A konzumer OS windows egy vastag OS erős hardverrel. A mostanában gombanód szaporodó IoT és Home automation eszközök viszont vékony hardvereken működnek. A rendszerük vagy egyedi light rendszer például 8bites IoT eszközökön, nagyobb testvéreknél valamilyen linux általában de nem mindegyiknek van külön tűzfala. És ez nem is várható el a jövőben.
Belátható időn belül nem várható, hogy a gyorsan terjedő IoT és társai eszközök mind biztonságosak legyenek saját tűzfallal. A terjedésükkel a probléma csak nőni fog a jövőben. Tehát valós védelmet a ház internetes kapujaként működő router jelent. Így IPv6-on nat nélkül UPnP IGD v2 kell. A probléma abból eredhet, hogy az automatikusan kezelt tűzfalnyitások nincsenek kellően korlátozva, és ez nem kívánt hozzáférést biztosíthat a hálózaton belüli eszközökhöz.
Lássuk a kockázatokat!
Egy slendriánul megírt alkalmazás könnyen létrehozhat túlzottan széleskörű szabályokat, például az egész hálózatot elérhetővé teheti külső kapcsolatok számára.
Egy támadó is kihasználhatja a rosszul implementált UPnP-t, hogy saját céljaira nyisson portokat.
Ha egy eszköz (pl. okosTévé, IoT-eszköz) sérülékeny, az automatikus tűzfalszabályok kinyithatják ezeket a támadók számára.
Ahogy írtam, az ilyen eszközöket gyakran nem frissítik és könnyen kompromittálhatók.
További probléma forrása lehet a hiányos ellenőrzés. Ha nincs megfelelő naplózás vagy szabályozás, a hálózati adminisztrátor nem biztos, hogy tisztában van az automatikusan létrehozott szabályokkal.
Sok routeren nincs lehetőség arra, hogy finomhangoljuk, milyen alkalmazások használhatják a UPnP-t.
Újra kiemelem, nem várható el egy otthoni felhasználótól, hogy hálózati szakember kompetenciájával konfigurálja a routerét. De igénye van arra, hogy a megszokott alkalmazásai működjenek teljes funkcionalitásukkal. Ha ehhez portot kell nyitni akkor azt oldja meg biztonságosan az alkalmazás maga. Erre IPv4 és NAT kombóban kialakult egy széles körben alkalmazott gyakorlat ami eléggé jó és biztonságos, hogy az otthoni igényeket kielégítse, sőt még soho igényeket is.