neprihlásený
|
Pondelok, 23. decembra 2024, dnes má meniny Nadežda |
|
UPnP, automaticky manažované domáce siete, NAT a firewally
V dnešnom článku si predstavíme štandard a protokol UPnP podporovaný dnes už takmer každým domácim modemom / routrom, ktorý výrazne uľahčuje konfiguráciu domácich sietí, NAT a firewallov a umožňuje pritom plnohodnotné využívanie verejnej IP pri dostatočnom zabezpečení. Hoci je UPnP široko podporovaný už niekoľko rokov, užívatelia ho zvyčajne detailne nepoznajú a nevyužívajú.
DSL.sk, 2.10.2007
|
|
V dnešnom článku si predstavíme štandard UPnP, Universal Plug and Play, určený pre automatické manažovanie sietí a zariadení pre ich jednoduchú konfiguráciu.
V septembri už viac rokov existujúci štandard schválili členské krajiny za ISO štandard, UPnP tak získal po svojom rozšírení aj oficiálny status štandardu.
Napriek jeho širokej podpore na takmer všetkých dnes predávaných modemoch / routeroch pre menšie firemné a domáce siete sú presné možnosti štandardu väčšine užívateľov neznáme a štandard nie je príliš využívaný.
Krátky úvod do NAT, routrov
Domáci užívatelia a menšie firemné siete sú zvyčajne pripojené do Internetu s jednou pridelenou verejnou IP adresou, ktorú využíva router. Využívať viac počítačov a iných zariadení umožňujú routre s podporou NAT (Network Address Translation), ktoré viacero lokálnych adries prekladajú na jednu verejnú.
NAT funguje bez problémov pri vytvorení spojenia z lokálnej LAN, keď router pozná koncový bod pripojenia na lokálnej sieti a pakety prichádzajúce z Internetu v rámci tohto spojenia automaticky pri zvyčajnej štandardnej konfigurácii preposiela na dané PC v lokálnej sieti.
Pri iniciovaní nového TCP alebo UDP spojenia z Internetu na verejnú IP adresu routra tento ale štandardne nevie rozhodnúť na ktoré PC v lokálnej sieti spojenie presmerovať a takéto pakety zvyčajne zahadzuje, čím efektívne funguje ako firewall.
Možnosť pripojenia z Internetu je ale dôležitá pre viacero typov využívania pripojenia, okrem vzdialeného pripojenia k desktopu a dátam napríklad aj pri priamom prepojení pre zasielanie súborov a VoIP v ICQ a iných IM, v P2P sieťach pre efektívne fungovanie, atď.
Prakticky všetky routre s podporou NAT tak umožňujú nastaviť presmerovania, ktoré presmerujú pripojenie na verejnú IP na konkrétny port alebo porty na konkrétnu nastavenú lokálnu IP. Bez využívania UPnP je ale tieto potrebné nastavovať manuálne pri každej novej službe, pripojenom počítači, atď.
UPnP, jeho výhody
UPnP definuje základné štandardy pre automatickú komunikáciu, konfiguráciu a využívanie rozličných služieb sieťových zariadení. Jednotlivé funkcie sú popisované v doplnkových špecifikáciách, ktorých bolo spolu so základným štandardom schválených za ISO štandard až 76.
Komunikácia v UPnP prebieha s využitím UDP a netypickej implementácie HTTP nad UDP.
Najdôležitejšie dve funkcie štandardu sú manažovanie sieťových routrov s NAT s podporou pre automatické nastavovanie presmerovania spojení, ktorému sa budeme venovať v tomto článku, a špecifikácie pre manažovania audio a video zariadení na sieti.
Podštandard určený na automatickú konfiguráciu pravidiel presmerovania portov pri NATe a firewalloch sa nazýva Internet Gateway Device. Ak ho router podporuje, tento umožňuje automaticky softvéru alebo užívateľom pridať, upraviť alebo odstrániť pravidlá pre presmerovanie.
Nastavenie podpory UPnP, automaticky po spustení uTorrentu vytvorené pravidlo
Viacero softvérov, ktoré potrebujú alebo dokážu využiť pripojenia z Internetu a presmerovanie portov, UPnP dnes podporujú. Po svojom spustení si tak, ak na sieti nájdu UPnP router, pridajú automaticky potrebné pravidlá a po svojom ukončení ich typicky odstránia.
Z najznámejších programov podporujú a štandardne využívajú UPnP napríklad ICQ klient Miranda pre príjem priamych spojení, Windows Live Messenger, uTorrent, Azureus a ďalší softvér.
Výhodou používania UPnP je u softvérov, ktoré štandard podporujú, automatické nastavenie potrebných presmerovaní a jednoduchšia konfigurácia siete a softvéru. UPnP ale plní aj ďalšie úlohy, keď napríklad poskytuje aj spoľahlivé informácie o externej IP a rýchlosti pripojenia, ktoré môžu rovnako softvéry využiť na svoje efektívnejšie fungovanie.
Výhody z automatického presmerovania sú samozrejme tým väčšie, čím častejšie užívateľ mení alebo inštaluje nový softvér, pripája do siete nové PC, atď.
Manuálne využívanie, zariadenia, bezpečnosť
UPnP je okrem využívania jednotlivými aplikáciami možné využívať aj priamo pomocou softvéru určeného na tento účel.
UPnP router v sieťových zariadeniach
UPnP podporujú priamo napríklad aj Windows XP pri aktivovaných službách SSDP Discovery a UPnP Host.
Pri detekovaní routra s podporou UPnP sa tento zobrazí v sieťových zariadeniach.
Zoznam presmerovaní vytvorených cez UPnP
Cez jeho vlastnosti je možné manažovať zoznam nastavených presmerovaní, pridávať nové a rušiť alebo upravovať existujúce. Je potrebné mať samozrejme na pamäti, že cez UPnP nastavené presmerovania väčšinou routre považujú za dočasné a po reštarte ich neuchovajú.
Dostupné info a funkcie u D-Link G664-T s FW v3
Pre manuálne využitie všetkých možností a funkcií UPnP, ktoré daný router podporuje, je možné použiť napríklad softvér UPnP Test. Tento umožňuje zistiť všetky routerom reportované údaje aj aktivovať všetky podporované funkcie.
UPnP dnes podporuje zrejme väčšina nových domácich routrov respektíve obdobných zariadení. Keďže ide o čisto softvérovú funkčnosť, podpora UPnP sa v poslednom čase začala objavovať aj v novších verziách firmvéru zariadení, ktoré UPnP pôvodne nepodporovali. UPnP server je k dispozícii napríklad aj pre OpenWrt platformu.
Väčšina z routrov má ale podporu UPnP štandardne vypnutú. Dôvodom sú možné bezpečnostné obavy, keď UPnP nepodporuje priamo žiadnu autentifikáciu. UPnP servery samozrejme väčšinou akceptujú príkazy len z lokálnej siete, nastavenia môže ale zmeniť ľubovoľná aplikácia spustené na PC v danej LAN.
Hoci reálne bezpečnostné riziko zneužitia UPnP škodlivým softvérom nie je okrem špecifických scenárov pravdepodobne vyššie ako samotné riziko spustenie škodlivého kódu na niektorom lokálnom PC, výrobcovia preferujú zvyčajne UPnP v štandardnej konfigurácii deaktivované.
Máte router s podporou UPnP a využívate tento štandard na automatické nastavovanie presmerovaní? (hlasov: 927)
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ujo
Od: ujo
|
Pridané:
2.10.2007 4:00
mame siet chalanov na dvore ale toto som ako prve zakazal na routry.
si zober ze zacne 15 ludi nieco tahat cez p2p a kazdeho mapne ako aktiv, tak mozem internet vypnut a ist hrat sudoku.
najlepsie si pridelit porty ktore poznam a vyuzivam.
20 21 5190 80 5800 5900
dalsie len v pripade nudze.
|
|
Petki
Od: Petki
|
Pridané:
2.10.2007 8:30
ja na UPnP fungujem odkedy ho poznam (cca 2 roky) a vazne mi dost ulahcilo hlavne pripajanie sa do P2P sieti. No napriek tomu ak pouzivam dlhsie nejaku aplikaciu o ktorej viem ze pouziva konkretny port, radsej ho aj manualne otvorim.
|
|
runescape money
Od: runescape money
|
Pridané:
16.12.2007 14:47
Need buy runescape gold, <a href=http://www.gp4runescape.com>runescape money</a>, runescape gp? We sell runescape gold, Runescape money, runescape gp, 24/7 online support and fast delivery.
Need to buy cheap <a href=http://www.gp4runescape.com>runescape gold</a>,runescape money,runescape gp,RS2 Item?We service cheap runescape gold,runescape money,RS2 Item at all server.
<a href=http://www.gp4runescape.com>buy runescape money</a>,<a href=http://www.gp4runescape.com>runescape gp</a>,<a href=http://www.gp4runescape.com>rs money</a>,<a href=http://www.gp4runescape.com>buy runescape gold</a>Ł¬<a href=http://www.gp4runescape.com>rs money</a>.
|
|
Accuphose
Od: Accuphose
|
Pridané:
2.10.2007 12:19
UPnP není bezpečné a ani nebude. Ať už jde o implementaci v systému, nebo v podání výrobců hardware, stačí se mrknout na Secunii a na UPnP službu.
|
|
Slavius
Od: Slavius
|
Pridané:
2.10.2007 12:19
Vhodne maximalne do SOHO alebo pre domacich pouzivatelov. Len hlupy alebo neznaly administrator by zapol UPnP vo firme... (raz som takyto problem po jednom adminovi odstranoval, sa divili ked im nechodili VPNky lebo niekto tahal torrenty...)
|
|
dziny
Od: dziny
|
Pridané:
2.10.2007 12:19
Z bezpecnostneho pohladu je UPnP katastrofa, kazdy virus ci malware si pomocou neho moze otvorit port a prijat komunikaciu z netu. Jedina jeho vyhoda je pohodlie, vdaka nemu bezny user ktory nema potuchu o portoch a UDP/TCP si moze instalovat a prevadzkovat programy ktore inak potrebuju zmeny na routeri. Ak ale clovek vie kde je sever, odporucam vypnut/nezapinat.
|
|
tom
Od: tom
|
Pridané:
2.10.2007 12:27
virus/malware, ktory sa spusti na lokalnej sieti, si uz nic nepotrebuje otvarat... realny rozdiel v bezpecnosti neni taky ako vyzera. ale samozrejme, vhodne realne len pre domacnosti.
|
|
lordiceman
Od: lordiceman
|
Pridané:
2.10.2007 13:44
presne
|
|
Marki
Od: Marki
|
Pridané:
2.10.2007 15:22
isteze je v tom rozdiel... ked je PC za NATom tak virus si nemoze otvorit ziadny backdoor.
Ale v poslednej dobe to uz autori riesia tym ze virus sa pripoji na IRC kanal a prikazy prijima odtial.
|
|
tom
Od: tom
|
Pridané:
2.10.2007 16:24
dnesne virusy backdoor vacsinou nepouzivaju, ako hovoris su ovela lepsie sposoby - konektuju sa pre instrukcie same niekam, lahsie sa tak ovladaju. irc sa zacalo pouzivat pred 6-7 rokmi, dnes ficia p2p siete vytvorene virusmi...
|
|
wow gold
Od: wow gold
|
Pridané:
18.12.2007 17:05
<a href=http://www.wowgoldprice.org>wow gold</a>, power leveling,are available on all servers." make sure you check your server for sales on wow gold, power leveling.
"Why risk buying <a href=http://www.wowgoldprice.com>wow gold</a> from unknown sellers and website when igoldc delivers fast?" We accept these payment methods to buy warcraft gold: paypal,Moneybookers,Bank transfer,Western Union.<a href=http://www.wowgoldprice.com>warcraft gold</a> and <a href=http://www.wowgoldprice.org>warcraft gold</a>.
|
|
RemuS
Od: RemuS
|
Pridané:
2.10.2007 18:16
Super clanok! Prisiel mi neuveritelne vhod!
|
|
wee
Od: wee
|
Pridané:
2.10.2007 19:41
UPNP negative
|
|
Guliver
Od: Guliver
|
Pridané:
3.10.2007 17:11
Na torrenty dobré a to je hlavné
|
|
Bozz
Od: Bozz
|
Pridané:
6.10.2007 9:50
konečne niečo poučne...mam rad dsl.sk
mohli by ste tu hodit aj nejake recepty na varenie
|
|
Básnická žľaza
Od: Básnická žľaza
|
Pridané:
8.10.2007 19:45
Doma v izbičke Vigor mám ,
nikomu ho nepredám !
Zvýšené riziko že infarkt ma trefí,
tož vystavujemm sa žiareniu WiFi!
Signál štedrý - kvalitný ,
podľa Visty excelentný !
Čo mi ešte k šťastiu treba ?
Lyžičku umu a soľ z mora !
Jedna vec ma však neteší;
rýchlosť veľmô veľká nieje,
to radšej ťahám torrent peši !
Svoj laptopík mám veľmô rád
>toť najlepší môj kamarád !
|
|
Gyrxiur
Od: Gyrxiur
|
Pridané:
15.10.2007 18:17
Ujde, davam 6 bodov z 10.
|
|
Je:Básnická žľaza
Od: all pha
|
Pridané:
4.3.2018 0:28
Si si pomýlil fórum
|
|
Lol
Od: Lol
|
Pridané:
9.10.2007 11:19
skuste DMZ.... najlepsie riesenie ked ste v sieti viacery a potrebujes iba na jednom PC "all ports open " .... (:
|
|
wave
Od: wave
|
Pridané:
15.10.2007 18:29
qip mi zacal pred par mesiacmi fungovat aj bez forvardu (sam nechapem ako...) ale konecne viem ze to UPnP mozem v routry nechat zaskrtnute...
|
|
wow gold
Od: wow gold
|
Pridané:
3.12.2007 18:59
<a href=http://www.wowgold-shopping.org>wow gold</a>, power leveling,are available on all servers." make sure you check your server for sales on wow gold, power leveling.
"Why risk buying <a href=http://www.wowgoldprice.com>wow gold</a> from unknown sellers and website when igoldc delivers fast?" We accept these payment methods to buy warcraft gold: paypal,Moneybookers,Bank transfer,Western Union.
|
|
wow gold
Od: wow gold
|
Pridané:
9.12.2007 16:59
<a href=http://www.wowgoldprice.org>wow gold</a>, power leveling,are available on all servers." make sure you check your server for sales on wow gold, power leveling.
"Why risk buying <a href=http://www.wowgoldprice.com>wow gold</a> from unknown sellers and website when igoldc delivers fast?" We accept these payment methods to buy warcraft gold: paypal,Moneybookers,Bank transfer,Western Union.<a href=http://www.wowgoldprice.com>warcraft gold</a> and <a href=http://www.wowgoldprice.org>warcraft gold</a>.
|
|
problem
Od: sano222
|
Pridané:
9.4.2008 21:49
neviem ci to tu bolo spomenute...no nebol by niekto na tolko ochotny aby mi jednoducho spravil navod (vazne ako predebila)ako spravim verejnu IP na routry kde mam pripojene dalsie 4 pocitace...potrebujem verejnu iba na 1...diky
|
Pridať komentár
|
|
|
|