UPnP wel of niet

Het list ook aan de implementatie in de router, als upnp per apparaat ondersteuning heeft is het al een stuk veiliger dan dat het voor alle apparaten ingeschakeld wordt. Ik zou zelf toch echt eerst handmatig de poorten doorsturen ipv upnp en mocht dat niet voldoende zijn upnp inschakelen, maar dat is wel gevaarlijk ja.

Het poort forwarden is letterlijk 3 getalletjes invullen in je router, meer niet. Weet je zeker dat je dat niet lukt? Dan ben je gewoon van al het gehannes af.

Vroem Boem schreef op maandag 6 mei 2024 @ 20:13:
[...]

Niet zozeer het invullen, maar lees dat het telkens kan veranderen en veel poorten zijn (gaat bijv. om Xbox).

Nooit last van. Ingesteld en draait al jaren. Plex, XBOX, Synology, de hele rimram.

UPnP uitzetten in je router is voldoende.
Dan kunnen je clients nog zo zeuren, je router zal niks automatisch open zetten.

Vroem Boem schreef op maandag 6 mei 2024 @ 20:22:
[...]

Ok, nou ik ga ook zelf maar eens proberen.

Als ik het goed lees moet ik eerst zorgen dat hij een vast IP-adres krijgt, en kan ik daarna de poorten open zetten voor alleen dat apparaat. Gegoogled bij KPN.

https://forum.kpn.com/ken...len-upnp-aanzetten-562443

en

https://forum.kpn.com/ken...-vast-ip-instellen-562444

en

https://support.xbox.com/...work-ports-used-xbox-live

Weet jij nog wat te zeggen over mijn oorspronkelijke vraag inzake UPnP switch in programma's en clients: "Ik krijg hier wisselende reacties op. De ene zegt: als het in de router aan staat is het irrelevant dat het nog aangevinkt staat op je Shield of in Plex etc want het werkt door de setting in de router toch niet. De andere zegt dat ik wel alle clients en software langs moet lopen en ook daar UPnP uit moet zetten."?

Gewoon uitzetten in je router. Dan kunnen je clients niks meer. Dan juiste poorten openzetten & gaan met die banaan.

Wát werkt er nu niet waarom je UPnP überhaupt graag aan zou willen zetten (óf zelfs dedicated poorten onnodig in de "router" van buiten naar binnen gaan forwarden náár je XBox)? Dat die XBoX nu aangeeft dat UPnP niet werkt..... KLOPT!!!

Zoals het nú werkt: Je XBoX zet een sessie op mét Microsoft en onderhandeld dan zelf met Micosoft over welke, niet standaard' poorten er binnen die sessie allemaal gebruikt mogen worden én je 'firewall' zet deze vervolgens binnen die sessie keurig (en tijdelijk) open BINNEN deze sessie.

Met UPnp mogen er ook willekeurige poorten vanop de destination (Microsoft) door je firewall open gezet worden buiten de actieve sessie om.

[ Voor 4% gewijzigd door Will_M op 06-05-2024 20:56 ]

Als in je router UPnP aan staat kan alles en iedereen vanaf het internet ports forwards forceren naar devices op je eigen netwerk.
Het moge duidelijk zijn dat zoiets een serieus "security risc" is.
Die UPnP is alleen een setting van je router en heeft niets met devices op je netwerk te maken.

Tegenwoordig zetten de meeste games zelf een connectie op naar een game server, waar alle andere gebruikers ook naar verbinden om zo een multiplayer game te spelen, hier wordt helemaal geen port forwarding gebruikt en dat werkt dus altijd.

Sommige game leveranciers willen de kosten van een game server niet dragen en die gebruiken een p2p model.
Dat houd in dat in feite een of meerdere gebruiker PC's als gameserver functioneren die random worden gekozen uit de PC's die UPnP aan hebben staan.
Als je UPnP uit hebt staan wordt je dus nooit zo'n game server maar als niemand anders op het internet dat aan heeft staan werkt die game niet in multiplayer mode.

Als laatste heb je nog games die met een vast port werken(bijna uitgestorven), daarvoor moet je in je router die port forwarden naar de PC waar je de game op speelt.
Uiteraard moet je dan er wel voor zorgen dat die PC altijd hetzelfde IP-adres heeft door in je router een koppeling te maken tussen het macadres van je PC en een vast ip adres (buiten de dhcp range).

Een VPN is wel veilig maar bij mijn weten werkt geen enkel game daarmee.
Een VPN maakt een beveiligde tunnel tussen twee devices en kun je gebruiken om op een veilige manier vanaf het internet bij je thuis netwerk te komen, er wordt dan een beveiligde tunnel tussen bijvoorbeeld je telefoon en je thuisnetwerk gemaakt.

Een andere toepassing van VPN is dat je een VPN dienst afneemt van een VPN provider, er wordt dan een tunnel tussen je thuisnetwerk (of een device in je thuisnetwerk) naar een VPN server van die VPN provider opgezet en vandaaruit ga je dan het internet op.
OP die manier komt je anoniem het internet op want vanaf het internet zien ze enkel dat je vanaf die server komt en niet vanaf thuis.

Ben(V) schreef op dinsdag 7 mei 2024 @ 09:12:
Als in je router UPnP aan staat kan alles en iedereen vanaf het internet ports forwards forceren naar devices op je eigen netwerk.

Vroeger wel ja, toen kon je UPNP vanaf het internet poorten open laten zetten.
Tegenwoordig is dat allang niet meer het geval, upnp lukt alleen nog als iemand al toegang heeft tot je netwerk/apparaat in je netwerk.

Als iemand al binnen zit is die extra poort open zetten dan echt van belang voor de aanvaller? Valt mee, meestal hebben ze centrale C2C servers waarnaar verbinding opgezet wordt.

Grootste risico zit hem erin dat software wat je zelf installeert de poorten gaat openzetten waar je je niet bewust van bent.

[ Voor 11% gewijzigd door laurens0619 op 07-05-2024 09:37 ]

Volgens mij werkt UPnP in een router nog precies hetzelfde als 20 jaar geleden.
Het enige gebruik van UPnP is dat er vanaf het internet port forward aangezet kunnen worden, iets anders doet dat protocol niet.
Het verschil is dat vroeger alle providers die standaard aan hadden en tegenwoordig staan het standaard uit.

Als je al toegang hebt tot een device is UPnP natuurlijk overbodig.
En als er een gameserver is dan is er zoals ik al zei helemaal geen UPnP noch portforwarding nodig.

[ Voor 14% gewijzigd door Ben(V) op 07-05-2024 09:43 ]

laurens0619 schreef op dinsdag 7 mei 2024 @ 09:34:
[...]

Vroeger wel ja, toen kon je UPNP vanaf het internet poorten open laten zetten.
Tegenwoordig is dat allang niet meer het geval, upnp lukt alleen nog als iemand al toegang heeft tot je netwerk/apparaat in je netwerk.

En dan kun je je afvragen hoe groot het risico nog is. Als iemand al binnen zit is die extra poort open zetten dan echt van belang voor de aanvaller? Valt mee, meestal hebben ze centrale C2C servers waarnaar verbinding opgezet wordt.

Op moment dat de C2C server verplaatst wordt (lees: iemand haalt de originele uit de lucht en de nare lui zetten een nieuwe op op andere locatie) is het wel zo handig om de zombies te vertellen waar ze naar moeten luisteren.

Maar los daarvan UPnP kan meer dan alleen port forwards instellen. Het kan ook dingen doen als DNS server adressen wijzigen zodat ook ongeinfecteerde devices naar attack sites geleid kunnen worden. Geen goed idee. UPnP hoort uit te staan en applicaties die anno 2024 niet zonder kunnen zijn gewoon onacceptabel vaniut security perspectief.

Helemaal eens hoor dat UPNP beter uit moet maar met een reguliere Fritzbox, Ziggo connectbox of Experiabox is upnp echt niet toegangkelijk vanaf het internet.
En als het lokaal beschikbaar is dan is het risico heel anders (maar nog steeds beter uit)

Ben(V) schreef op dinsdag 7 mei 2024 @ 09:41:
Het enige gebruik van UPnP is dat er vanaf het internet port forward aangezet kunnen worden, iets anders doet dat protocol niet.

Deze misvatting lees je wel vaker. Onder uPnP vallen meerdere dingen, maar vanaf het internet port forwards kunnen aanmaken is nooit de bedoeling geweest. Misconfiguraties hebben er voor gezorgd dat dit 10+ jaar geleden bij sommige implementaties wel mogelijk was. ( https://www.kb.cert.org/vuls/id/357851 )
Een correcte uPnP implementatie luistert echter niet op de WAN poort en kan alleen bediend worden vanaf LAN.


Voor de TS:
Uitzetten van uPnP in de router is voldoende, de client apps kunnen er dan niets meer mee.
Ter vervanging van uPnP zul je voor sommige applicaties ports moeten forwarden (en static IPs regelen voor die apparaten). Voor je Xbox kan het zijn dat behalve voor de Xbox zelf, je ook per spel ports moet forwarden.
Als je met meer dan 1 apparaat tegelijk bepaalde spellen wilt spelen zonder netwerkproblemen, ontkom je niet aan uPnP. Dat zijn spellen die een zekere vorm van peer-to-peer networking nodig hebben, bijvoorbeeld GTA V.

laurens0619 schreef op dinsdag 7 mei 2024 @ 09:50:
Helemaal eens hoor dat UPNP beter uit moet maar met een reguliere Fritzbox, Ziggo connectbox of Experiabox is upnp echt niet toegangkelijk vanaf het internet.
En als het lokaal beschikbaar is dan is het risico heel anders (maar nog steeds beter uit)

- Iemand in huis klikt op foute link, draait verkeerde programma -> eigen device geinfecteerd.
- Geinfecteerd apparaat gebruikt UPnP om in router DNS server die via DHCP uitgedeeld wordt te wijzigen zodat alle requests vanaf hele woning naar DNS server van attacker gestuurd worden.
- Attacker doet leuke dingen als URLs van trusted sites omleiden naar phishing sites of simpelweg geld verdienen via referrals - niet alleen vanaf geinfecteerde device maar vanaf alles achter router met UPnP.

Ik zeg: nope.

dion_b schreef op dinsdag 7 mei 2024 @ 12:28:
[...]
- Geinfecteerd apparaat gebruikt UPnP om in router DNS server die via DHCP uitgedeeld wordt te wijzigen zodat alle requests vanaf hele woning naar DNS server van attacker gestuurd worden.

Heb je een voorbeeld van een uPnP implementatie die dit toestaat? Ik had hier nog nooit van gehoord en kan er ook niets over vinden. Veel Google ruis als je gaat zoeken op uPnP en DHCP, dus wellicht zoek ik verkeerd. Voor de uPnP daemon die op mijn router draait (miniupnpd) kan ik geen docs vinden die suggereren dat je de DHCP server kunt wijzigen.

Vroem Boem schreef op dinsdag 7 mei 2024 @ 16:17:
[...]

Overigens las ik dat ik moet werken met DHCP reserveringen. Dat zou hetzelfde effect blijkbaar hebben als statische IP, maar zonder het nadeel van bijvoorbeeld IP-conflicten etc.

DHCP reservering is ook mooi, en anders statische IPs buiten de DHCP range. Als je DHCP server IPs uitdeelt vanaf 192.168.1.100, kun je zelf statische IPs instellen daaronder.

En dan nu rant:
..goede rant hier..

...een onacceptabel veiligheidsrisico...

Hoezo denkt de sector dat dit acceptabel is?

Persoonlijk vind ik het geen onaanvaardbaar risico, iedereen maakt voor zichzelf die afweging, je ruilt het gemak van automatische port forwards voor applicaties die het nodig hebben tegen het risico dat onbevoegde applicaties binnen je netwerk een port forwarden naar hun eigen apparaat.

De reden dat het bestaat en dat de game-sector het acceptabel vindt is zodat bij (bijvoorbeeld) populaire console-games, automatisch genoeg gameservers beschikbaar zijn bij veel spelers. Elke speler met porten geforward of uPnP aan kan een "listen" server worden. Oftewel een speler "wordt" de server, met oneerlijke ping en host-migration issues tot gevolg.
De betere games qua networking hebben gewoon dedicated servers in tientallen locaties en hoeven zich nooit zorgen te maken over port forwarding en uPnP.

[ Voor 3% gewijzigd door Kanarie op 07-05-2024 16:41 ]

Meeste providers hebben upnp gewoon nog aan staan zover ik weet. Ik lees idd kpn niet meer met de experiabox

Is het raar dat ik niet snap waarom er uberhaupt poorten open moeten naar je console(s)?
Peer to peer multiplayer is toch al heel lang geen ding meer onderhand?

[ Voor 29% gewijzigd door Polderviking op 07-05-2024 18:49 ]

Vroem Boem schreef op dinsdag 7 mei 2024 @ 18:51:
[...]

Call of Duty, FIFA, GTA zijn blijkbaar juist allemaal p2p, dus lijkt juist meer te worden.
Tenzij ik mij verkeerd heb laten informeren. Is ook een specifieke instructiepagina van Microsoft over welke poorten open moeten staan voor de Xbox, dat zullen ze ook niet voor niets doen.

Oké.
Ik heb er een firewall tussen zitten die absoluut geen upnp doet, en ik heb ook niks naar mijn drie consoles of zelfs pc open staan.
Ben nog nooit ergens tegenaan gelopen, maar ik geef onmiddellijk toe dat ik de games die je hier noemt ook niet speel.

Vroem Boem schreef op dinsdag 7 mei 2024 @ 18:03:
[...]


Maar als providers UPnP in hun router uit hebben staan, hoe gaat Kees de digibeet dan online FIFA/CoD/GTA doen? Zie die mensen echt niet gaan inloggen in router (meerderheid NL). Je zou denken dat men inmiddels wel iets anders had verzonnen. Of is dit dan NAT-punchthrough?

Zonder uPnP verbind je naar mensen die wel de poorten hebben openstaan of uPnP aan hebben. En anders doe je dat met STUN, TURN en ICE, dat vereist een extra server als tussenpersoon. Als je de kracht van die methoden kent, is uPnP opeens niet heel veel enger. In feite open je met die technieken ook een port naar een apparaat.

Overigens, en noem mij naief, maar ik dacht dat vroeger het argument achter betalen voor Xbox Live en PSN om multiplayer te kunnen doen juist was ivm ‘kosten voor de gameservers’. Dus verbaas mij er eerlijk gezegd over dat er uberhaupt P2P wordt gebruikt of dat game publishers dit uberhaupt zelf moeten regelen (dat is toch juist waarmee de kosten van Live en PSN werden gerechtvaardigd?)

Dat zou een rechtvaardiging kunnen zijn voor die diensten, al weet ik niet wat Sony/Microsoft host en wat gehost wordt op eigen kosten door de gamefabrikanten. Als je een deel kan afschuiven op je klanten is dat gratis geld.

Polderviking schreef op dinsdag 7 mei 2024 @ 18:49:
Is het raar dat ik niet snap waarom er uberhaupt poorten open moeten naar je console(s)?
Peer to peer multiplayer is toch al heel lang geen ding meer onderhand?

Is helaas nog steeds een ding, als je de support pagina's van de consoles erbij pakt zie je de raarste dingen. Open poort 80, 443, zonder een richting aan te geven (onwaarschijnlijk dat op een consumentennetwerk port 80,443 naar buiten dicht staat), of Nintendo die voor de Switch aangeeft UDP port 1024 t/m 65535 te forwarden naar die console, knettergek

Kanarie schreef op dinsdag 7 mei 2024 @ 16:39:
[...]

Heb je een voorbeeld van een uPnP implementatie die dit toestaat? Ik had hier nog nooit van gehoord en kan er ook niets over vinden. Veel Google ruis als je gaat zoeken op uPnP en DHCP, dus wellicht zoek ik verkeerd. Voor de uPnP daemon die op mijn router draait (miniupnpd) kan ik geen docs vinden die suggereren dat je de DHCP server kunt wijzigen.

SetDNSServer is een gedocumenteerde command die met UPnP IGD uit te voeren zou zijn. Ik lees dat het niet breed ondersteund is, wat maar goed is ook, want er zijn kant-en-klare tools/giudes beschikbaar:
https://github.com/initstring/evil-ssdp

Dichtste dat ik kom bij concrete exploits zijn net iets anders, maar maken ook gebruik van UPnP om dingen ergens anders heen te laten gaan dan bedoeld:
https://www.gabriel.urdhr...ng-tv-upnp-dns-rebinding/

Verder zie ik laatste jaren vooral DDoS amplification attacks via UPnP:
https://www.kb.cert.org/vuls/id/339275
https://www.infosecinstit...curity/ddos-upnp-devices/

Vroem Boem schreef op dinsdag 7 mei 2024 @ 18:51:
[...]

Call of Duty normale multiplayer, FIFA, GTA zijn blijkbaar juist allemaal p2p of een mix. Hoewel ik lees dat EA voor Fifa aan het switchen is en specifiek warzone ook dedicated is
Tenzij ik mij verkeerd heb laten informeren. Is ook een specifieke instructiepagina van Microsoft over welke poorten open moeten staan voor de Xbox, dat zullen ze ook niet voor niets doen.

Luie programmering van mensen die nog nooit van security gehoord hebben. Dan krijg je dingen als dit:

FIFA 17 - PC

TCP: 3569, 9946, 9988, 10000-20000, 42124
UDP: 3659, 9000-9999

WTseriousF, je kunt je PC bijna net zo goed in DMZ zetten

Zolang mensen software als dit blijven kopen, blijven ze het doen. Hoog tijd om daarmee te stoppen.