1.2, XoRe (ok), 23:47, 07/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> (UDP-порт 1900 и TCP-порт 2869) на WAN-интерфейсе, т.е. в этом случае не
> исключается проведение атаки злоумышленником из внешней сети.
Да, 445 порт возвращается!
Как лечить - поставить альтернативную прошивку.
| |
|
|
3.6, Аноним (-), 00:24, 08/02/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
Нормальные люди юзают miniupnp, а кого угораздило полновесный либ тягать - ну, запатчатся ща, да и все дела. А вот пока броадком раздуплится, пока слоупочные ОЕМы отпустят свой ручник, пока рак на горе отсвистит - там уже камня на камне не останется.
P.S. А вообще вывешивать upnp в WAN - это люто. В upnp по сути нет никакой секурити, кто угодно может запросить произвольный маппинг. Что в случае WAN интерфейса чревато использованием железки в роли плацдарма, от лица которого будут производиться атаки, в интранет и куда там еще.
| |
3.13, Аноним (-), 04:35, 08/02/2013 [^] [^^] [^^^] [ответить] | +1 +/– | Ну дырявый libupnp, только кому он там нужен на альтернативных прошивках этот li... большой текст свёрнут, показать | |
|
4.57, Аноним (-), 17:42, 10/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
И тем не менее в репозиторий OpenWrt недавно прилетели обновления для сборки пакетов libupnp, miniupnpd, miniupnpc с пометкой "security update". Бинарные сборки пока не обновлялись. :(
Хотя miniupnpd и miniupnpc и не используют libupnp, но видимо имеют схожие проблемы.
| |
|
|
|
1.4, pavlinux (ok), 23:55, 07/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +13 +/– |
А чё все оставляют UPnP вкюченным? После покупки девайса первое,
что надо делать - выключать этот троян от Микрософт.
| |
|
|
3.19, Аноним (-), 06:53, 08/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
Форточники оскорбились. Ради смеха, хоть что-то приличное бы сделали. По теории вероятности, если бессмысленно и тупо что-то делать, и то 50% чего-то полезного получится. А тут все 100% вреда!!!
| |
|
2.8, Stax (ok), 01:21, 08/02/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
А какие есть альтернативы для обычных пользователей? Которые хотят адекватно качать и раздавать торренты, например, а лезть в роутер настраивать маппинги портов не может. Не забывайте, эти роутеры часто настраиваются автоматически при установке прогой от вендора с диска, что идет в комплекте с роутером, или же монтажником от провайдера. Обычный пользователь не знает ни про пароль от него, ни про необходимость туда вообще лезть. Ему нужно, чтобы интернет на компе полноценно работал и торрент-клиент не зажигал красную лампочку "включи уже upnp, наконец, раз порты не можешь настроить".
Про то, что может потребоваться зафиксировать IP-адреса вместо DHCP-диапазона и другие шаги я лучше умолчу. С upnp, хотя бы, торренты у обычного пользователя качаются как надо и без лишних действий.
| |
|
3.9, klalafuda (?), 02:15, 08/02/2013 [^] [^^] [^^^] [ответить]
| –4 +/– |
Я вам таки больше скажу: зачастую, обычный пользователь при подключении к испу вообще не заморачивается на тему роутеров и втыкает протянутую ему веревочку прямо в голую попу, без презерватива. Потому что ничего про маршрутизатор он естественно не знает.
| |
|
4.10, Аноним (-), 03:03, 08/02/2013 [^] [^^] [^^^] [ответить]
| +9 +/– |
> Потому что ничего про маршрутизатор он естественно не знает.
... до момента покупки телефона или планшета с вайфаем, нотика или еще чего-нибудь. Потом поневоле приходится узнать.
| |
4.22, ваноним (?), 09:08, 08/02/2013 [^] [^^] [^^^] [ответить]
| +5 +/– |
вы так говорите, будто бы православный роутер отличается от православного компа.
и да, похоже, у вас какие-то не совсем здоровые ассоциации по этому поводу возникают. может это связанно с вчерашней двойкой по математике?
| |
|
3.16, pavlinux (ok), 06:23, 08/02/2013 [^] [^^] [^^^] [ответить]
| +9 +/– |
> А какие есть альтернативы для обычных пользователей?
Не ходить на опеннет! :)
| |
|
|
5.42, ТакАнонимЖе (?), 16:09, 08/02/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Рыть землянки, закупать медные провода, мотать супергетеродины и мастерить радиоприемники на частоте кв/св.
| |
|
4.61, Аноним (-), 01:10, 12/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
Pavlinux не обычный пользователь. Pavlinux пользователь альтернативно одарённый. Ты уж извини, но мы, обычные пользователи, ходили и будем ходить куда считаем нужным.
Теперь по делу. Плохо то, что пользователи не могут настроить свои домашние роутеры и вынуждены пользоваться для этого кривыми программами, работающими только в одной кривой оси. Что с этим делать? Ничего. Ждать когда школьники начнут ломать такие роутеры, открывать халявный wi-fi и обрезать канал своей жертве. Глядишь люди и перестанут покупать такие устройства.
| |
|
3.20, Аноним (-), 06:56, 08/02/2013 [^] [^^] [^^^] [ответить] | +/– | gt оверквотинг удален Не такие уж сложные всего 2 идеи - статическая адресация... большой текст свёрнут, показать | |
|
4.35, XoRe (ok), 14:45, 08/02/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Не такие уж сложные всего 2 идеи - статическая адресация и фильтрация
> по MAC адресу.
А остальное?
| |
|
5.48, pavlinux (ok), 17:58, 08/02/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Каким боком какой нить доктор должен знать что такое MAC адрес ?
Почему я знаю, что эффективность противодействия ГРИППу зависит от количества
бета-интерферона, который можно генерить с помощью поглощения хлопкового масла
иль сожрать 20 таблеток (не сразу) кагоцела?!
| |
|
6.51, Аноним (-), 20:36, 08/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
Охши ... !!!
Павлин - вот и тот доктор знает о MAC-адресе на таком же уровне - то есть ничего не знает :)
| |
|
7.56, Аноним (-), 17:08, 09/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Охши ... !!!
> Павлин - вот и тот доктор знает о MAC-адресе на таком же
> уровне - то есть ничего не знает :)
Ой, давайте не будем. И врачи есть разные (Кон Коливас, например ;) ) и IT-шники, которые не знают, чем концентратор (hub) от коммутатора (switching hub) отличается.
| |
7.59, pavlinux (ok), 17:35, 11/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Охши ... !!!
> Павлин - вот и тот доктор знает о MAC-адресе на таком же
> уровне - то есть ничего не знает :)
Пиздить и я умею, а ты доказательства о моей не компетентности давай. (без гугла плиз)
| |
|
|
|
|
3.55, Led (ok), 01:16, 09/02/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>А какие есть альтернативы для обычных пользователей?
Альтернатива "обычным пользователям" - нетупые пользователи.
| |
|
2.11, KT315 (ok), 03:47, 08/02/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ты наверно спутал с qss (она же wps), реализация которой позволила получить wpa/wpa2 ключ за 11000 подходов :-)
Правильная, я подчеркиваю, правильная реализация nat-pmp или uPNP очень годная технология!
| |
|
|
|
5.46, pavlinux (ok), 17:52, 08/02/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> DLNA uses UPnP for media management, discovery and control.
IPv6 uses TCP ... и чё?
| |
|
6.58, ваноним (?), 16:48, 11/02/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
IPv6 uses TCP???77 o_O
вы где такие вещества достаете?
для тех кто в танке: UPnP вовсе не умирает.
| |
|
7.65, pavlinux (ok), 03:16, 15/02/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> IPv6 uses TCP???77 o_O
> вы где такие вещества достаете?
Кончились аргументы? Нечем крыть? Хочется оставить за собой последнее слово?
Доебись до опечатки собеседника, сделать больше ты ничего не сможешь (с)
| |
|
|
|
4.29, Yevgen (??), 11:31, 08/02/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
DLNA не является заменой UPNP.
UPnP определяет базовую архитектуру сетевых устройств, протоколы.
А также некоторое количество базовых вариантов устройств,
среди них: Internet Gateway, AudioVideo - Media Server & Media Renderer и прочие.
А DLNA это стандарт поверх UPnP AudioVideo архитектуры.
Цель его введения обеспечить в итоге совместимость AV устройств для конечных пользователей. Потому как UPnP AV слишком универсальна, не определеяет даже поддерживаемые форматы данных.
Поэтому рассматривать DLNA как приемника UPnP это ограничено и не верно :)
| |
|
3.53, nuclight (??), 21:56, 08/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
В некоторых примененениях справляется только NAT-PMP, а UPnP - увы, отсасывает, поскольку сделан мультикастом. Например, когда у меня возникла задача занатить общажную сетку не в один внешний адрес, а в их пул, каждым 16 телам свой внешний - в UPnP это невозможно, в NAT-PMP все шлют на адрес дефолта, и он их различает. Сделал свой http://antigreen.org/vadim/freebsd/ng_nat/avtnatpmpd/ для этой задачи, с реализацией, пригодной для включения в упомянутый в посте MiniUPnP, кстати (правда, автору мысль об универсальной реализации не понравилась, он предпочел отдельный костыль для каждого бэкенда).
| |
|
2.26, Аноним as anonymous (?), 10:42, 08/02/2013 [^] [^^] [^^^] [ответить]
| –4 +/– |
> А чё все оставляют UPnP вкюченным? После покупки девайса первое,
> что надо делать - выключать этот троян от Микрософт.
тебя самого надо было выключить сразу после рождения, чтобы не нес всякую малограмотную чушь. есть же еще недоумки, считающие, что если они чем-то не умеют пользоваться, то и всем остальным не надо!
| |
|
3.43, Аноним (-), 16:55, 08/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> А чё все оставляют UPnP вкюченным? После покупки девайса первое,
>> что надо делать - выключать этот троян от Микрософт.
> тебя самого надо было выключить сразу после рождения, чтобы не нес всякую
> малограмотную чушь. есть же еще недоумки, считающие, что если они чем-то
> не умеют пользоваться, то и всем остальным не надо!
Разум человечества, а ты про SNMP слыхал что-нить? Гении тащемта не лучше.
| |
3.60, pavlinux (ok), 17:37, 11/02/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> А чё все оставляют UPnP вкюченным? После покупки девайса первое,
>> что надо делать - выключать этот троян от Микрософт.
> тебя самого надо было выключить сразу после рождения, чтобы не нес всякую
> малограмотную чушь. есть же еще недоумки, считающие, что если они чем-то
> не умеют пользоваться, то и всем остальным не надо!
Пользуйся сыночег, пользуйся, потом не спрашивай, "Папко, а чё я в КВД делаю?"
| |
|
|
|
2.24, Аноним (-), 10:14, 08/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
Было уже. D-Link выпускал роутеры с заводским установками по умолчанию login: admin, password: admin. Причём, смена пароля перед началом эксплуатации никак не требовалась и этим admin можно было заходить через WAN. Ну а виндохомячкам в голову не приходило, что надо как-то убедиться в безопасности заводских настроек.
| |
2.44, Аноним (-), 16:55, 08/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Возможен ботнет из роутеров! Восстание машин не за горами :)
Тащемта, уже был.
| |
|
1.14, Аноним (-), 04:42, 08/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Дайте мне же эту #FORMAT STRING# да поскорее, поскорее !!! Делов то невпроворот, а ведь какие перспективы! Ух! Мечты...
| |
1.15, Аноним (-), 04:52, 08/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
"Примечательно, что компания Cisco была уведомлена о проблеме несколько месяцев назад, но исправление так и не было выпущено."
Примечательно, что компания Cisco продала Linksys и о том что продаст его знала за несколько месяцев до уведомления о проблеме с upnp. Но разве ж это кого-то долбёт?
| |
1.18, Аноним (-), 06:39, 08/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
UPnP - бредовая технология. Особенно для корпоративной сети, а для дома тем более. Отключать и запрещать брандмауэром. Сразу.
| |
|
2.36, XoRe (ok), 14:48, 08/02/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> UPnP - бредовая технология.
Но полезная. Пускай, вам от неё пользы нет.
| |
|
1.23, Аноним (-), 09:35, 08/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Глупый вопрос, а причем тут вообще сейчас Cisco? Когда речь идет о Linksys ?
| |
|
2.25, Аноним (-), 10:16, 08/02/2013 [^] [^^] [^^^] [ответить]
| +/– |
При том, что до января 13го года линксис принадлежал циске, сейчас же принадлежит белкину.
| |
|
1.27, name (??), 10:59, 08/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Проблему усугубляет то, что многие устройства принимают UPnP-запросы (UDP-порт 1900 и TCP-порт 2869) на WAN-интерфейсе
не верю, это же надо явно разрешать эти порты при дефолтном iptables -P INPUT DROP, но какому идиоту это придет в голову?
| |
|
2.37, XoRe (ok), 14:50, 08/02/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> не верю, это же надо явно разрешать эти порты при дефолтном iptables
> -P INPUT DROP, но какому идиоту это придет в голову?
Вы про свой localhost? Не волнуйтесь, его никто не взломает.
Речь про домашние аппаратные роутеры - там бывают неадекватные настройки.
| |
|
3.40, name (??), 15:55, 08/02/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Вы про свой localhost?
2 балла тебе по "Телепатии"
> Речь про домашние аппаратные роутеры
весь сохо сегмент вышеназваннных компаний исключительно софтовый, аппаратного там разве что nat в некоторых моделях.
> там бывают неадекватные настройки
о том и речь, что для таких неадекватных настроек необходимо приложить дополнительные усилия, как то: открыть вышеназванные порты для wan интерфейса при полной фильтрации по дефолту.
| |
|
4.54, XoRe (ok), 00:51, 09/02/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> там бывают неадекватные настройки
> о том и речь, что для таких неадекватных настроек необходимо приложить дополнительные
> усилия, как то: открыть вышеназванные порты для wan интерфейса при полной
> фильтрации по дефолту.
В новости написано, что неадекватные настройки бывают из коробки.
Как раз дополнительные усилия нужны, чтобы их закрыть.
| |
|
|
|
1.31, анноним (?), 13:25, 08/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
>Примечательно, что компания Cisco была уведомлена о проблеме несколько месяцев назад, но исправление так и не было выпущено.
Не для того они его туда запиливали, чтобы по первой просьбе анонимуса выпиливать.
| |
1.39, Гентушник (ok), 15:26, 08/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Когда же до нас дойдёт IPv6, чтобы можно было бы отказаться от NAT и всякие кривые костыли вроде upnp не использовать...
| |
|
2.47, Stax (ok), 17:55, 08/02/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
Где связь между NAT и UPNP? Или вы тоже верите, что NAT это такая замена файрволу, не будет NAT - не будет файрвола?
UPNP нужен, в частности, чтобы открывать порты на удаленном файрволе без неудобных некоторым пользователям ручных манипуляций с веб-админкой роутера; от использования IPv6 необходимость "открыть порт 12345 на такой-то IP для работы входящих соединений в торрент-клиент" не исчезает, файрволл-то и с IPv6 нужен. Так что UPNP будет жить, пока что-нибудь удобнее или надежнее не изобретут, а IPv6 тут вообще не при чем..
| |
|
3.49, Гентушник (ok), 19:12, 08/02/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Где связь между NAT и UPNP?
Я наверное неправильно выразился. Говорил я только о части UPNP, об IGD.
> Или вы тоже верите, что NAT
> это такая замена файрволу, не будет NAT - не будет файрвола?
Я прекрасно понимаю чем отличается фаервол от NAT.
> UPNP нужен, в частности, чтобы открывать порты на удаленном файрволе без неудобных
> некоторым пользователям ручных манипуляций с веб-админкой роутера;
upnp, а точнее IGD нужен для автоматической проброски портов, т.е. для преодоления NAT.
Открытие портов в фаерволе - это побочный эффект.
> от использования IPv6
> необходимость "открыть порт 12345 на такой-то IP для работы входящих соединений
> в торрент-клиент" не исчезает, файрволл-то и с IPv6 нужен. Так что
> UPNP будет жить, пока что-нибудь удобнее или надежнее не изобретут, а
> IPv6 тут вообще не при чем..
Я говорю об отказе от NAT. В этом случае закрыть какие-то порты всем пользователям в сети, а потом разрешить всем пользователям в сети открывать эти порты через IGD видится мне бессмысленным.
| |
|
|
1.63, Аноним (-), 16:20, 14/02/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Микротик рулит, в банке ведем замену разводной на бабки циски
на микротики. Все довольны. Банк крупный- федерального уровня.
| |
1.67, Ivan_83 (?), 00:25, 26/07/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
UPnP это не только проброс портов, но и очень много всего связанного с мультимедиа.
Всё делалось чтобы plug and play был и для всех устройств подключенных к сети.
И это работает.
В венде и андройде всё очень не плохо с этим, они сразу могут показывать и рулить всякими телеками и пр подключёнными к сети.
В этом и был интерес МС и кучи производителей бытовой техники.
UPnP не содержит механизмов авторизации, потому что предназначен для дома либо для не критичных сервисов.
Ещё там есть проблемы с совместимостью фишек между разными реализациями, но основной функционал работает.
Не вижу причин дома его отключать.
Если паранойя настолько сильна то лучше его использовать для слежки за подозрительными приложениями которые его же и используют.
Функционально он состоит из двух блоков:
1. SSDP анонсера, который на мультикаст адрес кидает анонсы о том какой сервис есть и где URL для работы с ним.
2. HTTP + SOAP (xml based) веб сервис который обрабатывает запросы.
Моя реализация SSDP демона на сях и остального на nginx + php:
http://www.netlab.linkpc.net/forum/index.php?topic=898.0
Смотрю через это кина с сервера на ящике и андройде и иптв (парсит m3u плей листы).
| |
|