Neznam sice detailne UPnP specifikace, ale videl jsem to uz dneska pouzivat na otevreni firewallu v SOHO routeru a asi neni duvod, proc by to nemohlo byt v budoucnu masivne pouzivane. Takze budu mit SOHO router s IPv6 a vychozim blokovanim nove komunikace. Na stanici si pustim jabber klienta a ten posle na router, hele ja potrebuju prenos souboru, mam IP XXX a port YYY, povol mi prichozi komunikaci.
Asi nejvetsi problem je poresit, jak zamezit nejake zaskodnicke aplikaci, aby vam nevystrcila pocitac jen tak do internetu, nicmene to zvladaji i za natem, takze to neni dramaticky rozdil.
Vlákno názorů k článku
IPv6 v domácích směrovačích
aura:96
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
18. 2. 2010 17:18
Re: UPnP
Otázka je, proč by se měla o tom dohadovat stanice s hraničním směrovačem, když to samé může udělat operační systém stanice při zavolání služby listen() přímo sám na sobě. Tím by také odpadlo přidávání UPnP klientů do každé aplikace.
Podle mě je přístup UPnP zvrácený. Buďto stanici nevěřím (hloupý uživatel nebo nezkonfigurovatelný software) a všechno filtrování provádím autoritativně na hraničním firewallu, nebo stanici věřím a pustím na ni všechno.
aura:96
18. 2. 2010 17:44
Re: UPnP
S tim v obecne rovine souhlasim, ale v siti, kde se mixuji stanice duveryhodne a neduveryhodne mi prijde smysluplne pouzivat nejakou ochranu na hranicnim smerovaci a povolovat spojeni jen na ty duveryhodne. A na to by to chtelo nejaky mechanizmus, ktery bude dostatecne univerzalni, aby byl obecne popsatelny a bylo mozne poskytnout obecny navod, jak koncovy uzivatel takovou komunikaci muze povolit.
petr_p (neregistrovaný)
2002:93fb:17--:----:----:----:----:----
18. 2. 2010 21:09
Re: UPnP
A jak si to představujete? Jako UAC ve Vistách, které podle křišťálové koule rozhodne, že je na čase udělat krok stranou, zeptat se uživatele, jestli nechce sušenku, provést jeho psychologické vyšetření, jestli je způsobilý kvalifikovaně problém rozhodnout, a pak se nějak zařídit?
Tohle není bezpečnost, ale lhaní si do kapsy.
aura:96
18. 2. 2010 22:03
Re: UPnP
Pro WiFi se pomalu prosazuje Wi-Fi Protected Setup(tm), kde se na zarizeni zmackne tlacitko a dve minuty se vsechna zarizeni v dosahu domlouvaji a nakonec se nastavi sit s WPA2 a silnym/nahodnym sifrovacim klicem. Takze pro konfiguraci firewallu by klidne mohlo platit neco podobneho. Takovych veci se da vymyslet fura. Obtezujici uzivatele asi budou, bezpecnost neni nikdy zadarmo a snadna.
Neverim, ze kterykoliv z velkych hracu nakoupi a bude svym uzivatelum distribuovat zarizeni, ktere umozni neomezenou end to end konektivitu ve vychozi konfiguraci.
Neverim, ze kterykoliv z velkych hracu nakoupi a bude svym uzivatelum distribuovat zarizeni, ktere umozni neomezenou end to end konektivitu ve vychozi konfiguraci.
