UPNP - Szerintetek?

Linux-haladó

Sziasztok!

Van egy Debian rendszerem, ezen keresztül oldom meg az Internet hozzáférést...

Öcsém előállt egy kéréssel, hogy valamilyen játék cheat-ellenőrző programjának nyitni kellene egy portot.
Ok, adja meg a portszámot és beállítom rá a port forwardot...
...de eleddig úgy fest, hogy ez a hü**e program csak UPNP használatával tud boldogulni.

Látom, hogy elvileg a linux-igd csomag megoldaná a program gondját, de mindig ódzkodtam az
UPNP használatától - félek attól, hogy szükségtelen problémák forrása lehet...
...és nem tetszik az ötlet, hogy bármely gép automatikusan kérvényezhet portot,
amin majd jól azt csinál (a géppel), ami neki jólesik.

Nektek mi a véleményetek erről, mennyire szívesen használtok UPNP-t?
Én vagyok túlságosan "paranoid"?

Esetleg állítsak be egy VPN kapcsolatot virtuális interface-re és ezen fusson az UPNP daemon?

...vagy teljesen fölösleges az ellenérzésem ezzel szemben?

  • 8722 megtekintés

( NagyZ v | 2012. 05. 29., k – 23:49 )

loal :)

UPnP nem az ordogtol valo, tessek hasznalni. ha tamogatja a programja, akkor mehet NAT-PMP is (uTorrent pl tamogatja).

a NAT-PMP protokoll sokkal egyszerubb, mint az UPnP (en mar csak tudom, epp implementalom oket). sima porton, speci csomagok mennek;

ami biztonsagi problemat latok:
- ha szar a szoftver, a fel vilag tud portot nyitni befele
- ha szar a szoftver, buffer overflow lesz benne, akarmi

de ezeket a "ha szar a szoftver" szinte barmire rasuthetjuk, igy en nem nagyon felnek ettol. (NAT-PMPnel ki is tudod tuzfalani egyszeruen, hogy legyen meg egy reteg szuro, ne csak az sw)

Jó értem én, de, de, ez nem ilyen fából vaskarika dolog?
Nem azért találták ki a tűzfalat, mert nem bízunk a szoftverben, és ne tudjon portot nyitni? Erre most kitalálunk egy megoldást, hogy de mégis tudjon? Ekkor megszűnik a túzfal szerepe, és olyan mintha több gép egy hálózati interfészen osztozna. Vagy szamárságokat beszélek? Javítsatok ki.

Persze, connection state, 1024 alatti porton figyelő szolgáltatások védelme, meg ilyesmi. Szerintem UPNP-ről lazán kitilthatóak az 1024 alatti portok, és sok alkalmazás direkt random portot használ. Ha valahogy muszáj neki portot nyitni, akkor a tűzfal pont arra való, hogy azt az egyet beengedje.

--
joco voltam szevasz

így is nézhetjük a dolgot. Akkor vedd úgy a kritikámat, hogy a szar routerek ellen beszélek, ahol csak NAT-al lehet tűzfalat konfigolni. UPNP-vel meg pláne nem. A sok windows Pistike meg örül mint majom a farkának, hogy milyen jó ez az UPNP. Holott eddig volt jó kis nat tűzfaluk.

Nem azt mondom hogy az UPNP rossz. Hanem hogy mint minden technológiánál értő kezekkel kell hozzányúlni. Mivel pedig feltörekvőben van, ez statisztikailag azt fogja jelenteni, hogy a férgeknek jó táptalaj lesz.

Ha jól értem akkor ehhez elsősorban egy igen régi és bugos vaku kell.

"Flash Player always enforces the browser's same-origin policy. The same-origin policy is the foundation of browser security that prevents one site from stealing the data you have stored on another site. In areas where Flash Player provides functionality that is not covered by the same-origin policy or existing browser controls, Flash Player requires some form of opt-in by either the end user or data owner. This ensures that user data is protected at all times."

http://www.adobe.com/devnet/flashplatform/whitepapers/runtime-security…

Remélem nem értettem félre.

( Dwokfur v | 2012. 05. 30., sze – 03:47 )

Öcsi DMZ-be? Csak jól el legyen különítve.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( Fisher v | 2012. 05. 30., sze – 07:10 )

Nálam van UPNP és nyugodtan alszom :)

Mennyivel jobb ha automatikusan intézi a forwardot és aztán azt csinál amit akar, attól, hogy neked kell beállítanod a forwardot, aztán azt csinál amit akar? :D

Végül is otthonra elfogadható megoldás lenne a helyi tűzfal, csak ugye ott is a támogatottság a kérdés. Adódhatnak olyan rendszerek is, amikre ezt nehezebb összefabrikálni, mintha kézzel beállítanám a portokat. Az egész hálózatot kell védeni, nem csak 1 gépet.

De tegyük fel hogy windows-ra létezik olyan alternatív tűzfal, ami tudja ezt, és nem hagyja magát manipulálni. Mert ugye a windows tűzfalat a telepített programok is szokták manipulálni, egy féreg miért ne tenné?

Ahhoz szerintem elevált jog kell (ha meg xp akkor úgyis mindegy, xp alatt cmd scirptből konfigom a túzfalat :D :), ha meg az user elevált jogot ad valaminek amiről nem tudja hogy micsoda (vagy azt hiszi hogy tudja, hogy micsoda, de nem), akkor az user error, ami ellen a tűzfal se véd meg.

"De tegyük fel hogy windows-ra létezik olyan alternatív tűzfal, ami tudja ezt, és nem hagyja magát manipulálni. Mert ugye a windows tűzfalat a telepített programok is szokták manipulálni, egy féreg miért ne tenné?"
Ha van valaki olyan idiota, hogy a default rendszergazdajoggal var el barmilyen biztonsagot, arra mar nem is mondok semmit.

Valóban kicsit lekezelően fogalmaztam. Nem mondom, hogy nincsenek windows-ra local root exploitok, azt se hogy vannak. Ebbe a vitába nem szeretnék belefolyni. Csak azt mondom, hogy a szoftveren múlik a dolog. XP alatt azért még biztos voltak olyan idióta háttérszolgáltatások amik rendszer jogokkal futottak. Win7 alatt talán már nem így van.

nem erre gondoltam, hanem arra, hogy telepítés után a windows rendszergazda fiókot hoz létre a felhasználónak (win7 alatt már nem, aztán ha kell valami: UAC). Ti pont azt éltetitek, ami xp alatt egy beállítás kérdése lenne.

Ráadásként local exploitokról beszélsz. Ha valaki tud integrálni egy local exploitot a saját programjába, az meg tudja oldani azt is, hogy a nat-on ki be járkáljon, mert nem lehetetlen:)

Jó értem.

De XP-nek nem csak ez volt az egyetlen hibája, mert a DCE-RPC service vagy mi a rák, az az user-től függetlenül összefertőzte a rendszert, és nem jelentett neki akadályt a windows tűzfal sem. (legalábbis ha már bejutott)

Szerk:
Pl.
http://www.metasploit.com/modules/exploit/windows/dcerpc/ms03_026_dcom

Ezt találtam. Persze múlt idő, és csak azokat érintette akik nem törődtek tűzfal konfigolással. Na de az ilyen kis finomságok miatt terjedt el, hogy windows-t csak NAT mögül érdemes használni.

Addig nincs is gond amíg kevés alkalmazás használja ezt, és tudunk róla hogy melyik miért mikor. Itt az elv a probléma. Eljön majd az idő, amikor boldog-boldogtalan alkalmazás ezt fogja használni, a férgek meg ismerni fogják a portokat, hogy hova érdemes menni. Akkor majd rádöbbenünk hogy hoppá, ez pont olyan, mintha nem is lenne tűzfal.

Annyival, hogy én tudom, milyen szándékkal állítottam be azt.

Azt viszont nem szeretném, hogy bekapcsolok egy gépet itthon (nézd meg, javítsd meg, akármi) és azon keresztül szándékoznak automatikus port forward segítségével galádságot művelni.
...vagy ezért hozzak létre külön VLAN-t neki? ...azt azért nem... :)

nem igazán értem miféle galádságra gondolsz. Saját magának tud portforwardot intézni, mást nem, csak olyan portokat tud, amit jóváhagytál. Ha valami gonosz program gonosz módon önmagának forwardol valamit, akkor már rég bajban vagy. Egyrészt azért, mert már a gépeden van, másrészt azért, mert a külvilág felé való kommunikációnak vannak sokkal egyszerűbb megoldásai. Ráadásként ahhoz, hogy egy tűzfalon (pontosabban a nat amit te tűzfalnak vélsz) visszafele is be lehessen jutni, még csak túl nagy tudomány sem kell.

Feleslegesen félsz az upnp-től, mindenféle tévhitekre és "azthiszem"-re hivatkozva;)

Egyfelől nem az én gépemen van (merem remélni :D), másfelől tűzfalról én nem beszéltem, harmadrészt pedig éppen ezért nem értem, miért ilyen módon oldották meg a dolgot.

Nyit egy kapcsolatot a "játékgépről" a saját szerverre, azon úgy jön vissza, ahogy jólesik neki.

"csak olyan portokat tud, amit jóváhagytál." - No, innentől kezd érdekelni. :)

( joco01 v | 2012. 05. 30., sze – 12:06 )

Én az XBoxnak szeretnék egy ilyet, hogy örüljön. Miniupnpd-t találta meg nekem a gugli, ez tud UPNP-t és NAT-PMP-t is, de nincs csomag Debianra, és végül nem bíztam meg ebben a cuccban. (Azért az egy megnyugvás, hogy ha kiderül egy sechole, akkor nem nekem kell követni a dolgokat, hanem megteszi egy maintainer, legalábbis többnyire, jobb, mint a semmi.) De látom, te már megtaláltad a megoldást, linux-igd-hez van csomag. És ez jó? Miniupnpd-hez képest, és úgy önmagában?

--
joco voltam szevasz

Hát ez a linux-igd se jobb attól, hogy van rá hivatalos package... Feltettem, rögtön 3 hibát találtam, köztük 1 sechole, rögtön le is töröltem a francba. Jó fiú módjára jelentettem őket, de ezer éve nem fejlesztik ezt a projektet, nem sok reményt fűzök hozzá...

Mi van még a linux-igd-n kívül? Miniupnpd-t nincs kedvem fordítani, mást meg nem találtam.

--
joco voltam szevasz

( deje | 2012. 05. 30., sze – 14:08 )

Én használom a linux-igd-t már sok éve, és sem a linuxom, sem a linux-on keresztül netező windózok nem látták még kárát :) cserébe nem piszkál állandóan mindenki, hogy nem megy ez meg az. Ha valamelyik nat-olt gép kitalálja, hogy ő pedig szeretne látszani a külvilág felé, akkor hajrá. Persze kockázat van, de az én otthoni használatom esetére a kockázat nem ér fel a kényelemmel. Céges hálózaton már komolyabb eszközöket vetnék be.