Re: OT: DHCP och ip-telefonadapter

To: debian-user-swedish <debian-user-swedish@lists.debian.org>
Subject: Re: OT: DHCP och ip-telefonadapter
From: Martin Leben <martin-1234@leben.nu>
Date: Thu, 10 Feb 2005 15:23:08 +0100
Message-id: <[🔎] 420B6E4C.5020105@leben.nu>
In-reply-to: <[🔎] 420B3DF9.1030206@kreawit.se>
References: <[🔎] 16906.25526.87364.286051@cfenell.dyndns.org> <[🔎] 420B16DE.9060100@kreawit.se> <[🔎] 420B2749.4080109@leben.nu> <[🔎] 420B3DF9.1030206@kreawit.se>

Anders Wallenquist wrote:

Martin Leben wrote:
För att undvika missförstånd: Det heter UPnP (Universal Plug andPlay). Det är dessutom inte en extern part som begär öppning avportar, utan en klient på insidan. Exempelvis MSN-klienten på den
egna datorn. (Vilket inte gör det mycket bättre. Bara lite...)
Tack Martin för ditt klargörande! Du kanske känner till skillnadenmellan symetrisk respektive asymetrisk brandvägg också?


Det som avses är strängt talat inte brandvägg, utan NAT (Network Address

Translation). [1] bjuder på en del intressant läsning om man vill grävadjupare. Där sägs:


  5.  NAT Variations

   It is assumed that the reader is familiar with NATs.  It has
   been observed that NAT treatment of UDP varies among
   implementations.  The four treatments observed in
   implementations are:

   Full Cone: A full cone NAT is one where all requests from the
      same internal IP address and port are mapped to the same
      external IP address and port.  Furthermore, any external
      host can send a packet to the internal host, by sending a
      packet to the mapped external address.

   Restricted Cone: A restricted cone NAT is one where all
      requests from the same internal IP address and port are
      mapped to the same external IP address and port.  Unlike
      a full cone NAT, an external host (with IP address X) can
      send a packet to the internal host only if the internal
      host had previously sent a packet to IP address X.

   Port Restricted Cone: A port restricted cone NAT is like a
      restricted cone NAT, but the restriction includes port
      numbers.  Specifically, an external host can send a
      packet, with source IP address X and source port P, to
      the internal host only if the internal host had
      previously sent a packet to IP address X and port P.

   Symmetric: A symmetric NAT is one where all requests from
      the same internal IP address and port, to a specific
      destination IP address and port, are mapped to the same
      external IP address and port.  If the same host sends a
      packet with the same source address and port, but to a
      different destination, a different mapping is used.
      Furthermore, only the external host that receives a
      packet can send a UDP packet back to the internal host.

Vilken av dom tre (asymmetriska?) kon-typerna som Rixtelecom avser vetjag inte.

Den symmetriska NAT-en är nog den som är vanligast. På svenska funkarden så här:Antag att en värd på insidan öppnar en förbindelse från (lokal-ip,lokal-port) till (fjärr-ip, fjärr-port). Den förbindelsen kommer då attpassera genom (nat-ip, nat-port) och översättas. Dessa adress- ochport-par läggs in i en tabell. Inkommande paket kontrolleras mot dennatabell, så att endast paket från (fjärr-ip, fjärr-port) adresserade till(nat-ip, nat-port) släpps in och översätts till (lokal-ip, lokal-port).


I korthet:
- Asymmetrisk NAT tillåter inkommande UDP trafik.

- Symmetrisk NAT tillåter inte inkommande UDP trafik. (Fast det går attlura den också...)

Undrar när den första masken kommer som använder UPnP för att göra
sig nåbar utifrån utan att själv behöva initiera kontakt... Eller
finns det redan sådana?


OK, om det nu är MSN-klienten som begär öppningen av portarna, vad är
 skillnaden mellan detta och SIP-klientens agerande med sin Registrar

när den är bakom NAT och saknar STUN-server? Jag trodde att det varSIP-klienten som öppnar och håller en session öppen, vilket låter som

 din beskrivning av UPnP?


Hmmm... Det kanske inte är så stor skillad, trots allt...

Fö är väl detta vad var och vartannat spionprogram just sysslar med?
Skillnaden mellan SIP-klienten respektive MSM-klienten ochspionprogrammet är att vi användare är omedvetna om vad som sker.Spionprogram som dessutom använder väldefinierade portar blir inteheller så enkelt upptäkta av "personliga brandväggar", utan trafiken
kan förefalla legitim. När väl ett koppel är upprättat går det
utmärkt att vända trafiken och styra/övervaka den infekterade datorn
på avstånd. De behöver inte ens använda UPnP, det räcker med en
vanlig session.  Eller är det scenariet att spionprogrammet öppnar
brandväggen med UPnP för en traditionell attack på kända sårbarheter,
du tänker på? Om nu UPnP är beroende av ett program på insidan så är
väl första steget uppnått när det främmande programmet väl är
placerat där?


Aj.... Det gör ont att få smäll på fingrarna! ;-)

/Martin Leben

[1] http://www.faqs.org/rfcs/rfc3489.html
    RFC 3489 - STUN - Simple Traversal of User Datagram Protocol
    (UDP)Through Network Address Translators (NATs)

--
Remove dashes and numbers (if any) to get my real email address.
I subscribe to the mailing lists i write to.
Please don't CC me on replies.

Reply to:

Follow-Ups:
- STUN och NAT
  - From: Carl-Fredrik Enell <carlfredrik.enell@pp.inet.fi>

References:
- OT: DHCP och ip-telefonadapter
  - From: Carl-Fredrik Enell <carlfredrik.enell@pp.inet.fi>
- Re: OT: DHCP och ip-telefonadapter
  - From: Anders Wallenquist <anders.wallenquist@kreawit.se>
- Re: OT: DHCP och ip-telefonadapter
  - From: Martin Leben <martin-1234@leben.nu>
- Re: OT: DHCP och ip-telefonadapter
  - From: Anders Wallenquist <anders.wallenquist@kreawit.se>

Prev by Date: Re: Skillnader mellan Emacs och XEmacs? (Var: Re: Svenska tecken i "xemacs -nw")
Next by Date: Re: OT: DHCP och ip-telefonadapter
Previous by thread: Re: OT: DHCP och ip-telefonadapter
Next by thread: STUN och NAT
Index(es):
- Date
- Thread