Nederlander doet upnp-lek uit de doeken

Linksys heeft vorige maand een update voor dit lek uitgebracht. Eigenaren van een Linksys router wordt aangeraden deze update te installeren.

eh? dit werd in 2001 reeds aangekaart op bijvoorbeeld http://www.grc.com/unpnp/unpnp.htm

"ontdekking" is dan ook een groot woord natuurlijk ;-)

En als je routertje een secure upnp mogeljkheid geeft?

Beetje meer info mag wel...

Er zijn namelijk bij de meeste routers 2 modi. Namelijk één die clients alleen toestaat om portmappings te maken en één die de client totale controle over de verbinding (link-state) geeft. Uiteraard is dus de eerste variant aan te bevelen. Maar met dit verhaal is het totaal onduidelijk of het over beide modi gaat of alleen de 2e. Een groot verschil!

GRC luisteren mensen niet naar die meer dan drei hersencellen hebben. dat uPnP een stom idee was/is, wisten we ook al langer. het kan echter geen kwaad als af en toe mensen er op gewezen worden.

ZyXEL is een aantal jaren geleden al overgestapt op het in de firewalls standaard af te hebben staan van uPnP. Het duurde even voordat ik ze overtuigd had... maargoed, beter laat dan nooit.

@GaGo: dat weet ik zo net nog niet, want op de site van grc zegt hij zelf dat er op zich niks mis is met het protocol, maar dat er altijd fouten kunnen zitten in de implementatie ervan en dat het dus onverstandig is van MS om het standaard aan te zetten in Windows.

Maar deze meneer Hemel zegt dat het protocol zelf al onveilig is omdat er helemaal geen rekening wordt gehouden met security issues.

Da's natuurlijk wel andere koek.

@Jack2

Voor mijn router is de laatste firmware op de site anders van 2005... en deze is zelfs ouder dan degene die al bij aanschaf op de router draait!

Hoe zit dit eigenlijk op de veel door KPN uitgedeelde Speedtouch modems voor ADSL? Daarop zit ook upnp, en ik wil er graag gevruik van blijven maken voor bijvoorbeeld spellen en msn.

Er wordt wel geroepen dat Linksys een update heeft gemaakt maar dat geldt maar voor 3 modellen van de ongeveer 100 die ze verkocht hebben de afgelopen 3 jaar. UPNP moet je zowiezo uit hebben staan. Dat was al verteld in diverse seminars.. BlackHat San Fransisco, onze hackervrienden in de buurt van Liempde enz enz.

Hoe zit dit eigenlijk op de veel door KPN uitgedeelde Speedtouch modems voor ADSL? Daarop zit ook upnp, en ik wil er graag gevruik van blijven maken voor bijvoorbeeld spellen en msn.


Als je pc's een vast IP hebben (en dat hebben ze, als je ze regelmatig aanzet (lease-time)) dan kun je ook handmatig eenport-map via NAT instellen.

Hoe zit dit eigenlijk op de veel door KPN uitgedeelde Speedtouch modems voor ADSL? Daarop zit ook upnp, en ik wil er graag gevruik van blijven maken voor bijvoorbeeld spellen en msn.


Kan toch ook?

-- uit de help van de Speedtouch series: --

UPnP

UPnP also provides NAPT Traversal: UPnP aware applications on a PC will automatically create NAPT entries on the SpeedTouch 500Series for incoming ports it needs. As a consequence these applications are able to traverse the SpeedTouch 500Series NAPT engine without the need for extra configuration: no NAPT algorithms - the so called NAPT Helper applications - are needed or activated. NAPT entries created by UPnP will be created as templates.

For security reasons you are able to configure the UPnP policy towards Windows XP and UPnP aware applications and Operating Systems. Select:

* Full
Unlimited UPnP operation between a host running
Windows XP and the SpeedTouch 500Series.
All UPnP-based communication between any local host
and the SpeedTouch 500Series is allowed.
A local host is:
o Allowed to connect/Disconnect the SpeedTouch
500Series Internet Gateway connection.
o Allowed to add/delete NAPT port mappings for
any host/application.

* Secure
Limited UPnP operation between a host running Windows
XP and the SpeedTouch 500Series.
UPnP-based communication between a local host and the
SpeedTouch 500Series is limited, and host-specific
restricted.
A local host is:
o NOT allowed to connect/disconnect the SpeedTouch
500Series Internet Gateway connection.
o Allowed to add/delete NAPT port mappings only
for its own IP address, not for other local
hosts.

* Off
All UPnP support is disabled on the SpeedTouch
500Series. UPnP-based communication between a local
host and the SpeedTouch 500Series is not possible.

-- eind helpfile stukje --

Je kunt 't dus uit zetten ("off") en handmatig instellen via NAT zoals mdeweerd zei of "vertrouwen" op de "secure" setting :)

Armijn heeft gewoon gelijk en Steve G. heeft (as usual) de plank volledig misgeslagen.

Voor wat betreft uPnP: gewoon niet gebruiken. Als je 't gebruikt omdat je 't "nodig hebt" dan moet je ook de risico's dragen dat het mis gaat.

de Speedtouch gevallen hebben ook meestal uPnP, lekker afzetten/laten.

't punt is gewoon dat uPnP teveel losse eindjes heeft. De reden van het uPnP bestaan heeft alles te maken met de protocollen die het nodig hebben.. (en dan met name het feit dat als de protocollen goed bedacht zouden zijn, uPnP niet nodig zou zijn geweest)

Wat raar, mijn in de handleiding van mijn router staat dat hij upnp ondersteund.
Echter de check op upnp van de GRC site zegt dat er geen upnp is geinstalleerd, of ik nu wel of geen zonealarm naast mijn router gebruik.

De sources die gebruikt zijn bevatten ernstige programmeerfouten:

o) arrays zonder bounds checking, waardoor buffer overflows kunnen optreden;

o) buffer die met sprintf gevuld worden en direct aan system() worden aangeboden zonder verdere check op de inhoud.

een aantal elementaire fouten die bij 'secure programming' niet voorkomen.

@roeland
Die test voor Upnp is om te zien of deze feature aanstaat in de diverse smaken van Windows. Niet om je router te testen. Als je de moeite had genomen om te lezen en evt. te luisteren naar zijn podcast over routers, dan had je geweten dat Steven juist adviseerd deze gevaarlijke feature uit te zetten in je router.