|
1.2, XoRe (ok), 23:47, 07/02/2013 [ответить] [показать ветку] [···] [к модератору]
| +/– |
> (UDP-порт 1900 и TCP-порт 2869) на WAN-интерфейсе, т.е. в этом случае не
> исключается проведение атаки злоумышленником из внешней сети.
Да, 445 порт возвращается!
Как лечить - поставить альтернативную прошивку.
|  | |
|
|
3.19, Аноним (-), 06:53, 08/02/2013 [^] [ответить] [к модератору]
| +/– |
Форточники оскорбились. Ради смеха, хоть что-то приличное бы сделали. По теории вероятности, если бессмысленно и тупо что-то делать, и то 50% чего-то полезного получится. А тут все 100% вреда!!!
|  | |
|
|
|
4.10, Аноним (-), 03:03, 08/02/2013 [^] [ответить] [к модератору]
| +9 +/– |
> Потому что ничего про маршрутизатор он естественно не знает.
... до момента покупки телефона или планшета с вайфаем, нотика или еще чего-нибудь. Потом поневоле приходится узнать.
|  | |
|
|
4.35, XoRe (ok), 14:45, 08/02/2013 [^] [ответить] [к модератору]
| –1 +/– |
> Не такие уж сложные всего 2 идеи - статическая адресация и фильтрация
> по MAC адресу.
А остальное?
|  | |
|
|
6.51, Аноним (-), 20:36, 08/02/2013 [^] [ответить] [к модератору]
| +/– |
Охши ... !!!
Павлин - вот и тот доктор знает о MAC-адресе на таком же уровне - то есть ничего не знает :)
|  | |
|
|
|
9.64, pavlinux (ok), 03:10, 15/02/2013 [^] [ответить] [к модератору]
| +/– |
> А чего ещё умеешь? Давай рассказывай, не стесняйся.
В жопу свисток вставить, и "Полёт шмеля" исполнить!
|  | |
|
|
|
|
|
|
3.55, Led (ok), 01:16, 09/02/2013 [^] [ответить] [к модератору]
| +1 +/– |
>А какие есть альтернативы для обычных пользователей?
Альтернатива "обычным пользователям" - нетупые пользователи.
|  | |
|
|
|
|
|
6.58, ваноним (?), 16:48, 11/02/2013 [^] [ответить] [к модератору]
| +1 +/– |
IPv6 uses TCP???77 o_O
вы где такие вещества достаете?
для тех кто в танке: UPnP вовсе не умирает.
|  | |
|
|
|
|
|
1.27, name (??), 10:59, 08/02/2013 [ответить] [показать ветку] [···] [к модератору]
| +/– |
> Проблему усугубляет то, что многие устройства принимают UPnP-запросы (UDP-порт 1900 и TCP-порт 2869) на WAN-интерфейсе
не верю, это же надо явно разрешать эти порты при дефолтном iptables -P INPUT DROP, но какому идиоту это придет в голову?
|  | |
|
2.37, XoRe (ok), 14:50, 08/02/2013 [^] [ответить] [к модератору]
| –1 +/– |
> не верю, это же надо явно разрешать эти порты при дефолтном iptables
> -P INPUT DROP, но какому идиоту это придет в голову?
Вы про свой localhost? Не волнуйтесь, его никто не взломает.
Речь про домашние аппаратные роутеры - там бывают неадекватные настройки.
|  | |
|
3.40, name (??), 15:55, 08/02/2013 [^] [ответить] [к модератору]
| +2 +/– |
> Вы про свой localhost?
2 балла тебе по "Телепатии"
> Речь про домашние аппаратные роутеры
весь сохо сегмент вышеназваннных компаний исключительно софтовый, аппаратного там разве что nat в некоторых моделях.
> там бывают неадекватные настройки
о том и речь, что для таких неадекватных настроек необходимо приложить дополнительные усилия, как то: открыть вышеназванные порты для wan интерфейса при полной фильтрации по дефолту.
|  | |
|
4.54, XoRe (ok), 00:51, 09/02/2013 [^] [ответить] [к модератору]
| –1 +/– |
>> там бывают неадекватные настройки
> о том и речь, что для таких неадекватных настроек необходимо приложить дополнительные
> усилия, как то: открыть вышеназванные порты для wan интерфейса при полной
> фильтрации по дефолту.
В новости написано, что неадекватные настройки бывают из коробки.
Как раз дополнительные усилия нужны, чтобы их закрыть.
|  | |
|
|
|
1.31, анноним (?), 13:25, 08/02/2013 [ответить] [показать ветку] [···] [к модератору]
| +2 +/– |
>Примечательно, что компания Cisco была уведомлена о проблеме несколько месяцев назад, но исправление так и не было выпущено.
Не для того они его туда запиливали, чтобы по первой просьбе анонимуса выпиливать.
|  | |
|
2.47, Stax (ok), 17:55, 08/02/2013 [^] [ответить] [к модератору]
| +2 +/– |
Где связь между NAT и UPNP? Или вы тоже верите, что NAT это такая замена файрволу, не будет NAT - не будет файрвола?
UPNP нужен, в частности, чтобы открывать порты на удаленном файрволе без неудобных некоторым пользователям ручных манипуляций с веб-админкой роутера; от использования IPv6 необходимость "открыть порт 12345 на такой-то IP для работы входящих соединений в торрент-клиент" не исчезает, файрволл-то и с IPv6 нужен. Так что UPNP будет жить, пока что-нибудь удобнее или надежнее не изобретут, а IPv6 тут вообще не при чем..
|  | |
|
3.49, Гентушник (ok), 19:12, 08/02/2013 [^] [ответить] [к модератору]
| –1 +/– |
> Где связь между NAT и UPNP?
Я наверное неправильно выразился. Говорил я только о части UPNP, об IGD.
> Или вы тоже верите, что NAT
> это такая замена файрволу, не будет NAT - не будет файрвола?
Я прекрасно понимаю чем отличается фаервол от NAT.
> UPNP нужен, в частности, чтобы открывать порты на удаленном файрволе без неудобных
> некоторым пользователям ручных манипуляций с веб-админкой роутера;
upnp, а точнее IGD нужен для автоматической проброски портов, т.е. для преодоления NAT.
Открытие портов в фаерволе - это побочный эффект.
> от использования IPv6
> необходимость "открыть порт 12345 на такой-то IP для работы входящих соединений
> в торрент-клиент" не исчезает, файрволл-то и с IPv6 нужен. Так что
> UPNP будет жить, пока что-нибудь удобнее или надежнее не изобретут, а
> IPv6 тут вообще не при чем..
Я говорю об отказе от NAT. В этом случае закрыть какие-то порты всем пользователям в сети, а потом разрешить всем пользователям в сети открывать эти порты через IGD видится мне бессмысленным.
|  | |
|
|
1.67, Ivan_83 (?), 00:25, 26/07/2013 [ответить] [показать ветку] [···] [к модератору]
| +/– |
UPnP это не только проброс портов, но и очень много всего связанного с мультимедиа.
Всё делалось чтобы plug and play был и для всех устройств подключенных к сети.
И это работает.
В венде и андройде всё очень не плохо с этим, они сразу могут показывать и рулить всякими телеками и пр подключёнными к сети.
В этом и был интерес МС и кучи производителей бытовой техники.
UPnP не содержит механизмов авторизации, потому что предназначен для дома либо для не критичных сервисов.
Ещё там есть проблемы с совместимостью фишек между разными реализациями, но основной функционал работает.
Не вижу причин дома его отключать.
Если паранойя настолько сильна то лучше его использовать для слежки за подозрительными приложениями которые его же и используют.
Функционально он состоит из двух блоков:
1. SSDP анонсера, который на мультикаст адрес кидает анонсы о том какой сервис есть и где URL для работы с ним.
2. HTTP + SOAP (xml based) веб сервис который обрабатывает запросы.
Моя реализация SSDP демона на сях и остального на nginx + php:
http://www.netlab.linkpc.net/forum/index.php?topic=898.0
Смотрю через это кина с сервера на ящике и андройде и иптв (парсит m3u плей листы).
|  | |
|
|