Het gevaar van UPnP

UPnP is dacht ik gewoon 'automatische' portforwarding.

UPnP is inderdaad een vorm van automatische port forwarding en bied geen authenticatie mogelijkheden voor zover mij bekend zijn. Zodoende nog steeds kwetsbaar voor dergelijke malware, en als de standaard blijft zoals deze is dan zal dat zo blijven
Het staat niet voor niets vaak default uitgeschakeld

Kortom: een geautomatiseerde gaatjesprikker in je firewall.
Vraag: Heb je deze functionaliteit nodig?

Zelf maak ik geen gebruik van UPnP en ik mis deze ook helemaal niet.
Hier thuis is geen enkele port forward actief zelfs.

En een gaatje prikken voor SSH en Bittorrent kun je prima zelf toch?
Dat heb ik voor de locatie waar mijn server staat ook gedaan.

[ Voor 4% gewijzigd door Ultraman op 12-06-2012 16:40 ]

Hij prikt dan gaatjes in de router. Dan heb je nog de firewall op je pc, die ook nog eens up to date is.

(mijn bescherming is standaard geen flash te draaien, en geen javascript)

[ Voor 27% gewijzigd door leuk_he op 12-06-2012 16:52 ]

Maar dat gaatjesprikken in de firewall kan alleen van binnenuit.
En die firewall op je pc is met hetzelfde knopje lekgeprikt. Ga maar eens kijken hoeveel programma's daarin vanzelf uitzonderingen krijgen!

Het enige programma wat hier actief gebruik maakt van UPnP is uTorrent voor het openen van random ports.
Daarbij geldt dat bij elke reboot van de router de settings zijn gewist. Dat is vreemd genoeg niet standaard ingesteld.

Ik zou het eigenlijk alleen aanzetten bij gebruik van games, programma's kan je wanneer nodig, beter handmatig doen.

Merk het vooral bij de Call of Duty reeks. Ook heeft de Playstation (en waarschijnlijk ook xbox) hier veel profijt van.

Maar zoals al gezegd, het kan alleen vanuit intern opengezet worden. Dus wanneer je je systeem netjes schoon is gebeurd er niet zo veel lijkt me.

[ Voor 25% gewijzigd door sanderdw op 12-06-2012 17:04 ]

Firewall: UPnP prikt ook gaatjes in je firewall van je PC.

Gaming: Als je router, en eventueel PC, een fatsoenlijke stateful firewall gebruikt hoef je voor games echt geen gaatjes te prikken. Hoe speel ik hier dan games? En mijn onderbuurman heeft een Xbox welke ook prima functioneert.

Overigens ben ik niet anti-UPnP, zolang je maar weet van het risico.
Controleren op malware is iets wat je sowieso regelmatig wilt doen, dus als je UPnP nodig hebt of prettig vind kun je het gewoon inschakelen.
Voor een huis-tuin-keuken gebruiker vind ik het een andere zaak...

[ Voor 7% gewijzigd door Ultraman op 12-06-2012 17:09 ]

leuk_he schreef op dinsdag 12 juni 2012 @ 16:52:
Hij prikt dan gaatjes in de router. Dan heb je nog de firewall op je pc, die ook nog eens up to date is.

(mijn bescherming is standaard geen flash te draaien, en geen javascript)

Werkt dan de helft van de websites niet?

Games die geen TCP gebruiken werken niet zonder UPnP of Port forwarding. Maar dat komt door de game, niet door de UPnP.

Daarbij geldt ook dat als een programma bij je UPnP kan, hij dus al een uitgaande (dus ook inkomende) verbinding heeft kunnen maken door je firewall heen.
Zoveel veiligheidsverlies heb je dus niet.

Compizfox schreef op dinsdag 12 juni 2012 @ 21:33:
[...]

Werkt dan de helft van de websites niet?

Noscript. alleen aanzetten voor sites die je vertrouwd, maar niet niet voor alle ads enzo (veel rustiger!). Je moet soms 3 extra klikjes doen om een site aan de gang te krijgen, maar goed, als iedereen tegen jou was zou je ook paranoia zijn.

leuk_he schreef op dinsdag 12 juni 2012 @ 21:47:
Noscript. alleen aanzetten voor sites die je vertrouwd, maar niet niet voor alle ads enzo (veel rustiger!). Je moet soms 3 extra klikjes doen om een site aan de gang te krijgen, maar goed, als iedereen tegen jou was zou je ook paranoia zijn.

Ik heb 'm even geïnstalleerd, maar hij blijft maar meldingen uitpoepen, ook als de site gewhitelist is. Dat wordt 'm zo niet.

Edit: nu is 'ie stil, geloof ik. Ik weet alleen niet of ik nu scripts nog wel handig aan kan zetten als ik ze wel wil.

[ Voor 10% gewijzigd door Anoniem: 172410 op 12-06-2012 21:55 ]

uPnP is veel meer dan alleen "gaatjes in firewall prikken", het is bijv ook de basis waarop DLNA bouwt om zonder configuratie media te kunnen delen tussen apparaten op een netwerk. Bovendien is het "gaatje prikken" niet alleen binnenhuis nuttig, als je pech hebt en achter een CG-NAT (carrier grade NAT oftewel een door je ISP gedeeld IP(v4) adres) zit is het de enige manier om portforwards te krijgen. Nu is CG-NAT in NL nog onbekend, maar daar gaat volgend jaar verandering in komen als men overgaat op IPv6. IPv6 zelf kent juist geen NAT (althans niet in de vorm die we bij IPv4 kennen), maar omdat er nog zat meuk is wat niet met IPv6 om kan gaan moet er een transition technology naast aangeboden worden die geen publieke IPv4 gebruikt maar toch IPv4-connectivity biedt. Dat gaat meestal DS-Lite oftewel volwaardig IPv6 naast CG-NAT voor IPv4. Dan wordt uPnP opeens een stuk relevanter

user458214 schreef op vrijdag 15 juni 2012 @ 22:18:
Hoi allemaal,

Bedankt voor al jullie reacties.

Nog wel even wat vragen:

1) Als ik UPnP geactiveerd heb op mijn router, maar ik maak verder geen gebruik van peer2peer programma's of wat dan ook. Is het dan ook gevaarlijk? Als ik alleen maar via mijn interne netwerk (LAN) gebruik maak van UPnP worden er toch geen poorten naar buiten open gezet en kan het lijkt me ook geen kwaad?
2) Ik lees op Internet dat één poort maar toegankelijk is voor maar 1 computer. Maar ik zit achter een router met 2 computers. Hoe kan dan poort 80 (die het HTTP verkeer regelt) aan BEIDE pc's de Internet connectie doorgeven?

1. Ja / Nee, heb je UPnP op je router / firewall dichtgezet? UPnP lan only is een beetje.... nodeloos...
2. Portmappings gaan normaliter 1 op 1, dus pc 1 krijgt port 12345 gemapped, pc 2 kan deze mapping dan niet krijgen.

Je kunt bijv. maar 1 webserver op port 80 mappen, tenzij je natuurlijk werkt met een virtual IP om een cluster te maken. Maar ik ga er gemakshalve van uit dat je dat niet doet

user458214 schreef op vrijdag 15 juni 2012 @ 22:39:
3) Ik lees op Internet dat een poort in de router maar gebruikt kan worden door één computerprogramma. Stel als ik Bittorent open heb staan, en die gebruik bijvoorbeeld 8085 (wat automatisch is toegewezen door UPnP). Hoe kan er dan een indringer binnen komen? Op die poort, komt toch alleen maar de file binnen die ik aan het downloaden/uploaden ben? Wat is het voordeel dan van portforwarding? Dan zet je toch ook 1 poort open? Ik stel dan bijvoorbeeld in dat ik alleen 8085 gebruik. Dat is toch niks anders?

Ja / Nee, er zijn te veel zaken die mogelijk invloed kunnen hebben...
Normaliter zal een applicatie zich netjes een TCP / UDP port claimen en klaar.
De applicatie kan babbelen met het internet

In een "worst case" geval kan een applicatie die bijv besmet is met mal / spy-ware / trojan een port claimen en informatie makkelijk door je firewall sturen.

Daarom is en blijft UPnP mogelijk "zwak" deel van je router / firewall

En ja, ik ben geen voorstander van UPnP...
Handmatig mappen is ook geen rocket-science
Uiteraard staat en valt alles met de end user; een besmette download uitvoeren / openen en je bent nog de sjaak, maar indammen is nooit verkeerd

* chromeeh mompelt iets met Sandboxie

[ Voor 38% gewijzigd door chromeeh op 15-06-2012 23:42 ]

Ultraman schreef op dinsdag 12 juni 2012 @ 16:40:
UPnP is inderdaad een vorm van automatische port forwarding en bied geen authenticatie mogelijkheden voor zover mij bekend zijn. Zodoende nog steeds kwetsbaar voor dergelijke malware, en als de standaard blijft zoals deze is dan zal dat zo blijven
Het staat niet voor niets vaak default uitgeschakeld

Kortom: een geautomatiseerde gaatjesprikker in je firewall.
Vraag: Heb je deze functionaliteit nodig?

Zelf maak ik geen gebruik van UPnP en ik mis deze ook helemaal niet.
Hier thuis is geen enkele port forward actief zelfs.

En een gaatje prikken voor SSH en Bittorrent kun je prima zelf toch?
Dat heb ik voor de locatie waar mijn server staat ook gedaan.

Programma's als WLM hebben toch UPnP nodig omdat ze niet altijd dezelfde poorten gebruiken?
Of is dat tegenwoordig anders.

user458214 schreef op zaterdag 16 juni 2012 @ 09:53:
2) Maar hoe kan poort 80 dan wél Internet doorgeven aan 2 PC's? Als ik jouw voorbeeld gebruik met poort 80, zou poort 80 gemapt worden naar PC1, maar niet naar PC 2 omdat het 1 op 1 werkt. Hoe kan PC2 dan wel internetten??

De portforwards op je modem gaan de andere kant op, vanaf internet richting pc (dus naar binnen toe). Zolang jij geen webserver hebt draaien hoef je geen poort 80 te forwarden.

Het is NIET zo dat JOUW pc via poort 80 communiceert met een webserver. Jij gebruikt een willekeurige poort, ergens hoog in de nummers. De webserver gebruikt poort 80, een gereserveerd nummer in het TCP protocol voor HTTP.

Aangezien jij van de provider slechts ÉÉN ipv4 adres hebt gekregen past jouw router NAT toe. Daarmee kan je meerdere apparaten achter één ipv4 adres gebruiken. De router houdt bij welk apparaat met welke servers in verbinding is.
Nadeel hiervan is dat je de verbinding altijd van binnenuit moet opstellen, vanuit één van jouw apparaten. Als er een willekeurig pakket van het internet komt, geadresseerd voor jouw IP (van de ISP), dan weet je router niet naar welk apparaat dat moet, als er geen uitgaande verbinding voor zat.

Als je nu de buitenwereld verbindingen wilt laten starten met een pc in jouw netwerk, dan moet je portforwarden. Je vertelt de router dan dat bijvoorbeeld poort 2000 op het IP (van je ISP) naar computer Y moet binnen je lokale netwerk. Dat betekent dat ALLE verkeer (van geselecteerde protocol) op poort 2000 naar computer Y gaat. Ongeacht wat computer Y ermee doet.

Het is pas gevaarlijk als computer Y slechte software heeft, die met bepaalde datapakketjes is te besmetten met virussen.
Of veel simpeler, computer Y draait RDP met een slecht password.

[ Voor 14% gewijzigd door jeroen3 op 16-06-2012 13:00 ]

Nee, je computer gebruikt een willekeurige poort om vanaf te sturen. Niet naar, dat is gewoon poort 80. In de basis ziet je router niet of het een http request is of niet. Hij ziet alleen een pakket wat gerouteerd moet worden naar een andere publieke range.

Ook het terugzenden klopt niet, het antwoord gaat naar de uitgaande poort terug, niet naar poort 80.

De webserver aan de andere kant luistert alleen naar poort 80, op een andere poort iets sturen kan dus niet werken. Aan jouw kant zou je ook een webserver kunnen draaien. Als de andere kant dus op poort 80 iets zou sturen zou het bij jouw webserver komen en niet bij je pc.

[ Voor 98% gewijzigd door |sWORDs| op 17-06-2012 12:41 ]

Nee, de server luistert op port 80, je aanvraag komt van een willekeurige poort. Je stuurt een request van bv 1234 naar port 80 van de server en die stuur een reactie terug naar 1234.

GRC heeft er ook een programma voor UnPlug n' Pray, er zat volgens hen een fout in de implementatie door Microsoft.

[ Voor 17% gewijzigd door Mr_gadget op 18-06-2012 15:32 ]

Pas als er een programma opstart zoals utorrent, of een stuk malware wat gebruik maakt van dat jij UPNP aan hebt staan. En er is voor je router geen onderscheid te maken tussen het eerste en het laatste.

Volgens mij hoef je voor UPnP mediastreaming (DLNA dus) helemaal geen UPnP op je router aan te zetten?

UPnP is een verzamelnaam voor allerlei technieken die in de basis dezelfde mechanismes (UPnP) gebruiken. De kern daarvan is dat apparaten binnen 1 netwerk elkaar kunnen vinden, kunnen zien dat een apparaat bepaalde functionaliteit bied en die functionaliteit op een standaardmanier beschikbaar maken aan de andere apparaten.

Zo kan jouw PC bijvoorbeeld herkennen dat je router een Internet Gateway Device is en dat dat apparaat de mogelijkheid biedt om poortjes open te zetten. Dit verbetert de verbindingsmogelijkheden van bijvoorbeeld sommige games, filesharing programma's, maar ook dingen als msn en skype kunnen geloof ik profiteren van portforwarding om directe verbindingen voor filetransfer en video/audio verbindingen. Zie ook: Wikipedia: Universal Plug and Play

Jouw PC kan ook herkennen dat je mediaspeler een UPnP mediaapparaat is, dat mogelijkheden biedt om er audio en/of video naartoe te sturen. Je router is daar helemaal niet in betrokken, behalve dan dat het verkeer door de ingebouwde switch loopt, maar die doet daar weinig intelligents mee. Zie ook: Wikipedia: Universal Plug and Play

Op het moment dat je UPnP op je router uitschakelt, dan herkent je PC de router niet meer als een UPnP Internet Gateway Device en kan ie dus niet meer de poortjes automatisch voor je open zetten. Echter kan je PC nog steeds met behulp van UPnP communiceren met de mediaspeler.

Ik zou zeggen: probeer het eens uit. Zet UPnP op je router uit en kijk of je mediaspeler dan nog werkt

[ Voor 60% gewijzigd door Orion84 op 18-06-2012 17:00 ]

Ik denk dat je problemen met je multicastgroups (SSDP msearch) zou kunnen krijgen bij sommige routers. Bij DDWRT kun je multicast afzonderlijk inschakelen, maar ik kan me voorstellen dat een huis tuin en keuken router multicasting uit zet als uPnP uit staat.

Niet dat je router iets met multicasting te maken heeft op 't moment dat je niet iets aan het multicasten bent met het internet.

Gelukkig staat de disclamer al onder je post.

Als je router het niet doet wie houdt dan bij wat er wel of niet in een mcast group zit? Het is geen broadcast.

Cisco:
IGMP is used between hosts on a LAN and the routers on that LAN to track the multicast groups of which hosts are members.


IGMP

To start implementing IP multicast routing in your campus network, you must first define who receives the multicast. IGMP provides a means to automatically control and limit the flow of multicast traffic throughout your network with the use of special multicast queriers and hosts.

•A querier is a network device, such as a router, that sends query messages to discover which network devices are members of a given multicast group.

•A host is a receiver, including routers, that sends report messages (in response to query messages) to inform the querier of a host membership.

A set of queriers and hosts that receive multicast data streams from the same source is called a multicast group. Queries and hosts use IGMP messages to join and leave multicast groups.

IP multicast traffic uses group addresses, which are Class D IP addresses. The high-order four bits of a Class D address are 1110. Therefore, host group addresses can be in the range 224.0.0.0 to 239.255.255.255.

Multicast addresses in the range 224.0.0.0 to 224.0.0.255 are reserved for use by routing protocols and other network control traffic. The address 224.0.0.0 is guaranteed not to be assigned to any group.

IGMP packets are transmitted using IP multicast group addresses as follows:
•IGMP general queries are destined to the address 224.0.0.1 (all systems on a subnet).
•IGMP group-specific queries are destined to the group IP address for which the router is querying.
•IGMP group membership reports are destined to the group IP address for which the router is reporting.
•IGMP Version 2 (IGMPv2) Leave messages are destined to the address 224.0.0.2 (all routers on a subnet).

–Note that in some old host IP stacks, Leave messages might be destined to the group IP address rather than to the all-routers address.

[ Voor 88% gewijzigd door |sWORDs| op 19-06-2012 10:40 . Reden: Cisco stukjes erbij ]

Ik vraag me ten zeerste af of de ingebouwde switch van zo'n routertje iets met multicasting doet, behalve er broadcast van maken. je haalt nu allerlei documentatie van professioneel CISCO spul er bij, maar is dat wel van toepassing op zo'n thuisnetwerkje?

Ik gebruik thuis ook UPnP DLNA om muziek op een mediaspeler af te spelen, maar ik kan me niet herinneren dat mijn Linux PC die als router functioneert iets aan UPnP doet en zich met dat verkeer bemoeit. De simpele switch die erachter hangt doet in elk geval niets bijzonders op multicast gebied.

Laten we het niet moeilijker maken dan het is. TS: probeer het gewoon eens zonder UPnP. Als dat werkt zijn we klaar, als dat niet werkt, dan kunnen we in de materie duiken om te zien waar het aan ligt en wat de oplossing is.

Ik haal het aan omdat iemand aangeeft dat multicast niets met je router te maken heeft. Maar van een WNDR3800 mag je inderdaad verwachten dat ie bij het uitschakelen van UPnP niet gelijk ook een multicast filter aan zet. Maar de gebruikte bridge chip in een WNDR3800 ondersteund wel multicast filtering en IGMP snooping, maar ik denk dat Netgear deze alleen op het WAN vlan zal gebruiken.

[ Voor 9% gewijzigd door |sWORDs| op 19-06-2012 12:03 ]

|sWORDs| schreef op dinsdag 19 juni 2012 @ 10:31:
Gelukkig staat de disclamer al onder je post.

Ja, maar die is hier niet van toepassing

Als je router het niet doet wie houdt dan bij wat er wel of niet in een mcast group zit? Het is geen broadcast.

Je switch. Of als je geen switch met IGMP snooping hebt, niemand. En dan is multicast functioneel gelijk aan broadcast.

En je router heeft er alleen iets mee te maken als je multicast over je WAN. En laat 't duidelijk zijn: zelfs al zitten die router en switch in één kastje, ik zie het als functioneel twee verschillende apparaten.

[ Voor 19% gewijzigd door CyBeR op 19-06-2012 12:30 ]

Lol, we gaan erg of topic. Maar nee, er zijn switches die het kunnen als er geen router is, maar je router handelt de multicast groups af. Als je switch multicast niet snapt dan broadcast hij, maar dat is weer iets anders.

IGMP querier
In order for IGMP, and thus IGMP snooping, to function, a multicast router must exist on the network and generate IGMP queries. The tables created for snooping (holding the member ports for each a multicast group) are associated with the querier. Without a querier the tables are not created and snooping will not work. Furthermore IGMP general queries must be unconditionally forwarded by all switches involved in IGMP snooping.[1] Some IGMP snooping implementations include full querier capability. Others are able to proxy and retransmit queries from the multicast router.

[ Voor 57% gewijzigd door |sWORDs| op 19-06-2012 19:18 ]

Ok, laatste keer want anders wordt dit een topickaping.

De router heeft met multicast en IGMP alleen iets te maken als er een gerouteerde multicast-stream is. Dat is een stream die vanaf het internet komt. Multicast binnen één layer 2 netwerk komt níet uit bij een router. Nouja, wel dus, maar dan alleen omdat simpele switches multicast behandelen als broadcast. En laten alle huis-tuin-en-keukenswitches daar nou onder vallen. Zodoende werkt multicast in een lokaal netwerk zonder router of met een router zonder multicast routing prima, alleen dan niet superefficient voor wat betreft het netwerk.

Aangezien de multicast stream hier niet vanaf het internet (of de isp) komt, heeft de router er dus niks mee te maken en is de multicaster in het netwerk functioneel gezien aan het broadcasten. Alleen is dit aan de kant van de ontvangende hosts wel filterbaar omdat die hun nics in kunnen stellen om alleen bepaalde multicast-adressen te accepteren. Namelijk die waarnaar geluisterd wordt. Échte broadcasts moeten, als de nic geen specifieke offloading heeft zoals bijvoorbeeld voor arp, door de cpu behandeld worden en da's inefficient.

Nu is 't prima mogelijk dat je thuis een multicast group opzet inclusief gerouteerde stream en IGMP (of MLD), etc. etc., maar dat is niet shit die bij een thuisnetwerk van een niet-nerd voorkomt. En laten we wel wezen: daar hebben we het hier over.

Er is nu een specifiek UPNP test op GRC Shields up : https://www.grc.com/x/ne.dll?bh0bkyd2

Bovendien is er heel recentelijk een artikel over verschenen op het forum van Computer!Totaal waar de overheid waarschuwd voor risico's van UPnP:
http://forum.computertota...c.php?t=219935&highlight=
Daar wordt door een van de moderators aldaar dezelfde test genoemd.