Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

UPnP goedgekeurd als ISO-standaard

Hoewel de technologie al jarenlang in gebruik is, heeft de standaardiserings- organisatie ISO pas vorige week zijn goedkeuringsstempel gegeven aan Universal Plug and Play.

UPnP logoDe UPnP-specificatie is volgens de UPnP Implementers Corporation een met een overweldigend aantal goedkeuringsstemmen tot internationale standaard verheven door de International Standards Organization en de International Electrotechnical Commission Joint Technical Committee 1. UPnP-technologie is al in een groot aantal apparaten ge´ntegreerd, maar de acceptatie als standaard vormt desalniettemin een mijlpaal voor de verzameling netwerkprotocollen.

De naam is afgeleid van de Plug and Play-technologie die voor het eerst opdook in Windows 95. Net als PnP is UPnP ontworpen om een groot aantal apparaten eenvoudig met elkaar te verbinden en samen te laten werken en net als zijn voorganger heeft het protocol in zijn eerste jaren opstartproblemen gekend. Zo werden meerdere beveiligingslekken gevonden in de implementatie van de technologie in Windows XP. Microsoft verhielp deze met security-updates; volgens sommigen is de 'autoconfiguratie' van het protocol zelf echter nog onveilig. Bij sommige apparaten wordt om deze reden deze functionaliteit standaard uitgeschakeld.

Door

Nieuwsco÷rdinator

32 Linkedin Google+

Bron: Ars Technica

Reacties (32)

Wijzig sortering
Ik vind het heerlijk in routers, veel minder problemen met portmappen en dergelijke.

Vind je het te onveilig? Dan schakel je het gewoon uit.
En die onveiligheid valt ook wel mee, want je kan alleen van binnenuit het netwerk poorten openzetten, en daarvoor moet de PC dus al geinfecteerd zijn. Waarom zou een kwaadwillend programma de moeite nemen om via UPnP een poort open te zetten als het in dat geval ook gewoon 80 of 25 kan gebruiken? UPnP is net als een grendel van binnenuit: als de inbreker al binnen is heeft hij die hele deur niet meer nodig.

Hopelijk betekent deze ISO certificering dat Apple ook afstapt van hun eigen gesloten DAAP protocol en gewoon aan de UPnP/AV gaat, dan kan eindelijk alle netwerk audio/video apparatuur met elkaar samenwerken en kan je bv ook een PS3 gebruiken ipv een AppleTV.

[Reactie gewijzigd door Dreamvoid op 17 september 2007 13:30]

Omdat de kwaadwillende schrijver naar jou machine wil verbinden en nog meer irritante geintjes wil uithalen misschien ??

Je mag 3 keer raden wat ik altijd als eerste uitzet op een modem/router ;)
En wat is je punt?
Je router moet evil(worm/virus) buiten houden indien evil al binnen is maakt het geen hol meer uit of het nog upnp open zet.
Je kan van binnen altijd een verbinding naar buiten maken. Alleen achter firewall naar achter firewall zal niet gaan. alsof daar een evil coder mee zit.

(O deze geinfecteerde pc zit achter een router zonder upnp verwijder virus en stuur een excuusbrief)

Alleen Programmas die echt het net op moeten maken gebruik van upnp. games en torrent bv. upnp gaat alleen open als het nodig is. Daardoor transparanter te gebruiken dan een port forward. (of een port forward range als je lui bent)

[Reactie gewijzigd door daft_dutch op 17 september 2007 14:25]

Daar hoeft hij dus helemaal geen poorten voor inkomend verkeer voor open te zetten, want hij is al binnen. Hij kan gewoon een verbinding naar buiten opzetten naar de kwaadwillende schrijver. Dat probleem heb je zonder UPnP ook al.

[Reactie gewijzigd door Dreamvoid op 17 september 2007 13:36]

Daar hoeft hij dus helemaal geen poorten voor inkomend verkeer voor open te zetten, want hij is al binnen. Hij kan gewoon een verbinding naar buiten opzetten naar de kwaadwillende schrijver. Dat probleem heb je zonder UPnP ook al.
Maar hij kan ook een port forwarding opzetten naar een ander apparaat binnen je netwerk. Via deze port zou (met behulp van een andere, externe exploit) het andere apparaat ook besmet worden.

Neem bijvoorbeeld een decoder die geluidsstreams afspeelt via het internet met behulp van Universal Plug and Play (en/of misschien om te MSN'en op de TV met een webcam...). Dit apparaat wordt gehackt. De kracht van dit apparaatje (en het interne OS) is niet zo sterk om andere PC's in het netwerk te hacken. Echter, dit apparaat weet wel hoe het Universal Plug & Play moet gebruiken en kan hierdoor andere veiligheidsgaten introduceren. In feite kan hij je gehele firewall slopen.

Universal Plug and Play is leuk voor de consumentenmarkt (om bijvoorbeeld je TV te laten verbinden met je PC). Maar zelfs dan zou ik het op de router uitschakelen.
Als je als virus al binnen het netwerk bent hoef je niet meer die poort naar buiten open te zetten, maar kan je die connectie naar dat apparaatje zelf al maken vanuit het lokale netwerk.

Als een virus eenmaal voorbij de externe firewall is en op 1 van de PC's in dat netwerk zit, ben je met of zonder UPnP even kwetsbaar.

[Reactie gewijzigd door Dreamvoid op 17 september 2007 16:12]

Omdat die poorten van buitenaf niet zomaar open staan. Je kan hiermee via een infectie de router bepaalde poorten open laten zetten voor verkeer van buiten af, waardoor het veel makkelijker wordt om je systeem te besturen zonder dat je een constante verbinding open hoeft te houden. Je moet niet vergeten dat je zoiets al zou kunnen doen via bijvoorbeeld JavaScript1. Zo zou je dan een poort open kunnen zetten waarachter een kwetsbare service draait die gevoelig is voor aandere aanvallen.

Om je voorbeeld te gebruiken: die grendel is wel degelijk van belang (of liever dus: een slot) omdat je zo kan voorkomen dat de dief je spullen makkelijk kan mee nemen naar buiten. Dat hij binnenkomt via een klein keukenraampje wil niet zeggen dat hij zo ook zijn buit mee kan nemen.

1) Ik weet niet zeker of je UPnP zou kunnen gebruiken vanuit JavaScript, maar je kan wel je hele router besturen ermee omdat de meeste een bekende web-interface hebben.
Dat heeft geen enkele zin - waarom zou je als virus moeite doen om incoming poorten open te zetten als je zelf al outgoing de poorten mag openzetten (dat mag je nl altijd, ook zonder UPnP).
Omdat je dan geen verbinding open hoeft te houden vanuit het gecompromiteerde systeem naar je commando-conduit. Dat maakt ze lastiger te detecteren. Bovendien kan je als je een poort van buiten kan openzetten ook andere kwetsbaarheden in het systeem bereikbaar maken. Deze kunnen op hun beurt weer een verdere toegang aan de hacker opleveren.
Maar je bent al binnen - je hoeft helemaal niets meer incoming open te zetten. Je hoeft ook helemaal geen verbinding open te houden, gewoon 1x in het uur een halve seconde poortje openen, verbinding met commando, poortje sluiten. Valt veel minder op dan een incoming connectie (die je firewall zal rapporteren)!

Stel de PC waar het virus op zit heeft een kwetsbaarheid op port 12345. Waarom zou dat virus dan op de router die poort naar buiten openzetten (met alle detectie bellen die in een goede firewall dan afgaan!) als het ook gewoon zelf loopback naar 12345 kan gaan. Je bent immers al binnen.

Cisco, Intel en al die anderen hebben echt niet zitten slapen bij het opstellen van die UPnP specs 8-)

[Reactie gewijzigd door Dreamvoid op 17 september 2007 16:14]

Je moet niet vergeten dat je zoiets al zou kunnen doen via bijvoorbeeld JavaScript1. Zo zou je dan een poort open kunnen zetten waarachter een kwetsbare service draait die gevoelig is voor aandere aanvallen.
Dat is een van de hoofdredenen waarom ik altijd een wachtwoord activeer op de router, ook bij vrienden/kennissen waar ik hun PC's beheer. Die mensen hoeven niet in hun router te klooien.
Dat zal Apple dan ook nooit doen, dan gebruiken mensen hun PS3 ipv dat ze een AppleTV aanschaffen. netzoals met Mac-OSX, als dat op normale PC's zou draaien dan zouden er veeel minder Apple pc's verkocht worden.
je bedoelt zoals MS de media extender functionaliteit ook zo lekker open heeft gemaakt?
Dat zou het idd een stuk makkelijker maken. Via UPnP kan je met elke willekeurige Linux, Apple of MS bak met allerlei 3rd party media servers streamen naar een Xbox 360. Er zijn wat bij elkaar gehackte tooltjes die Apple's DAAP gereverse-engineered hebben (a la Samba), maar in principe luistert Apple hardware (AirTunes, AppleTV) alleen naar Apple software.

[Reactie gewijzigd door Dreamvoid op 17 september 2007 16:01]

Voor de thuisgebruiker is dit natuurlijk ideaal en mooi dat het eindelijk een ISO-standaard is.
Ikzelf heb altijd gedacht dat het al een ISO-standaard was, niet dus, vanaf heden gelukkig wel. :)

Alleen voor bedrijf-omgevingen lijkt mij deze standaard niet zo geweldig, kan me voorstellen dat je als bedrijf dit niet zou willen om ongewenste dataverkeer tegen te gaan.
Of kan je met UPnP meer dan dat ik denk dat je er mee kan?

Oftewel: Kan je met UPnP ook aan traffic-shaping doen? (Niet alleen door poorten juist te blokkeren of deblokkeren, maar door te zeggen van bijv. mail verkeer gaat boven (bijvoorbeeld) streaming media?)
Je denkt nu dat upnp alleen bedoeld is voor portfowarden, en dat is je denkfout. uPnP is een protocol om apparaten te detecteren in een netwerk en deze aan te sturen. In principe kun je er alles mee, en uNpP media spelers zie je ook steeds vaker.

In het upnp protocol om home gateways aan te sturen zit standaard niks om te traffic shapen. Je kunt (alles optioneel)
-Detecteren wat het externe ip is.
-Detecteren of een interface connected is en
-Connectie/disconnect van de externe verbinding
-poorten forwarden ( op verschillden manieren, static en dynamic lease, don't ask....)

affijn, het http://www.upnp.org/standardizeddcps/igd.asp protocol is dus GEEN iso standaard, en zelfs als het dit wel zou zijn, dan blijkt dat veel el -cheapo routers zich niet exact aan het protocol houden. (waaronder enkele grote!). Dan kun je als applicatie bouwer roepen dat de router rot is, of de poort open implementatie "flexibeler" maken.
/* zegt leuk_he na een hoop gepruts
Maar je kan met UPnP dus bijvoorbeeld niet aangeven, dat mail-verkeer voorrang krijgt boven bijvoorbeeld streamingmedia? (Dat was mijn vraag meer)

Ik weet dat je met UPnP sowieso portforwarding kan doen, vandaar mijn vraag of er ook meer meer mogelijk is, en dat is er dus, dank voor je antwoord! :)

[Reactie gewijzigd door CH4OS op 17 september 2007 15:43]

Dat heet QoS (Quality of Service), en daar zijn een aantal protocols voor in omloop die veel gebruikt worden op grote netwerken. Standaard staat dit in Windows XP aan, al moet het programma er wel gebruik van kunnen maken. Googke/Wikipedia is je vriend.

UPnP werkt op lager niveau.
Ik weet dat dat QoS is, maar vroeg me af, of het met UPnP ook mogelijk is, als ik leuk_he's verhaal zo lees, zou je haast denken van wel... Maar is dus niet zo... :)
In het internet gateway protocol 1.0 zit dus niks daarvoor.
Sluit maar eens een nieuwe linksys router aan op je netwerk. Een XP bak met upnp aan zal hem direct zien in je netwerk omgeving als network gateway.
Zo zijn er ook andere network devices die je in die lijst zien, mp3 spelers, settop boxes, perosnal SANnetjes, allemaal zaken die hier baat bij zouden kunnen hebben. Niks geen geklooi meer met ips en webinterfaces, maar gewoon dubbeklikken op het icoontje in je netwerkomgeving en je hebt de opties voor je neus.
Niks geen geklooi meer met ips en webinterfaces, maar gewoon dubbeklikken op het icoontje in je netwerkomgeving en je hebt de opties voor je neus.
Ik heb zowel bij m'n UPnP router als m'n UPnP versterker na een dubbelklik juist een webinterface voor me... Ik heb nog niet anders gezien eigenlijk.
...en net als zijn voorganger heeft het protocol in zijn eerste jaren opstartproblemen gekend. Zo werden meerdere beveiligingslekken gevonden in de implementatie van de technologie in Windows XP. Microsoft verhielp deze met security-updates
dat is natuurlijk niet een probleem met het protocol maar een probleem met de implementatie van de software in het microsoft windows os.

als ik het aangelinkt artikel bekijk blijkt het gewoon een buffer-overrun probleem te zijn in de microsoft software. dat heeft dus niets te maken met het protocol maar met microsofts implementatie van de driver software!

het is een beetje hetzelfde als dat je zou zeggen dat het FTP protocol opstart problemen kende omdat wu-ftpd destijds zoveel exploits had.
Microsoft is er ook in geslaagd om WindowsXP met maar liefst 3 aparte control point implementaties uit te rusten. Elk ervan heeft zo zijn eigen ideetjes over hoe ze bijvoorbeeld omgaan met antwoorden op search messages. EÚn implementatie (die in DirectX) lapt zelfs flagrant de spec aan z'n laars door z'n search messages in unicast uit te zenden naar wat in zijn mening de eerste default gateway is.

Geloof me, je kan een UPnP implementatie maken die perfect de spec volgt, de certificeringstestsuite zonder problemen doorloopt en toch niet samenwerkt met WindowsXP. Fabrikanten van gateways moeten daarvoor gewoon een aantal hacks toevoegen.

Het blijft echter een mooi protocol en je kan er leuke dingen mee doen. Je ziet ook meer toepassingen opduiken en dat zal alleen maar toenemen.
Jammer dat veel wireless routers nog geen (goede) uPnP hebben... bij de US Robotics 125mbps is in hun laatste 2 firmwares upnp zelfs uitgeschakeld...
Ook jammer dat modemrouters van veel dsl providers dit niet hebben.
ik dacht dat het in de IT wereld vooral bekend stond als "universal plug and pray" of was dat dus vooral aan het begin waarvoor nu patches zijn uitgekomen?
Anders is het geen goeie zaak dat het als ISO standaard is verkozen
Het is trouwens wel "International Organization for Standardization" en dus niet "International Standards Organization".
Toen ik het logo zag moest ik direct aan het AMD Duron-logo denken :)

[Reactie gewijzigd door ironx op 17 september 2007 13:32]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*