Re: OT: DHCP och ip-telefonadapter
Anders Wallenquist wrote:
Martin Leben wrote:
För att undvika missförstånd: Det heter UPnP (Universal Plug and
Play). Det är dessutom inte en extern part som begär öppning av
portar, utan en klient på insidan. Exempelvis MSN-klienten på den
egna datorn. (Vilket inte gör det mycket bättre. Bara lite...)
Tack Martin för ditt klargörande! Du kanske känner till skillnaden
mellan symetrisk respektive asymetrisk brandvägg också?
Det som avses är strängt talat inte brandvägg, utan NAT (Network Address
Translation). [1] bjuder på en del intressant läsning om man vill gräva
djupare. Där sägs:
5. NAT Variations
It is assumed that the reader is familiar with NATs. It has
been observed that NAT treatment of UDP varies among
implementations. The four treatments observed in
implementations are:
Full Cone: A full cone NAT is one where all requests from the
same internal IP address and port are mapped to the same
external IP address and port. Furthermore, any external
host can send a packet to the internal host, by sending a
packet to the mapped external address.
Restricted Cone: A restricted cone NAT is one where all
requests from the same internal IP address and port are
mapped to the same external IP address and port. Unlike
a full cone NAT, an external host (with IP address X) can
send a packet to the internal host only if the internal
host had previously sent a packet to IP address X.
Port Restricted Cone: A port restricted cone NAT is like a
restricted cone NAT, but the restriction includes port
numbers. Specifically, an external host can send a
packet, with source IP address X and source port P, to
the internal host only if the internal host had
previously sent a packet to IP address X and port P.
Symmetric: A symmetric NAT is one where all requests from
the same internal IP address and port, to a specific
destination IP address and port, are mapped to the same
external IP address and port. If the same host sends a
packet with the same source address and port, but to a
different destination, a different mapping is used.
Furthermore, only the external host that receives a
packet can send a UDP packet back to the internal host.
Vilken av dom tre (asymmetriska?) kon-typerna som Rixtelecom avser vet
jag inte.
Den symmetriska NAT-en är nog den som är vanligast. På svenska funkar
den så här:
Antag att en värd på insidan öppnar en förbindelse från (lokal-ip,
lokal-port) till (fjärr-ip, fjärr-port). Den förbindelsen kommer då att
passera genom (nat-ip, nat-port) och översättas. Dessa adress- och
port-par läggs in i en tabell. Inkommande paket kontrolleras mot denna
tabell, så att endast paket från (fjärr-ip, fjärr-port) adresserade till
(nat-ip, nat-port) släpps in och översätts till (lokal-ip, lokal-port).
I korthet:
- Asymmetrisk NAT tillåter inkommande UDP trafik.
- Symmetrisk NAT tillåter inte inkommande UDP trafik. (Fast det går att
lura den också...)
Undrar när den första masken kommer som använder UPnP för att göra
sig nåbar utifrån utan att själv behöva initiera kontakt... Eller
finns det redan sådana?
OK, om det nu är MSN-klienten som begär öppningen av portarna, vad är
skillnaden mellan detta och SIP-klientens agerande med sin Registrar
när den är bakom NAT och saknar STUN-server? Jag trodde att det var
SIP-klienten som öppnar och håller en session öppen, vilket låter som
din beskrivning av UPnP?
Hmmm... Det kanske inte är så stor skillad, trots allt...
Fö är väl detta vad var och vartannat spionprogram just sysslar med?
Skillnaden mellan SIP-klienten respektive MSM-klienten och
spionprogrammet är att vi användare är omedvetna om vad som sker.
Spionprogram som dessutom använder väldefinierade portar blir inte
heller så enkelt upptäkta av "personliga brandväggar", utan trafiken
kan förefalla legitim. När väl ett koppel är upprättat går det
utmärkt att vända trafiken och styra/övervaka den infekterade datorn
på avstånd. De behöver inte ens använda UPnP, det räcker med en
vanlig session. Eller är det scenariet att spionprogrammet öppnar
brandväggen med UPnP för en traditionell attack på kända sårbarheter,
du tänker på? Om nu UPnP är beroende av ett program på insidan så är
väl första steget uppnått när det främmande programmet väl är
placerat där?
Aj.... Det gör ont att få smäll på fingrarna! ;-)
/Martin Leben
[1] http://www.faqs.org/rfcs/rfc3489.html
RFC 3489 - STUN - Simple Traversal of User Datagram Protocol
(UDP)Through Network Address Translators (NATs)
--
Remove dashes and numbers (if any) to get my real email address.
I subscribe to the mailing lists i write to.
Please don't CC me on replies.
Reply to:
- Follow-Ups:
- STUN och NAT
- From: Carl-Fredrik Enell <carlfredrik.enell@pp.inet.fi>