PDA

Bekijk de volledige versie : uPnP, uTP и прочие проблемные "автоматизаторы" и "улучшайзеры"


residend
27-11-2008, 13:03
В сетевых подключениях при включённом UPnP появляется отдельное подключение "Подключение к интернету" средствами которого можно включать или отключать соединение с интернетом.

Хотелось бы отключить эту возможность управлять включением\отключением интернета, но при этом оставить влючённым UPnP для автоматической проброски портов. Соответственно сделать это надо средствами роутера. Только вот как это сделать, мне что то никак не придумать! Кто и как решал эту задачу?

В форуме даже похожих обсуждений не нашёл, к сожалению!
vectorm
27-11-2008, 15:00
В сетевых подключениях при включённом UPnP появляется отдельное подключение "Подключение к интернету" средствами которого можно включать или отключать соединение с интернетом.

Хотелось бы отключить эту возможность управлять включением\отключением интернета, но при этом оставить влючённым UPnP для автоматической проброски портов. Соответственно сделать это надо средствами роутера. Только вот как это сделать, мне что то никак не придумать! Кто и как решал эту задачу?

В форуме даже похожих обсуждений не нашёл, к сожалению!
И не найдете, это чисто проблема Винды.
DfDf
29-11-2008, 01:35
Я так понимаю, что отключение можно делать только админам, ну еще, наверное, членам группы Network Configuration Operators. По крайней мере, вот здесь это косвенно подтверждено: http://support.microsoft.com/kb/821371/EN-US/:

...Depending on the security setup, clients may also be able to control the connection. ...
Так что делайте выводы. В принципе, наверное в прошивке можно было бы предусмотреть такую галочку, так что дело не только в Винде, как пишет vectorm. Т.е. роутер мог бы и посопротивляться.
bbsc
29-11-2008, 07:21
DfDf, откуда роутер знает кто из них админ, а кто член группы Network Configuration Operators?

Речь может идти только об ограничении прав юзеров на их компах, что не всегда реально.
residend
29-11-2008, 13:09
Так вопрос то и был именно про отключение этого НА РОУТЕРЕ, чтобы он не реагировал на такие команды винды!
ABATAPA
29-11-2008, 14:26
Так вопрос то и был именно про отключение этого НА РОУТЕРЕ, чтобы он не реагировал на такие команды винды!

Для начала нужно посмотреть - а что именно делает upnp по этой команде.
vectorm
29-11-2008, 20:46
Так вопрос то и был именно про отключение этого НА РОУТЕРЕ, чтобы он не реагировал на такие команды винды!
Еще раз: каким боком роутер реагирует на то, что Винда в СВОИХ соединениях лишний ярлык вывешивает???
Винда видит, что на роутере есть upnp и выводит этот лишний значек, роутер на данную фигню повлиять не может. НИ КАК.
residend
29-11-2008, 21:48
Еще раз: каким боком роутер реагирует на то, что Винда в СВОИХ соединениях лишний ярлык вывешивает???
Винда видит, что на роутере есть upnp и выводит этот лишний значек, роутер на данную фигню повлиять не может. НИ КАК.


так вопрос не про значёк - пусть себе висит. Надо то отключить функцию "отключить" (или "включить"), которая находится по правому клику мыши на этом значке и даёт роутеру команду отключения/включения соединения с интернетом... Точнее пусть эта команда тоже остаётся, главный вопрос сделать так, чтобы роутер на неё не реагировал!

Как правильно сказал АВАТАРА:


Для начала нужно посмотреть - а что именно делает upnp по этой команде.

Ну и соответственно вообще что эта за команда и какой частью программы роутера она упарвляет...
DfDf
30-11-2008, 00:19
Теоретически есть 2 способа решить проблему:
1. Не дать винде отправить control UPnP запрос на девайс.
2. Запретить девайсу реагировать на запрос.

Концептуально, конечно же, самым верным решением является такое:
Не дать пользователю, если он не в определенной группе послать UPnP запрос (например, отключить пукт Enable/Disable в зависимости от привелегий пользователя). Но есть проблема в том, что протокол UPnP не имеет средств обеспечения безопасности, и пользователь теоретически может сформировать правильный запрос в обход Windows, т.к. это всего лишь http по UDP в виде XML.

Как реализовать хотя бы что-нибудь, пока не нарыл, но в принципе, конечно же, с точки зрения безопасности правильнее, чтобы в роутере была галка на тему "не реагировать на запрос об отключении по UPnP".
ABATAPA
30-11-2008, 12:25
Как реализовать хотя бы что-нибудь, пока не нарыл, но в принципе, конечно же, с точки зрения безопасности правильнее, чтобы в роутере была галка на тему "не реагировать на запрос об отключении по UPnP".

Есть же исходники upnp.
Namelles One
03-02-2010, 13:31
Перепала мне из США прекрасная проигрывающая машинка - Mvix Ultio (http://www.mvixusa.com/ultio/1080p-high-definition-media-center-bittorrent.html).

Отложил я ее на полочку пока (до переезда на новую квартиру) и задумался - как бы использовать ее максимально?

Самая интересная ее фича (не считая torrent клиента встроенного) - это upnp media client. Сразу возникло громадье идей - а поставить куда-нить хороший upnp media server - этож можно будет и видео с инета на телик стримить (скажем, youtube) и IPTV на телик гнать без всяких там дополнительных девайсов.

Вот соответственно и вопрос - а можно ли из Asus WL-500gP выжать такой функционал? Дабы он внешний (с инета) видеопоток стримил (мечты - дабы ему можно было бы rss с любого сайта, типа turbofilm скормить и с телика это все смотреть), а upnp media client моего mvix все это радостно кушал и просил добавки?

Возможно немного сумбурно, но думаю - понятно.

З.Ы. Еще нада бы ЖК на 42 дюйма оптимально под такую систему бы подобрать...
Namelles One
06-02-2010, 14:22
Да вы что, неужели такая крутая машинка и не умеет стримить видео?((((
Pablos
07-02-2010, 01:22
Не, без телека не сможет, нада сначала телек выбрать! )
Namelles One
07-02-2010, 12:54
Толсто и не по делу.

Прошу прощения, что побеспокоил.
Pablos
07-02-2010, 23:31
а тонко не получится! ОоО
Чудо коробка iptv ловить не будет. "стриминг" чего нужно?

зы телеки час щас тоже умеют разные "стриминги" ловить..
vectorm
08-02-2010, 08:59
Автору темы - воспользуйтесь поиском, медиастриминг неоднократно уже рассмотрен.
Тема - повтор, плюс сплошной флейм - закрываю.
maxsnz
01-09-2010, 22:33
http://rghost.ru/2509081/thumb.png (http://rghost.ru/2509081/image.png)
нажимаю Disable - и девайс перезагружается, теряя коннект с ВПНом. Через некоторое время в контекстном меню Disable сменяется на Enable, при нажатии девайс снова перезагружается, интернет восстанавливается. Причем сделать такое безобразие можно с любого компа, подключенного к роутеру.
WTF???
интересует как ограничить такие широкие возможности винды
maxsnz
01-09-2010, 22:35
прошивка 1.9.2.7-10, могу и логи показать
MFMan
02-09-2010, 07:43
Отключи 7 на ноуте =)
andrusha7778
02-09-2010, 12:29
Да только он не перезагружается а просто связь рвет а потом несколько секунд и восстанавливается. По крайней мере длинк 320ый так.
maxsnz
02-09-2010, 15:46
нуу.. как то так)
главное что больше таких вольностей не будет
TReX
02-09-2010, 17:33
нуу.. как то так)
главное что больше таких вольностей не будет

А обновится не проще? чем ругаться на старье что у него проблемы....
maxsnz
02-09-2010, 17:38
обновиться?
зачем, прошивка свежая, upnp отключил - все стало норм
TReX
02-09-2010, 18:14
обновиться?
зачем, прошивка свежая, upnp отключил - все стало норм

)) Да только вот многим программам UPNP для работы нужен, а так ничего
А прошивка уже древняя как мир и неподдерживается больше )
maxsnz
02-09-2010, 18:20
зачем им upnp?? инет есть и ладно, роутер то им зачем?
а какая прошивка сейчас актуальна?
TReX
02-09-2010, 18:23
зачем им upnp?? инет есть и ладно, роутер то им зачем?
а какая прошивка сейчас актуальна?

А моя подпись не о чем не говорит? )
берут здесь ftp://core.dumped.ru/
UPNP нужен програмам чтобы самим порты через NAT пробрасывать )
TReX
02-09-2010, 22:25
Это я и называю ересью ;) Когда, что то безконтрольно, само открывается и перенаправляется, это грозит не контролируемыми проблемами.
Т.ч. UPNP - более вреден, чем полезен, честно говоря польза от него близка к нулю, экономия 5 минут на явное прописывание проброса, этого не стоит ;)

К сожалению например Teredo берет порт случайный и выше 50000, и как прикажете его прописывать? А его отключение грозит потерей большого количества локальных пиров, которые ищутся даже если это запрещено для данного торрента... Так вот пример навскидочку...
smi
02-09-2010, 23:42
К сожалению например Teredo берет порт случайный и выше 50000, и как прикажете его прописывать?
Ну хотя бы так:
Teredo uses UPnP to reserve a port, that's why you noticed many ports reserverd to Teredo in your router.
I'm using Teredo but I fixed a dedicated port, you can do that.

Run cmd as admin (right click > execute as admin).
Then type netsh > interface > teredo.
Type show state to display infos about Teredo.
To change the port type set state clientport=XXXXX.
To revert back client port to default, type set state clientport=0 ;)
Хотя, я не рекомендую использовать подобную ерунду, толку от нее мало, а проблем огрести можно много Осторожно Teredo!!! (его отключение в целом ускорит роботу сети) (http://torrent.in.te.ua/forum/showthread.php?tid=3063&pid=9485#pid9485)


А его отключение грозит потерей большого количества локальных пиров, которые ищутся даже если это запрещено для данного торрента... Так вот пример навскидочку... Угу, ну просто огромного, количества пиров :D А точнее, только тех кто, это использует, т.е. парочку пиров может и потерять. Да, если поиск локальных пиров запрещен, то Teredo ничем не поможет ;)
TReX
03-09-2010, 00:34
Ну хотя бы так: ;)
Хотя, я не рекомендую использовать подобную ерунду, толку от нее мало, а проблем огрести можно много Осторожно Teredo!!! (его отключение в целом ускорит роботу сети) (http://torrent.in.te.ua/forum/showthread.php?tid=3063&pid=9485#pid9485)

Угу, ну просто огромного, количества пиров :D А точнее, только тех кто, это использует, т.е. парочку пиров может и потерять. Да, если поиск локальных пиров запрещен, то Teredo ничем не поможет ;)

Ну зачем голословные утверждения? У меня например порядка 10% из общего числа пиров идут из торедо, причем большая их часть раборает на локальных скоростях...

Статья о торедо? Посмеялся,
"так как данний протокол использует технологию переадресации IPv4>IPv6 и наоборот" - это шедевр автора
"Но сам я впервые столкнулся с этим когда перевел часть фирмы на новую платформу Windows Server 2008 и у меня полягло пол офиса изза атаки из вне, причем обойдя железный фаервол" - тут сил смеятся уже не хватило

До сих пор не понимаю почему же с прошивкой энтузиастов меня до сих пор не сломали???? Наверное они волшебство какое знают, ведь и фаирвол то здесь не "аппаратный" :D:D (наверное автор PIX бедный так обозвал)))

Могу открыть секрет - просто настроен Iptables, и даже не мной а разработчиками прошивки, чего тупо не знал "гений" писавший данный бред...

Очень это напоминает вопли когда только появилась поддержка UTP в торрентах... Так же кричали что ее поддержка вредна, надо выключать и все будет быстрее, а сейчас большая часть пиров работает с включенным UTP, странно не правда ли?

P.S. Не знал, что на украине еще и трава такая забористая растет:D
sfstudio
03-09-2010, 03:05
Очень это напоминает вопли когда только появилась поддержка UTP в торрентах... Так же кричали что ее поддержка вредна, надо выключать и все будет быстрее, а сейчас большая часть пиров работает с включенным UTP, странно не правда ли?

Ничего странного и воплей никаких не было, был анализ, с тех пор во всех клиентах появилось ограничение на размер пакета снизу. Проблема была в абсолютно дебилоидной реализации контроля перегрузки (оно кстати такой и остаётся) в этом мегапротоколе. Авторы сего поделия решили что умнее паравоза и вместо того чтобы посмотреть на доступные реализации этого дела для tcp (которых кстати не один десяток под раные задачи, к чему бы это?) изобрели свой недолиспапед который скатывался до 65байтных пакетов. При таком дебилизме эффективность передачи данных падает в разы, pps растёт лавинообразно (что прекрасно видел у себя на шлюзах, да да я небольшой региональный ISP держу и не на вынь2к8). Вы коли не в курсе в т.ч. переговоров с авторами сего безобразия так и нефиг разгагольствовать, а то ваши высказывания напоминают старое выражение на тему слышал звон.
Почитайте технический анализ и предысторию на наге.


P.S. Не знал, что на украине еще и трава такая забористая растет:D

А вы откуда, веществами не балуетесь? =)) В общем надеюсь по uTP выучите матчасть и не будете рассуждать как закоренелый хомяк-вантузятнег необладающий даже малой крупицей информации.
sfstudio
03-09-2010, 03:10
Могу открыть секрет - просто настроен Iptables, и даже не мной а разработчиками прошивки, чего тупо не знал "гений" писавший данный бред...


Уж незна какой там бред писал разработчик по ссылке не ходил. Но могу назвать как минимум 10ток легкодоступных способов завалить любой сохо маршрутизатор под линуксом при этом поток до роутера будет ну совсем не большой, а softirq зашкалит.

Проблема лежит гораздо раньше нетфильтра (которым управляет iptables явяясь наитупейшей утилёй для настройки нетфильтра) в драйвере. При всех CRC Offload/NAPI и прочих поллингах и т.д. сохо девайсы являются дикими тормозами. С ростом pps через lan порт драйвер неизбежно сожрёт весь CPU даже если следом нетфильтр весь этот траф будет дропать.

Почитайте что-нить до кучи о архитектуре ядра линукс в части обработки сетевого трафика и в части вообще работы сетевой подсистемы и драйверов.
sfstudio
03-09-2010, 03:19
Ну и до кучи. Проблем с uTP остаётся всё ещё много. Авторы сего чуда хоть и пошли на уступки и таки даже частично прислушались к тому что люди говорят и пишут после проведённого анализа протокола и методов контроля перегрузок в реализации сего протокола, но так и не поправили и не удосужились даже посмотреть на опыт людей уже изрядно походившим по этим граблям. Протокол и по сей день остаётся достаточно затратным в части NAT (да да ещё очень много провайдеров не дают просто так белый IP народу), так и в части conntrack (сюрпрайз сюрпрайз, оно так же обрабатывается conntrack_udp), благо достаточно легко дропается по сигнатурам.

Я лишь надеюсь что в дальнейшем авторы сей поделки осилят почитать код той же hybla/reno/westwood и т.д. и связаться с авторами этих TCP CC, ведь в uTP из-за смены транспорта пришлось рожать всё это дело занова, а опыта как показала практика у этих самых дядей родивших uTP нет, как и нужной базы знаний. Как итог - кривой лисапед на выходе.

В общем хочется верить что эти саме вышеозначенные дяди ослят привести реализацию протокола к вменяемому виду.
vectorm
03-09-2010, 08:17
Переименовал тему.
smi
03-09-2010, 09:03
Ну зачем голословные утверждения? У меня например порядка 10% из общего числа пиров идут из торедо, причем большая их часть раборает на локальных скоростях... Т.е. это ваши ЛОКАЛЬНЫЕ пиры, которых вы бы нашли и без этих левых костылей ;)


Статья о торедо? Посмеялся,
"так как данний протокол использует технологию переадресации IPv4>IPv6 и наоборот" - это шедевр автора
"Но сам я впервые столкнулся с этим когда перевел часть фирмы на новую платформу Windows Server 2008 и у меня полягло пол офиса изза атаки из вне, причем обойдя железный фаервол" - тут сил смеятся уже не хватило

До сих пор не понимаю почему же с прошивкой энтузиастов меня до сих пор не сломали???? Наверное они волшебство какое знают, ведь и фаирвол то здесь не "аппаратный" :D:D (наверное автор PIX бедный так обозвал)))

Могу открыть секрет - просто настроен Iptables, и даже не мной а разработчиками прошивки, чего тупо не знал "гений" писавший данный бред... Ну, когда не понимаешь, товсегда смеятся легко ;) Скажие, а причем тут iptables, на вашем маршрутизаторе? Если вам этот "супер протокол" сделал дырку (тонель), между вашей виндой и внешним миром и весь трафик, через эту дыру маошрутизатор уже не контролирует?
По поводу, почему еще не сломали, если вы будете оставлять ключь от квартиры, под ковриком у двери, то вас обворуют тоже не сразу ;)

Да, чуть не забыл спросить, по поводу "необходимости" UPNP, для этих костылей, возражения есть? :D
TReX
03-09-2010, 10:45
Т.е. это ваши ЛОКАЛЬНЫЕ пиры, которых вы бы нашли и без этих левых костылей ;)

Ну, когда не понимаешь, товсегда смеятся легко ;) Скажие, а причем тут iptables, на вашем маршрутизаторе? Если вам этот "супер протокол" сделал дырку (тонель), между вашей виндой и внешним миром и весь трафик, через эту дыру маошрутизатор уже не контролирует?
По поводу, почему еще не сломали, если вы будете оставлять ключь от квартиры, под ковриком у двери, то вас обворуют тоже не сразу ;)

Да, чуть не забыл спросить, по поводу "необходимости" UPNP, для этих костылей, возражения есть? :D

Эти локальные пиры приходят по IPV6, по IPV4 я их не вижу...

И в чем же он сделал дырку? И в какой абстрактный внешний мир?? Тередо не создает канал для передачи данных... Он только позволяет найти "соседа" в дальнейшем соединение идет "точка-точка"
А маршрутизатор контролирует соединения IPV6 которые и создаются благодаря наличию тередо... Для проверки можите например попробовать зайти на гугл по IPV6, никакой тередо вам в этом не поможет )

У нас в бугалтерии до сих пор кактусы у мониторов стоят, говорят сильно помогает от излучений, хотя даже и мониторы то давно LCD. Беда с защитой бывает только в том случае когда человек не понимает технологий которые использует...

Необходимость UPNP? Спасибо конечно за гугл, но у меня нет необходимости настраивать этот порт, для того UPNP собственно и был создан )) Да, при наличие например на машине трояна, UPNP по его просьбе естественно может открыть порт, но это уже из области антивирусной защиты...
smi
03-09-2010, 11:31
Эти локальные пиры приходят по IPV6, по IPV4 я их не вижу... Смешно ;)


И в чем же он сделал дырку? И в какой абстрактный внешний мир?? Тередо не создает канал для передачи данных... Он только позволяет найти "соседа" в дальнейшем соединение идет "точка-точка" :D Т.е. вы пользуетесь тем, о чем не имеете ни малейшего представления? Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs), подробности см. в RFC4380 (http://tools.ietf.org/html/rfc4380) ;)


А маршрутизатор контролирует соединения IPV6 которые и создаются благодаря наличию тередо... Для проверки можите например попробовать зайти на гугл по IPV6, никакой тередо вам в этом не поможет ) Если в сети вашего провайдера нет поддержки IPv6, то никакого прямого прохода по IPv6 не будет, т.ч. ходите вы именно, через это изобретение мелкомягких и маршрутизатор ваш, даже не знает об этом ;)


У нас в бугалтерии до сих пор кактусы у мониторов стоят, говорят сильно помогает от излучений, хотя даже и мониторы то давно LCD. Беда с защитой бывает только в том случае когда человек не понимает технологий которые использует... Вот вы и не понимаете, что используете, как используете и для чего используете :p Поставьте еще один кактус, может поможет ;)


Необходимость UPNP? Спасибо конечно за гугл, но у меня нет необходимости настраивать этот порт, для того UPNP собственно и был создан )) Ну, как говорится - каждому, свое. Нравятся вам, дырявые системы, пользуйтесь. Вот только не надо утверждать, что они полезны и безопасны ;)


Да, при наличие например на машине трояна, UPNP по его просьбе естественно может открыть порт, но это уже из области антивирусной защиты... Понимаете ли, трояна то как-раз может еще и не быть на машине, например была найдена уязвимость, в флешплеере, не знаю уже пофикшена или еще нет, которая позволяет использовать именно UPNP и ничего больше, т.е. заходите вы на сайтик с такой флешкой и через эту дыру, получаете в лучшем случае машину в DMZ, открытую всем ветрам, для проникновения всякой дряни через другие уязвимости, останется только надеятся на фаер на машине и антивирус.
А в худшем, подмену DNS сервера, на хакерский с возможностью потерять деньги, если конечно вы пользуетесь к.л. системами интернет банкинга. Но, если вам, кроме паролей от социальных сетенок, терять нечего, то в общем и волноваться не о чем ;)
Хотя о чем это я, ваша машина и так открыта всем, благодаря мелкомягкой тореде ;)

P.S. Вот вам еще и из Минска "трава" http://www.cyberforum.ru/windows7/thread83612.html
TReX
03-09-2010, 23:28
Смешно ;)

:D Т.е. вы пользуетесь тем, о чем не имеете ни малейшего представления? Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs), подробности см. в RFC4380 (http://tools.ietf.org/html/rfc4380) ;)


Вау! RFC! Спасибо за заголовок, а дальше вы читали? похоже нет... судя по цитатам посмотрели WIKI. Далее конечно - "Symantec: протокол Teredo в Vista уязвим для атак" (это кстати новость от 2008 года) правда в статье Минских товарищей почему то пропало слово Vista и то что фикс для нее давно выпущен микрософт ))

Теперь про то что написанно в RFC - Teredo – это способ, используемый для инкапсуляции IPv6 пакетов в IPv4 заголовки, чтобы их можно было передавать через IPv4 интернет. И что в этом ужасного? Точно так же подключаются через тунель-брокеров к существующим сетям IPV6...

Да эта технология позволяет обойти закрытые порты, за счет чего кстати и увеличивается число пиров, с точки зрения uTorrent, при включенном тередо все пиры будут активными... Только вот одно но, инициализация этого соединения пойдет с вашего компьютера, а не снаружи...

Так где тут криминал то?



Понимаете ли, трояна то как-раз может еще и не быть на машине, например была найдена уязвимость, в флешплеере, не знаю уже пофикшена или еще нет, которая позволяет использовать именно UPNP и ничего больше, т.е. заходите вы на сайтик с такой флешкой и через эту дыру, получаете в лучшем случае машину в DMZ, открытую всем ветрам, для проникновения всякой дряни через другие уязвимости, останется только надеятся на фаер на машине и антивирус.
А в худшем, подмену DNS сервера, на хакерский с возможностью потерять деньги, если конечно вы пользуетесь к.л. системами интернет банкинга. Но, если вам, кроме паролей от социальных сетенок, терять нечего, то в общем и волноваться не о чем

Так что вы к интернет вообще подключаетесь, согласно сертификации C2, машина должна быть отключенна от сети вообще, для надежности )))
Или вы думаете что отключение UPNP это панацея от всего что вы перейчислили? Что то имеющиеся сейчас трояны и без UPNP прекрасно работают )


Хотя о чем это я, ваша машина и так открыта всем, благодаря мелкомягкой тореде

Так объясните пошагово, вы же RFC тут мне в нос тыкали - как вы создадите соединение снаружи используя teredo к как вы говорите "откртой всем" машине? (да файрволы провайдера и роутера вы пройдете) С кем вы там хотите соединиться? Проведите простой эксперимент - поднимите например телнет демона на стандартном порту и ждите пока к нему по тередо подсоединяться, долго будете ждать, столько не живут... Ответит по тередо не поверите только uTorrent, так он и без всех выкрутасов и по IPV4 простому ответит, на него порт форвард написан )))
Резюме - страшная атака соединением с моим бедным торент клиентом, сервер падает от ужаса )

Поверьте гораздо опаснее незапароленная дефаултная шара, тут уж "малолетние кулибины" своего никогда не упустят ))
Как показал опыт трехлетней эксплуатации, в режиме 365/24, самый страшный враг сервера, это Чубайс, но это решается UPS"ом, а зачем на сервере flash плеер и банкинг, и прочая ерунда честно говоря не знаю ) (кстати нормальные системы ебанкинга проверяют сертификаты, так что DNS вы можите хоть обменяться, ваш липовый сайт просто не пройдет проверку)

А насчет социальных стенк, да, вот там новости о таких "страшных" атаках чаще всего и муссируются :D

P.S. Да UPNP кривой протокол :p
smi
04-09-2010, 11:44
Вау! RFC! Спасибо за заголовок, а дальше вы читали? похоже нет... судя по цитатам посмотрели WIKI. Ну после "вау", с вами мне уже в общем то, все ясно ;)
Но тем не менее отвечу, я то читал RFC, а вот вы видимо если в него и заглянули, то ничего не поняли ;)


Далее конечно - "Symantec: протокол Teredo в Vista уязвим для атак" (это кстати новость от 2008 года) правда в статье Минских товарищей почему то пропало слово Vista и то что фикс для нее давно выпущен микрософт )) В ообще то речь идет не об уязвимости самого Teredo, а о том, что он создает тунель IPv6 сквозь входные firewall и они фактически перестают выполнять свою функцию, т.е. хакер вместо того, чтобы бится об входную огненую стенку, попадает сразу во внутреннюю сеть, где уязвимостей на порядок больше ;) И не важно глиста это или семерка, в них обоих Teredo :)


Теперь про то что написанно в RFC - Teredo – это способ, используемый для инкапсуляции IPv6 пакетов в IPv4 заголовки, чтобы их можно было передавать через IPv4 интернет. И что в этом ужасного? Точно так же подключаются через тунель-брокеров к существующим сетям IPV6... Да ничего в этом ужастного, кроме того, что ваш iptables перестает фильтровать входящий IPv6 трафик, который приходит сразу на вашу винду :) Хотя возможно вы так и не поняли написанного, сужу по "вау" ;)


Да эта технология позволяет обойти закрытые порты, за счет чего кстати и увеличивается число пиров, с точки зрения uTorrent, при включенном тередо все пиры будут активными... Только вот одно но, инициализация этого соединения пойдет с вашего компьютера, а не снаружи... :D Да что вы говорите? Teredo, напрямую подключил вашу машину, сквозь IPv4 сеть к IPv6 сети и что же помешает входному IPv6 соединению? Кроме фаера на машине с виндой, ничего ;)


Так где тут криминал то? Криминала тут нет, просто держать виндовую машину напрямую подключенную к внешней сети, это глупость ;)



Так что вы к интернет вообще подключаетесь, согласно сертификации C2, машина должна быть отключенна от сети вообще, для надежности ))) Ух ты, чего за это время нагуглить успели :)


Или вы думаете что отключение UPNP это панацея от всего что вы перейчислили? Что то имеющиеся сейчас трояны и без UPNP прекрасно работают ) Нет конечно, это не панацея, но чем меньше возможных точек для атаки, тем меньше вероятность взлома. А если рассуждать так, как вы рассуждаете, то можно вообще все средства защиты выключить, ну раз вирусы их все-равно могут обойти, то зачем они нужны ;)


Так объясните пошагово, вы же RFC тут мне в нос тыкали - как вы создадите соединение снаружи используя teredo к как вы говорите "откртой всем" машине? (да файрволы провайдера и роутера вы пройдете) С кем вы там хотите соединиться? Проведите простой эксперимент - поднимите например телнет демона на стандартном порту и ждите пока к нему по тередо подсоединяться, долго будете ждать, столько не живут... Ответит по тередо не поверите только uTorrent, так он и без всех выкрутасов и по IPV4 простому ответит, на него порт форвард написан ))) Извините, но глупости я коментировать не буду, читайте RFC! Проброс IPv4 порта, к Teredo отношения не имеет ;)
Хотя я предполагаю, откуда у вас эти мысли, скорее всего у вас Teredo есть, но он не используется, т.к. если у вас тунель поднят на маршрутизаторе, то стек винды должен использовать именно его, а не Teredo:

3.2.1. When to Use Teredo

Teredo is designed to robustly enable IPv6 traffic through NATs, and
the price of robustness is a reasonable amount of overhead, due to
UDP encapsulation and transmission of bubbles. Nodes that want to
connect to the IPv6 Internet SHOULD only use the Teredo service as a
"last resort" option: they SHOULD prefer using direct IPv6
connectivity if it is locally available, if it is provided by a 6to4
router co-located with the local NAT, or if it is provided by a
configured tunnel service; and they SHOULD prefer using the less
onerous 6to4 encapsulation if they can use a global IPv4 address.




Поверьте гораздо опаснее незапароленная дефаултная шара, тут уж "малолетние кулибины" своего никогда не упустят ))
Как показал опыт трехлетней эксплуатации, в режиме 365/24, самый страшный враг сервера, это Чубайс, но это решается UPS"ом, а зачем на сервере flash плеер и банкинг, и прочая ерунда честно говоря не знаю ) (кстати нормальные системы ебанкинга проверяют сертификаты, так что DNS вы можите хоть обменяться, ваш липовый сайт просто не пройдет проверку) Ну это вообще, полет фантазии, без темы ;) Кстати, инсталировать липовые корневые сертификаты, уже научились, что в условиях подмены DNS будет делом техники ;)


А насчет социальных стенк, да, вот там новости о таких "страшных" атаках чаще всего и муссируются :D Вам видней, я там не бываю ;)


P.S. Да UPNP кривой протокол :p Кривой и безполезный ;)
TReX
04-09-2010, 15:59
Ну после "вау", с вами мне уже в общем то, все ясно ;)
Но тем не менее отвечу, я то читал RFC, а вот вы видимо если в него и заглянули, то ничего не поняли ;)



Teredo и тунель в сети IPV6 могут работать паралень, собственно тередо это больше часть концепции "облачных вычислений" и своеобразного пиринга от микрософт, чем просто тупая инкапсуляция пакетов, присваемый тередо псевдо IPV6 адрес никак не мешает работе того же адаптера с реальными IPV6 сетями, только в отличие от реального трафика IPV6 (который прекрасно фильтрует тот же роутер), торедовские подключения возможны только к сервисам которые поддерживают торедо. Отчета о проверке например на демоне телнет (который ничего о тередо не знает), я не увидел, а заниматься пустым словоблудием простите надоело.

Если у вас параноя - я уже советовал отключитесь от сети вообще, ибо любой поднятый сервис потенцвиальная проблема в безопасности, програмисты не боги и могут ошибится, даже те кто пишут например ваш фаирвол...

И UPNP это кривой сервис, есть разница, между понятием кривой и опасный...
smi
04-09-2010, 16:55
Teredo и тунель в сети IPV6 могут работать паралень, собственно тередо это больше часть концепции "облачных вычислений" и своеобразного пиринга от микрософт, чем просто тупая инкапсуляция пакетов, присваемый тередо псевдо IPV6 адрес никак не мешает работе того же адаптера с реальными IPV6 сетями, только в отличие от реального трафика IPV6 (который прекрасно фильтрует тот же роутер), торедовские подключения возможны только к сервисам которые поддерживают торедо. Прочтите наконец RFC, чтобы не писать подобный бред!!! :mad: Коментировать подобное словоблудие, просто смешно.


Отчета о проверке например на демоне телнет (который ничего о тередо не знает), я не увидел, а заниматься пустым словоблудием простите надоело. Вот и не занимайтесь словоблудием, а прочтите документацию! Я вам ЦИТАТУ привел, почему у вас Teredo не используется, можете его погасить совсем, у вас ничего не изменится ;)


Если у вас параноя - я уже советовал отключитесь от сети вообще, ибо любой поднятый сервис потенцвиальная проблема в безопасности, програмисты не боги и могут ошибится, даже те кто пишут например ваш фаирвол... Рассуждение пионера, выключите все свои firewalls и антивирусники, все-равно в них ошибки есть :p


И UPNP это кривой сервис, есть разница, между понятием кривой и опасный... Он не защищенный, а позволяет слишком много, протокол придуманный для домохозяек :D
Parkinstein
04-09-2010, 17:16
Вам не кажется? Вы, уважаемые гуру, здесь сретесь, простите, как бабки у хозяйственного, а на форуме люди просят ответов....Да... я согласен... незамысловатых, но и вопросы такие же... может стоит с облаков спуститься?... Или нахрен Вы нужны, небожители?
TReX
04-09-2010, 17:21
Прочтите наконец RFC, чтобы не писать подобный бред!!! :mad: Коментировать подобное словоблудие, просто смешно.

Вот и не занимайтесь словоблудием, а прочтите документацию! Я вам ЦИТАТУ привел, почему у вас Teredo не используется, можете его погасить совсем, у вас ничего не изменится ;)

Рассуждение пионера, выключите все свои firewalls и антивирусники, все-равно в них ошибки есть :p

Он не защищенный, а позволяет слишком много, протокол придуманный для домохозяек :D

Я вам предложил простой пример для проверки якобы опасного teredo... Вразумительного ответа я не увидел... дальнейшее предлагаю перенисти во флейм ибо по другому это уже не назвать.
theMIROn
04-09-2010, 18:27
Вам не кажется? Вы, уважаемые гуру, здесь сретесь, простите, как бабки у хозяйственного, а на форуме люди просят ответов....Да... я согласен... незамысловатых, но и вопросы такие же... может стоит с облаков спуститься?... Или нахрен Вы нужны, небожители?

я б вас в ридонли на недельку б отправил, если честно.
Бо чаты по другим адресам.
Тема флеймовая, или закрыть ии в отстойник.
smi
04-09-2010, 19:48
Я вам предложил простой пример для проверки якобы опасного teredo... Вразумительного ответа я не увидел... дальнейшее предлагаю перенисти во флейм ибо по другому это уже не назвать. Вы предложили ничего не доказывающюю ерунду, естественно вразумительного на нее ничего не сказать, кроме как прочтите RFC и спроектируйте правильный эксперимент ;)

Т.ч. предлагаю, разбежаться по своим углам, пока не поругались :cool:
TReX
04-09-2010, 20:09
Вы предложили ничего не доказывающюю ерунду, естественно вразумительного на нее ничего не сказать, кроме как прочтите RFC и спроектируйте правильный эксперимент ;)

Т.ч. предлагаю, разбежаться по своим углам, пока не поругались :cool:

Жду, вашего правиьного эксперимента, как "читавшего RFC" и так "замечательно разбирающегося в компьютерной безопасности", который докажет всем опасность этого протокола...
smi
05-09-2010, 10:54
Жду, вашего правиьного эксперимента, как "читавшего RFC" и так "замечательно разбирающегося в компьютерной безопасности" Мне скучно разговаривать с воинствующими ламерами, т.к. человек не желающий прочесть несколько страниц документации и упорно повторяющий бредни, про "облачные вычисления", именно воинствующий ламер ;)
Если вы все же желаете убедится, в том, что трафик, по средством Teredo, пойдет сквозь ваш маршрутизатор никак им не контролируемый, то проведите ваш эксперимент, со следующими добавками:
1. Убедитесь, что вы не подключены к IPv6 сети
2. Выключите все остальные механизмы типа 6to4, в том числе на маршрутизаторе!
3. Короче, убедитесь, что IPv6 трафик идет именно через Teredo, т.к. по спецификации, которую вы упорно игнорируете (может просто ангельского не знаете, тогда так бы сразу и сказали), Teredo должен использоваться только в самом крайнем случае!
4. Вот теперь и только теперь, начинайте ваш эксперимент, отключите firewall на винде и поднимите там телнет
5. попросите кого либо из вне приконектится к нему, по IPv6 адресу вашего интерфейса Teredo
6. Убедитесь, что маршрутизатор трафик не заблокировал ;)


который докажет всем опасность этого протокола... Ну надо же быть, настолько упертым :( Я не знаю насколько опасен или безопасен, сам протокол, я не исследовал этот вопрос, в данном случае опасность не в протоколе, а в том, что он создает входную точку внутри приватной сети, минуя входные firewalls :(
maxsnz
05-09-2010, 13:04
А моя подпись не о чем не говорит? )
берут здесь ftp://core.dumped.ru/
UPNP нужен програмам чтобы самим порты через NAT пробрасывать )

Я посмотрел эту прошивку, она тяжелая, весит около 5 мегабайт. В моём dir-320 только 4 метра памяти. Может посоветуете какую то другую прошивку?
maxsnz
05-09-2010, 13:14
может какую нибудь DD-WRT на него запилить
TReX
05-09-2010, 17:27
Мне скучно разговаривать с воинствующими ламерами, т.к. человек не желающий прочесть несколько страниц документации и упорно повторяющий бредни, про "облачные вычисления", именно воинствующий ламер ;)
Если вы все же желаете убедится, в том, что трафик, по средством Teredo, пойдет сквозь ваш маршрутизатор никак им не контролируемый, то проведите ваш эксперимент, со следующими добавками:
1. Убедитесь, что вы не подключены к IPv6 сети
2. Выключите все остальные механизмы типа 6to4, в том числе на маршрутизаторе!
3. Короче, убедитесь, что IPv6 трафик идет именно через Teredo, т.к. по спецификации, которую вы упорно игнорируете (может просто ангельского не знаете, тогда так бы сразу и сказали), Teredo должен использоваться только в самом крайнем случае!
4. Вот теперь и только теперь, начинайте ваш эксперимент, отключите firewall на винде и поднимите там телнет
5. попросите кого либо из вне приконектится к нему, по IPv6 адресу вашего интерфейса Teredo
6. Убедитесь, что маршрутизатор трафик не заблокировал ;)

Ну надо же быть, настолько упертым :( Я не знаю насколько опасен или безопасен, сам протокол, я не исследовал этот вопрос, в данном случае опасность не в протоколе, а в том, что он создает входную точку внутри приватной сети, минуя входные firewalls :(

Вы не видите бревна в собственном глазу, я бы не предлагал этот эксперимент, если бы сам его не провел -

Пошагово -

1. У провайдера заказывается полное выключение его файрвола, отключение от сети, ожидание 30 минут (обещают что изменения подхватятся за 5, но для перестраховки) иначе на удаленной машине не проверить доступность портов по IPV4.

2. Отключается полностью роутер, соединение переводится непосредственно на компьютер (исключаем то что я не смогу правильно нажать галочку в вебмордочке или "случайно" оставлю включенным брокера:D)

3. Отключается встроенный фаирвол Windows (в трее предупреждение о том что так делают только дураки)

4. С ноутбука подключенного к другому провейдеру проверяется доступность портов 137-139 (вдруг провайдер обманул и не выключил защиту )))

5. Влючаем "службы сервера Telnet" как это называет Windows

6. Проверяем его работоспособность как с локальной машины так и с ноутбука на другом провайдере

7. Проверяем статус тередо на обоих машинах
(плюс для проверки поднят uTorrent который бодро его использует, ноут является раздающим для сервера, у торрента только два пира, ноутбук и второй полуживой с Сахалина, смотрим на сервере пиры, видим адрес тередо)

8. Делаем попытку подключится по адресу тередо к порту 23- безрезультатно, там никто не отвечает...

9. Для острастки делаем ту же попытку подключения к Vandyke vshell 22 порт (к нему прекрасно подключается при поднятом IPV6 когда роутер поднял тунель к брокеру) - результат тот же, соединения не происходит... Так же отвечают и открытые порты Microsoft Network, и остальные которые прекрасно видны в этот же момент по IPV4


А теперь уважаемый можете идти пугать своими побаечками детишек и бабушек у подъезда....

P.P.S Используемые OS -
Сервер - Windows 2008R2 x64
Ноутбук - Windows 7 Ultimate x64
TReX
05-09-2010, 17:31
Я посмотрел эту прошивку, она тяжелая, весит около 5 мегабайт. В моём dir-320 только 4 метра памяти. Может посоветуете какую то другую прошивку?

)) для именно 320го есть прошивка от уважаемого Vampirik http://vampik.ru/wl/
обсуждается здесь - http://wl500g.info/showthread.php?t=17641
Omega
05-09-2010, 19:15
я б вас в ридонли на недельку б отправил, если честно.
Бо чаты по другим адресам.
Тема флеймовая, или закрыть ии в отстойник.

+1 :) Всех флеймеров в RO и тему закрыть из-за флуда и оффтопа ... :cool:

З.Ы. Ну и весь флуд можно перенести во флудильню (для потомков) ... :)
smi
05-09-2010, 19:45
Вы не видите бревна в собственном глазу, я бы не предлагал этот эксперимент, если бы сам его не провел -

Пошагово -
...

А теперь уважаемый можете идти пугать своими побаечками детишек и бабушек у подъезда.... Из данного экперимента, можно сделать столько вывод о том, что либо ни telnet service, ни Vandyke vshell не слушают интерфейс Teredo, по крайней мере по умолчанию, либо вы firewall таки небыл отключен, хотя в трее мог писать все, что угодно, я такое поведение виндовой стенки уже наблюдал ;) А если учесть, что

By default on computers that are running Windows Server 2008 R2 or Windows Server 2008, the notification dialog box does not appear, but the program is still silently blocked. то второй вариант вполне себе описывает данное поведение :cool:
Больше, никакой информации он, не дает :p
smi
05-09-2010, 19:46
+1 :) Всех флеймеров в RO и тему закрыть из-за флуда и оффтопа ... :cool:

З.Ы. Ну и весь флуд можно перенести во флудильню (для потомков) ... :)Ну не читайте вы эту тему, мы же компактно грыземся, в другие темы не лезем :D
TReX
05-09-2010, 20:02
Из данного экперимента, можно сделать столько вывод о том, что либо ни telnet service, ни Vandyke vshell не слушают интерфейс Teredo, по крайней мере по умолчанию, либо вы firewall таки небыл отключен, хотя в трее мог писать все, что угодно, я такое поведение виндовой стенки уже наблюдал ;) А если учесть, что
то второй вариант вполне себе описывает данное поведение :cool:
Больше, никакой информации он, не дает :p

Вы удивительно догадливы мой друг, ни один сервис не знающий тередо его не слушает, даже тот, который заяведомо имеет поддержку IPV6 (Vshell), эту ужасную мысль, напрочь разрушающую вашу "теорию заговора", я и пытаюсь до вас донести.

По поводу фаирвола внимательно читайте мое предыдущее сообщение, я специально проверял доступность портов обычно закрытых фаирволом компьютера...

P.S. Написал в супорт Vandyke, по поводу неподдерживаемости teredo, посмотрим что ответят...
smi
05-09-2010, 20:28
Вы удивительно догадливы мой друг, ни один сервис не знающий тередо его не слушает, даже тот, который заяведомо имеет поддержку IPV6 (Vshell), эту ужасную мысль, напрочь разрушающую вашу "теорию заговора", я и пытаюсь до вас донести. Ну не совсем так, ларчик открывается еще проще :)

Currently Teredo only attempts to qualify an address when a listening application has the Edge Traversal flag set in the firewall rule, or if an application is attempting to connect out using Teredo. There is a registry setting, Default Qualified, which causes Teredo to always attempt address qualification regardless of the two prior conditions. The Edge Traversal flag in the firewall must still be set for a listening application to receive Teredo traffic, but even without this flag, Default Qualified will make the Teredo client still attempt to qualify an address. Again, because the firewall still has settings regarding allowing or denying Teredo traffic, this is not a security flaw. Вам остается надеятся, на надежность реализации ;) А я, пожалуй воздержусь, от подобных прелестей :p


По поводу фаирвола внимательно читайте мое предыдущее сообщение, я специально проверял доступность портов обычно закрытых фаирволом компьютера... Да, действительно не заметил :rolleyes:


P.S. Написал в супорт Vandyke, по поводу неподдерживаемости teredo, посмотрим что ответят... Правило в виндовой стенке ему создайте, тогда он будет поддерживаться ;)
vectorm
06-09-2010, 12:19
Тема закрыта по просьбе трудящихся.