Служба upnp

Содержание
  1. Что такое UPnP в роутере, для чего эта функция нужна и как её включить и выключить
  2. UPnP в глобальной сети
  3. Вход в интерфейс роутера
  4. ASUS
  5. ZyXEL Keenetic
  6. Netis
  7. Tenda
  8. Что такое UPnP и почему его нужно отключить? | Портал о системах видеонаблюдения и безопасности
  9. Что такое переадресация портов?
  10. Что такое UPnP?
  11. Для чего используется UPnP?
  12. Почему UPnP небезопасен?
  13. Как защитить себя?
  14. Upnp как включить на роутере: активирование функции на роутере
  15. Подключение и начальная конфигурация роутера
  16. Изменение настроек компьютера
  17. Настройка UPNP
  18. D-Link
  19. TP-Link
  20. LinkSys
  21. Старая уязвимость в UPnP на новый манер
  22. Краткая хронология событий того дня:
  23. Вместо итогов
  24. UPnP – что это такое? Как подключить и настроить UPnP
  25. UPnP – что это?
  26. Предварительные настройки Windows
  27. Как включить UPnP на роутере
  28. Включение UPnP в Skype
  29. Простейшая утилита для создания домашнего медиасервера
  30. Использование программы “Домашний медиасервер”
  31. Вместо послесловия
  32. Universal Plug And Play (UPnP): что это и где используется?
  33. Универсальные сценарии Plug and Play
  34. Риски безопасности UPnP

Что такое UPnP в роутере, для чего эта функция нужна и как её включить и выключить

Служба upnp

Всем привет!  Сегодня мы поговорим про функцию UPnP (Universal Plug and Play) – что это такое, для чего нужна эта функция, и как она включается (или выключается) на роутере.

Давайте рассмотрим конкретный пример – представим, что у нас есть домашняя сеть с роутером.

В ней есть подключенные устройства – не важно какие, это могут быть телефоны, планшеты, телевизоры, принтеры или IP-камеры.

Все они подключены к маршрутизатору (роутеру), который также аналогично подключен к глобальной сети интернет. В итоге у нас есть:

  • Локальная сеть всех домашних устройств (LAN).
  • Интернет от провайдера или глобальная сеть всех устройств в мире (WAN).
  • И домашний Wi-Fi роутер, который связывает две эти сети.

Для того, чтобы в локальной сети все устройства работали нормально, обнаруживали друг друга и быстро подключались, и нужна технология UPnP. В противном случае всем этим телефонам, планшетам и телевизорам нужно было вручную прописывать настройка и открывать порты. Во время подключения таких устройств, на них постоянно открываются и закрываются порты – прям как на морском берегу для кораблей.

Например, вы решили посмотреть с телевизора фильм, находящийся на компьютере. Тогда нужна технология DLNA, которая позволяет передавать видео в потоковом режиме.

При подключении к компьютеру, он в свою очередь открывает определенный порт.

В общем, если бы не было у нас UPnP, то для каждого подключения к любому устройству дома вам нужно было бы прописывать вручную настройки, открывать или закрывать порты.

Про порты вы можете более детально почитать тут.

UPnP в глобальной сети

Мы рассмотрели понятие на примере домашней сети, но ведь не все используют прямое подключение в локальной сетке. Обычно к роутеру подключаются, чтобы выйти в интернет. И тут также включается функция UPnP, которая при запросе в интернет к определенному серверу также открывает определенные порты.

Например, всем известный uTorrent также использует эту технологию, и она должна по умолчанию быть включена на роутере. Когда мы включаем эту программу, она делает запрос в интернет и открывает порт для данного потока информации.

По сути UPnP открывает и закрывает порты для внешних запросов, для тех устройств, которые и делали эти запросы в интернет. Я думаю с понятием мы разобрались. Но бывают проблемы, когда данная функция выключена на роутере. Тогда некоторые программы, игры, утилиты не будут работать на компьютере или телефоне. Также могут быть проблемы с подключением игровых приставок тип Xbox или PlayStation.

Но существует и «обратная сторона монеты». Как вы понимаете, при запросе к серверу при подключении открываются порты на ваше устройство. Понятное дело, что данным подключением могут воспользоваться хакеры и взломщики.

Для обычного пользователя шанс, конечно, не велик, но все же… В интернатах до сих пор идут «холивары» по поводу того, надо ли отключать UPnP или нет. Поэтому отключать функцию или включать – решать вам.

Но как я и говорил ранее, при выключенном UPnP нужно будет для отдельных программ или устройств делать ручной проброс портов на роутере.

Далее я расскажу, как включить UPnP, отключить и настроить на вашем домашнем маршрутизаторе.

Вход в интерфейс роутера

Нам нужно попасть в Web-интерфейс аппарата – для этого с подключенного устройства к локальной сети нужно открыть браузер и вписать в адресную строку IP или DNS адрес роутера. Данный адрес находится на этикетке под роутером. Чаще всего используют 192.168.1.1. или 192.168.0.1. Если у вас будут какие-то проблемы со входом в маршрутизатор – смотрите инструкцию тут.

Далее инструкции будут немного отличаться в зависимости от модели роутера.

«Дополнительно» – «UPnP IGD».

«Расширенные настройки» – «UPnP IGD» – включаем галочку.

«Дополнительные настройки» – «NAT переадресация» – далее выбираем нашу функцию и включаем её в дополнительном окне.

Переходим в раздел «Переадресация», находим UPnP и включаем.

ASUS

«Интернет» – «Подключение» – тут уже должен быть выбран один из типов подключения, найдите нужную строку и включите функцию.

ZyXEL Keenetic

«Общие настройки» – кликаем «Изменить набор компонентов» – далее нам нужно найти данную службу и убедиться, что она установлена. Также её можно удалить.

  1. Находим раздел «Система» (значок шестеренки).
  1. Вверху нажимаем на вкладку «Обновление», и в списке убедитесь, чтобы была включена служба.
  1. Если вы хотите выключить её – то убираем галочку. Если вы хотите её включить – то ставим галочку. Также если в столбце «Состояние» есть надпись: «Доступно обновление», то даже если функция включена, то её стоит обновить.
  1. Чтобы изменения вступили в силу, пролистываем в самый низ списка и нажимаем на кнопку «Установить».

Netis

Включить функцию можно на вкладке «Переадресация».

«Administration» – «Management» – листаем в самый низ.

В нужно разделе переводим в состояние: «Enable» (Включено) или «Disable» (Выключено).

Tenda

Нужная функция находится в «Расширенных настройках».

Слева в меню выбираем «Advanced».

Листаем в самый низ и включаем функцию в режим «Enable».

Источник: https://WiFiGid.ru/sovety-po-nastrojke-routerov/upnp

Что такое UPnP и почему его нужно отключить? | Портал о системах видеонаблюдения и безопасности

Служба upnp

Вы бы предпочли выбрать удобство или безопасность? UPnP помогает быстро подключать устройства к сети – нет необходимости в ручной настройке. Однако он также может позволить хакерам входить в вашу сеть для выполнения вредоносных действий. Стоит узнать, как хакеры используют UPnP и что можно сделать, чтобы защитить себя.

Что такое переадресация портов?

Чтобы понять, что такое UPnP, нужно сначала разобраться, что такое переадресация портов. Она используется для установления прямого подключения между домашним устройством или сервером и удаленным устройством. Например, вы можете подключить ноутбук к видеокамере и следить за ним, пока находитесь вдали.

Как это работает? Все ваши домашние устройства, включая маршрутизатор, вместе создают локальную сеть (LAN). Все, что находится за пределами локальной сети, например, серверы сайта или компьютер вашего друга, расположено в глобальной сети (WAN).

Как правило, никто за пределами вашей локальной сети не может получить доступ к устройствам в вашей сети, если вы не позволите им воспользоваться переадресацией портов.

Что такое UPnP?

Это протокол, который позволяет приложениям и другим устройствам в вашей сети автоматически открывать и закрывать порты для подключения друг к другу. Например, если вы решили подключить принтер ко всем устройствам в доме без UPnP, то вам потребуется сделать это вручную, уделяя внимание каждому отдельному девайсу.

Но благодаря UPnP можно автоматизировать этот процесс.
UPnP предлагает нулевую конфигурацию, что означает, что ни одно из устройств в вашей сети не нуждается в ручной настройке для обнаружения нового устройства.

С поддержкой UPnP они могут автоматически подключаться к сети, получать IP-адрес, находить другие устройства в сети и подключаться к ним, и это очень удобно.

Для чего используется UPnP?

  • Игры. Подключение Xboxes и других игровых приставок для потоковой передачи онлайн игр;
  • Дистанционное видеонаблюдение. Вы можете использовать UPnP для подключения к домашним камерам, когда находитесь не дома;
  • Цифровые ые помощники;
  • Устройства IOT, такие как интеллектуальное освещение, смарт-замки и т.д.;
  • Потоковая передача мультимедиа;

Почему UPnP небезопасен?

Первоначально предполагалось, что UPnP будет работать только на уровне локальной сети, что означает, что устройства только в вашей сети могут подключаться друг к другу. Однако многие производители маршрутизаторов теперь включают UPnP по умолчанию, что делает их доступными для обнаружения из WAN, а это приводит к многочисленным проблемам безопасности.

UPnP не использует аутентификацию или авторизацию (только некоторые устройства), предполагая, что устройства, пытающиеся подключиться к нему, являются надежными и поступают из вашей локальной сети. Это означает, что хакеры могут найти бэкдоры в вашей сети. Например, они отправят UPnP-запрос на ваш маршрутизатор и он откроет им порт без лишних вопросов.

Как только хакер получит доступ к сети, он сможет:

  • Получить удаленный доступ к другим устройствам, подключенным к той же сети;
  • Установить вредоносное ПО на ваши устройства;
  • Украсть вашу конфиденциальную информацию;
  • Использовать ваш маршрутизатор в качестве прокси-сервера для сокрытия других вредоносных действий в интернете. Они могут использовать его для распространения вредоносных программ, кражи информации о кредитных картах и проведения фишинговых атак или атак типа DDoS. Использование вашего маршрутизатора в качестве прокси означает, что все эти атаки будут выглядеть так, будто они исходят от вас, а не от хакера.

Как защитить себя?

Когда дело доходит до уязвимостей UPnP, есть два варианта, которые вы можете выбрать для собственной защиты.

Во-первых , вы можете включить UPnP – UP, который обеспечивает механизмы аутентификации и авторизации для устройств и приложений UPnP. Однако, этот метод не считается очень надежным, так как многие устройства не поддерживают его и могут предполагать, что другие устройства, подключаемые к вашему маршрутизатору, заслуживают доверия.

Другим более безопасным методом является полное отключение UPnP. Перед этим рекомендуется проверить, уязвим ли ваш маршрутизатор к UPnP-эксплойтам. Также нужно подумать о том, хотите ли вы отказаться от удобства UPnP и сможете ли вы настроить свои устройства вручную. Для этого может потребоваться некоторые технические знания.

На видео: Как включить на роутере UPnP?

Источник: https://bezopasnik.info/%D1%87%D1%82%D0%BE-%D1%82%D0%B0%D0%BA%D0%BE%D0%B5-upnp-%D0%B8-%D0%BF%D0%BE%D1%87%D0%B5%D0%BC%D1%83-%D0%B5%D0%B3%D0%BE-%D0%BD%D1%83%D0%B6%D0%BD%D0%BE-%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B8%D1%82/

Upnp как включить на роутере: активирование функции на роутере

Служба upnp

При использовании роутера у юзеров иногда возникают проблемы с доступом к торрент-файлам, онлайн-играм, аське и другим популярным ресурсам.

Решить данную проблему может применение UPnP (Universal Plug and Play) — специального сервиса для прямого и быстрого поиска, подключения и автоматической настройки всех устройств в локальной сети.

Фактически эта служба является альтернативой ручного проброса портов на маршрутизаторе. Нужно только включить функцию UPnP на роутере и на компьютере. Как это сделать?

Подключение и начальная конфигурация роутера

Аппаратное подключение выполняется следующим образом. Подключите кабель Ethernet к порту ether1, а остальные порты на роутере — к локальной сети (LAN). По умолчанию маршрутизатор Mikrotik защищён конфигурацией брандмауэра, поэтому о вопросах дополнительной защиты данных на начальных этапах можно не беспокоиться.

В начальной системе настройки клиент DHCP находится в интерфейсе WAN (ether1), остальные порты считаются вашей локальной сетью с DHCP-сервером, который настроен для автоматической конфигурации адресов на клиентских устройствах.

Чтобы подключиться к маршрутизатору, необходимо настроить ваш компьютер на приём настроек DHCP и подключить Ethernet-кабель к одному из LAN-портов (проверьте нумерацию портов вашего устройства и переднюю панель маршрутизатора).

Зачем подключать роутер к VPN

Подключить компьютер к VPN несложно. Вам не нужно разбираться, «как все устроено», достаточно скачать с сайта провайдера VPN-сервиса специальную утилиту, запустить ее, ввести полученные при регистрации логин/пароль — и все. Но при этом «свободный Интернет» будет только на этом компьютере.

Все остальные устройства — пусть даже и подключенные к тому же роутеру — будут по-прежнему «под колпаком». Можно, конечно, установить ту же утилиту на все остальные компьютеры, а на смартфоны — аналогичные мобильные приложения (которые тоже можно скачать с сайта провайдера сервиса).

Но это слишком хлопотно, намного удобнее подключить через VPN сам роутер. Правда, тут уже потребуется немного разобраться.

Во-первых, не всякий роутер в принципе может работать VPN-клиентом. Если настроить подключение не удается, то вполне возможно, что прошивка вашего роутера просто не позволяет подключаться к VPN-серверу поверх обычного интернета. В этом случае можно воспользоваться альтернативной прошивкой для роутеров DD-wrt или Tomato, но это потребует определенных знаний и навыков.

Во-вторых, многие, способные подключаться к VPN, роутеры предлагают небольшой выбор протоколов для подключения (OpenVPN, PPTP, L2TP и т.д.), а иногда выбора нет вообще и доступный протокол только один. Если вы подсоединяетесь к определенному VPN-серверу, убедитесь, что у него найдется хотя бы один общий протокол с вашим роутером.

Изменение настроек компьютера

При неправильных настройках ПК или ноутбука сеть бывает недоступна. В таком случае может потребоваться изменить дополнительные настройки. Выполняется по следующему алгоритму:

  • Перейдите на Панель управления;
  • Откройте вкладку «Центр управления сетями и общим доступом»;
  • Выберите раздел «Изменить дополнительные параметры» в меню слева;
  • В разделе «Сетевое обнаружение» переместите флажок в положение «Включить»;
  • Нажмите кнопку «Сохранить изменения».

В Windows 10 процедура выполняется аналогично, за исключением того что пара пунктов называется по другому.

Не исключен вариант, что отдельно придется настраивать необходимые программы – например, UTorrent или Skype. Как правило, необходимая опция находится в разделе «Соединение» или Connection. Для активации достаточно установить галочку или переместить флажок в положение Enabled.

С уважением, автор блога Андрей Андреев.

Как подключить роутер к VPN

Зайдите в веб-интерфейс роутера, как это описано в руководстве по эксплуатации (обычно он находится по адресу 192.168.0.1 или 192.168.1.1). Если в меню найдется раздел «VPN-клиент», воспользоваться следует именно им — ваш роутер подготовлен для работы с VPN, и никаких проблем не предвидится.

Если такого раздела нет, попробуйте создать новое WAN-подключение. Для этого надо найти пункт меню «WAN» или «Internet». Иногда этот пункт расположен в корневом меню, иногда — в разделах «Connections», «Network» или «Settings». На открывшейся странице следует создать новое подключение и выбрать необходимый протокол.

Если вариантов выбора больше одного (и VPN-сервер, и роутер имеют несколько общих протоколов), то имейте в виду, что OpenVPN считается более безопасным, но он довольно сильно нагружает процессор роутера и может снижать скорость соединения.

При выборе PPTP и L2TP вам потребуется ввести данные, полученные от VPN-сервиса при регистрации: адрес сервера, пароль и логин. Иногда также требуется ввести IP-адреса DNS-серверов. Также следует задать получение IP-адреса от сервера (Dynamic IP).

При выборе OpenVPN вам может потребоваться загрузить конфигурационный файл с расширением .ovpn — он содержит настройки, относящиеся к конкретному серверу. Этот файл также можно загрузить с сайта VPN-сервиса.

Что такое VPN и зачем он нужен

VPN (Virtual Private Network, виртуальная частная сеть) — технология, позволяющая организовать локальную сеть поверх другой сети (чаще всего интернета). Чтобы пояснить, приведем такой пример. Допустим, вы военнослужащий срочной службы и хотите написать письмо девушке.

Вы не собираетесь выдавать каких-либо секретов, но вам наверняка будет неприятно, что вашу переписку будут читать военные цензоры. Поэтому вы идете к прапорщику Семенову и договариваетесь с ним, что он будет отправлять ваши письма с городского почтового ящика.

Семенов предлагает также, чтобы девушка писала ответы на адрес его городской квартиры, а он будет носить эти письма вам. Таким образом, прапорщик организовал виртуальную частную почту поверх обычной почты.

VPN-сервисы делают то же самое, подменяя ваш IP-адрес адресом своего сервера, зачастую расположенного в другой стране. Трафик между вами и VPN-сервером зашифрован, поэтому никто, даже ваш провайдер, не сможет определить, на какие сайты вы ходили и что там делали.

Минус такой схемы в том, что бесплатные VPN-сервисы не отличаются высокой скоростью, да и уровень предоставляемой ими конфиденциальности зачастую сомнителен. А надежные и высокоскоростные VPN-сервисы требуют хоть и небольшой, но регулярной оплаты — в среднем, 2-5 долларов в месяц.

Ну, так ведь и прапорщик Семенов вряд ли будет носить чужие письма «за спасибо».

Настройка UPNP

Пользователю роутера Mikrotik доступно несколько настроек, конфигурацию которых можно выполнить прямо в программе. Перечислим некоторые из них.

  • enabled. Базовая настройка, позволяющая включить функцию UPNP.
  • allow-disable-external-interface. Эту опцию можно включить или выключить, по умолчанию включена.

Определяет, разрешено ли пользователям отключать внешний интерфейс маршрутизатора Mikrotik.

Этот функционал требуется по стандарту, поскольку позволяет пользователям отключать внешний интерфейс без какой-либо процедуры аутентификации и дополнительной настройки.

Но иногда эта функция становится нежелательной во время работы UPNP, поскольку стандарт был разработан в основном для домашних пользователей в целях настройки собственных локальных сетей. Поэтому существует возможность отключить эту установку.

ВАЖНО. Если эта опция будет отключена, любой пользователь в вашей локальной сети сможет выполнить такое действие и отключить внешний интерфейс маршрутизатора Mikrotik без прохождения процедуры аутентификации. Включить опцию вы можете по своему желанию в любой момент.

  • show-dummy-rule. Эту опцию можно включить или выключить, по умолчанию включена.

Она обеспечивает обходной путь для некоторых функций, которые неправильно обрабатывают UPNP (при этом, например, появляются сообщения об ошибках). Эта опция даёт серверу инструкцию отправлять необходимый сигнал программным клиентам, которые выдают ошибку при работе с UPNP.

  • interface. Отображает название интерфейса, в котором работает процесс сейчас.
  • type. Указывает тип интерфейса. Внешний (external) — интерфейс, которому назначен глобальный IP-адрес. Внутренний (internal) — локальный интерфейс маршрутизатора, к которому подключаются клиенты.
  • forced-external-ip. Позволяет указать, какой именно публичный IP-адрес следует включить, если на внешнем интерфейсе доступно несколько IP-адресов.

Старая прошивка

«Дополнительно» – «UPnP IGD».

Новая прошивка

«Расширенные настройки» – «UPnP IGD» – включаем галочку.

Новая прошивка

«Дополнительные настройки» – «NAT переадресация» – далее выбираем нашу функцию и включаем её в дополнительном окне.

Старая прошивка

Переходим в раздел «Переадресация», находим UPnP и включаем.

LinkSys

«Administration» – «Management» – листаем в самый низ.

В нужно разделе переводим в состояние: «Enable» (Включено) или «Disable» (Выключено).

Старая уязвимость в UPnP на новый манер

Служба upnp

Всё новое — это хорошо забытое старое (а лучше очень хорошо забытое старое). Следить за новыми уязвимостями, конечно же, правильно, но и о старых забывать не стоит. Тем более, когда о них позволяет себе «забыть» производитель. Кто-то должен помнить. Иначе мы снова и снова будем наступать на одни и те же грабли.

Речь в статье пойдет об одной старенькой, но, как оказалось, ни разу не потерявшей актуальности и по сей день, дыре UPnP. P.S. Провайдера называть не буду, вины его в этом нет, но с другой стороны есть явный недосмотр политик безопасности, которые вкупе с архитектурой сети дали возможность проэксплуатировать эту уязвимость.

Как это всегда бывает — звезды сошлись. Провайдер ставил на своей сети роутеры клиентам с нужными чипами и подключал с внешним ip адресом. Да, большинство портов были зафильтрованы, но почему-то не 52869. P.P.S. Все события произошли в конце 2018 года. Герои вымышлены, а совпадения с реальными личностями случайны.

Краткий ликбез:Есть некоторая библиотека libupnp для разработки, которая «используется на тысячах устройств и называется Intel SDK для UPnP-устройств или Portable SDK для UPnP-устройств».

На английском:«The portable SDK for UPnP Devices (libupnp) provides developers with an API and open source code for building control points, devices, and bridges that are compliant with Version 1.0 of the Universal Plug and Play Device Architecture Specification and support several operating systems Linux, *BSD, Solaris and others.

»

Первое упоминание об уязвимости было в далеком 2014 году: тык Попытки связаться с производителем особого успеха не принесли и уязвимость была опубликована.

Единственной рекомендацией по противодействию было:”… ограничение взаимодействия со службой… Только клиенты и серверы, которые имеют законные процедурные отношения… должны иметь возможность общаться с ним.”Недостаток существует в сервисе miniigd SOAP.

Проблема заключается в обработке запросов NewInternalClient из-за невозможности очистки пользовательских данных перед выполнением системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода с привилегиями root. Т.е. на всех роутерах с версией UPnP 1.0 можно выполнять произвольный удаленный код. Без авторизации. От рута. Здорово, правда? Любой желающий может на github'е найти готовый плагин для метасплоита, работоспособность которого проверена прожженными стульями наших дежурных инженеров. Было неожиданно и совсем не весело.

Краткая хронология событий того дня:

14:00 В техническую поддержку начинают поступать обращение абонентов на плохо работающий интернет.

  • Симптомы со стороны клиента: «медленно работает, после перезагрузки какое-то время работает нормально, потом снова медленно».
  • Симптомы со стороны оборудования: небольшой всплеск трафика и загрузки CPU были списаны на нагрузку, которую генерирует сам клиент.

Регистрируются одиночные заявки для проверки линии на админов, либо на выезд монтажника. Никакого общего шаблона для действий нет. Ничего не понятно.

15:00 Количество заявок начинает превышать среднюю температуру по больнице и одиночные заявки начинают лепить в заявки по больше с типом «Авария».

Заявки передаются на старших администраторов для проверки сегментов сети.

15:20 Админы закрывают массовые аварии, т.к. проблем на сети нет, все заявки клиентов с разных точек подключения и одиночные.

(к примеру: коммутатор полный активных абонентов, а плохо работает у одного). В этот момент спадают обращения и всё затихает.

Кто-то обращает внимание (наконец-то), что все заявки на плохую работу были с одной и той-же моделью роутера, все дружно делают вид, что всё хорошо.

15:30 Снова наплыв заявок от абонентов, снова регистрация массовой аварии и передача админам. В этот момент становится ясно, что что-то действительно не так и нужно что-то делать (кто работал с клиентским сервисом меня поймет, как это иногда сложно сделать. Клиенты всегда врут, а иногда и первая линия врет, чтобы эскалировать задачу дальше).

15:35 Дежурный инженер получает заявку на проблему с клиентским сервисом. Получает список всех клиентов, тип их подключения и модель устройства. А дальше начинается немного магии.

спойлерКоторая, кстати, не сработала и главного мага потом уволили (но говорят, что не за это).

15:40 Инженер прогоняет список клиентов через все диагностики какие есть, каждый роутер был проверен по всем стандартным метрикам и… ничего не нашлось. Роутер как роутер. Да, увеличилось CPU, но показатели не критичные, да он льет куда-то трафик, значит — работает. Да, крутится на 52869 порту UPnP-сервис. Да там еще куча открытых портов, открыты значит нужны (логика железная), и он всегда там крутился и никаких проблем не было (еще один аргумент железной логики). Прямой ssh на данную модель роутера невозможен (откровенно говоря возможен, но внутри сильно урезанный busybox и политикой компании крайне не приветствовалось такое хождение по клиентским устройствам). Всё опять встало.

16:00 Только сейчас мы узнаем о том, что есть какие-то проблемы. Дежурный инженер докладывает своему руководителю, а руководитель телефонным звонком сообщает нам свои догадки по поводу 52869 порта и просит помочь.

16:05 Дальше всё происходило очень быстро. На тестовый стенд включается такая же модель роутера, у проблемного клиента забирается ip-адрес и вешается на тестовый. Включается wireshark. Это чтобы отловить запросы к устройству.

Чтобы отловить запросы от роутера (на тот момент еще неизвестна была общая схема, как происходит взаимодействие) клиент изолируется в тестовом сегменте и весь его трафик миррорится в ближайшую тестовую машину где поднят еще один wireshark. Дальше ждем, смотрим в экран. Таким способом уже ловили взломы — достаточно эффективно и поэтому решили не изменять привычкам.

16:10 Пока wireshark шуршит, в гугле находится уязвимость CVE-2014-8361 о чем сообщается инженерам. Инженер, не дослушав, принимает решение (и в принципе логичное) — фильтр данного порта на бордерах. Сказанно — сделано.

16:25 Нам сообщают, что все говно миша переделывай не сработало. И мы уже знали, что не сработает. К тому моменту на тестовый роутер уже постучались, подняли реверс-шел на другом порту и начали параллельно использовать для DDOS-a через 1900(!) порт используя еще одну уязвимость. Господи, како же дырявое помойное ведро еще ликбезИспользование в DDoS атаках схемка В 2014 неожиданно обнаружили, что SSDP использовался в DDoS атаках типа «Атака отражения и усиления при помощи SSDP» (SSDP reflection attack with amplification). Многие устройства, в том числе бытовые маршрутизаторы имели изъян в программном обеспечении UPnP, который позволял атакующему направлять ответы с порта 1900 на произвольный адрес в сети Интернет. В случае использования ботнета из многих тысяч подобных устройств, атакующий мог создать большой поток пакетов, достаточных для занятия пропускной полосы и насыщения каналов передачи данных атакуемой площадки, что приводит к отказу в обслуживании для обычных пользователей. Самое интересное — были изменены правила файрвола на устройстве и nmap теперь не показывал открытые порты с внешки. Только в дампе трафика можно было обнаружить запросы по этим портам. Т.е. злоумышленник после взлома закрывал доступ для остальных. Не хай-тек подход, но всё равно — браво.

16:30 Собирается конфа с вопросами «кто виноват и что делать». Оставили забаннеными порты 1900 и 52869. Принимаются попытки уже на взломанных устройствах что-то исправить. Ребут — не помог, идею перепрошить сразу отвергли.

Да, функционал такой имеется, можно было одной кнопкой на всех устройствах переставить удаленно ПО через TR069. Но т.к.

устройство не первой свежести, а количество клиентов было большим — определенный процент окирпиченных устройств создал бы проблем.

16:40 Подводим краткий итог: устройства взломаны, участвуют минимум в ddos и по шифрованному каналу куда-то что-то передают. (Все на разных портах). Залезть внутрь не представляется возможным, вендор отказал в полном доступе по ssh к устройству и посмотреть, что именно там накрутили невозможно. Консоль запаролена.

Где-то ближе к 17:00 Было принято решение шить устройства как самый быстрый способ. После перепрошивки и перезагрузки — всё нормализовалось.

Вместо итогов

К сожалению, так до конца решить эту проблему мы не смогли. Под «решить» я подразумеваю получить полную информацию по взлому и обновить наши политики для противодействия подобному в дальнейшем.

Да, не все поставленные задачи решаются успешно и так как хотелось бы. Это нормально. Хоть и обидно.

Если хорошо поискать на шодане, то можно найти себе что-нибудь для экспериментов:

так или так

но я вам этого не говорил.

  • информационная безопасность
  • backdoor
  • realtek

Хабы:

  • Информационная безопасность
  • Сетевое оборудование

Источник: https://habr.com/ru/post/425203/

UPnP – что это такое? Как подключить и настроить UPnP

Служба upnp

Наверное, многие пользователи компьютеров, ноутбуков и мобильных гаджетов хоть раз хотели бы посмотреть любимые фильмы, фотографии, телепередачи, скажем, на большом экране телевизионной панели или, наоборот, синхронизировать интернет-трансляцию того же ТВ, радио с мобильным устройством, а также послушать музыку на хорошей акустической системе. Для этого нам понадобится так называемый медиа-сервер UPnP. Что это такое и как его настроить, мы сейчас и рассмотрим. Нет ничего сложного.

UPnP – что это?

Вообще, UPnP представляет собой аббревиатуру термина Universal Plug & Play. Иными словами, это некая виртуальная система, объединяющая подключения интеллектуальных устройств, находящихся в одной сети, между собой на основе протоколов TCP/IP, UDP, HTTP и т.д.

Разбираясь в теме «UPnP: что это такое?», простым языком можно описать это как создание возможности передачи и приема данных всеми устройствами, поддерживающими этот стандарт.

В качестве простейшего примера можно привести, допустим, просмотр фото на том же телевизоре вместо смартфона.

Как уже понятно, достаточно просто синхронизировать устройства между собой, чтобы произвести обоюдный доступ к данным.

Предварительные настройки Windows

Прежде чем приступать к рассмотрению вопроса о том, как настроить и включить домашний медиа-сервер UPnP, следует выполнить некоторые предварительные настройки в самой «операционке».

В ОС Windows, в зависимости от версии, это осуществляется несколько разнящимися способами, но общий принцип один и тот же.

Итак, нужно активировать сервер UPnP (Windows 7). Как включить его? Нет ничего проще. Нужно просто зайти в раздел программ и компонентов (в прошлых версиях Windows меню установки и удаления программ), находящийся в стандартной Панели управления, после чего выбрать параметры установки компонентов Windows.

Здесь выбирается пункт сетевых служб, на котором ставится галочка, а справа используется пункт их состава. При входе в это меню обязательно нужно задействовать включение клиента обнаружения и управления, а также отметить пользовательский интерфейс UPnP. Далее просто сохраняются изменения, которые вступают в силу без перезагрузки.

Это в равной степени относится и к системам XP, Vista, 8 или 10.

Тут стоит обратить внимание, что в некоторых случаях может понадобиться установочный диск Windows.

Как включить UPnP на роутере

Но и это еще не все. Если сетевое подключение между устройствами предполагается осуществлять при помощи беспроводного соединения с использованием маршрутизатора (роутера), придется проверить настройки UPnP и на нем.

Хотя, как правило, практически все самые распространенные модели роутеров поставляются с уже включенной службой UPnP, тем не менее лучше все-таки проверить настройки.

Для большинства моделей вход в меню роутера осуществляется при помощи введения в любом интернет-браузере адреса 192.168.1.1. В зависимости от модели меню могут разниться названиями или расположением отдельных элементов управления.

Но в любом случае нужно найти параметр «Включить UPnP» или сделать доступным (в английском варианте – меню Enable UPnP Protocol или Enable UPnP Settings).

Включение UPnP в Skype

Теперь рассмотрим пример популярной программы для общения с использованием IP-телефонии Skype. Здесь тоже используется технология UPnP. Что это такое применительно к самому приложению? Это та же система проброса портов для установления связи с другим устройством. Намного ведь приятнее общаться с друзьями, видя их изображение, скажем, на большом экране телевизионной панели.

Включение UPnP производится очень просто. Здесь нужно зайти в основные настройки программы и выбрать дополнительные параметры, после чего использовать меню «Соединение». В нем имеется специальное поле включения UPnP, напротив которого и нужно поставить галочку, а затем сохранить изменения.

Простейшая утилита для создания домашнего медиасервера

Собственно, вот мы и подошли к основному вопросу настройки и включения UPnP-сервера. Для начала, как уже понятно, нужно определиться с программой (UPnP-клиентом). В качестве самой простой, не требующей ручной настройки утилиты можно посоветовать Samsung PC Share Manager.

В этой программе практически все настройки автоматизированы, определение устройств и способа подключения не требует участия пользователя, но единственное, что потребуется, это указание папок общего доступа с хранящимися в них файлами мультимедиа. По умолчанию приложение выбирает свои параметры, но предпочитаемые программой директории можно удалить или задать вместо них собственные.

Тут важно проверить, открыт ли к ним тот самый общий доступ. Делается это из меню свойств, которое вызывается правым кликом на директории. Ну а после запуска сервер UPnP включится автоматически, и произойдет синхронизация всех устройств, на данный момент присутствующих в домашней сети. Иногда может потребоваться внести программу в список исключений файрволла.

Единственным недостатком приложения, пожалуй, можно назвать только невозможность просмотра онлайн телевидения или прослушивания радио. Воспроизвести можно исключительно контент, хранящийся в папках общего доступа.

Использование программы “Домашний медиасервер”

Другое дело – использование более серьезного приложения Home Media Server (российская разработка). Тут, правда, в настройках придется покопаться.

Хотя автоматическое определение и включено, в некоторых случаях придется добавить устройства вручную.

Так, например, программа четко определяет искомый компьютерный терминал, на котором установлена, а также маршрутизатор, отвечающий за соединение.

Если нужно передать сигнал, скажем, на телевизионную приставку IPTV с последующей трансляцией на телевизионную панель, IP- или MAC-адрес устройства придется вводить самому.

Далее – вопрос транскодирования. В большинстве случаев выбирается режим «Фильмы (основной)», но если в системе установлена специальная утилита Ace Stream (один из компонентов Ace Player), лучше задействовать именно ее.

С общими папками здесь тоже все просто, а вот по вопросу телевещания опять придется напрячь мозги. Так, например, для просмотра торрент-телевидения, нужно будет пройти регистрацию на определенном ресурсе, после чего скачать с него так называемые подкасты, которые необходимо внести в список, а затем обновить. Только после этого можно будет смотреть телепрограммы.

Попутно стоит отметить, что и на телевизионной приставке придется вручную включить использование сервера UPnP. Чаще всего для его задействования используется режим LAN. Может быть и другой, все зависит только от модификации самой приставки.

А вообще, настроек в программе очень много. С основными можно разобраться без проблем. Но если требуется использование каких-либо дополнительных параметров, придется потратить определенное время.

Зато потом пользователь получает в свое распоряжение мощнейший инструмент синхронизации устройств любого типа. Попутно отметим, что для мобильных устройств может потребоваться установка специальных приложений и активация UPnP.

Без этого ни о какой синхронизации и речи быть не может.

Да, и обратите внимание вот еще на что. В отличие от предыдущей утилиты, включение сервера производится только в ручном режиме при помощи специальной кнопки запуска или, если требуется, перезапуска.

Вместо послесловия

Вот мы вкратце и рассмотрели тему «UPnP: что это такое?». Здесь указаны наиболее распространенные ситуации и правила настройки и работы с домашним медиасервером.

Естественно, можно использовать и любые другие утилиты, однако изначальные принципы настройки и включения практически у всех UPnP-клиентов одинаковы.

Если изучить хотя бы пару простейших программ, разобраться с остальными труда не составит.

Источник: https://FB.ru/article/207545/upnp---chto-eto-takoe-kak-podklyuchit-i-nastroit-upnp

Universal Plug And Play (UPnP): что это и где используется?

Служба upnp

Раньше это была огромная боль, чтобы настроить что-то вроде принтера. Теперь, благодаря UPnP, как только ваш Wi-Fi-принтер включен, ваш ноутбук, планшет и смартфон могут его увидеть. Universal Plug and Play — это набор протоколов и связанных с ними технологий, которые позволяют устройствам автоматически обнаруживать друг друга.

Universal Plug and Play — не путать с Plug and Play (PnP) — считается расширением Plug and Play. Когда все работает правильно, оно автоматизирует все сложные шаги, необходимые для взаимодействия устройств друг с другом, будь то напрямую (одноранговый) или по сети.

Если вы хотите узнать немного больше деталей, читайте дальше. Но будьте осторожны, это немного круче.

Universal Plug and Play использует стандартные сетевые / интернет-протоколы (например, TCP / IP, HTTP, DHCP) для поддержки нулевой конфигурации (иногда называемой «невидимой»). Это означает, что когда устройство соединяется или создает сеть, Universal Plug and Play автоматически:

  • Назначает IP-адрес устройству и объявляет имя / присутствие устройства в сети.
  • Описывает возможности / службы устройства (например, принтер, сканер) и доступность сети.
  • Предоставляет имена и возможности всех других устройств, находящихся в настоящее время в сети.
  • Устанавливает контрольные точки, чтобы можно было запрашивать действия служб (например, запуск / отмена задания на печать).
  • Обновляет состояние служб устройства (если выполняется).
  • Предоставляет пользовательский интерфейс на основе HTML для управления и / или просмотра состояния устройства.

Универсальная технология Plug and Play позволяет подключать различные проводные (например, Ethernet, Firewire ) или беспроводные (например, WiFi, Bluetooth) соединения, не требуя дополнительных / специальных драйверов.

Не только это, но и использование общих сетевых протоколов позволяет любому UPnP-совместимому устройству участвовать независимо от операционной системы (например, Windows, macOS, Android, iOS), языка программирования, типа продукта (например, ПК / ноутбук, мобильное устройство, смарт устройства, аудио / видео-развлечения) или производителя.

Universal Plug and Play также имеет расширение аудио / видео (UPnP AV), которое обычно используется в современных медиа-серверах / проигрывателях, интеллектуальных телевизорах, проигрывателях CD / DVD / Blu-ray, компьютерах / ноутбуках, смартфонах и планшетах и ​​т.

Д. Подобно стандарту DLNA , UPnP AV поддерживает широкий спектр цифровых аудио / видео форматов и предназначен для облегчения потоковой передачи контента между устройствами. UPnP AV обычно не требует включения универсального параметра Plug and Play на маршрутизаторах.

Универсальные сценарии Plug and Play

Одним из распространенных сценариев является сетевой принтер. Без Universal Plug and Play пользователю сначала нужно будет пройти процесс подключения и установки принтера на компьютер.

Затем пользователю придется вручную настроить этот принтер, чтобы сделать его доступным / общим в локальной сети.

Наконец, пользователю придется переходить на другой компьютер в сети и подключаться к этому принтеру, так что принтер может быть распознан в сети каждым из этих компьютеров — это может быть очень трудоемкий процесс, особенно если неожиданно возникают проблемы.

Благодаря Universal Plug and Play установление связи между принтерами и другими сетевыми устройствами является простым и удобным. Все, что вам нужно сделать, — подключить принтер, совместимый с UPnP, в открытый Ethernet-порт маршрутизатора, а Universal Plug and Play позаботится обо всем остальном. Другие общие сценарии UPnP:

  • Совместное использование фотографий и потоковой передачи музыки / фильмов на медиа-сервере.
  • Потоковое видео с использованием интернет-ТВ-устройств.
  • Беспроводная домашняя автоматизация (например, Internet of Things ).
  • Удаленное домашнее наблюдение.

Ожидается, что производители будут продолжать создавать потребительские устройства, предназначенные для использования Universal Plug and Play для поддержки функций. Тенденция неуклонно расширилась, чтобы охватить популярные популярные домашние продукты:

  • Цифровые ассистенты (например, Amazon Echo).
  • Интеллектуальные системы освещения.
  • Термостаты, управляемые через Интернет.
  • Умные замки для дверей.

Риски безопасности UPnP

Несмотря на все преимущества, предлагаемые Universal Plug and Play, технология по-прежнему несет определенные риски для безопасности.

Проблема в том, что Universal Plug and Play не аутентифицируется, предполагая, что все, подключенное к сети, является надежным и дружественным.

Это означает, что если компьютер был взломан вредоносным ПО или хакер, использующий ошибки / дыры безопасности — по сути, бэкдоры, которые могут обойти защитные сетевые брандмауэры — все остальное в сети сразу же восприимчиво.

Тем не менее, эта проблема имеет меньше общего с Universal Plug and Play (подумайте об этом как о инструменте), а также о плохой реализации (т. Е. О неправильном использовании инструмента).

Многие маршрутизаторы (особенно модели старшего поколения) уязвимы, не имеют надлежащей безопасности и проверок, чтобы определить, являются ли запросы, сделанные программным обеспечением / программами или услугами, хорошими или плохими.

Если ваш маршрутизатор поддерживает Universal Plug and Play, в настройках будет указан параметр (следуйте инструкциям, приведенным в руководстве по продукту), чтобы отключить функцию.

Хотя потребуется некоторое время и усилия, можно повторно включить совместное использование / потоковое управление / управление устройствами в одной сети с помощью ручной настройки (иногда выполняемой программным обеспечением продукта) и переадресации портов.

Источник: https://ip-calculator.ru/blog/ask/universal-plug-and-play-upnp-chto-eto-i-gde-ispolzuetsya/

Все лайфхаки
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: