UPnP zo lek als een mandje

UPnP staat bij mij standaard altijd uit. Statische port maps werken ook en zijn veiliger.

Met stom ^^^

Het is sowieso onverstandig om beveiliging zo te configureren dat het automatisch dingen kan doen die je beveiliging compromitteren. UPnP dus gewoon uitzetten.

Volgens mij is het al enkele jaren (anno Thursday, December 20, 2001) bekend dat UPnP niet bepaald veilig is; http://www.grc.com/UnPnP/UnPnP.htm
Incl een programma om UPnP in windows XK/2000 uit te schakelen.

Voor routers met UPnP biedt dit helaas geen oplossing.

[ Voor 8% gewijzigd door frickY op 23-05-2006 08:47 ]

frickY schreef op dinsdag 23 mei 2006 @ 08:47:
Volgens mij is het al enkele jaren (anno Thursday, December 20, 2001) bekend dat UPnP niet bepaald veilig is; http://www.grc.com/UnPnP/UnPnP.htm
Incl een programma om UPnP in windows XK/2000 uit te schakelen.

Voor routers met UPnP biedt dit helaas geen oplossing.

Maaah, ik wilde net de wijsneus uithangen en ditzelfde zeggen.

Nou ja, gelukkig zijn er dus meer verstandige mensen op deze groene aarde! Ik heb UPnP dan ook al jaren uitgeschakeld staan. Mijn router maakt overigens naar eigen zeggen wel gebruik van UPnP, maar ik heb nog nooit problemen gehad ermee...

Ik moet zeggen dat dit toch al lang bekend is, dus is snap het hele probleem niet? Ik zet al JAREN het hele UPnP protocol uit, want ik beheer mijn netwerk liever zelf, dan dat het netwerk zichzelf beheerd. Je kan vanuit Windows rare dingen doen op de router zonder enige vorm van Security (dingen veranderen, etc), en dat wil ik voorkomen. Als ik alleen al het idee heb dat het onveilig is, dan schakel ik de functie uit.

Zonder UPnP werkt alles al JAREN zonder enig probleem, dus wat is nou het voordeel van UPnP?

Ik had tot voor kort hier nog nooit van gehoord! Gisteren dus UPnP in mijn router (ST 716 WL) direct disabled.

Nee, dat kán toch niet...

Ik bedoel, auto-portmappen is juist verrekte handig (Azureus gebruikt het) zodat ik niets zelf in hoef te stellen.
uPnP staat dus aan hier, maar ik heb nog nooit gehad dat de router beheerbaar is van buitenaf...

DarthPlastic schreef op dinsdag 23 mei 2006 @ 11:32:
Nee, dat kán toch niet...

Ik bedoel, auto-portmappen is juist verrekte handig (Azureus gebruikt het) zodat ik niets zelf in hoef te stellen.
uPnP staat dus aan hier, maar ik heb nog nooit gehad dat de router beheerbaar is van buitenaf...

Dat je het zelf niet hebt gehad wil nog niet zeggen dat het niet kan. Het zal idd wel niet volstrekt automatisch gaan ofzo

Lees die link maar eens:

The problem with the Broadcom implementation is that the Gateway Device doesn’t check if the InternalClient parameter is a machine on the inside LAN. Because of this error, the Gateway will perform NAT on the incoming packages to the InternalClient even if it is on an external interface.

This means that all traffic on ports on the Gateway can be forwarded to other machines that are also on the external interface. An attacker can exploit this bug to have his own traffic routed to the internet and creating his own onion routing system.

And it can still be worse!

Ergo , door gebrek aan authentication + het feit dat bijv de broadcom niet checked of ie external of internal is , kun je zelf bepaalde poorten doorrouten VIA de router van je target. Zo kun je bijvoorbeeld mail versturen VIA de host van je target

Ik hoop dat ik het zo een beetje redelijk heb uitgelegd

[ Voor 54% gewijzigd door Raku op 23-05-2006 11:42 ]

Het hele idee van UPnP is natuurlijk belachelijk. Veiligheid is alleen gewaarborgd als je alles onder controle houdt. En je hebt dingen niet onder controle als ze automatisch achter je rug om gebeuren.

Bij mij staat het gewoon uit. In de handleiding van mijn router staat een prima beschrijving van hoe ik port mappings aan moet maken, dus geen enkele reden om UPnP te gebruiken.

* nero355 killt altijd uPnP zo snel mogelijk bij het configureren van Routers/Modems

Ook in Windows je SSDP Discovery service killen is wel zo handig.

Het probleem zal het meeste zitten in routers welke uitgeleverd worden met UPnP standaard aan, of waar de consument het zelf heeft aangezet. Ik las in het eerste artikel trouwens dat het in sommige modellen ook niet is uit te schakelen...
Zit je achter een router waar het uit staat maar op het werkstation wel aan staat, kan er niks gebeuren, toch?

Ik heb het in ieder geval zowel in Windows als op mijn router uit staan. Ik heb liever zelf de volledige controle

Bij mij staat uPnP sinds 2001 al uit...

Ook idd zoals hierboven vermeld, de SSDP uitzetten onder windows.

upnp vind ik per definitie niet veilig.
stel er komt per ongeluk een stukje spyware op je pc, die opent dan eventjes lekker allerlei poorten waardoor nog meer spyware het gevolg is.

Echt heel handig dat upnp, NOT!

het enigste wat van mij upnp mag zijn is een usb stick

[ Voor 13% gewijzigd door declan001 op 23-05-2006 12:01 ]

Zwerver schreef op dinsdag 23 mei 2006 @ 08:20:
Zoals al op verschillende bronnen te lezen is geweest, zijn er in het UPnP-protocol een aantal fouten ontdekt door Armijn Hemel.

Buzzz: er is geen fout ontdekt in het UPnP-protocol, maar in een implementatie.
(De rest van de beperkingen en risico's van het UPnP protocol en implementaties zijn genoegzaam bekend.)

Dit zorgt ervoor dat een groot aantal van de routers die er voor de SOHO-markt zijn in principe zo lek als een mandje zijn.

FUD of ontwetendheid, maar wat je hier stelt is incorrect danwel onvolledig.

Zoals op de eerste link te lezen is, is het mogelijk in bepaalde gevallen om de router als union-router te gebruiken, of mail via een (achter de "firewall" van de router liggende) server te versturen.

Dat is dus niet "zo lek als een mandje", maar slechts een extra manier om een bestaand issue uit te buiten (alleen de potentiele impact neemt toe). De reeds bekende risico's (complete exposure van interne netwerken en alle services daarbinnen door port forwards) zijn veel groter dan de nu gevonden proxying mogelijkheden. Immers "What if a piece of spyware tells the router to open a port" is het echte probleem hier, en dat was allang bekend. In al die jaren heb ik overigens nog niet gehoord van malware wat dit ook daadwerkelijk doet.

Wat gaan jullie daaraan doen? Hebben jullie zoiets van: never mind, gaat mij niet gebeuren? Zetten jullie UPnP uit? Upgraden jullie je router?

Tzt updaten we de software van de router. In de tussentijd zorgen we ervoor dat er geen malware draait.

Herinnering to self and all: security is altijd een afweging

Praetorian schreef op dinsdag 23 mei 2006 @ 11:55:

Ook idd zoals hierboven vermeld, de SSDP uitzetten onder windows.

SSDP heeft niets, maar dan ook compleet niets met genoemd artikel van doen.

frickY schreef op dinsdag 23 mei 2006 @ 08:47:
Volgens mij is het al enkele jaren (anno Thursday, December 20, 2001) bekend dat UPnP niet bepaald veilig is; http://www.grc.com/UnPnP/UnPnP.htm
Incl een programma om UPnP in windows XK/2000 uit te schakelen.

Dit verwijst slechts naar een oude vulnerability in de MS implementatie, wat ernstig is maar niets met het artikel van doen heeft.

[ Voor 19% gewijzigd door Rukapul op 23-05-2006 12:13 ]

Ach mijn chello adsl router staat toch standaard door Chello ingesteld op Bridging, dus UPNP uit of aan maakt toch niet veel uit.

RetepV schreef op dinsdag 23 mei 2006 @ 11:42:
Het hele idee van UPnP is natuurlijk belachelijk. Veiligheid is alleen gewaarborgd als je alles onder controle houdt. En je hebt dingen niet onder controle als ze automatisch achter je rug om gebeuren.

Tja, er is altijd iets dat je als user moet mogen. De Upnp in windows is alleen vatbaar als windows vanaf internet beriekbaar is. Dus als er een (NAT) router tussen zit lijkt mij dat niet zo'n groot probleem.

Het probleem dat in de topic start is dat er vanuit gegaan wordt dat er een virus/spyware programma op het locale netwerkt staat. Tja, als het zover is dan is er toch niks meer veilig. Als je niet zeker bent dat je locale netwerk dicht is dan is het zeker aan te raden upnp op de router uit te zetten.

Ik zie verder nog steed niet het probleem van upnp. Je moet het niet aan internet hangen, dat is zeker.


Overigens kun je uPnp ook gebruiker voor andere dingen dan poorten forwarden. Het progtocol bied mogelijkheden files & vidobeelden uit te wisselen en andere appraten dan router enzo aan te sturen.

ik kan het in mn windows niet eens aanzetten!
oh wacht het is 2k3, misschien dat ms het om veiligheidsredenen het er wel uitgelaten heeft haha.

PipoDeClown schreef op dinsdag 23 mei 2006 @ 13:54:
ik kan het in mn windows niet eens aanzetten!
oh wacht het is 2k3, misschien dat ms het om veiligheidsredenen het er wel uitgelaten heeft haha.

http://bink.nu/forums/1919/ShowPost.aspx

'You need UPnP on your desktop or home PC to find other devices, but it's not something you need on a server,' Stephenson says. "

Ik verwacht niet dat het in vista desktop OS'en zal zijn uitgeschakeld.