet vet, eller som vet vad det finns för dokumentation "out there". Visar det sig att det är fördomar, okunskap och missriktad moralitet som ligger bakom den stängda port 548, vill jag ta detta vidare - föra det till en offentlig diskussion där ISP tvingas ta ställning till det förmenta kontra det verkliga hotet.

Är det fler som är intresserade av att se till att 548 fungerar, så att vi kan nå disk.mac.se via AFP?

Det har ingen reell betydelse att den är spärrad det går lätt att ta sig förbi med olika lösningar.

Ursprungligen av Mattias Hedman:

Det har ingen reell betydelse att den är spärrad det går lätt att ta sig förbi med olika lösningar.

Alla tips är välkomna! Jag har försökt byta port till 1500 men det fick jag inte att fungera.

Ursprungligen av Björnström:

Alla tips är välkomna! Jag har försökt byta port till 1500 men det fick jag inte att fungera.

Varför inte köra via VPN eller SSH? Då behöver du inte ens ändra port numret och går förbi ISPs spärr. På köpet får du en krypterad AFP linje!

Jag kan ansluta mig till skaran som inte kan använda port 548...
Mycket intresserad av en lösning.
En skum detalj är ju att björnström använder comhem men har port 548 öppen!!!

En ssh-tunnel borde väl lösa detta?

Tanken är ju att detta ska vara väldigt enkelt att ansluta, helst bara droppa filen på en mapp i dockan så ligger allt online. Anslutning via VPN kan ju få lite andra konsekvenser också - som att folk surfar via får lina i racket.

Hur löser man det via SSH? Man tillåter alla användare att logga in via SSH?

Ursprungligen av Björnström:

Tanken är ju att detta ska vara väldigt enkelt att ansluta, helst bara droppa filen på en mapp i dockan så ligger allt online. Anslutning via VPN kan ju få lite andra konsekvenser också - som att folk surfar via får lina i racket.

Hur löser man det via SSH? Man tillåter alla användare att logga in via SSH?

Välj Anslut i VPN symbolen i menyraden, sedan kan folk dra sina filer direkt till mappen i dockan. Detta förutsätter att man använder Apples inbyggda VPN klient (t.ex. IPSec). Kryssa bort "Skicka all trafik över VPN-trafik" samt att inte erbjuda internet trafik genom VPN gör att folk surfar via deras egen ISP och kan samtidigt lägga sina filer hos er".

Över SSH vet jag inte, någon annan kanske kan svara på det.

Ursprungligen av The Real Viking:

Välj Anslut i VPN symbolen i menyraden, sedan kan folk dra sina filer direkt till mappen i dockan. Detta förutsätter att man använder Apples inbyggda VPN klient (t.ex. IPSec). Kryssa bort "Skicka all trafik över VPN-trafik" samt att inte erbjuda internet trafik genom VPN gör att folk surfar via deras egen ISP och kan samtidigt lägga sina filer hos er".

Över SSH vet jag inte, någon annan kanske kan svara på det.

Med tanke på att många inte förstår hur man lägger till IMAP konton i Apple Mail kommer ovanstående lösning framstå som raketforskning. "Måste jag ansluta till VPN för att kunna spara bilderna på min dotter?".

ComHem erkänner glatt och villigt att de spärrar 548. PC-teknikerna tror ju att alla Mac användare är någon sorts alien varelser som bara väntar på att för ta över IT-världen. De vet i regel inte vad de pratar om har jag upptäckt. På följande sätt lyckades jag få en av dem att fatta vad jag ville och hur urbota dumt det är att behålla blockeringen;

"Jag bankar på en dörr som det står WC på - jag vill in och sk-t-, men någon igidot har låst dörren, bara för att det gick att sk-t- i papperskorgen åxå. Jag vill att Ni låser upp dörren - papperskorgen är ju borttagen sedan femton år tillbaka och då behöver Ni ju inte ha dörren låst längre - capishe?"

Den springande punkten är - finns det tekniska skäl till att ha 548 blockerad? Jag advokerar att det saknas tekniska skäl i dag att bibehålla blockeringen - det är bara "storebrorsfasoner".

Det finns en man på ComHem som heter xxxxx och är teknisk direktör - jag har skickat frågan till honom i morse. "xxxxx" ska än så länge inte behöva utsättas för mailbombning för att jag släppt hans namn, det kan vi väl spara till nästa steg i upptrappningen.

Ja, jag vet att det finns lösningar, men den ursprungliga lösningen med AFP on TCP genom port 548, är så enkel och elegant att min gamla morsa skulle klara den. Jag tror tyvärr att det måste ligga på den nivån för att lösningen ska få ordentligt genomslag.

Jag har fått svar från ComHem och denna gång är det inte "Goddag yxskaft";

" ... Jag ber att få återkomma med svar inom ett par dagar efter koll om vi har anledning att ompröva beslutet om port 548."

Jag kan bara tolka svaret så att mina argument är "vägda och befunna äga tyngd". Om det sedan i förlängningen leder till en öppning av 548, eller inte, undandrar sig min bedömning, men jag har i alla fall fått ett svar som indikerar att "någon" lyssnar och reflekterar.

Jag har samma problem (och j-vla Combort vägrar erkänna att de blockerat port 548 för mig) och har testat att köra via egen VPN vilket funkar bra, men enklast var att använda MacFUSE och sshfs.

http://code.google.com/p/macfuse/

  • Medlem
  • 2007-08-28 09:48

Jag har fått information från ComHems kundtjänst att man "filtrerar" inkommande trafik på port 548 p.g.a. "säkerhetsskäl". Någon ytterligare information fick jag inte utan blev hänvisad till den "systemansvarige" på huvudkontoret, som jag än så länge inte har haft tid att kontakta.

Det är glädjande att du har fått svar och att de skall återkomma i frågan.

/Niklas

Skriv ett öppet brev här på forumet och skicka en länk till informationsdirektören + ett vanligt skrivet brev med samma information.
Tryck på icke existerande säkerhetsproblem och okunskap om tekniken. Det finns ju trots allt inga kända säkerhetsproblem med AFP sedan 6-7 år. Förr i tiden skickades användare och lösenord i klartext, men man vad skulle man använda det till i andra sammanhang?
Be också ComHem att hänvisa till den paragraf i avtalet som ger dem rätt att stänga port 548 och koppla den avtalstexten till beslutsgrunden. "- Vi vet inget om AFP, alltså stänger vi av det", duger inte.

Ignorerar de detta, kan man ju alltid tipsa MacWorld/IDG. Där lär ju ComHems teknikpersonal tillbringa större delen av sin arbetsid.

Jo, jag hade väl tänkt mig den eskaleringsmodellen - på ett ungefär. Just nu tycker jag mig dock vara lyssnad på, om än motvilligt och lite under galgen ( "Vi kommer ju annars att 'rösta med fötterna' och söka alternativa ISPs" ).

Jag drar mig dock inte för att ta till släggan om ComHem trilskas; Fördomar mot Mac, teknisk okunskap, illvilja, prestige, förmynderi och ibland rent moraliserande ståndpunkter har inte i ett öppet samhälle att göra. Om "säkerhetsskäl" ska gälla, borde väl rimligtvis hela nätet stängas ner - börja med spammarna och porrsajterna.

Min tanke är att låta kontakten på ComHem ( som sitter tillräckligt högt upp för att kunna göra skillnad ) göra sin genomgång, varefter jag gör ett försök till att argumentera -om- de inte häver blockaden, sedan tänker jag släppa alla hämningar och "go for the jugular". Får vi bara ComHem att häva blockaden, kan detta användas som argument för alla andra ISP som har "handen i burken".

Spännande läsning

VILLKOR FÖR PRIVAT ABONNEMANG PÅ ComHems TJÄNSTER OCH TILLHÖRANDE UTRUSTNING
C. SÄRSKILDA VILLKOR FÖR BREDBANDSTJÄNST
...
C 1.5 Com Hem har rätt att, om det krävs av tekniska, säkerhets-, driftsmässiga eller rättsliga skäl, ändra e-postadresser eller adress till hemsidor som ingår i Bredbandstjänsten, begränsa tillgången till tjänsten, eller det tekniska utrymmet för lagring av material för hemsidor, eller av in- eller utgående e-post. Com Hem har även rätt att tillfälligt begränsa eller stänga av abonnemanget om tekniska eller rättsliga omständigheter eller säkerhetsskäl gör detta nödvändigt.
...

Lite av en gummiparagraf är det allt, men i huvudsak måste det finnas en påtaglig anledning till portblockad. Blockad av TCP25 är "driftsmässigt" betingat, men blockad av TCP548, när 'hotet' inte längre finns? Kvalificerad inkompetens är väl en ganska träffsäker diagnos.

Ursprungligen av leonardo:

VILLKOR FÖR PRIVAT ABONNEMANG PÅ ComHems TJÄNSTER OCH TILLHÖRANDE UTRUSTNING
C. SÄRSKILDA VILLKOR FÖR BREDBANDSTJÄNST
...
C 1.5 Com Hem har rätt att, om det krävs av tekniska, säkerhets-, driftsmässiga eller rättsliga skäl, ändra e-postadresser eller adress till hemsidor som ingår i Bredbandstjänsten, begränsa tillgången till tjänsten, eller det tekniska utrymmet för lagring av material för hemsidor, eller av in- eller utgående e-post. Com Hem har även rätt att tillfälligt begränsa eller stänga av abonnemanget om tekniska eller rättsliga omständigheter eller säkerhetsskäl gör detta nödvändigt.
...

Lite av en gummiparagraf är det allt, men i huvudsak måste det finnas en påtaglig anledning till portblockad. Blockad av TCP25 är "driftsmässigt" betingat, men blockad av TCP548, när 'hotet' inte längre finns? Kvalificerad inkompetens är väl en ganska träffsäker diagnos.

Så bra!
Be dem då att förklara vilka tekniska, säkerhets-, driftsmässiga eller rättsliga skäl som föreligger. De kommer inte att hitta några och då bryter de sitt eget avtal.

Ursprungligen av Johan Gunverth:

Det finns ju trots allt inga kända säkerhetsproblem med AFP sedan 6-7 år. Förr i tiden skickades användare och lösenord i klartext, men man vad skulle man använda det till i andra sammanhang?

Minns jag rätt (vilket jag inte är helt säker på) var det inte ens av någon sådan anledning Comhem spärrade port 548. En del av deras utrustning körde ÄppelPrat, vilket resulterade i att en del kunder som körde Mac fick upp grannarnas Macar under Nätverk i Finder, vilket fick Comhem att dra i nödbromsen och spärra porten AFP använder istället för att ställa in sitt nätverk på ett korrekt sätt.

  • Medlem
  • Helsingborg
  • 2007-08-28 17:26

Pratade just med en tjej på ComHem supporten och varken hon eller hennes teamleader hade någon aning, dom hade svårt att förstå vad AFP i sig var och verkade inte ha speciellt bra koll på varför andra portar (25..) var blockerad heller.

Hon skulle gå vidare till "nivå 2" och återkomma till mig via mail i morgon.

  • Medlem
  • Stockholm
  • 2007-08-28 18:36

Jag skulle gissa att AFP filtreras av samma anledningar som SMB / CIFS (windows fildelning),
dvs för att klåpare inte ska kunna ringa aftobladet och säga:

"Kolla, alla på internet verkar komma åt min utdelade disk (utan lösenord)"
Och så kan Aftonbladet göra en artikelserie över hur dålig / farlig en viss leverantörs internet access är...

Tyvärr så drabbar det folk som vill testa / köra server etc

Ursprungligen av swede:

Tyvärr så drabbar det folk som vill testa / köra server etc

Och även "vanligt" folk som t.ex en lärare som vill kunna ansluta till sin personalmapp hemifrån. Nu vet jag varför hon inte lyckas, för hon har ComHem som leverantör.

Ursprungligen av swede:

Jag skulle gissa att AFP filtreras av samma anledningar som SMB / CIFS (windows fildelning),
dvs för att klåpare inte ska kunna ringa aftobladet och säga:

"Kolla, alla på internet verkar komma åt min utdelade disk (utan lösenord)"
Och så kan Aftonbladet göra en artikelserie över hur dålig / farlig en viss leverantörs internet access är...

Tyvärr så drabbar det folk som vill testa / köra server etc

Och det var exakt en sådan händelse som fick dem att spärra AFP och SMB. Jag har bråkat länge med Comhem om detta men de har inte ens erkänt för mig att de har någon som helst portspärr. Och trots flera löften om att "kolla upp och ringa tillbaka" så har jag aldrig hört av någon på Comhem. Anledningen är väl att jag är tidigare UPC-kund. Då funkade AFP hur bra som helst, men när Comhem tog över spärrade de utan någon som helst motivering eller förvarning. Därmed har jag rätt att häva avtalet med dem vilket de säkert inte vill.

Nu har jag lagt den här historien åt sidan för vi håller på skaffa riktigt fetband i vår förening och när det väl är på plats ska Comhem få fara hädan till varmare nejder.

Om sex dygn kommer Domartornet No1 formellt att överta fastigheterna som vi bor i. En av de första sakerna som därefter kommer upp på agendan är installation av 24/24 Mbps fiber till alla lägenheter i föreningen. Enda sättet för ComHem att kontra detta är att redan före en sådan diskussion bete sig fom de borde = ta upp "handen ur burken".

Tips på någon vettig leverantör - någon?

  • Medlem
  • Helsingborg
  • 2007-08-28 20:44

Har redan fått svar av comhem!

Ja vi har stängt port 548 tillsvidare av flera olika skäl bland annat skrivningar i pressen om att Com Hem underlättar för hackare och en enorm kundpåstötning om att vi ska stänga porten. Sen är det även för att det faktiskt går att komma åt andra datorer via Com Hems nät med hjälp av protokollet. Det pågår däremot en utredning huruvida möjligheten att nyttja Apple Filing Protocol eller inte ska finnas och vi kan i dagsläget inte svara på hur det slutar.

Samma mumbo-jumbo som tidigare. Korrekt konfiguration är tydligen inget man vill ta till. Jag avvaktar fortfarande vad min "centralt placerade kontakt" på ComHem kommer fram till.

Den ovan redovisade situation gällde för femton år sedan. Dagens nät ser helt annorlunda ut, men ingen vill tydligen inse att utveckling ägt rum. "It-journalist" blir man om man stava till Gates och vet hur en affekatze ser ur. Inte imponerad av deras framfart.

Fast det är ju inte konstigt att man kan ansluta till varandra. Om de skulle stänga port 548 på grund av att det råkar vara standardporten för AFP kan de ju stänga port 21 för att man kan ansluta till varandra med FTP. Att någon kopplar sin dator till modemet och sedan startar personlig fildelning är ju inte konstigare än att man startar en webbserver. Kanske lika bra att de blockerar port 80 när de ändå håller på.

  • Medlem
  • 2007-08-31 13:16

Jag kontaktade ComHem idag angående några frågor om digitalTV och då passade jag på att fråga om port 548 igen. Killen på kundtjänst skulle föra frågan vidare till deras tekniker för att få svar till mig.
Svaret kunde inte levereras till mig via epost utan är förmedlad via
kundtjänst på telefon.

Svar på frågan om varför port 548 är spärrad:
Port 548 är standardport för att utbyta filer mellan Macintosh-datorer. Orsaken till att de har spärrat porten är att man kan attackera denna port pga att den är på/öppen från början.
ComHem kan i dagsläget inte filtrera/spärra broadcast på port 548 och när media började skriva om detta, beslutade ComHem att spärra porten som en "snabbåtgärd".

Jag frågade också vem man skall kontakta för att föra denna diskussion vidare. Jag blev hänvisad till epost: kundservice@comhem.com

I alla Mac-datorer som jag har installerat under åren (minst 500 men antagligen över 1000) så har alla haft fildelning avslaget från början.

Enligt andra uppgifter som jag har fått, så tillåter Telia, TDC och Tele2 trafik på port 548 men de filtrerar broadcast, det innebär att man inte kan se sin grannes dator men man kan kommunicera om man vet IP.

Slutsats:
Comhem leker storebror för att deras kunder inte använder egen router/brandvägg eller har lösenord på sin dator om fildelning är påslaget.

Comhem bestraffar alla kunder pga brister i Comhems nätverk.

Det skall bli intressant att se svaret på Leonardos kontakt.

/Niklas

Senast redigerat 2007-08-31 14:38

Ja - vad ska man säga - förutom "Suck"?

De vet ju inte vad de snackar om. Det de beskriver är en teknisk situation c:a tio år bakåt i tiden. Det viktigast skälet till att stänga 548 var dock den uppebara bristen i själva protokollet AFP on AppleTalk, där ID/PW skickades i klartext över nätverket. Det var ju heller aldrig tänkt att AT skulle vara WAN, utan reserveras för LAN.

Jag har lovat min kontakt att inte "ruska på båten" innan han kommit tillbaka med ett besked, men jag har beredskap, kompetens och vilja att släpa fram denna dynga i ljuset. Vill de inte ta reson genom resonemang, så får de finna sig i att löpa gatlopp och bli till allmänt åtlöje - deras val.

Följande "svar" landade för någon timme sedan i min låda;

"Port TCP548 är mycket riktigt stängd och historien går tillbaka till den tid då fd UPC hette StjärnTVnätet och man lanserade den första kommersiella bredbandstjänsten. AppleTalk användes inte, men för att kunder som ovetandes delade ut hårddiskar och mappar skulle skyddas så infördes filter i modemen som spärrade fildelning över accessnätet både på PC och MAC. Denna policy har tyvärr behövt bibehållas då ibland media (i mer eller mindre korrekta artiklar http://macworld.idg.se/2.1038/1.79294) påstår sig hitta "säkerhetsluckor" i bredbandstjänsten.

Anledningen att tjänsten ändå kan te sig olika i olika delar av nätet beror på att vi efter köpet av UPC ännu inte helt samordnat våra tekniska system för utdelning av IP-adresser. Detta kommer dock att göras under hösten och i samband med detta ser vi också över portfiltreringen. Jag kan alltså inte i detta läge lova att Port 548 kommer att öppnas, utan det kommande systemarbetet får utvisa om det är möjligt med bibehållen rimlig säkerhetsnivå."

Inte riktigt "Goddag yxskaft", utan snarare "Detta begriper inte Du". Rätt eller fel? Jag vet inte, men det är den känslan jag får. Försiktiga sonderingar via andra kanaler in i ComHem ger vid handen att de av politiska skäl aldrig kommer att ompröva blockaden av port 548.

Det känns fel att avvakta med vidare årgärder i avvaktan på "det kommande systemarbetet", samtidigt som jag inte har någon lust att bränna broar i onödan.

Talk to me Brother - what do we do?

Ursprungligen av leonardo:

Anledningen att tjänsten ändå kan te sig olika i olika delar av nätet beror på att vi efter köpet av UPC ännu inte helt samordnat våra tekniska system för utdelning av IP-adresser. Detta kommer dock att göras under hösten och i samband med detta ser vi också över portfiltreringen. Jag kan alltså inte i detta läge lova att Port 548 kommer att öppnas, utan det kommande systemarbetet får utvisa om det är möjligt med bibehållen rimlig säkerhetsnivå.

Så med andra ord kommer jag troligen bli av med iDisk-möjligheten till hösten? Tack för det ComHem!

Bevaka tråden