Treba li mi firewall na routeru?

Post by ToMo
Imam Thomson ST780w i dva kompa iza njega, jedan je XP SP3 s MSEom i
ukljucenim fw, te W7 x64, isto s MPEom i ukljucenim fw. FWovi nisu nesto
posebni prckani, uglavnom default postavke.
Trebam li ukljuciti fw na tom routeru i jos nesto podesiti glede toga?
Neki mi rekli da bi tako mogla biti i brza veza jer bi se softverski fw
manje bavio time.

trebas, jer tog najvjerojatnije nece nikad nikakvi virusi odjebat ;)
imam ga oduvjek uljucenog na svim routerima, uz iskljucene sve zastite
koje nudi provajder. uz taj FW na routeru dostatan ti je windows FW
za kontrolu odlaznog prometa i dakako nezamjenjiva pamet u glavi :-D

--
Znam dovoljno da znam da nista neznam dovoljno

ToMo

2011-02-01 12:43:13 UTC

Post by Kef
trebas, jer tog najvjerojatnije nece nikad nikakvi virusi odjebat ;)
imam ga oduvjek uljucenog na svim routerima, uz iskljucene sve
zastite koje nudi provajder. uz taj FW na routeru dostatan ti je
windows FW za kontrolu odlaznog prometa i dakako nezamjenjiva pamet u
glavi :-D

Oukej, sto se uopce da konfigurirat na njemu? Da mi ne sjebe onaj port
forwarding za mjutorrent, necu se trebat jebat s otvaranjem portova?

--
ToMo

Kef

2011-02-01 12:57:43 UTC

Oukej, sto se uopce da konfigurirat na njemu? Da mi ne sjebe onaj port
forwarding za mjutorrent, necu se trebat jebat s otvaranjem portova?

ajmemenitisifakatostaril :)

jel imam taj router - imam
jel upotrebljavan njegov FW - da, nivo zastite na "Standard"
jel upotrebljavam uTorent - da
jel u njemu ukljucen UPnP - jesete (uz fiksni port i NAT-PMP)
jel upotrebljavam bilokakav portforwarding na routeru - ne
jel sve uredno sljaka ukljucujuci u torrentanje - da

inace, to sve ti je vec od prije trebalo bit razvidno, jer sam
sve to vise neg jednom napisal ;)

--
Znam dovoljno da znam da nista neznam dovoljno

ToMo

2011-02-01 14:07:16 UTC

Post by Kef
ajmemenitisifakatostaril :)

Bogumi jesam, neke stvari me sve manje zanimaju, ostalo je jos jako malo
gdje dublje orem.
:)

Post by Kef
jel imam taj router - imam jel upotrebljavan njegov FW - da, nivo
zastite na "Standard" jel upotrebljavam uTorent - da jel u njemu
ukljucen UPnP - jesete (uz fiksni port i NAT-PMP) jel upotrebljavam
bilokakav portforwarding na routeru - ne jel sve uredno sljaka
ukljucujuci u torrentanje - da
inace, to sve ti je vec od prije trebalo bit razvidno, jer sam sve to
vise neg jednom napisal ;)

Hvala i vise nikad nis necu pitat.
:)))

--
ToMo

Bruno Babic

2011-02-01 16:11:11 UTC

Post by Kef
jel u njemu ukljucen UPnP - jesete (uz fiksni port i NAT-PMP)

Koja je korist od tvog firewalla, kada imas ukljucen UPnP i to firewall
propusta?

Ti si samo jedan od onih koji ukljuce firewall i misle da su samim time
sigurni, a ne razmisljaju o ostalim problematicnim dijelovima mreze.

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-01 16:58:43 UTC

Post by Kef
jel u njemu ukljucen UPnP - jesete (uz fiksni port i NAT-PMP)

Koja je korist od tvog firewalla, kada imas ukljucen UPnP i to firewall
propusta?

nepropusta FW nikakav UPnP, tj kakve on ima veze s FW? UPnP omogucuje
mom torrent clientu da si pomocu NAT-PMP otvori zadani port, bez moje
intervencije u forwording kroz fw routera:

"UPnP devices are "plug-and-play" in that when connected to a network
they automatically establish working configurations with other devices"

Post by Bruno Babic
Ti si samo jedan od onih koji ukljuce firewall i misle da su samim time
sigurni, a ne razmisljaju o ostalim problematicnim dijelovima mreze.

kak si samo pogodil.., valja zato jer stalno ovdje pisem kak sam pokupil
kojekave nametnike :)

--
Znam dovoljno da znam da nista neznam dovoljno

Ivan Tisljar

2011-02-01 17:11:44 UTC

Post by Kef
nepropusta FW nikakav UPnP, tj kakve on ima veze s FW? UPnP omogucuje
mom torrent clientu da si pomocu NAT-PMP otvori zadani port, bez moje
"UPnP devices are "plug-and-play" in that when connected to a network
they automatically establish working configurations with other devices"

On je jedan od onih koji gase uPNP servis odmah nakon instalacije
windowsa... "jer piše na internetu da to ne treba" :)))

Ivan

--
"It's stunning how many people think that light moves faster through
expensive fiber optic cables than it does through cheap ones" - Mahab
http://colors.webatu.com/

Bruno Babic

2011-02-03 15:38:54 UTC

Post by Kef
nepropusta FW nikakav UPnP, tj kakve on ima veze s FW? UPnP omogucuje
mom torrent clientu da si pomocu NAT-PMP otvori zadani port, bez moje

I daj onda objasni meni neukome (i Tisljaru takodjer) kako ti onda
uTorrent prima dolazne konekcije ukoliko tvoj firewall ne pusta dolazne
konekcije na taj port koji si on sam forwarda? Zivo me zanima taj dio...

--
bbabic(a)globalnet.hr
2b||!2b?

Ivan Tisljar

2011-02-03 16:03:37 UTC

I daj onda objasni meni neukome (i Tisljaru takodjer) kako ti onda uTorrent
prima dolazne konekcije ukoliko tvoj firewall ne pusta dolazne konekcije na
taj port koji si on sam forwarda? Zivo me zanima taj dio...

uTorrent uPNP protokolom otvori potrebne portove na firewallu. Izvana
ne možeš nikakve portove otvoriti na firewallu jer je blokiran sav
dolazni promet - osim onog koji je iniciran "iznutra".

Ivan

--
"It's stunning how many people think that light moves faster through
expensive fiber optic cables than it does through cheap ones" - Mahab
http://colors.webatu.com/

Slavko Igric

2011-02-03 16:27:03 UTC

Post by Ivan Tisljar
Izvana
ne možeš nikakve portove otvoriti na firewallu jer je blokiran sav
dolazni promet - osim onog koji je iniciran "iznutra".

I svi bi živjeli dugo i sretno da nema zloćudnog softvera kojem baš upnp
paše. Kako je to netko na mreži napisao upnp je siguran koliko i softver
koji se koristi na kanti.

Ivan Tisljar

2011-02-03 19:50:06 UTC

Post by Slavko Igric
I svi bi živjeli dugo i sretno da nema zloćudnog softvera kojem baš upnp
paše. Kako je to netko na mreži napisao upnp je siguran koliko i softver
koji se koristi na kanti.

Naravno - pa nije firewall jedino rješenje za sve sigurnosne probleme.

Ivan

--
"It's stunning how many people think that light moves faster through
expensive fiber optic cables than it does through cheap ones" - Mahab
http://colors.webatu.com/

Bruno Babic

2011-02-03 16:30:17 UTC

uTorrent uPNP protokolom otvori potrebne portove na firewallu. Izvana ne
možeš nikakve portove otvoriti na firewallu jer je blokiran sav dolazni
promet - osim onog koji je iniciran "iznutra".

Aha... da vidim da li sam shvatio:
Dakle, ako program iznutra otvori port na routeru onda sam siguran od
hackera, ali ako ja rucno otvorim port na routeru onda sam definitivno
gotov?

Ili sam mozda pogresno shvatio?

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-03 17:07:04 UTC

Post by Ivan Tisljar
uTorrent uPNP protokolom otvori potrebne portove na firewallu. Izvana
ne možeš nikakve portove otvoriti na firewallu jer je blokiran sav
dolazni promet - osim onog koji je iniciran "iznutra".

Dakle, ako program iznutra otvori port na routeru onda sam siguran od
hackera, ali ako ja rucno otvorim port na routeru onda sam definitivno
gotov?
Ili sam mozda pogresno shvatio?

osim kaj na spomenutom routeru nemozes jednostavno "rucno" otvorit neki
port, kakve sve to ima veze s tvojim pocetnim pitanjem:

"Koja je korist od tvog firewalla, kada imas ukljucen UPnP i to
firewall propusta?"

za bilokakav rad moras imat prolaz kroz fw, a kako ga bez UPnP-a na tom
routeru za neke aplikacije nemozes ostvarit svaka rasprava je suvisna.

inace, korist je tog fw-a da ce zaustavit sav neocekivani dolazni
promet, bez obzira jel na routeru omogucen upnp ili nije.

--
Znam dovoljno da znam da nista neznam dovoljno

ToMo

2011-02-04 08:18:46 UTC

Post by Kef
osim kaj na spomenutom routeru nemozes jednostavno "rucno" otvorit
"Koja je korist od tvog firewalla, kada imas ukljucen UPnP i to
firewall propusta?"
za bilokakav rad moras imat prolaz kroz fw, a kako ga bez UPnP-a na
tom routeru za neke aplikacije nemozes ostvarit svaka rasprava je
suvisna.
inace, korist je tog fw-a da ce zaustavit sav neocekivani dolazni
promet, bez obzira jel na routeru omogucen upnp ili nije.

Mozda je ipak sigurnije ono sto sam ja napravio, a to je da je upnp
iskljucen, a otvoren je samo jedan jedini port i forvardiran samo mom PCu.
mjutorrent koristi njega i to je to.

--
ToMo

Kef

2011-02-04 13:21:54 UTC

Post by ToMo
Mozda je ipak sigurnije ono sto sam ja napravio, a to je da je upnp
iskljucen, a otvoren je samo jedan jedini port i forvardiran samo mom PCu.
mjutorrent koristi njega i to je to.

to je isto kao i da si napravil po mojim uputama, zapravo nije, jer je
koristenje upnp-a jos sigurnije. naime kaj, ovak ti je taj fiksni port
stalno otvoren, a onak ja taj isti, jedan jedini, otvoren samo dok ti
radi tvoj client...

--
Znam dovoljno da znam da nista neznam dovoljno

ToMo

2011-02-04 13:44:40 UTC

Post by Kef
to je isto kao i da si napravil po mojim uputama, zapravo nije, jer
je koristenje upnp-a jos sigurnije. naime kaj, ovak ti je taj fiksni
port stalno otvoren, a onak ja taj isti, jedan jedini, otvoren samo
dok ti radi tvoj client...

Pa, ako to stvarno tako radi, taj uPnP, da neki port moze otvoriti samo
app iz lokalne mreze i samo dok taj app radi da je port otvoren, a da
cijelo vrijeme FW ne da izvana niti jednom drugom portu da se otvori,
onda je to sigurnije. Ti si siguran da je to upravo tako?

--
ToMo

Kef

2011-02-04 14:35:14 UTC

Post by Kef
to je isto kao i da si napravil po mojim uputama, zapravo nije, jer je
koristenje upnp-a jos sigurnije. naime kaj, ovak ti je taj fiksni
port stalno otvoren, a onak ja taj isti, jedan jedini, otvoren samo
dok ti radi tvoj client...

da. kako znam da ti ovaj "da" nist neznaci u zivotu, upucujem te na vlastitu
provjeru svoje sigurnosti. jedan brzi test imas u uTorrentu kojim na brzinu
mozes provjerit stanje svog porta koji si mu dodjelil. napravis test sada
sa stalno otvorenim, pa ga zatvoris i upises taj fiksni il neki drugi, po
mogucnosti izmedju 61000-65000 u uTorrent, omogucis one dve spomenute opcije
pa testiras.
testiraj odmah po ukljucenju clienta dok mu je dole crveni kruzic, pa zatim
nakon par minuta kad se kruzic promjeni u zuti trokut, pa na kraju kad dobijes
zeleni kruzic...

ako bas zelit saznat vise o svojoj otvorenosti\izlozenosti na internetu odi na
https://www.grc.com/x/ne.dll?bh0bkyd2 - stisni Procede i odaberi koju provjeru
zelis da ti program napravi. tamo mozes testirat i sve postojece portove.
dobijas rezultate otprilike ovakvog sadrzaja, recimo za File Sharing:

"Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet
behavior requires port connection attempts to be answered with a success or refusal
response. Therefore, only an attempt to connect to a nonexistent computer results in no
response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's
very cool!) which represents advanced computer and port stealthing capabilities. A machine
configured in this fashion is well hardened to Internet NetBIOS attack and intrusion."

uzivaj ;)

--
Znam dovoljno da znam da nista neznam dovoljno

ToMo

2011-02-05 19:36:12 UTC

Post by Kef
odi na
https://www.grc.com/x/ne.dll?bh0bkyd2 -

Je, ocekivno, sve je Passed osim mog porta koji je stalno otvoren za
solicited TCP packets, stogod to znacilo. :)

--
ToMo

Bruno Babic

2011-02-11 12:08:05 UTC

Post by Kef
to je isto kao i da si napravil po mojim uputama, zapravo nije, jer je
koristenje upnp-a jos sigurnije. naime kaj, ovak ti je taj fiksni port

Ti ono radis negdje kao security expert?

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-11 12:26:21 UTC

Post by Kef
to je isto kao i da si napravil po mojim uputama, zapravo nije, jer je
koristenje upnp-a jos sigurnije. naime kaj, ovak ti je taj fiksni port

Ti ono radis negdje kao security expert?

naravno da ne, ali ipak vidim da si ti samo troll sve dok se ne potrudis
navest u cem je konkretno razlika u doticnom primjeru...

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-11 16:27:29 UTC

Post by Kef
naravno da ne, ali ipak vidim da si ti samo troll sve dok se ne potrudis
navest u cem je konkretno razlika u doticnom primjeru...

Gle, vec sam ti nekoliko puta napisao da je UPnP kao tehnologija sama po
sebi ogroman security issue. Ne znam kako da drukcije naglasim da je
zagovaranje te tehnologije u svrhu poboljsanja sigurnosti pogresno.

Objasnio sam i sto je glavni problem kod UPnP-a, na sto si ti reagirao
sa "meni se to ne moze dogoditi" tipom odgovora. Mislim da dalje nema
smisla da objasnjavam.

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-11 22:13:59 UTC

Post by Kef
naravno da ne, ali ipak vidim da si ti samo troll sve dok se ne potrudis
navest u cem je konkretno razlika u doticnom primjeru...

eto, ja tebe pitam za utjecaj na sigurnost u *konkretnom* primjeru,
a ti lamentiras o opcenitoj sigurnosti te tehnologije...
dalje to moze vodit do ostalih potencijalnih opsanosti, preko ActivX
do samog Win OSa, ali cemu?

u danom primjeru, win upnp servis nije pokrenut i neradi, tj nema
utjecaja na sigurnost OSa, jedino kaj torrent client na taj nacin
otvara svoj vlastiti port. gdje je tu onda neka sigurnosna "rupa",
kad kroz taj port moze samo on nesmetano komunicirat?

svi Thomson 780wi routeri koje je tekom isporucival, su imali
po defaultu ukljucen upnp, a mislim da je tak i s najnovijima.

Post by Bruno Babic
Objasnio sam i sto je glavni problem kod UPnP-a, na sto si ti reagirao
sa "meni se to ne moze dogoditi" tipom odgovora. Mislim da dalje nema
smisla da objasnjavam.

inace moj tip odgovora "meni se to ne moze dogoditi" ak si shvatil
ozbiljno, onda si pre ozbiljan, jer naravno da niko imalo svjestan
opasnosti to nemoze izrec ozbiljno, pa tako ni ja :)

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-15 16:02:08 UTC

Post by Kef
eto, ja tebe pitam za utjecaj na sigurnost u *konkretnom* primjeru,
a ti lamentiras o opcenitoj sigurnosti te tehnologije...

Konkretan primjer ces dozivjeti kada prvi put popusis neki trojan
zapakiran u uTorrent npr... a do tada uzivaj u sigurnosti :)

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-15 18:34:31 UTC

Post by Kef
eto, ja tebe pitam za utjecaj na sigurnost u *konkretnom* primjeru,
a ti lamentiras o opcenitoj sigurnosti te tehnologije...

Konkretan primjer ces dozivjeti kada prvi put popusis neki trojan
zapakiran u uTorrent npr... a do tada uzivaj u sigurnosti :)

sve5, sad mi jos samo rastumaci kak su oni koji na nikoji nacin
ne koriste upnp imuni na takvu podvalu i svi sretni i zadovoljni ;)

--
Znam dovoljno da znam da nista neznam dovoljno

ToMo

2011-02-16 08:13:25 UTC

sve5, sad mi jos samo rastumaci kak su oni koji na nikoji nacin ne
koriste upnp imuni na takvu podvalu i svi sretni i zadovoljni ;)

Pa tako sto taj crv ne moze bas jednostavno otvoriti neki port na
routeru za svoje svrhe, pretpostavljam.

--
ToMo

Kef

2011-02-16 10:33:36 UTC

sve5, sad mi jos samo rastumaci kak su oni koji na nikoji nacin ne
koriste upnp imuni na takvu podvalu i svi sretni i zadovoljni ;)

Pa tako sto taj crv ne moze bas jednostavno otvoriti neki port na
routeru za svoje svrhe, pretpostavljam.

e onda je to poprilicno glupi crv koji bi se isel tlacit s upnp-peom
kraj, u tom slucaju, stalno dostupnog i otvorenog porta.
ocu rec, da bi ti takav crv isto napravil sranje kroz tvoj stalno
otvoreni port ;)

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-16 11:34:15 UTC

Post by Kef
e onda je to poprilicno glupi crv koji bi se isel tlacit s upnp-peom
kraj, u tom slucaju, stalno dostupnog i otvorenog porta.
ocu rec, da bi ti takav crv isto napravil sranje kroz tvoj stalno
otvoreni port ;)

Istina je da to bas i nije neka sigurnost, ali u tvom slucaju si ti
osoba koja drzi neotkljucan automobil sa kljucevima u bravi, a u mom
slucaju si osoba koja drzi neotkljucan automobil ali su ti kljucevi u dzepu.

Cinjenica je da je sigurnost potencijalno ugrozena cim je port otvoren,
ali ne moras dodatno na vrata staviti "kljuc je ispod otiraca" natpis
kad odes van :)

--
bbabic(a)globalnet.hr
2b||!2b?

ToMo

2011-02-16 12:14:49 UTC

Post by Bruno Babic
Cinjenica je da je sigurnost potencijalno ugrozena cim je port
otvoren, ali ne moras dodatno na vrata staviti "kljuc je ispod
otiraca" natpis kad odes van :)

Dozvoljavam da ne kuzim sve oko portova, zatvaranja i otvaranja, ali ako
cemo o crvu i otvorenom portu, nije li defaultno otvoren port 80, 21 i
ostali bez cega www i pop i ostali protokoli ne rade?
Crv ne moze putem tih portova raditi svoje ljigavoce, nego bas mora neki
drugi slobodni izabrati?
Ako ja imam otvoren npr. 60123, on prvo mora skenirati sve i otkriti
koji je otvoren?
Ima li veze da li je to TCP ili UDP port?

--
ToMo

Kef

2011-02-16 13:05:11 UTC

Post by ToMo
Dozvoljavam da ne kuzim sve oko portova, zatvaranja i otvaranja, ali ako
cemo o crvu i otvorenom portu, nije li defaultno otvoren port 80, 21 i
ostali bez cega www i pop i ostali protokoli ne rade?
Crv ne moze putem tih portova raditi svoje ljigavoce, nego bas mora neki
drugi slobodni izabrati?
Ako ja imam otvoren npr. 60123, on prvo mora skenirati sve i otkriti
koji je otvoren?
Ima li veze da li je to TCP ili UDP port?

nemam pojma, crvi mi se gade i nisam se jos ni jednom do sad s nekim
susrel :)

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-16 14:33:08 UTC

To su portovi za odlazne konekcije. Po defaultu niti jedan port nije
otvoren za dolaznu konekciju, a time si osiguran da ti nitko nece upasti
u sustav bez da ti prvo ne podvali neki maliciozan softver.

Post by ToMo
Crv ne moze putem tih portova raditi svoje ljigavoce, nego bas mora neki
drugi slobodni izabrati?

Dakako da moze, ne moras ti na portu 80 imati HTTP server, mozes imati
sto god pozelis i onda se tvoj crv moze zakaciti na to nesto tvoje.
Pametni firewalli znaju provjeriti da li je u pitanju HTTP promet ili
ne. No, cak niti to ne pomaze jer crv moze lako komunicirati sa svojim
vlasnikom i putem HTTP protokola.

Post by ToMo
Ako ja imam otvoren npr. 60123, on prvo mora skenirati sve i otkriti
koji je otvoren?

Ukoliko taj maliciozni softver zeli da omoguci spajanje izvana, mora na
neki nacin saznati koji port je otvoren na firewallu i na koji port je
mapiran. Nije to veliki problem, ali eto :)

Post by ToMo
Ima li veze da li je to TCP ili UDP port?

U pravilu zelis TCP jer samo kod njega imas povratnu informaciju da je
poslani podatak doista i dostavljen. UDP je "fire and forget" tipa, ali
pametan softwer moze lako i to iskoristiti.

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-16 12:14:24 UTC

vec sam ti napomenul da je na tom routeru upnp ukljucen po defaultu,
il nisam? dakle, povremeno otvoren dedicated port mi zvuci sigurnije
od stalno otvorenog...

Post by Bruno Babic
Cinjenica je da je sigurnost potencijalno ugrozena cim je port otvoren,
ali ne moras dodatno na vrata staviti "kljuc je ispod otiraca" natpis
kad odes van :)

ja na to ne gledam tak, nego oni koji imaju stalno otvoren port su
kao ljudi koji imaju stalno otvoren prozor u prizemlju, kad su doma
i kad su vani, a sa zatvorenim portovima i ukljucenim upnp u roteru,
kao da im je prozor otvoren samo kad su doma :)

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-16 14:41:46 UTC

Post by Kef
vec sam ti napomenul da je na tom routeru upnp ukljucen po defaultu,
il nisam? dakle, povremeno otvoren dedicated port mi zvuci sigurnije
od stalno otvorenog...

I evo nas opet na pocetku :)
Cim pokupis neki program koji to zeli, on ce ti moci otvoriti koji god
port hoce i kada hoce i koliko hoce. U tome je problem UPnP-a.

Post by Kef
ja na to ne gledam tak, nego oni koji imaju stalno otvoren port su
kao ljudi koji imaju stalno otvoren prozor u prizemlju, kad su doma
i kad su vani, a sa zatvorenim portovima i ukljucenim upnp u roteru,
kao da im je prozor otvoren samo kad su doma :)

Da bi od otvorenog porta mogao imati koristi, moras imati nesto na
drugoj strani. Dakle, otvoren port na firewallu ne sluzi nicemu ukoliko
ti odredisni PC nije upaljen i zeli primiti nesto na tom portu.

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-16 15:13:51 UTC

Post by Kef
vec sam ti napomenul da je na tom routeru upnp ukljucen po defaultu,
il nisam? dakle, povremeno otvoren dedicated port mi zvuci sigurnije
od stalno otvorenog...

I evo nas opet na pocetku :)

Post by Bruno Babic
Cim pokupis neki program koji to zeli, on ce ti moci otvoriti koji god
port hoce i kada hoce i koliko hoce. U tome je problem UPnP-a.

to nije problem pc-a nego tog routera i nema nikakve veze s koristenjem
upnpa u torrent clientu. maliciozni ce program moci otvarati zeljene
portove po volji bez obzira jel na pc.u aktivan upnp servis ili nije,
jel na routeru otvoren neki port ili nije...

ak pc nije upaljen onda ni upnp nema veze ;)

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-16 16:09:02 UTC

Post by Kef
to nije problem pc-a nego tog routera i nema nikakve veze s koristenjem
upnpa u torrent clientu. maliciozni ce program moci otvarati zeljene
portove po volji bez obzira jel na pc.u aktivan upnp servis ili nije,
jel na routeru otvoren neki port ili nije...

Moras razlikovati odlazne i dolazne konekcije.
Odlazna konekcija je nesto sto radi tvoje racunalo prema udaljenom
racunalu i u pravilu je firewall popustljiv prema tkavim konekcijama
(iako je i to security issue).
Dolazna konekcija je kada se udaljeno racunalo spoji na tvoje racunalo,
a to nije moguce ostvariti ukoliko na firewallu nije otvoren i
preusmjeren port, a to se moze iz softvera napraviti samo koristenjem
UPnP-a.

Dakle, nije svejedno da li je UPnP aktivan ili nije.

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-16 18:45:51 UTC

Moras razlikovati odlazne i dolazne konekcije.

razlikujem ;)

Post by Bruno Babic
Odlazna konekcija je nesto sto radi tvoje racunalo prema udaljenom
racunalu i u pravilu je firewall popustljiv prema tkavim konekcijama
(iako je i to security issue).
Dolazna konekcija je kada se udaljeno racunalo spoji na tvoje racunalo,
a to nije moguce ostvariti ukoliko na firewallu nije otvoren i
preusmjeren port, a to se moze iz softvera napraviti samo koristenjem
UPnP-a.

nepotrebno mi objasnjavas stvari koje znam, koje nisu sporne i o
kojima se ne raspravlja...

Post by Bruno Babic
Dakle, nije svejedno da li je UPnP aktivan ili nije.

gdje, na routeru ili kompu? na routeru je aktivan i nemoze ga svako
iskljucit. na kompu *nije* aktivan!

i kaj sad, u cem je razlika "stalno otvoren port" kroz router prema
"povremeno otvorenom portu" kojeg otvori neki program na racunalu?
neces mi valjda rec da neka vanjska aplikacija moze izvana otvarat
portove pomocu upnp-a kak joj se svidi?

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-17 15:40:46 UTC

Post by Kef
i kaj sad, u cem je razlika "stalno otvoren port" kroz router prema
"povremeno otvorenom portu" kojeg otvori neki program na racunalu?
neces mi valjda rec da neka vanjska aplikacija moze izvana otvarat
portove pomocu upnp-a kak joj se svidi?

Razlika o kojoj pricam od samog pocetka je u tome sto niti jedna lokalna
aplikacija nece moci otvoriti sebi port na firewallu ako nema UPnP-a.
Poanta trojana je da se ubaci u lokalnu mrezu, a ne da radi izvana.

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-17 16:02:05 UTC

pri nekom stalno otvorenom portu, svim aplikacijama koje ga trebaju
ce prolaz bit omogucen, pa je to valjda veca potencijalna opsanost.
taj neki trojan kojeg spominjes nemoze radit kroz taj stalno otvoreni
port, il kaj?

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-18 10:18:47 UTC

Post by Kef
pri nekom stalno otvorenom portu, svim aplikacijama koje ga trebaju
ce prolaz bit omogucen, pa je to valjda veca potencijalna opsanost.
taj neki trojan kojeg spominjes nemoze radit kroz taj stalno otvoreni
port, il kaj?

Ako je port stalno otvoren, aplikacija mora znati koji je port u
pitanju. S obzirom na to da portova ima niti manje niti vise nego 65
tisuca, sto mislis koje su sanse da ce trojan lako pronaci koji je port
otvoren, a neiskoristen?
Ali idemo dalje... trojan je na neki nacin zakljucio koji je port
otvoren, ali postoji problem u tome sto je neka aplikacija vec na tom
portu (nebi inace otvarao port ako ti ga nesto ne kosristi valjda?), pa
ustvari ne moze nista.
No, pametan trojan moze cak i saznati tko je na tom portu, pa ti ubije
proces koji mu smeta da bi mogao slusati na zeljenom portu, ali onda vec
dolazimo u domenu da sam korisnik primjecuje da nesto ne stima i onda
vec trojan gubi smisao jer vise nije neprimjetan.

No, ako imas UPnP, trojan se ne mora uopce zamarati... samo si otvori
port koji mu pase i to je to. Korisnik ne na da se ista dogadja u
pozadini, dok mu neki hacker skida kucni video (Pamela Anderson je
valjda imala ukljucen UPnP :)

--
bbabic(a)globalnet.hr
2b||!2b?

ToMo

2011-02-18 10:48:40 UTC

Post by Bruno Babic
Ali idemo dalje... trojan je na neki nacin zakljucio koji je port
otvoren, ali postoji problem u tome sto je neka aplikacija vec na tom
portu (nebi inace otvarao port ako ti ga nesto ne kosristi valjda?),
pa ustvari ne moze nista.

Dvije aplikacije ne mogu istovremeno koristiti isti port?
Ne bi li onda bilo nemoguce istovremeno surfati u firefoxu i IEu?
Vjerojatno ide neki scheduling, ali da vise appova ne moze koristiti
isti port, to mi je malo sumnjivo.

--
ToMo

Poster

2011-02-18 14:23:02 UTC

Firefox i IE su klijenti i zapravo rade samo odlazne konekcije.
U raspravi se spominje utorrent koji je klijent/server buduci se drugi
korisnici spajaju na taj tvoj port.
utorrent 'osluskuje' dolazne konekcije na tom portu, tj. radi kao daemon,
odnosno servis, a to znaci da je taj (dolazni) port zauzet, sto opet ne
znaci da neki trojan ne moze jednostavno uploadati tvoje datoteke na neki
server koristeci HTTP.

Ne znam jesam li dobro shvatio izmedju redaka, ali cini mi se kako Kef ima
dodatni SW FW na PC-u kojim ogranicava odlazne konekcije, sto, u sprezi s
iskljucenim UPnP servisom na PC-u, omogucava samo utorrent aplikaciji da
otvori port.
Tu mu jos pomaze ova gornja Brunova poruka jer je tada na tom portu
utorrent pa kada ga trojan ubije to ces primijetiti. :-)

Kod UPnP na Kefov nacin imas samo povremeno otvoren port kojeg zauzme
utorrent, ali trebas dodatno ograniciti odlazne konekcije.
Kod Brunovog nacina imas stalno otvoren port kojeg uglavnom koristi
utorrent, ali kad on nije pokrenut port je slobodan za koristenje.

Pozdrav.

Kef

2011-02-18 15:37:48 UTC

Post by Poster
Ne znam jesam li dobro shvatio izmedju redaka,

jesi, sjedni 5 ;)

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-21 11:21:17 UTC

Post by ToMo
Dvije aplikacije ne mogu istovremeno koristiti isti port?

Ne.

Post by ToMo
Ne bi li onda bilo nemoguce istovremeno surfati u firefoxu i IEu?

IE i Firefox rade odlazne konekcije, pri cemu se uzme neki random
slobodan port.

Post by ToMo
Vjerojatno ide neki scheduling, ali da vise appova ne moze koristiti
isti port, to mi je malo sumnjivo.

Dolazne konekcije su druga stvar. Moras imati nesto sto ceka na nekom
portu da bi se bilo sto drugo moglo spojiti na taj port. Dvije
aplikacije ne mogu cekati konekciju na istom portu na istoj IP adresi.

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-18 13:28:51 UTC

Post by Bruno Babic
Ako je port stalno otvoren, aplikacija mora znati koji je port u
pitanju. S obzirom na to da portova ima niti manje niti vise nego 65
tisuca, sto mislis koje su sanse da ce trojan lako pronaci koji je port
otvoren, a neiskoristen?
Ali idemo dalje... trojan je na neki nacin zakljucio koji je port
otvoren, ali postoji problem u tome sto je neka aplikacija vec na tom
portu (nebi inace otvarao port ako ti ga nesto ne kosristi valjda?), pa
ustvari ne moze nista.
No, pametan trojan moze cak i saznati tko je na tom portu, pa ti ubije
proces koji mu smeta da bi mogao slusati na zeljenom portu, ali onda vec
dolazimo u domenu da sam korisnik primjecuje da nesto ne stima i onda
vec trojan gubi smisao jer vise nije neprimjetan.
No, ako imas UPnP, trojan se ne mora uopce zamarati... samo si otvori
port koji mu pase i to je to. Korisnik ne na da se ista dogadja u
pozadini, dok mu neki hacker skida kucni video (Pamela Anderson je
valjda imala ukljucen UPnP :)

jos jednom da ponovim, glede utvrdjivanja gradiva :)

u konkretnoj situaciji se radi samo o sigurnosnoj razlici jednog stalno
otvorenog\zatvorenog porta, jer je bez obzira na stanje tog porta u oba
slucaja na tom routeru ukljucen upnp. na racunalima u mrezi iza routera
upnp nije ukljucen. dakle, kaj je sigurnije?

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-21 11:24:41 UTC

Post by Kef
u konkretnoj situaciji se radi samo o sigurnosnoj razlici jednog stalno
otvorenog\zatvorenog porta, jer je bez obzira na stanje tog porta u oba
slucaja na tom routeru ukljucen upnp. na racunalima u mrezi iza routera
upnp nije ukljucen. dakle, kaj je sigurnije?

Mozda ti se to ne svidja, ali ukljucen UPnP je uvijek manje siguran od
iskljucenog UPnP-a.

No, sad vec gore usporedjujes kombinacije gdje je UPnP stalno ukljucen i
jos na to postoje forwardani fiksni portovi, sto je definitivno manje
sigurno nego da nema tih fiksnih portova. Ali, ta situacija u praksi
ionako nije interesantna jer svaka bolje administrirana mreza uopce nece
imati UPnP ukljucen :)

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-21 12:42:51 UTC

Post by Bruno Babic
Mozda ti se to ne svidja, ali ukljucen UPnP je uvijek manje siguran od
iskljucenog UPnP-a.

ma da... :)

Post by Bruno Babic
No, sad vec gore usporedjujes kombinacije gdje je UPnP stalno ukljucen i
jos na to postoje forwardani fiksni portovi, sto je definitivno manje
sigurno nego da nema tih fiksnih portova. Ali, ta situacija u praksi
ionako nije interesantna jer svaka bolje administrirana mreza uopce nece
imati UPnP ukljucen :)

pogle, *stalno* govorim\pisem o *iskljucenom* upnp-u iza routera, dakle na
mrezi\kompovima, ali *ukljucenim* u oba slucaja na routeru. kaj je to tebi
tak tesko skuzit? vidim da su drugi skuzili o cem pisem, pa mi nije to
tvoje neprestano ponavljanje stvari o kojima niti pisem niti sam ih na
bilokoji nacin spominjal...

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-22 10:36:49 UTC

Post by Kef
pogle, *stalno* govorim\pisem o *iskljucenom* upnp-u iza routera, dakle na
mrezi\kompovima, ali *ukljucenim* u oba slucaja na routeru. kaj je to tebi
tak tesko skuzit? vidim da su drugi skuzili o cem pisem, pa mi nije to
tvoje neprestano ponavljanje stvari o kojima niti pisem niti sam ih na
bilokoji nacin spominjal...

Router je prva linija odbrane... a ti imas manu na prvoj liniji odbrane.
To sto si iskopao rovove i sadgradio bunkere koji nisu na liniji ne daje
neku pretjeranu sigurnost da linija nece biti probijena, zar ne?

No, vec smo ionako previse rastegli ovo. Ti se smatraj sigurnim od
hackera, a ja cu i dalje zagovarati iskljucivanje UPnP-a.

BTW, ako je UPnP iskljucen na racunalima u lokalnoj mrezi, nije mi jasno
kako ti uTorrent radi?

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-22 11:40:16 UTC

Post by Bruno Babic
Router je prva linija odbrane... a ti imas manu na prvoj liniji odbrane.
To sto si iskopao rovove i sadgradio bunkere koji nisu na liniji ne daje
neku pretjeranu sigurnost da linija nece biti probijena, zar ne?

nije to sporno, nego da je tako u oba slucaja kad je isti taj router u igri.

Post by Bruno Babic
No, vec smo ionako previse rastegli ovo. Ti se smatraj sigurnim od
hackera, a ja cu i dalje zagovarati iskljucivanje UPnP-a.

jesi ti neki hacker da te se cuvam i upozorim router na tebe? ;)

Post by Bruno Babic
BTW, ako je UPnP iskljucen na racunalima u lokalnoj mrezi, nije mi jasno
kako ti uTorrent radi?

kuzis ti tu caku, a o tome celo vreme trubim.
neznam kak, al evo tri komada se upravo skidaju full turbo, dok uTorrent
place da mu je port zatvoren.
nakon nekog vremena kruzic ipak pozeleni i svi sretni i zadovoljni :-D

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-16 11:28:35 UTC

Post by Kef
sve5, sad mi jos samo rastumaci kak su oni koji na nikoji nacin
ne koriste upnp imuni na takvu podvalu i svi sretni i zadovoljni ;)

Tako sto oni mozda i popuse trojana, ali njihov firewall blokira
odlazne/dolazne konekcije koje trojan pokusava napraviti.

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-16 12:07:53 UTC

Post by Kef
sve5, sad mi jos samo rastumaci kak su oni koji na nikoji nacin
ne koriste upnp imuni na takvu podvalu i svi sretni i zadovoljni ;)

Tako sto oni mozda i popuse trojana, ali njihov firewall blokira
odlazne/dolazne konekcije koje trojan pokusava napraviti.

na koji nacin, ak im je ukljucen upnp, (vec sam ti napomenul da je na
tom routeru upnp ukljucen po defaultu) kojeg kao obicni useri nemogu
iskljucit?

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-16 14:50:11 UTC

Post by Kef
na koji nacin, ak im je ukljucen upnp, (vec sam ti napomenul da je na
tom routeru upnp ukljucen po defaultu) kojeg kao obicni useri nemogu
iskljucit?

E sad, ako ne mozes iskljuciti UPnP na routeru, jedino sto ti
koliko-toliko moze dati sigurnost je lokalni firewall koji ce se
pobrinuti da blokira nezeljeni promet, odnosno nekakav firewall izmedju
routera i mreze.

--
bbabic(a)globalnet.hr
2b||!2b?

Iveky

2011-02-17 07:30:32 UTC

Na kom principu radi TeamViewer, mislim da on koristi samo http port?

Bruno Babic

2011-02-17 15:44:49 UTC

Post by Iveky
Na kom principu radi TeamViewer, mislim da on koristi samo http port?

Pa, ako podesis da ti se ono nesto na sto se zelis spojiti sa
TeamViewerom slusa na portu 80, onda ce to raditi preko porta 80. Ali
nema nacina (osim specificnog podesavanja NAT-a ili koristenja nekakvog
tunela kao posrednika) da se TeamViewer spaja na port 80 i da to zavrsi
npr. na portu 3389 (Remote Desktop) nekog racunala.

--
bbabic(a)globalnet.hr
2b||!2b?

Dinko Korunic

2011-02-23 10:01:47 UTC

Post by Bruno Babic
Gle, vec sam ti nekoliko puta napisao da je UPnP kao tehnologija sama po
sebi ogroman security issue. Ne znam kako da drukcije naglasim da je
zagovaranje te tehnologije u svrhu poboljsanja sigurnosti pogresno.
Objasnio sam i sto je glavni problem kod UPnP-a, na sto si ti reagirao
sa "meni se to ne moze dogoditi" tipom odgovora. Mislim da dalje nema
smisla da objasnjavam.

Sa jedne strane se slazem s tobom da je nezgodno da aplikacije
neautorizirane mogu stvarati staticke NAT entryje. Sa druge strane, nadam
se da je jasno (a imam dojam da nije iz threada) da ce se filtrirajuca
pravila na firewallu SVEJEDNO primjenjivati cak i na entryje koje je
stvorio upnp daemon na routeru.

Dakle, ono sto se fizicki desava na routeru (jedan relativno velik broj ih
je Linux based, pa stoga mozemo biti konkretni u objasnjenju) je da upnpd
(najcesce miniupnpd) stvara DNAT/SNAT entryje u NAT tablici routera. No,
za te entryje i dalje vrijede pravila iz FILTER tablice te se takav
eventualno zlonamjerni promet i dalje moze filtrirati -- mozes zabraniti
neke izvorisne ili odredisne adrese, mozes zabraniti kakav god hoces
dolazni ili odlazni promet na L3/L4 razini.

Sa gledista sigurnosti, ako promatramo da "zlonamjerna" aplikacija zeli
komunicirati s necim izvan mreze, ona to uvijek moze ciniti dokle god je
omogucen NAT (a po defaultu je, od te premise i krece ovaj thread). Jedina
razlika naspram UPNP entryja je da se bez UPNP-a koristi NAT translacijska
tablica, pa dobivas dinamicki port za translaciju dok kod UPNP entryja
imas imas DNAT/SNAT entry fiksno vezan uz neki zeljeni port. Iz te
perspektive, cak je jednostavnije UPNP promet filtrirati jer znas tocno na
kojem ga izvornom/odredisnom portu mozes ocekivati.

Sto se tice daljnjeg razgovora o tome da li je neki port otvoren ili ne,
postoji niz tehnika kako neki "crv" (odnosno bilo koja aplikacija) moze
otvoriti port za komunikaciju cak i kad je on nazivno "zatvoren" u smislu
da ne postoji eksplicitni rule za njegovu translaciju. To se naziva
firewall hole punching i to sretno i veselo rade Skype, TeamViewer,
uTorrent i slicni programi. Dakle to radi i bez UPNP-a i bez znanja
"admina" routera (googlaj npr. chownat i pwnat).

--
NAME:Dinko.kreator.Korunic DISCLAIMER:Standard.disclaimer.applies
ICQ:16965294 JAB:***@jabber.org PGP:0xEA160D0B
HOME:http://dkorunic.net QUOTE:Eat.right.stay.fit.and.die.anyway

Bruno Babic

2011-02-24 11:37:51 UTC

Post by Dinko Korunic
Dakle, ono sto se fizicki desava na routeru (jedan relativno velik broj ih
je Linux based, pa stoga mozemo biti konkretni u objasnjenju) je da upnpd
(najcesce miniupnpd) stvara DNAT/SNAT entryje u NAT tablici routera. No,
za te entryje i dalje vrijede pravila iz FILTER tablice te se takav
eventualno zlonamjerni promet i dalje moze filtrirati -- mozes zabraniti
neke izvorisne ili odredisne adrese, mozes zabraniti kakav god hoces
dolazni ili odlazni promet na L3/L4 razini.

Istina, pravila se primjenjuju na sav promet koji prolazi, dolazio on
preko UPnP otvorenog porta ili preko neceg drugog.
No, slaba je to utjeha za obicnog korisnika jer on ustvari zeli dobiti
sav promet izvana (uTorrent), za razliku od nekih korporacija koje imaju
malo strozije definirana pravila i koje mogu (koliko-toliko)
pretpostaviti otkud ce im dolaziti promet izvana, pa onda filtrirati sve
ostale.

--
bbabic(a)globalnet.hr
2b||!2b?

Bruno Babic

2011-02-04 09:19:55 UTC

Post by Kef
osim kaj na spomenutom routeru nemozes jednostavno "rucno" otvorit neki

E, pa ako uzmes u obzir da je svrha firewalla da te stiti od nezeljenih
konekcija (u oba smjera), onda je njegova svrha poprilicno uzaludna
ukoliko ti aplikacije mogu otvarati portove.

Post by Kef
inace, korist je tog fw-a da ce zaustavit sav neocekivani dolazni
promet, bez obzira jel na routeru omogucen upnp ili nije.

Svjestan si da je u ovom tvom opisu dolazni promet koji ocekuje neka
zlocudna aplikacija ustvari ocekivani promet? Mozda ga ti ne ocekujes,
ali ga ocekuje i tvoj firewall i ta aplikacija. O tome pisem cijelo vrijeme.

--
bbabic(a)globalnet.hr
2b||!2b?

Kef

2011-02-04 13:17:51 UTC

Post by Kef
osim kaj na spomenutom routeru nemozes jednostavno "rucno" otvorit neki

E, pa ako uzmes u obzir da je svrha firewalla da te stiti od nezeljenih
konekcija (u oba smjera), onda je njegova svrha poprilicno uzaludna
ukoliko ti aplikacije mogu otvarati portove.

ja imam potpunu kontrolu nad svojim aplikacijama, pa mi rade nist
iza ledja ;)
jasno ti je da jo potpuno nevazno jel sam pokretanjem neke aplikacije
otvoril port na routeru automatski, ili ako je taj port preko
port forwardinga stalno otvoren, pa ne kuzim tvoju zabriinutost.
dapace, s uljucenim upnp je port otvoren samo dio vremena, pa osim
automatike ima i tu prednost :)

Post by Kef
inace, korist je tog fw-a da ce zaustavit sav neocekivani dolazni
promet, bez obzira jel na routeru omogucen upnp ili nije.

Svjestan si da je u ovom tvom opisu dolazni promet koji ocekuje neka
zlocudna aplikacija ustvari ocekivani promet?

nema kod mene zlocudnih aplikacija koje bi mogle ocekivat neki dolazni
promet, bas zato jer imam ukljucen FW i ostalu av zastitu, ukljucujuci
i kranialnu ispunu :)

Post by Bruno Babic
Mozda ga ti ne ocekujes,
ali ga ocekuje i tvoj firewall i ta aplikacija. O tome pisem cijelo vrijeme.

evo onda da jos jednom napomenem, nema kod mene takvih aplikacija
iako vec godinama imam ukljucen i intenzivno koristim upnp...

--
Znam dovoljno da znam da nista neznam dovoljno

Ivan Tisljar

2011-02-04 18:12:45 UTC

Post by Kef
evo onda da jos jednom napomenem, nema kod mene takvih aplikacija
iako vec godinama imam ukljucen i intenzivno koristim upnp...

T o t i s a m o m i s l i š . . . :)))

Ivan

--
Have you tried forcing an unexpected reboot?
http://colors.webatu.com/

Kef

2011-02-04 18:44:57 UTC

Post by Ivan Tisljar

Post by Kef
evo onda da jos jednom napomenem, nema kod mene takvih aplikacija
iako vec godinama imam ukljucen i intenzivno koristim upnp...

T o t i s a m o m i s l i š . . . :)))

sad kad si to napomenul i nakon ponovnog promisljanja, imas praf,
svi su mi programi smece, pa kao takvi jebeno nepocudni :)

--
Znam dovoljno da znam da nista neznam dovoljno

Igor Briski

2011-02-07 09:27:29 UTC

Post by Kef
ja imam potpunu kontrolu nad svojim aplikacijama, pa mi rade nist
iza ledja ;)
jasno ti je da jo potpuno nevazno jel sam pokretanjem neke aplikacije
otvoril port na routeru automatski, ili ako je taj port preko
port forwardinga stalno otvoren, pa ne kuzim tvoju zabriinutost.
dapace, s uljucenim upnp je port otvoren samo dio vremena, pa osim
automatike ima i tu prednost :)

Isto tak možeš pokupiti nekog crva koji će onda sasvim lagano otvoriti
si sve portove koje želi preko uPnP-a.

uPnP je nesiguran jer nema nikakve kontrole. Bilo koja aplikacija može
čačkati po firewallu/routeru bez nadzora.

--
8-)

This space intentionally left blank.

Kef

2011-02-07 10:44:16 UTC

Post by Igor Briski
Isto tak možeš pokupiti nekog crva koji će onda sasvim lagano otvoriti
si sve portove koje želi preko uPnP-a.

vjerojatnost je ista kao da pokupim neku Severinu :)

Post by Igor Briski
uPnP je nesiguran jer nema nikakve kontrole. Bilo koja aplikacija može
čačkati po firewallu/routeru bez nadzora.

naravno da nemoze bilokoja, pa nemoj decu nepotrebno plasit ;)

--
Znam dovoljno da znam da nista neznam dovoljno

Bruno Babic

2011-02-01 16:16:18 UTC

Ovisi sto zelis postici. Firewall na routeru ce ti blokirati neke stvari
vec na routeru, ali ako nemas forwardanja portova na lokalna racunala,
onda su ti samim time lokalna racunala zasticena od direktnog upada
izvana. No, pozeljno je imati firewall koji blokira odlazne nezeljene
konekcije iz mreze, a za tako nesto ti moze posluziti firewall na
routeru... samo sto firewall na routeru u pravilu ne zna tko radi
konekciju, nego samo s koje adrese konekcija dolazi. To moze biti
problem ako dopustis npr. odlazne konekcije na port 80, a zlocudni
softver koristi isti taj port bas zbog toga sto je u pravilu otvoren.

Uglavnom, preporucam imati lokalni firewall (ne Windows firewall) na
racunalu kao kontrolu odlaznih konekcija, a sama cinjenica da si iza
routera koji ne forwarda portove ti je dovoljna da se ne moras
pretjerano brinuti zbog eventualnih upada izvana.

--
bbabic(a)globalnet.hr
2b||!2b?

i***@gmail.com

2017-11-19 02:34:43 UTC