obey-robots.txt
Onderwerp bekijken
 Onderwerp afdrukken
UPnP en NAT status op het Zyxelmodem
Franzki
Afgelopen tijd zijn er enkele discussies gevoerd over NAT-status en UPnP. Omdat er steeds de vraag voorbij komt of er iets mis gaat met het Zyxel-modem heb ik zelf wat proefjes gedaan.

Ik heb geen geavanceerde tools liggen om spannende tests uit te voeren. Maar Microsoft's Live Messenger kan ook gebruik maken van UPnP voor bepaalde services... er zit een mogelijkheid om de verbindingsstatus te testen en dat heb ik dus gedaan.

Ik heb gebruik gemaakt van mijn Zyxel P-2602H-D1A modem en MSN Live Messenger 8.5. Ook nog even de Beta software (340AJZ6b1_20100203.bin) op het modem gezet maar dit maakte geen waarneembaar verschil.



Allereerst in het Zyxel-modem UPnP aangezet en het modem herstart:

zyxelq



Vervolgens een vinkje gezet bij "Allow users to make configuration changes through UPnP". Dit lijkt me niet echt een veilige optie:

zyxelb



En uiteindelijk even de Speedtouch ST716 aangesloten met UPnP aangezet met "Extended Security"... voor wat het waard is.

st716


Ik weet niet of er echte conclusies te trekken zijn... er blijven vooral vragen:

1) Waarom wordt in de eerst situatie de UPnP niet gedetecteerd terwijl deze wel aanstaat?
2) Is een "UPnP voor een poort beperkte NAT" het hoogst haalbare op een Zyxel?
3) Is de "UPnP symetrische NAT" op de Speedtouch beter dan een "UPnP voor een poort beperkte NAT" op de Zyxel?
4) Weet iemand hoe het met veiligheid zit van UPnP op beide modems? Er zijn veel waarschuwingen dat besmette websites via UPnP je modem dusdanig kunnen configureren dat je kwetsbaar wordt voor misbruik. Zit hiervoor een beveiliging in beide modems?
 
Richard
Mede gezien de discussies betreffende games, vind ik hoofdzakelijk vraag 2 het belangrijkst.

Ik heb namelijk eenzelfde probleem met mijn Delta Force Xtreme. Dat kreng is niet meer aan de praat te krijgen. Nat loopback is er voor nodig, die is er, maar er is een beperkte NAT en dat is dus onvoldoende.

Dit was ook onvoldoende voor de xbox360. Dit was dan wel op te lossen door juiste poortforwards te doen, maar zou niet nodig moeten hoeven zijn middels een goed werkende NAT.

Ik zou in elk geval niet instellen dat gebruikers configuratiewijzigen mogen maken via uPnP, want dat is zeker onveilig.
Hoe het verder zit met de beveiliging is me niet helemaal bekend. Mijn vermoeden is dat het met stated-related verkeer te maken heeft en je aldus niet zomaar van buitenaf gevaarlijke dingen kan doen. Doch zoals gezegd, dat is een vermoeden, heb me er nog niet mee bezig gehouden.

Greetings, Richard.
 
Franzki

Quote

Richard schreef: Mijn vermoeden is dat het met stated-related verkeer te maken heeft en je aldus niet zomaar van buitenaf gevaarlijke dingen kan doen. Doch zoals gezegd, dat is een vermoeden, heb me er nog niet mee bezig gehouden.


Neem bijvoorbeeld de Adobe Flash UPnP attack. Dan hoef je alleen maar een webpagina te bezoeken waar een Adobe Flash dingetje staat wat iets raars doet. En dat draait dan lokaal in je browser dus het is een aanval van binnenuit. Voor alle duidelijkheid... ik weet niet of dit in de praktijk wordt toegepast... maar het is wel een "proof of concept" voor vergelijkbare aanvallen met andere technologie├źn.

Natuurlijk valt het allemaal mee als er alleen poorten open gezet kunnen worden in de router... maar het wordt lastiger als er bijvoorbeeld een andere DNS-server wordt ingesteld waardoor al je internet-verkeer ongemerkt wordt omgeleid naar kwaadwillende sites. Vandaar de vraag of iemand weet wat er wel of niet mogelijk is met zo'n soort attack, al dan niet via UPnP.
Gewijzigd door Franzki op 08 maart 2010, 02:18
 
data-full-width-responsive="true">
Spring naar forum:
Nieuw onderwerp Antwoorden
Gebruik BBcode of HTML om naar; 'UPnP en NAT status op het Zyxelmodem', te verwijzen!
BBcode:
HTML:
Vergelijkbare onderwerpen
Onderwerp Forum         Laatste bericht
UPnP werkt niet Hardware instellingen : 2 24 mei 2010
portforwarding en/of upnp zorgen niet voor open poorten Eigen netwerk achter het Telfort modem : 27 25 jan 2010
Client IP status Eigen netwerk achter het Telfort modem : 3 05 jul 2009
Geen verbinding en status van bestelling ONTERECHT (!) op technische oplevering Opleveringsproblemen : 5 18 aug 2008
Zyxel 2602R-D1A en uPnP Hardware instellingen : 2 06 mei 2008
Advertentie
data-full-width-responsive="true">