Kwetsbaarheid maakt apparaten met upnp-integratie onveilig

Een kwetsbaarheid in het upnp-protocol maakt het mogelijk om informatie te stelen van iot-apparaten, en die in te zetten voor ddos-botnets. Het lek in Universal Plug and Play wordt CallStranger genoemd en maakt apparaten kwetsbaar als de functie is ingeschakeld.

CallStranger maakt het mogelijk om apparaten met upnp-integratie aan te vallen als die functie aan staat. Upnp staat op Windows-machines, Xbox-consoles, tv's en routers, maar wordt ook door veel iot-apparaten gebruikt. Upnp is in principe bedoeld voor lokaal gebruik op een vertrouwd netwerk, omdat er geen authenticatie op het protocol staat. Met CallStranger kan iemand een apparaat dat upnp aan heeft staan van een afstand aanvallen. Volgens Shodan zijn er op dit moment 5,5 miljoen apparaten die de functie zo hebben ingesteld.

De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Yunus Çadirci. Hij ontdekte het lek in het Universal Plug and Play-protocol of upnp vorig jaar. Çadirci noemt het lek CallStranger, al staat het inmiddels ook bekend als CVE-2020-12695.

De kwetsbaarheid zit in upnp's subscribe-functie, en dan specifiek in de callback-headers daarin. Çadirci zegt dat het mogelijk is om een tcp-pakketje naar een apparaat te sturen om de verbinding te manipuleren. Op die manier kan een aanvaller een tcp-ddos-aanval uitvoeren door de apparaten toe te voegen aan een botnet. Çadirci zelf zegt dat datadiefstal het grootste risico van de kwetsbaarheid is. De data kan van het apparaat dat upnp ondersteunt worden afgelezen. Een aanvaller kan via de kwetsbaarheid ook interne poorten scannen op het netwerk.

Çadirci heeft een proof-of-concept gemaakt waarmee gebruikers van iot-apparaten kunnen zien of hun apparaat kwetsbaar is. Çadirci heeft het lek vorig jaar doorgegeven aan de Open Connectivity Foundation, de stichting die het upnp-protocol beheert. Inmiddels heeft die een fix uitgebracht, maar het is erg afhankelijk van individuele leveranciers wanneer die wordt doorgevoerd. Overigens zijn niet alle upnp-stacks kwetsbaar. Çadirci zegt dat bijvoorbeeld mini-upnp niet gevoelig is voor het lek.

Reacties (73)

Anonymoussaurus 9 juni 2020 16:42

Het was toch al vrij lang duidelijk dat UPnP een risico met zich meebrengt? Het maakt het mogelijk voor malware om poorten in de router zelf te openen. Dit neemt een hoop handmatig werk weg, maar zoals met veel security-gerelateerde dingen, is het altijd een trade-off die je moet maken: wil je meer usability of security?

Ik had zelf ook UPnP uitgeschakeld in m'n router, maar het handmatig port-forwarden voor devices voor bijvoorbeeld games is een pain in the ass qua onderhoud. Plus dat het port-forwarden niet je NAT type per se open zet. Heb het dus weer aangezet. Lagere ping ook, maar baart mij wel een beetje zorgen. Helemaal omdat fixes niet altijd doorgevoerd worden in updates (als je die überhaupt krijgt).

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 11:36]

The Zep Man

Beveiliging en antivirus

@Anonymoussaurus • 9 juni 2020 16:45

Ik had zelf ook UPnP uitgeschakeld in m'n router, maar het handmatig port-forwarden voor devices voor bijvoorbeeld games is een pain in the ass qua onderhoud. Plus dat het port-forwarden niet je NAT type per se open zet. Heb het dus weer aangezet. Lagere ping ook, maar baart mij wel een beetje zorgen. Helemaal omdat fixes niet altijd doorgevoerd worden in updates (als je die überhaupt krijgt).

Dan draai je systemen waarop je spellen speelt toch in een apart netwerk?

[Reactie gewijzigd door The Zep Man op 24 juli 2024 11:36]

Anonymoussaurus @The Zep Man • 9 juni 2020 16:48

Bedoel je een DMZ of een apart subnet? Want als ik dat doe moet de printer + andere apparatuur waar hij in z'n LAN mee moet communiceren ook weer in hetzelfde netwerk. Maar goed, dat kan je dan weer met VLAN tagging etc doen, maar daar heb ik de apparatuur weer niet voor.

The Zep Man

Beveiliging en antivirus

@Anonymoussaurus • 9 juni 2020 17:18

Bedoel je een DMZ of een apart subnet? Want als ik dat doe moet de printer + andere apparatuur waar hij in z'n LAN mee moet communiceren ook weer in hetzelfde netwerk.

Waarom? Kan toch via een router en port forwarding tussen je eigen netwerken?

[Reactie gewijzigd door The Zep Man op 24 juli 2024 11:36]

naaitsab @The Zep Man • 9 juni 2020 17:32

En dan een NAT-achter-NAT creëren? Liever niet. Als je het goed wil splitsen is DMZ het meest wenselijke. Al vermoed ik dat mensen die zich daarmee gaan bemoeien UPNP al lang uitgeschakeld hebben

Heb UPNP zelf uit staan in mijn Edgerouter, het aantal games wat hier problemen mee heeft is zeer klein. Tot nu toe mis ik het niet. Port forwarding aanmaken is ook een fluitje van een cent dus die tradeoff neem ik wel voor lief.

Punkbuster @naaitsab • 9 juni 2020 17:39

Upnp op een vlan aanzetten, en daar je console in ✅

The Zep Man

Beveiliging en antivirus

@naaitsab • 9 juni 2020 18:34

En dan een NAT-achter-NAT creëren?

Nee. Met port forwarding bedoelde ik in deze context simpelweg poorten openzetten op de firewall tussen interne netwerken.

thomas1907 @The Zep Man • 9 juni 2020 17:34

Dit gaat toch vrijwel geen een non-tweaker doen? Zelfs ik zou niet weten hoe dit moet

/edit
Volgensmij kan mijn standaard Tmobile router dit ook niet

[Reactie gewijzigd door thomas1907 op 24 juli 2024 11:36]

The Zep Man

Beveiliging en antivirus

@thomas1907 • 9 juni 2020 18:35

Dit gaat toch vrijwel geen een non-tweaker doen? Zelfs ik zou niet weten hoe dit moet

Je bent hier niet op een site voor non-tweakers. @Anonymoussaurus is een tweaker, en hem beantwoorde ik.

thomas1907 @The Zep Man • 9 juni 2020 18:47

Non Tweakers mogen ook gewoon op deze site komen lijkt me

Ben wel een Tweaker, maar niet met dat soort dingen, dus ik vind dat mijn comment gewoon ontopic is.

Precies zoals @Anoniem: 420148's comment.

[Reactie gewijzigd door thomas1907 op 24 juli 2024 11:36]

3dfx @thomas1907 • 10 juni 2020 07:49

Non Tweakers mogen ook gewoon op deze site komen lijkt me

Dank je!
Klik hier voor een voorbeeldje van mijn vroegere werk op het gebied van non-tweaken.

Anoniem: 420148 @Anonymoussaurus • 9 juni 2020 18:07

Daar sla je eigenlijk de spijker op de kop. 99.9999% van de bevolking heeft de kennis/apparatuur er niet voor om UPnP te kunnen uitzetten, en de rest heeft geen zin om een fucking whitelist van 200 regels bij te houden. Dus uitschakelen is eigenlijk gewoon geen werkbare oplossing.

[Reactie gewijzigd door Anoniem: 420148 op 24 juli 2024 11:36]

mr_evil08 @The Zep Man • 9 juni 2020 17:02

Daar zitten ook weer nadelen aan zoals even iets willen streamen naar je TV etc fijn allemaal die vlans etc. Ik heb het vroeger ook gehad en uiteindelijk 1 netwerk weer gemaakt behalve een gast WiFi netwerk erbij.

Op gegeven moment wint het gemak tegenover beveilging want hoever wil je daarmee gaan, het heeft weinig zin een consumenten pc top of the hill te gaan beveiligen want zo interessant ben je in algemeen niet voor een hacker.

Crypto virussen vormt een grotere bedreiging, doorgaans prive spul heb ik met een extra laag afgeschermd.

[Reactie gewijzigd door mr_evil08 op 24 juli 2024 11:36]

glatuin @Anonymoussaurus • 9 juni 2020 16:57

Ik ben zelf geen gamer, de (puberende) kids wel. Ik heb upnp uit staan in de router en tot op heden geen klachten van de zonen. Ze spelen allerlei PC games (vis Steam etc)

mikesmit @glatuin • 9 juni 2020 17:39

Moderne games gaan over het algemeen anders om met netwerk protocollen dan vroeger. Ze gebruiken bijvoorbeeld niet meer obscure poorten en weinig gebruikte protocollen.

Als een game poorten gebruikt die normaal gesproken voor HTTP of https dan zijn die poorten niet geblokkeerd. Vroeger was het veel vaker zo dat een game bijvoorbeeld poort 68375 gebruikte en die hoge ranges staan standaard geblokkeerd in je firewall

Ondanks de kwetsbaarheid uit het artikel vind ik UPnP veel te handig om het uit te zetten. We willen toch ook niet terug naar een tijd dat je COM poorten moet configureren als je een apparaat aan je pc aan sloot. We zijn verwend dat heel veel “auto-magisch” gaat en ik hoef niet terug naar de tijd dat je overal mee moet klooien om het aan de praat te krijgen

Finraziel

@mikesmit • 9 juni 2020 18:38

Ze gaan maar tot 65535

(niet dat het iets aan je verhaal verandert...)

mikesmit @Finraziel • 9 juni 2020 19:38

Zat ik toch aardig in de buurt met deze gok

Kanarie @Anonymoussaurus • 9 juni 2020 16:45

Als de malware in je thuisnetwerk zit heb je al verloren. Je hoeft geen uPnP te gebruiken om poorten open te maken, zie bijv UDP hole punching.

SpiceWorm @Kanarie • 9 juni 2020 16:55

Idd of gewoon naar server connect als client. Daar heb je upnp niet voor nodig.

tweaknico @Kanarie • 9 juni 2020 17:00

Dat hangt er maar net vanaf hoe je firewall (op de Router) is ingesteld. (en in hoeverre je thuisnetwerk in compartimenten verdeeld is).
In mijn omgeving is whitelisting noodzakelijk.

btw. Upnp maakt het mogelijk om van binnenuit poorten open te zetten zodat van BUITENAF een doorgang naar binnen wordt gemaakt.

Kanarie @tweaknico • 9 juni 2020 17:09

Jep, maar dan heb je een strikte uitgaande firewall of stateless firewall nodig. Anders tunnelt iemand alsnog vrolijk van binnen naar buiten zonder dat daar een poort voor open hoeft. Domweg direct naar een command-and-control server zoals SpiceWorm hierboven suggereert, of UDP hole punching als je een poortje wilt openen.

tweaknico @Kanarie • 9 juni 2020 17:15

Block all, en alleen whitelisted poorten... en is er een extra poort nodig is, dan kan dat gevraagd worden aan de beheerder.... ;-)

Zer0 @tweaknico • 9 juni 2020 18:01

Ja, en dan gebruikt de malware gewoon port 443 en doet zich voor als https....

Anoniem: 420148 @Zer0 • 9 juni 2020 18:11

Voordoen? Een virus/malware kan feitelijk gewoon HTTPS-connecties maken met een externe server. Certificaatje is gratis en de eindgebruiker kan niet eens zien wat er allemaal naar buiten gemikt wordt over zijn netwerk.

tweaknico @Zer0 • 11 juni 2020 09:05

Bij whitelisting op IP adrres moet het virus zich al op een systeem met een whitelisted IP adres nestelen, anders komt het er ook niet langs. (Waarom zou je uitgaand verkeer over poort 443 doorlaten vanuit een server?, zelfs bij een web server kan je dit dichtzetten).
Zet je er een proxy tussen, MET authorisatie (inclusief 2FA...)... voor de overige systemen
Knap virus dat zich erlangs wurmt... Oh en in een browser natuurlijk zaken als uMatrix met alleeen whitelisting etc.
(Beveiliging gaat verder dan alleen generiek afsluiten van poortjes).

Zer0 @tweaknico • 11 juni 2020 09:57

Zet je er een proxy tussen, MET authorisatie (inclusief 2FA...)... voor de overige systemen

Leuk, maar welke thuisgebruiker gaat dit doen? Jouw oplossing is goed voor een bedrijfsnetwerk, maar we hebben het hier over UPnP, iets wat voornamelijk in een thuis-omgeving gebruikt wordt.

tweaknico @Zer0 • 11 juni 2020 10:04

Het is een keus:
Hoe serieus neem je beveiliging......
Het is een slider:
(Absoluut dicht getimmerd)............................................................................(open shooting range)

En ergens in het midden zet je de streep... Als je UPnP wil gebruiken zit je al aardig uiterst aan de rechter kant. Maar Helemnaal links is onwerkbaar... Dus de slider zit ergens in het midden.
De manier waarop meer en meer ISP's (CG-NAT etc.) gebruikers dwingen in een bepaald keurslijf te zitten helpt ook niet. Ook is er zeer weinig veiligheids bewustzijn bij eindgebruikers. OOK (of misschien Zelfs) bij mensen vanuit de IT die beter zouden moeten weten.
Helaas beveiliging wordt nog altijd gezien als iets dat je er later op/aan schroeft....
Kijk eens naar gevangenissen, zie je daar hangsloten aan een gammel beugeltje op een deur? of hebben ze er aparte deuren voor ontworpen.

(Veel ISP's gaan liever voor CG-NAT dan een fatsoenlijke IPv6 implementatie, maardat is een andere discussie).

johnkeates @Anonymoussaurus • 9 juni 2020 17:10

Dit gaat niet over de port mapping UPnP, maar over de andere devices.

Maurits van Baerle @Anonymoussaurus • 9 juni 2020 17:24

Het is een veel gehoord verhaal dat UPnP onveilig zou zijn maar kan iemand me uitleggen wat UPnP minder veilig maakt (afgezien van de kwetsbaarheid uit dit bericht) dan de standaard NAT die veel mensen thuis draaien in plaats van een firewall?

UPnP kan van binnenuit poorten openzetten, dat klopt. Maar als je als aanvaller binnen bent dan helpt NAT sowieso niet omdat NAT bij de meeste mensen (aangezien dat vrijwel altijd de default is) van binnen naar buiten wagenwijd open staat.

Een malware payload die op het systeem staat heeft met of zonder UPnP doorgaans vrij spel om allerlei server connecties aan te gaan of andere payloads te downloaden. Wat maakt UPnP dan gevaarlijker dan NAT?

[Reactie gewijzigd door Maurits van Baerle op 24 juli 2024 11:36]

MrFax @Maurits van Baerle • 9 juni 2020 17:38

Het probleem met UPnP omdat er naast het ip-adres geen enkele andere vorm van authenticatie is. Elke software met toegang tot je netwerk(zo'n beetje alles) kan zo een UPnP request sturen.

Een ander probleem is dat UPnP in een huis met meerdere gamers broodnodig is voor games als Destiny 2. Destiny 2 heeft speciale integratie voor UPnP, waardoor meerdere clients tegelijk hun NAT kunnen openstellen. Dit gebeurt door de UPnP middleware van de game.

Via UPnP kan Destiny 2 porten binden aan apparaten en deze gebruiken en naar luisteren voor connecties. Met handmatige port mapping kan dit niet, omdat de game dan niet kan weten welke port bij welk apparaat hoort, dus kan er maar 1 client tegelijk zijn port openen, via een specifieke port waarop de game altijd luistert.

Wil je sommige online games als Destiny 2 dus goed kunnen spelen met meerdere mensen tegelijk binnen een lokale netwerk, dan is UPnP de enige oplossing.

[Reactie gewijzigd door MrFax op 24 juli 2024 11:36]

Maurits van Baerle @MrFax • 9 juni 2020 18:24

Het probleem met UPnP omdat er naast het ip-adres geen enkele andere vorm van authenticatie is. Elke software met toegang tot je netwerk(zo'n beetje alles) kan zo een UPnP request sturen.

Jawel, maar dat probleem heb je met NAT ook. Ieder device op het LAN kan een verbinding maken met iedere server in de wereld zonder dat er controle is van welk proces of welke machine de verbinding vandaan komt. Dan is NAT dus net zo onveilig als UPnP.

Anonymoussaurus @Maurits van Baerle • 9 juni 2020 20:46

Het punt is dat je vrijwel niet zonder NAT kan maar wel zonder UPnP (met veel gezeur).

MrFax @Maurits van Baerle • 10 juni 2020 01:01

Alleen kan je via NAT niet zomaar incoming ports openen en met UPnP wel. Daar gaat het om. NAT zorgt er juist voor dat je interne LAN verborgen blijft.

[Reactie gewijzigd door MrFax op 24 juli 2024 11:36]

MrFax @Anonymoussaurus • 9 juni 2020 17:30

Mijn router heeft een upnp "secure mode". Met deze optie kan een apparaat alleen porten openen voor zijn eigen IP-adres. Dit zit in Asuswrt-Merlin iig.

Het is een aardig goede mitigatie omdat het helemaal niet nodig is voor een upnp apparaat om porten te openen voor een andere upnp apparaat binnen een LAN.

[Reactie gewijzigd door MrFax op 24 juli 2024 11:36]

Core2016 @Anonymoussaurus • 9 juni 2020 23:13

Als je deze kennis beheerst dan is een vlan met de juiste regels voor die meuk met onverwacht gedrag ook een mogelijkheid, kan dan best upnp aan hebben staan. Het is wat het is. En zo slecht is het nog niet. Top, had ik niet gelezen.

[Reactie gewijzigd door Core2016 op 24 juli 2024 11:36]

Anonymoussaurus @Core2016 • 9 juni 2020 23:15

Jup: Anonymoussaurus in 'nieuws: Kwetsbaarheid maakt apparaten met upnp-integratie onv...

Exirion 9 juni 2020 16:55

Uit de reacties op dit artikel blijkt maar weer dat mensen van alles door elkaar halen. Veel mensen associeren UPnP op basis van security issues die er lang geleden al waren, met UPnP IGD dat op routers wordt toegepast. UPnP an sich is een generiek framework voor o.a. service discovery. Er is bijvoorbeeld ook de UPnP AV architectuur met het service, renderer and control point concept. Dat is onderdeel van wat tegenwoordig DLNA heet, en dat zit in heel veel audioapparatuur en TV's. Het is echter een totaal ander verhaal dan UPnP IGD. Dus dat UPnP inherent onveilig zou zijn, is zoiets als beweren dat IP onveilig is als er een security issue in UDP is gevonden.

locke960 @Exirion • 9 juni 2020 20:13

De overeenkomsten tussen beide UPnP vormen:
- het staat standaard aan.
- er zit geen authenticatie op het protocol.
In mijn ogen is dat genoeg voor de kwalificatie 'inherent onveilig'.

air2

@locke960 • 10 juni 2020 07:32

Dat ged dus ook voor UDP (geen authenticatie staat standaard aan) TCP IP etc. Oftewel, dat zegt niet zoveel, het gaat erom dat de implementatie van de meeste UPnP stacks iets anders toestaan dan wat gedefinieerd is.

Room42 9 juni 2020 16:42

Ik heb nooit begrepen waarom je in vredesnaam de controle over je netwerk uit handen wilt geven aan UPnP. Ik bepaal graag zelf welke poorten ik openzet en waar die naar geforward worden.

Is het puur omdat Port Forwarding voor de normale sterveling zo ingewikkeld blijkt?

edit:

Ja ja, ik hoor het al. Het is dus vooral voor (online) gamers. Toch zou ik zelf alsnog de moeite nemen het zelf te beheren. Maar goed, ik game niet online.

[Reactie gewijzigd door Room42 op 24 juli 2024 11:36]

Icekiller2k6 @Room42 • 9 juni 2020 16:45

Ja. Is het tcp of Udp of icmp ? Moet ik als ik utp regel aanmaak ook Udp aanmaken?

Anonymoussaurus @Icekiller2k6 • 9 juni 2020 16:49

ICMP heeft niks met port-forwarding te maken

. Je moet zowel TCP als UDP regels aanmaken voor port-forwarding.

Room42 @Anonymoussaurus • 9 juni 2020 16:51

Je kan zowel TCP als UDP regels aanmaken voor port-forwarding. Het hangt van het verkeer af. Voor gewoon een webservertje heb je alleen TCP nodig. Voor DNS heb je alleen UDP nodig, etc.

Anonymoussaurus @Room42 • 9 juni 2020 16:54

Verschilt per router. Bij sommige routers (ook bij die van mij) kan je geen "both" kiezen. Dan moet je dus voor elke poort(range) zowel UDP als TCP apart openzetten, plus nog voor elke computer in je LAN.

Voor games heb je zowel TCP als UDP nodig, maar UDP wordt aangeraden (beter voor lage latency maar packet drops / jitter).

tweaknico @Anonymoussaurus • 9 juni 2020 17:06

TCP of UDP is afhankelijk van het protocol.
Al zijn er zaken aan het opschuiven....
DNS was klassiek UDP/53, en voor grotere transfers evt. TCP/53, door DNSSEC zal er vaker TCP nodig zijn.
HTTP was klassiek een TCP only poort, maar voor HTTP/3 protocol is UDP een aankomende poort.

FTP zal altijd port TCP/21 gebruiken voor commando's en poort TCP/20 voor data transfer, SSH zal altijd TCP/22 gebruiken. UDP/22 forwarden is dus zinloos.
Bij games zal het afhankelijk zan van de games wat er nodig is. en welke mis er nodig is.

Anonymoussaurus @tweaknico • 9 juni 2020 17:09

Lol, TCP en UDP zijn op zichzelf al protocollen

. En ja, daar ben ik mee bekend. Laten we dan zeggen dat de meeste FPS games liever UDP dan TCP gebruiken.

tweaknico @Anonymoussaurus • 9 juni 2020 17:14

TCP/UDP zijn L4 protcoollen, HTTP, FTP etc. zijn L6/7 protocollen.
IP is L3 protocol, Ethernet/TokenRing = L2 proocol. HLDC = L1 protocol...
Het zijn allemaal afspraken over communicatie op hun niveau...

VOIP is een andere protocol verzameling die wat UDP instellingen nodig heeft.

Jaco69 @tweaknico • 10 juni 2020 12:30

Je pas het OSI model toe op TCP/IP wat een 4 laags netwerk model heeft. Mag maar is verwarrend.

tweaknico @Jaco69 • 11 juni 2020 14:54

Het OSI referentie model is "de ideaale netwerk" stack waarbij alle verantwoordelijkheden (van het netwerk) belegd zijn. Sommige netwerken slaan iets over of drukken een paar functies in een laag...
Het OSI model is dus een goed uitgangspunt om over netwerk structuren te praten en met elkaar te vergelijken. Er zijn niet veel echte OSI stacks, behalve de academische varianten is er voor zover ik weet maar een commercieel verkrijgbare stack Decnet Phase 5.

IP stack slaat een paar lagen uit het OSI model over... (IP protocol is ook iets ouder)
Maar niet alles is overgeslagen. Bij RPC IP protocollen is er een duidelijke laag 6/7 scheiding... de rest heeft dat idd. dan weer niet.

Jaco69 @tweaknico • 11 juni 2020 17:41

Ben blij dat bijna niet meer met OSI stacks zoals bij X.25 en OSI IP gewerkt wordt. Er werd altijd wel ergens een foutje gemaakt in die NSAP adressen of in de routering daarvan.

[Reactie gewijzigd door Jaco69 op 24 juli 2024 11:36]

tweaknico @Jaco69 • 11 juni 2020 19:23

X.25 is geen stack, maar alleen een transport protocol. OSI-IP is een IP transport voor OSI.
Ik heb maar een keer tegen een OSI stack aan geprogrammeerd, en dat was voor een Siemens PLC.
(OSI over IP..).

Net zoals mensen fouten maken met netmasks, IP-adressen, etc. of verkeerd adres op een email plakken...etc. Dat is gewoon een kwestie van wat komt het meeste voor...waar ben je mee bekend.
Ander voorbeeld van een groot probleem in de IP wereld...
De fantastische angst van ISP's om IPv6 uit te rollen, al bijna 15 jaar lang. Sinds 2011 had er al zeker een begin mee moeten worden gemaakt... XS4ALL heeft laten zien dat het kan en hoe het kan... (alleen die bestaat effectief niet meer).
Momenteel hoor ik alleen maar over uitstel en in sommige gevallen kun je na zeuren een IPv6 krijgen maar dan wordt ook je hele abonnement verbouwd.

Jaco69 @tweaknico • 12 juni 2020 10:01

OSI-IP is geen IP, het is meer OSI over Ethernet en niet hetzelfde als OSI over IP (wat wel IP transport voor OSI is).

Een netmask is een netmask, een ip-adress is een IP adress, als je daar een fout in maakt controleer je het nog een keer en vul je het goed in. Maar zo'n OSI adres is niet alleen onnodig lang (want vaak point to point zonder routering) maar werd ook door verschillende fabrikanten verschillend opgedeeld zodat het voor een eerste verbinding tussen twee systemen een heel uitzoekwerk was.

BeunPC @Room42 • 9 juni 2020 16:45

Misschien begrijp ik het verkeerd, maar zou dat betekenen dat je voor elk spel en standaard een port moet forwarden naar je IP adres? Voor elk spel en elke server daarvan?

Anonymoussaurus @BeunPC • 9 juni 2020 16:50

Ja, dat is dus de vervelende afweging die je moet maken: wil je een hele waslijst aan poorten voor games (elke game weer andere poorten) + UDP + TCP + voor elk apparaat in je LAN, of wil je UPnP inschakelen (wat veiligheidsrisico's met zich meebrengt)?

BeunPC @Anonymoussaurus • 9 juni 2020 17:38

Dat is dus eigenlijk niet te doen toch? Wat als je meerdere apparaten hebt die aan het gamen zijn?

Anonymoussaurus @BeunPC • 9 juni 2020 17:42

Dan moet je ook het interne IP opgeven van die andere pc's.

hackerhater @Anonymoussaurus • 10 juni 2020 11:39

Bij ons hebben we het ingesteld dat de xbox UPnP mag doen, maar de rest van het netwerk niet.

Anonymoussaurus @Room42 • 9 juni 2020 16:46

Het is niet ingewikkeld, maar zelfs al zet je poorten open, dan is nog niet het hele probleem opgelost voor bijvoorbeeld games. Omdat er dus heel veel poort-ranges zijn, voor weer verschillende games, en je dat moet doen voor UDP en TCP, is het heel wat werk. Plus dat uit mijn ervaring het dan nog niet vlekkeloos werkt (somehow lag spikes qua ping etc).

Ikzelf ben werkzaam in de IT en ik doe ook een IT-gerelateerde studie, maar het is een zeer lastige keuze voor mij. Ik wil liever meer security, maar met zoveel gedoe (en problemen) wil ik eerst eens onderzoeken of het het wel waard is.

tweaknico @Anonymoussaurus • 9 juni 2020 17:11

Security is altijd een afweging. De vraag is het me waar om X niet te verliezen.
(Vul voor X in: m'n systeem, m'n credentials, voor een applicatie (bv. bank toegang),

Mogelijk moet je een betere firewall aanschaffen en gebruiken een die zowel het een als het ander kan ondersteunen. (Je netwerk segmenteren en bv. je Werk PC in een ander LAN stoppen, als je game PC's_
Game PC's in een separaat LAN waar alles vogelvrij is..., wat kun je er verliezen...?
Maar geen toegang vanuit het Game LAN naar enig ander compartiment op je netwerk... (je Modem van je ISP kan dit mogelijk niet....).

Kanarie @Room42 • 9 juni 2020 16:46

Omdat uPnP het mogelijkt maakt de poorten dynamisch te forwarden. Denk bijvoorbeeld aan meerdere game consoles in een thuisnetwerk die door middel van p2p technieken VoIP en (listen-)gameservers beschikbaar maken.
Met manual port forwarding zal maar 1 game console een open/moderate NAT status kunnen bereiken en dan alleen maar als je al de juiste ports weet te forwarden.

Nintendo zegt bijvoorbeeld doodleuk alle 65k porten nodig te hebben voor Switch multiplayer en dat kan dan natuurlijk niet met 2 van die consoles op je thuisnetwerk tegelijk

Voer binnen het poortbereik de startpoort en de eindpoort in om door te sturen. Voor de Nintendo Switch zijn dit de poorten 1 tot en met 65535.

[Reactie gewijzigd door Kanarie op 24 juli 2024 11:36]

t_o_c @Room42 • 9 juni 2020 16:55

Meer omdat port forwarding alleen vaak niet genoeg is. Voor mijn Nintendo switch moest ik upnp gebruiken. Ik gebruik pfsense en dan kan je upnp iig nog limiteren per ip op je lan.

Zelfs als alles met alleen port forwarding zou werken dan zit je nog steeds met het probleem dat het wel veel werk is om bij te houden. Als je alleen bent gaat dat nog wel maar als je bv een stel kinderen hebt die steeds iets anders willen spelen bestaat de kans dat je constant zooi aan het updaten bent.

SpiceWorm @Room42 • 9 juni 2020 16:58

Je draagt een stukje controle over naar de apps in je netwerk. Zo'n gekke functie is het niet en het is ook niet per se inherent onveilig.

Annihlator @Room42 • 9 juni 2020 17:09

Het is eigenlijk niet vooral voor online gamers, het is eerder tégen bedrijven die niet eens fatsoenlijk de gebruikte poorten (en dus benodigde forwards) up-to-date kunnen houden voor een netwerk dat ook maar enigszins strict is.
*kuch*Forza Horizon 4*kuch*
sinds een maand 4 ongedocumenteerde poorten bijgekomen, en hetzelfde probleem speelt ook bij bijv. Stellaris; had de Port-Forwards ingesteld, maar de xbox-versie werkt tot op de dag van vandaag niet, maar de steam-release werkte wel gewoon wanneer je je forwards instelt zoals gedocumenteerd.

[Reactie gewijzigd door Annihlator op 24 juli 2024 11:36]

StGermain @Room42 • 9 juni 2020 17:10

Ik game wel online maar upnp staat uit en nooit problemen…

MrFax @Room42 • 9 juni 2020 17:43

Heel simpel: Wil je games met (Partial) P2P connecties -zoals Destiny 2- met meerdere mensen tegelijk binnen een lokale netwerk spelen, dan is UPnP de enige keuze. Zoals in mijn reactie hierboven, kan Destiny 2 anders niet weten welke apparaat welke port toegekend krijgt. Via handmatige port forwarding kan je dus maar 1 port gebruiken, en dus ook maar 1 apparaat, en dat is de port waar Destiny 2 altijd naar luistert.

Via UPnP kan Destiny 2 zien welke ports gebonden zijn aan welk apparaat binnen een lokale netwerk(de UPnP Portmaps table". Met deze informatie kan Destiny 2 dus zelf verschillende random ports binden aan specifieke apparaten, en deze bijhouden, en is het dus mogelijk om meerdere ports tegelijk te gebruiken, en verbindingen binnen te krijgen op verschillende ports en verschillende apparaten. Dit doet de game via UPnP middleware en wordt lokaal gedraaid.

Het kan in theorie zelfs veiliger zijn dan zonder UPnP, omdat je dan niet gebonden ben aan een specifieke port, en kan de game dus een random port forwarden. Dit is een voorbeeld van wat het nut van UPnP is.

[Reactie gewijzigd door MrFax op 24 juli 2024 11:36]

MrMonkE 9 juni 2020 16:39

Begrijp ik goed dat je upnp-integrated device dan direct aan het internet moet hangen?

hcQd @MrMonkE • 9 juni 2020 16:54

Het is een aanval op routers en dergelijke, specifiek de subscribe-methode om events te volgen die dan naar een willekeurige url gestuurd kunnen worden. Die 5,5 miljoen apparaten zijn waarschijnlijk oude toestellen die de upnp-interface op de wan-zijde zichtbaar maken.

MrMonkE @hcQd • 9 juni 2020 17:42

@hcQd @joosie
Maar in het artikel worden buiten routers ook expliciet de volgende genoemd: Upnp staat op Windows-machines, Xbox-consoles, tv's en routers, maar wordt ook door veel iot-apparaten gebruikt.

hcQd @MrMonkE • 9 juni 2020 18:08

Nog eens even naar de bronartikelen gekeken. Blijkbaar zijn Windows en de Xbox ook vatbaar hiervoor, maar ik betwijfel of veel simpele iot-devices upnp voor iets anders dan het instellen van port-forwards op de router zullen gebruiken (maar helemaal zeker weet ik dat ook niet).

joosie @MrMonkE • 9 juni 2020 16:55

Je modem is meestal degene die aan het internet hangt, dit is het "upnp-integrated device".

Keypunchie 9 juni 2020 16:57

Wat ik me afvraag, is of de veiligheidsissues van dit soort zaken nou groter of kleiner zouden zijn wanneer we IPv6 breed zouden draaien. Dan heb je in ieder geval die port-forwards niet nodig, omdat je gewoon volledig end-to-end adressering hebt.

Nadeel: dan heb je end-to-end-adressering en is dus elk apparaat in principe benaderbaar...

hcQd @Keypunchie • 9 juni 2020 17:07

Normaal heb je daar een firewall zitten tussen je apparaten en het internet, dus dan werkt het nog niet zomaar. Daar is natuurlijk ook een oplossing voor: nat-pcp, wat de opvolger is van igd.

Maurits van Baerle @Keypunchie • 9 juni 2020 17:35

Firewalling is een stuk makkelijker op IPv6, juist doordat ze allemaal een normaal address hebben. Inderdaad geen gezeur meer met allerlei poort ranges moeten bijhouden per toepassing en apparaat. Je kunt dan gewoon instellen dat apparaat X op je LAN mag praten met server Y op het WAN als je dat wil.

Op dit item kan niet meer gereageerd worden.

Kwetsbaarheid maakt apparaten met upnp-integratie onveilig

Lees meer

Reacties (73)

Sorteer op:

Weergave: