Warum UPnP so verteufeln?

Also ich muss gerade ehrlich sagen, dass ich ein wenig über die negativen Sätze des Artikels was UPnP angeht erstaunt bin...

> UPnP wird vermutlich sowieso fast überall deaktiviert sein
Nö. Warum? Die wenigsten Leute werden die Standardeinstellungen ihres Routers verändern und wenn sie etwas nicht kennen erst Recht nicht. Und in den Standardeinstellungen war das bei mir bisher in noch jedem Router aktiviert: Netgear, TP-Link (ja, selbst so ein Billigteil für 20 Euro hatte das drin soweit ich mich erinnern kann; der Router ging aber aufgrund anderer Probleme wieder zurück), D-Link, Fritzbox vermutlich sowieso (hab ich noch nie in der Hand gehabt), ... Einzig der tolle Zwangsrouter von Kabel BW (Technicolor 7200) hat das nicht. Aber der kann ja auch sonst nichts. Man kann ja nicht mal im DHCP-Server statische IPs verteilen oder IPs wie 192.168.*1*.2 vergeben, sondern nur endend mit *0*.2 usw... (naja, dafür hab ich da wenigstens stabiles Internet mit 12,5 MB/s Downstream und 5 MB/s Upstream... die anderen Dinge lassen sich mit einigem Aufwand dann doch umgehen) (Wow, ich habe gerade festgestellt, dass man den Router jetzt - wohl seit einem Update - im Bridge-Modus konfigurieren kann... dann könnte man wenigstens einen vernünftigen Router hinterhängen).

Soweit mir bekannt (ich hab mich mit dem Thema UPnP nur mal ganz oberflächlich beschäftigt) brauchen (oder zumindest nutzen) das eh relativ viele Online-Spiele, BitTorrent-Sync (sozusagen das Closed-Source-Vorbild zu Syncthing, das ich sehr empfehlen kann bis Syncthing einen wirklich stabilen Status erlangt hat), ... Hat der Artikelautor mal versucht jemandem anderen zu erklären, wie man eine Port-Weiterleitung auf dem Router einrichtet? Ich denke, jeder der das Vergnügen mal hatte (wenn das überhaupt richtig funktioniert, Zwangsrouter FTW), wird drei Kreuze gemacht haben, als das Thema abgeschlossen war. Und soweit ich das verstanden habe, wurde UPnP ja genau dafür entwickelt: Eine automatische Konfiguration des Routers, u.a. für Port-Weiterleitungen. Klar gibt es noch andere Möglichkeiten wie ICE (http://en.wikipedia.org/wiki/Interactive_Connectivity_Establishment) / STUN (http://en.wikipedia.org/wiki/STUN) um dieses ganze Prozedere zu umgehen, aber

> UPnP [...] unsicher
(und ich denke, dass das immer noch hundertmal sicherer ist, als ein Nutzer der keine Ahnung von dem Thema hat und wild irgendwelche Ports im Router freigibt)

Achja und war da nicht was, dass die XBox One nicht auch UPnP braucht? Also schon mal eine riesige Gruppe, die das eh aktiviert haben "muss"...

Ich hätte bisher sowas wie WPS zum W-LAN konfigurieren als wesentlich schlimmer eingeschätzt, auch nach allem was man darüber liest.

Nee mal im Ernst: Wenn hier im Artikel schon auf einer Funktion wie UPnP so rumgehackt wird, würde mich auch eine fundierte Begründung darüber interessieren. Wieso weshalb warum soll UPnP denn plötzlich "so böse" sein? Das ist mir persönlich nämlich völlig neu - und ich denke, dass sowieso nur ein kleiner Teil der Leserschaft überhaupt eine Ahnung davon hat, was genau UPnP ist. Daher könnte man dazu im Artikel auch ein paar Worte darüber verlieren, wenn man schon so massive Kritik verübt (das kommt mir gerade ein wenig vor wie der OB von München, der über LiMux herzieht, aber absolut keine Argumente dazu bringt). Ich habe gerade nur auf Wikipedia dazu gefunden, dass wohl ne Menge Hersteller zu blöd dazu sind (bzw. hoffentlich waren), das ganze nur aus dem lokalen Netz konfigurierbar zu machen, sondern dass ganze direkt im Internet zugänglich gemacht haben. Wenn die Hersteller mancher Router / Geräte schon zu sowas zu blöd sind, dann wird der Router auch sonst offen wie ein Scheunentor sein -.-

katze_sonne schrieb:
--------------------------------------------------------------------------------
>
> > UPnP [...] unsicher
> (und ich denke, dass das immer noch hundertmal sicherer ist, als ein Nutzer
> der keine Ahnung von dem Thema hat und wild irgendwelche Ports im Router
> freigibt)
>
definitiv nicht. mit upnp kann jeder software alles öffnen was sie will.
jemanden, der wild und willkürlich einen haufen ports aufmacht hab ich noch nie gesehen. wer keine ahnung hat läßt es ganz (wie du selbst oben schon sagtest) und der rest macht sich schlau und öffnet genau die benötigten ports, die ihnen das entsprechende produkt vorgibt.

a user schrieb:
--------------------------------------------------------------------------------
> katze_sonne schrieb:
> ---------------------------------------------------------------------------
> -----
> >
> > > UPnP [...] unsicher
> > (und ich denke, dass das immer noch hundertmal sicherer ist, als ein
> Nutzer
> > der keine Ahnung von dem Thema hat und wild irgendwelche Ports im Router
> > freigibt)
> >
> definitiv nicht. mit upnp kann jeder software alles öffnen was sie will.
> jemanden, der wild und willkürlich einen haufen ports aufmacht hab ich noch
> nie gesehen. wer keine ahnung hat läßt es ganz (wie du selbst oben schon
> sagtest) und der rest macht sich schlau und öffnet genau die benötigten
> ports, die ihnen das entsprechende produkt vorgibt.
Dann hattest du bisher Glück: Ich kenne genügend Leute, bei denen ein Spiel nicht richtig lief, die dann gegoogled haben und irgendwelche Ports und Port-ranges gefunden haben. Da sind dann gut und gerne mal Portbereiche über 100 Ports freigegeben... :m

wenn 100 überhaupt reichen, bei vielen spielen sind es fast 1000 ports die de auf machst.

Was hier bei der Diskussion vergessen wird, ist das upnp die ports nur so lange offen hält wie sie gebraucht werden, während manuelle portöffnungen dauerhaft offen sind, auch wenn das tool, das spiel oder rechner gar nicht laufen...

flasherle schrieb:
--------------------------------------------------------------------------------
> Was hier bei der Diskussion vergessen wird, ist das upnp die ports nur so
> lange offen hält wie sie gebraucht werden
Idealerweise ja. In einem Netgear-Router gab es mal eine Ansicht mit per UPnP freigeschalteten Ports: Dort waren immer welche dauerhaft drin und wurden nicht wieder freigegeben. In der Realität könnte das also (teilweise) auch anders aussehen :/ Aber gut, ob man der Liste trauen konnte, keine Ahnung. Die haben es ja noch nicht mal hinbekommen, die Liste der DHCP-Leases korrekt anzuzeigen (die Anzeige war absolut buggy, manche Geräte fehlten ganz, ...)

wieso seht ihr überhaupt so eine Gefahr in offenen Ports?
Hinter einem offenen Port muss immer noch eine lauschende Software liegen, die letztendlich das Einfallstour darstellt.

Ein Spiel / Trojaner braucht eigentlich keine offenen Ports.
Sind die Ports offen kann jedes Spiel / Person / Trojaner die Software (das Spiel) von außen ansprechen.
Sind die Ports geschlossen muss das Spiel / Trojaner entweder Informationen selbst liefern (Beispielsweise in dem er einem C&C Server fragt was dieser von ihm möchte)
oder in dem das Spiel / Trojaner den Port öffnet in dem es erst einmal Daten auf diesem Port sendet.

Asnchließend ist der Port auch ohne UPnO für eine gewisse Zeit geöffnet.
Das ist auch nötig allein für die Rückantwort des Traffics von Port 80.


Also who cares?

flasherle schrieb:
--------------------------------------------------------------------------------
> Was hier bei der Diskussion vergessen wird, ist das upnp die ports nur so
> lange offen hält wie sie gebraucht werden, während manuelle portöffnungen
> dauerhaft offen sind, auch wenn das tool, das spiel oder rechner gar nicht
> laufen...
...womit es auch mit offenen Ports keinerlei Sicherheitsprobleme geben kann ;)

Aber ich würde auch gerne mal wissen, was dieses UPnP-Gerede des Autors soll, eine wirkliche Sicherheitslücke erkenn ich da auch nicht...

zampata schrieb:
--------------------------------------------------------------------------------
> wieso seht ihr überhaupt so eine Gefahr in offenen Ports?
> [...]
> Also who cares?
Das hat dummerweise die Erfahrung gezeigt. Je mehr Ports offen sind, desto größer ist die Wahrscheinlichkeit, dass etwas schief geht ;) Es geht halt drum, die Angriffsmöglichkeiten einzuschränken.

Ach ja, was mir noch einfällt bezüglich UPnP: Viel Spaß, wenn man (Beispiel: das gleiche Spiel und damit) die gleichen Ports auf mehreren PCs braucht: Dann ist mal immer fleißig am umkonfigurieren (viel Spaß dabei), schließlich handelt es sich ja normal nur um ein Port-*Forwarding* zu EINER IP im Netzwerk...

Nagut, das sind alles Probleme, die man mit IPv6 nicht mehr haben wird... dafür kommen dann bestimmt andere Probleme auf :D

katze_sonne schrieb:
--------------------------------------------------------------------------------
> Nagut, das sind alles Probleme, die man mit IPv6 nicht mehr haben wird...
> dafür kommen dann bestimmt andere Probleme auf :D

Probleme, Probleme ... Gott im Himmel. Wir schreiben das Jahr 2014, das Wort wurde unlaengst durch "Optimierungspotential" ersetzt ;P