Harald Brombach (digi.no) Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Hackere kapret titusenvis av Chromecast-enheter 1 Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 UPnP = Påfunn for å gjøre livet enkelt for brukere, så de slipper å tenke eller ta ansvar selv, sånt er stas! Lenke til kommentar
Rudde Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 UPnP er ikke usikkert, den gjør det den skal fordi vi har NAT. NAT != Brannmur og derfor er dette hverken NAT eller UPnP sitt ansvar, begge gjør det de skal, gjør det korrekt og det er brukeres mangel på faktisk dikkerhet som er problemet. Ikke teknologi som tillater brukere og bruke enheten de eier. Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 UPnP er ikke usikkert, den gjør det den skal fordi vi har NAT. ...Vel, UPnP gjør enheter istand til selv å konfigurere NAT i ruteren din. Du mister all kontroll og det er slett ikke sikkert produsent av enheten gidder å tenke konsekvenser på dine vegne. Lenke til kommentar
Rudde Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Vel, UPnP gjør enheter istand til selv å konfigurere NAT i ruteren din. Du mister all kontroll og det er slett ikke sikkert produsent av enheten gidder å tenke konsekvenser på dine vegne. Stemmer vel egentlig ikke. UPnP lar enheter kommuniserer med Internet. Fordi du vet, NAT har gjort det uhyre vanskelig. UPnP eksisterer derfor som et forsøkt på å fjerne flest mulig hinder ved bruk av NAT vs å slippe NAT Lenke til kommentar
RamGuy Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Vel, UPnP gjør enheter istand til selv å konfigurere NAT i ruteren din. Du mister all kontroll og det er slett ikke sikkert produsent av enheten gidder å tenke konsekvenser på dine vegne. Nå har aldri NAT vært sikkerhet eller vært tiltenkt som en sikkerhetsmekanisme. Det er en løsning for å omgå utfordringene med for få IPv4-adresser og det har dratt med seg og ført til mye tullball. 2 Lenke til kommentar
NULL Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Deaktivere UPnP helt? Men da risikerer man at ganske mye man ellers har ikke vil fungere optimalt - spesielt eldre Chromecast-enheter, eller visse tjenester på dem (for nyere har vel mDNS erstattet visse deler av UPnP-bruken, men ikke hvis det skulle være behov for portåpninger). Det er riktignok muligens litt forskjellige implementasjoner her. Når man på mange SOHO-rutere deaktiverer UPnP, er det vel IGD som deaktiveres - hvilket vil forhindre åpning av eksterne porter via UPnP. Men videre basert på hvor mye som bruker UPnP, spesielt innad i lokalnettverket, kan det være i praksis vanskelig å deaktivere det helt. Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Stemmer vel egentlig ikke.Mange enheter (jeg kan bekrefte bl.a. HP printere) åpner for innkommende trafikk (porter) i router (enables NAT) dersom UPnP er aktivert i ruter. De åpner en innkommende rute mot seg selv. Det er sikkert forskjell på hvordan routerne viser at dette skjer. Jeg mistenker en del routere for ikke å vise at det er åpnet for innkommende i det hele tatt. En HP printer jeg testet satte heller ikke krav til ekstern ipadresse/range, så du hadde ingen garanti for at innkommende trafikk faktisk kom fra "HP skyen" (utskrift fra mobil bl.a). Lenke til kommentar
NULL Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Vel, UPnP gjør enheter istand til selv å konfigurere NAT i ruteren din. Du mister all kontroll og det er slett ikke sikkert produsent av enheten gidder å tenke konsekvenser på dine vegne. Nå har aldri NAT vært sikkerhet eller vært tiltenkt som en sikkerhetsmekanisme. Det er en løsning for å omgå utfordringene med for få IPv4-adresser og det har dratt med seg og ført til mye tullball. Men hadde vi hatt flere IP-adresser, hadde vi endt opp med en lang rekke flere enheter direkte eksponert mot nettet? ;-) 2 Lenke til kommentar
Rudde Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Mange enheter (jeg kan bekrefte bl.a. HP printere) åpner for innkommende trafikk (porter) i router (enables NAT) dersom UPnP er aktivert i ruter. De åpner en innkommende rute mot seg selv. Det er sikkert forskjell på hvordan routerne viser at dette skjer. Jeg mistenker en del routere for ikke å vise at det er åpnet for innkommende i det hele tatt. En HP printer jeg testet satte heller ikke krav til ekstern ipadresse/range, så du hadde ingen garanti for at innkommende trafikk faktisk kom fra "HP skyen" (utskrift fra mobil bl.a). Så det er altså et sikkerhetsproblem i HP printerne da? Ikke i teknologi som gjør nøyaktig det den skal gjøre. Du kan ikke kjøpe en kjøkkenkniv og si den er problematisk og usikker og helst bør låses vekk i en skuff for alltid fordi den kan brukes til å drepe folk med. Eller fordi noen er så inkompetente at de prøver å skjerer seg selv for å se hva "teknologien" gjør for å stoppe det og starter et media-hysteri når den ikke gjør noe og oppfordrer alle til å kaste kjøkkenknivene sine. Lenke til kommentar
RamGuy Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Men hadde vi hatt flere IP-adresser, hadde vi endt opp med en lang rekke flere enheter direkte eksponert mot nettet? ;-) Nå er vel ikke dette i utgangspunktet det største problemet. Men det krever jo naturligvis at utstyret som leveres til sluttbrukere kommer med oppegående brannmurfunksjonalitet og at disse konfigureres riktig. Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Nå har aldri NAT vært sikkerhet eller vært tiltenkt som en sikkerhetsmekanisme. Det er en løsning for å omgå utfordringene med for få IPv4-adresser og det har dratt med seg og ført til mye tullball.Muligens korrekt, men det fører i praksis til at interne enheter ikke uten videre kan nåes fra utsiden. Jeg tør ikke tenke på hvor mye galskap som hadde oppstått i de tusen hjem med IPv6 og "enkelhet-foran-alt" mentaliteten som drev industrien fra 1990 til 2010. Lenke til kommentar
RamGuy Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Mange enheter (jeg kan bekrefte bl.a. HP printere) åpner for innkommende trafikk (porter) i router (enables NAT) dersom UPnP er aktivert i ruter. De åpner en innkommende rute mot seg selv. Det er sikkert forskjell på hvordan routerne viser at dette skjer. Jeg mistenker en del routere for ikke å vise at det er åpnet for innkommende i det hele tatt. En HP printer jeg testet satte heller ikke krav til ekstern ipadresse/range, så du hadde ingen garanti for at innkommende trafikk faktisk kom fra "HP skyen" (utskrift fra mobil bl.a). I utgangspunktet så skulle jo ikke dette ha vært noe problem, så lenge utstyret faktisk hadde hatt en skikkelig brannmur. Da hadde det jo hjulpet lite om enhetene i seg selv kan fikse NAT via UPNP om trafikken uansett blir blokkert i brannmuren inntil brukeren helt bevisst går inn å tillater for denne. Men dette er jo hele problemet med NAT på det meste av hjemmeprodukter, der benyttes NAT som en sikkerhetsmekanisme i mangel av skikkelig brannmurfunksjonalitet så med engang en enhet ordner port åpning igjennom NAT via UPNP så er automatisk også all trafikk også tillatt da det ikke er noe form for ekstra sikkerhet involvert. Lenke til kommentar
RamGuy Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Utfordringen her ligger jo mye på det at sluttbrukere ikke har kunnskapen eller kompetansen til å få satt opp dette, derfor kommer jo ting som UPNP som forsøker å automatisere NAT-håndteringen. NAT er en uting, og IPv6 hvor vi slipper NAT er jo kjempeflott. Men det blir jo mye det samme problemet for Ola og Kari Nordmann for om de får en hjemmesentral uten NAT så har de jo fremdeles null forutsetning til å konfigurere en brannmur så man er jo like langt. Er jo flere som ønsker innkommende trafikk, er jo fremdeles veldig mye som benytter P2P og andre tjenester hvor du er avhengig av at tjenester fra utsiden må kunne initiere trafikk mot innsiden. En hel masse spill og tjenester krever dette for at ting skal kunne fungere. Men er ytterst få med kompetanse til å sette opp dette selv og da får vi jo situasjoner som det her. Er jo fryktelig vanskelig å komme utenom, for så fort det blir automatisert så åpner jo opp for store sikkerhetsrisikoer. Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 (endret) Så det er altså et sikkerhetsproblem i HP printerne da? Ikke i teknologi som gjør nøyaktig det den skal gjøre.Selvfølgelig. Produsentene har ansvar for å selge greiene/tingene sine. Ett forbrukerkrav er at produktene er enkle å bruke. Så det er om å gjøre at forbruker tar minst mulig ansvar, fordi ansvar hos forbruker fort gjør produktet komplisert. Så produsentene fokuserer på å gjøre sin ting så enkelt så mulig å få til å virke og enkelhet går gjerne på bekostning av sikkerhet. Produsenter tar i utgangspunktet NULL ansvar for følgende dette kan få i en større sammenheng, men det hender de tvinges til enkelte tiltak etter skandaler og mediepress. Bare se på BT leker uten passord, chromecast, printere, ... det er en skokk av eksempler på sloppy implementasjon- rett og slett fordi resten ikke er så viktig bare produsentens enhet fungerer. Du skal være bra naiv om du tror alle IoT enheter du drar inn i heimen bryr seg om helheten i miljøet de opererer. Endret 3. januar 2019 av Slettet-Pqy3rC Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 I utgangspunktet så skulle jo ikke dette ha vært noe problem, så lenge utstyret faktisk hadde hatt en skikkelig brannmur. Da hadde det jo hjulpet lite om enhetene i seg selv kan fikse NAT via UPNP om trafikken uansett blir blokkert i brannmuren inntil brukeren helt bevisst går inn å tillater for denne.Nå er jo hele UPnP poenget her at enheten konfigurerer brannveggen (i routeren). Slik at eieren av denne skal slippe, fordi sånt er vanskelig. Dersom dette da ikke gjøres skikkelig av enheten vil verden slippes inn i heimen. Lenke til kommentar
Ribo Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Men hadde vi hatt flere IP-adresser, hadde vi endt opp med en lang rekke flere enheter direkte eksponert mot nettet? ;-) Det er da IP-adresser i bøtter og spann. Lenke til kommentar
G Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Muligens korrekt, men det fører i praksis til at interne enheter ikke uten videre kan nåes fra utsiden. Jeg tør ikke tenke på hvor mye galskap som hadde oppstått i de tusen hjem med IPv6 og "enkelhet-foran-alt" mentaliteten som drev industrien fra 1990 til 2010. Nå er vel IPv6 snart en realitet i praksis også? Selv om det har vært tilgjengelighet til bruk av IPv6 lenge. Hvordan vil folks hjemmenettverk se ut med IPv6 lurer jeg på? Lenke til kommentar
Ribo Skrevet 3. januar 2019 Del Skrevet 3. januar 2019 Nå er vel IPv6 snart en realitet i praksis også? Selv om det har vært tilgjengelighet til bruk av IPv6 lenge. Hvordan vil folks hjemmenettverk se ut med IPv6 lurer jeg på? Hva som står bak ruter er vel en "privat" sak. Det er vel ingen så har så mange enheter at man slipper opp for tradisjonelle IP. Lenke til kommentar
Lars-Erik Skrevet 4. januar 2019 Del Skrevet 4. januar 2019 Hva trenger man egentlig Upnp til? Jeg har det av både på PC og router. Men alle enheter virker som de skal likevel. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå