Ipcop et Upnp ?

[techzone]

bonjour à tous ,
Est-ce que vous savez si Ipcop 1.40b4 et compatible UPnP comme l'est Smoothwall Express 2 ?
thx

[leso]

déja abordé plien de fois, la réponse non , le upnp n'est pas suporté, car c'est vraiment le bas du bas de la sécurité...

[techzone]

Pourkoi c'est le bas du bas de la secu ?
Je vois pas ou c'est moins secu ?
Les ports peuvent être ouvert dynamiquement du réseau interne , quand on maitrise le reseau interne , il y a pas de problème ?! non ?

[grosbedos]

ben des ports dynamiquement ouverts .. c'est pas top .. de toute facon des ports ouverts dans le sens net -> lan c'est jamais bon....
certain te dirons qu'il n'y as pas de prob...possible...
mais on est loin du statefull la , et ca sert a quoi l'UPnP en plus ?? à faire fonctionner msn ??lol

nous ont tous eu avec leur messagerie instantanée, affolant...le dernier sorti, mais le plus utilisé! et pourquoi ?? je sais pas, car c'est microsoft certainemnt....il n'offre rien de plus que les autres pourtant !

[techzone]

Déja , il faut savoir que l'Upnp ouvre des ports dynamiquement non pas pas dnas le sens net ---> lan mais dans le sens lan ---> net donc , il n'y a pas de problème , car seuls les users du LAN peuvent ouvrir des ports dynamiquement .
Ensuite , si tu veux que filtrer quelles sont les machines de ton LAN qui peuvent le faire , il fo jouer sur le Firewall .
Donc , je ne vois pas ou est le trou de secu dans ce fonctionnement .
le NAT Upnp permet effectivement de faire fonctionner MSN en mode videoconférence mais aussi tous les jeux qui ne passent pas sans cela sur un NAT lorsqu'on utilise Windows XP(c'est le seul Os qui gère le Upnp pour l'instant , quoique j'ai cru comprendre que c'etait en DVP sous linux.)
Et puis pour finir , tu dis que msn n'offre rien de plus que les autres.... je suis pas tout à fait d'accord avec toi .
Fais une videoconférence avec MSN , et essaye un autre logiciel d'IM qui est capable d'en faire et on en reparle , MSN possède un algo de compression video qui permet une fluidité et une image bien meilleur que d'autre logiciel.
Donc , je pense qu'il faut arrêter d'avoir des appriori sur les produit microsoft !
On peut critiquer leur politique commercial , mais critiquer leurs produit , c'est qu'on est de mauvaise fois , car ils font de bon produits .
En tout cas , pour revenir a notre sujet , le NAT Upnp se repand , voir les autres produits "Smoothwall" par exemple , et si on se refuse a l'implémenter pour se genre de raison , on regresse et ne fait pas evoluer le produit.
Enfin , je peux me tromper , mais c'est ce que je pense.

[antolien]

Alors là c'est nul comme réponse techzone...
On vois que tu n'as pas regardé la façon qu'a eu mircosoft d'implémenter l'upnp !

Première chose, il est clair que pour la vidéoconférence, ce sont bien des port wan-> lan qui sont ouvert et même renvoyés sur l'ip lan.
Pour les jeux en effet, ce ne sont que des ports en sortie, mais il ne vaut mieux pas essayer de créer une partie; car sinon tu joueras alone in the dark.

Autrement pour les autres logiciels d'IM, on peut rigoler doucement lorsqu'on entend ce genre de chose. D'un point de vue sécurité c'est misérable. Il y a des logiciels qui font beaucoup mieux, que ce soit au niveau sécu, utilisation de bande passante, et la qualité du son.

L'upnp ne se répand pas; c'est la demande qui augmente car msn est vraiment très utilisé (cf post de grosbedos) et comme smoothwall est un produit commercial, je ne pense pas que ce soit par gaîté de coeur que c'est dispo.
Ipcop à une bonne licence, et n'a aucun problème commercial; de ce fait les dévelopeurs ont autre chose à faire que de construire un gruyère. Et c'est bien comme ça.

Arrêtez de penser que ceux qui dévelope sous linux sont contre Microsoft parce que c'est Microsoft; non c'est simplement parce que s'il on regarde du côté réseau, Microsoft est en retard et n'en fait qu'a sa tête. Qui lit les RFC ? alors là c'est clair qu'il y a un vide ...

[tomtom]

Déja , il faut savoir que l'Upnp ouvre des ports dynamiquement non pas pas dnas le sens net ---> lan mais dans le sens lan ---> net donc , il n'y a pas de problème , car seuls les users du LAN peuvent ouvrir des ports dynamiquement .

Il faut que tu revoies tes conceptions du réseau. Une passerelle UIGD a pour role d'ouvrir à la demande d'applications des ports depuis son ip publique vers des ip privées.

Ensuite , si tu veux que filtrer quelles sont les machines de ton LAN qui peuvent le faire , il fo jouer sur le Firewall .
Donc , je ne vois pas ou est le trou de secu dans ce fonctionnement .

Laisse moi t'eclairer...
En se donnant la peine de chercher, on parvient à trouver des informations sur Upnp. Il faut vraiment faire des efforts, car le "forum" qui est derrière tout ça (hé non, il ne s'agit pas que de microsoft...) n'est pas très pressé de voir cette techno tomber entre toutes les mains. Mas on y arrive. Sur le technet par exemple :

Code: Tout sélectionner

NAT traversal has an open trust model. This means that all application on the private network have access to all the port mappings on a NAT. This allows for a great amount of flexibility of multiple points of administration, but applications do not have exclusive ownership of their mappings


Je te traduis l'idée :
Une application UPNP (disons MSN pour ne froisser personne) demande à la paserelle si elle est en nat. Si oui, elle lui demande d'ouvrir un port non deja mappé (via une api determinée) vers son adresse (ou vers une autre si elle veut !). Bian, cette application peut décider tout à fait arbitrairement de modifier la politique de transfert de ports.
De mieux en mieux :

Code: Tout sélectionner

Conflict resolution is the responsibility of applications. If an application tries to map a port that is already mapped to another client, it is up to the application to either find another port or overwrite the application.


C'est y pas beau ? MSN est capable de "piquer" le port d'une autre application... p'tet même de recuperer du flux destiné à une autre avec un peu de chance

Tu commence à voir où est le danger au niveau sécurité ? La moindre faille dans une appli upnp entraine la compromission totale de la passerelle. Une prise de controle de msn, un buffer overflow de rien dans l'interprétation des noms de contacts, et hop je te tranfere le port xxx vers le serveur IIS d'a coté.. hum ! Le problème, c'est que ca romp la plus élémentaire des règles consistant à dire que sur un firewall, on n'autorise que les flux choisis.

le NAT Upnp permet effectivement de faire fonctionner MSN en mode videoconférence mais aussi tous les jeux qui ne passent pas sans cela sur un NAT lorsqu'on utilise Windows XP(c'est le seul Os qui gère le Upnp pour l'instant , quoique j'ai cru comprendre que c'etait en DVP sous linux.)

Tu devrais essayer de lire un peu de doc.. UPNP est géré par un grand nombre d'OS, ainsi que de hardware. UPNP est un protocole (enfin plutot un ensemble de protocoles) d'autoconfiguration de réseau IP. Ce dont tu parles dans le cas présent, c'est UIGD. Il existe un projet assez avancé qui permet de faire fonctionner UIGD sur des paserelles Linux (je te laisser le soin d'utiliser les jumelles). Smoothwall en est un exemple. De plus, les 3/4 des routeurs personnels du marché gèrent aussi ce protocole.

Et puis pour finir , tu dis que msn n'offre rien de plus que les autres.... je suis pas tout à fait d'accord avec toi .
Fais une videoconférence avec MSN , et essaye un autre logiciel d'IM qui est capable d'en faire et on en reparle , MSN possède un algo de compression video qui permet une fluidité et une image bien meilleur que d'autre logiciel.

Je n'entre pas dans ce débat. Que tous ceux qui ont pu comparer la vidéo avec eyeball chat et msn me comprenne à demi-mot

Donc , je pense qu'il faut arrêter d'avoir des appriori sur les produit microsoft !
On peut critiquer leur politique commercial , mais critiquer leurs produit , c'est qu'on est de mauvaise fois , car ils font de bon produits .

Alors ça c'est vrai ! Il ne faut pas avoir d'a priori, il faut juger les produits. Nombre de leurs produits sont très mauvais, certains sont bons. Il y en a même d'xcellents. Mais MSN, bon.. OK, c'est pas mal, mais quand même, ya de la concurrence
Je pense le contraire de toi : On n'a pas à critiquer la politique commerciale d'une boite. On choisit celle que l'on préfère pour soi. En revanche, en tant qu'utilisateurs, et pour un certain nombre de membres en tant que conseil des clients en matière de sécurité, on se doit de critiquer les mauvais produits, sans se laisser aveugler par la précitée politique.

En tout cas , pour revenir a notre sujet , le NAT Upnp se repand , voir les autres produits "Smoothwall" par exemple , et si on se refuse a l'implémenter pour se genre de raison , on regresse et ne fait pas evoluer le produit.

C'est ça. Le terorisme se répand, la pollution se répand, le SIDA se répand, la violence scolaire se répand. Est-ce suffisant pour dire que c'est pour autant ce que l'on doit choisir ? On ne regresse pas forcemment en ne choisissant pas la solution la plus commune, la plus simple, ou la plus avantageuse... Et ce n'est pas parcequ'on suit la mode que l'on va dans le bon sens ! Quand on parle de Firewall, "ce genre de raisons" que sont l'évaluation de la sécurité d'un produit doit à tout prix être mis en balance avec l'apport fonctionnel. Et le jour où je conseillerai à un client de mettre une passerelle UIGD, les fonctionnalités qu'elle lui apportera seront supérieures aux risques qu'elle lui fera courrir. Je dois dire que je n'ai jamais vu le cas se présenter...

Enfin , je peux me tromper , mais c'est ce que je pense.

Tout le monde peut se tromper, là n'est pas le problème. Ce qui est important, c'est de faire les choix que l'on estime les meilleurs, pour soi et pour les gens qui nous font confiance.
Donc, en revenant cette fois au sujet initial : "IPCop et UPNP" : Il y a beaucoup plus important à mettre dans un firewall qu'une fonctionalité permettant certes de transferer des fichiers par msn et de jouer en réseau p2p sans se casser la tete, mais mettant en peril la sécurité deu firewall lui même. Je pense que les responsables du projet IPCop préfèrent pour le moment mettre en avant la sécurité du produit plutot que ses fonctionalités ludiques. Mais c'est une question de point de vue. Alors, à moi de te poser une question : Si ton besoin est une passerelle UIGD, pourquoi ne pas mettre en place SMOOTHWALL ou XP comme firewall ? Car après tout, c'est bien là qu'est toute la beauté de la chose : Tu as le choix !

t.

[techzone]

ok d'acccord , j'ai bien lu tous ca , je suis même aller voir la ou tu dis , et j'ai rien vu comme quoi une application du wan pouvait ouvrir des port du NAT pour le LAN. Comme tu le dit si bien , c'est MSN (donc une appli interne qui ouvre des ports du NAT pour idscuter sur le wan.
Enfin bon , suis peut-être un peu debil et un gros nul en réseau , mais bon , je vois mal comment une appli externe pourrait ouvrir un port sur un appli interne sachant que les ip interne sont masquées ?
Elle fait comment ton appi pour faire le forwarder ?
de toute facon , on part sur un debat qui n'a rien a $%#&! dans ce post puisque la question d'origine effectivement c'etait juste de savoir si ipcop etait compatoble Upnp !
@+ Bonne journée

[leso]

juste comme ca , si tu avais besoins de l'upnp, y'a surement moyen de forcer avant au niveau du jeu, ou alors de prendre des clients alternatifs qui gère parfaitement le nat

[tomtom]

Salut,

ok d'acccord , j'ai bien lu tous ca , je suis même aller voir la ou tu dis , et j'ai rien vu comme quoi une application du wan pouvait ouvrir des port du NAT pour le LAN. Comme tu le dit si bien , c'est MSN (donc une appli interne qui ouvre des ports du NAT pour idscuter sur le wan.

Peux-tu me montrer où tu as lu que seul le lan pouvait ouvrir des ports ?
Dans les specifications UIGD, la passerelle ecoute sur un port prédeterminé et répond à une API qui permet de faire un certain nombre de choses. Tester des ports, en ouvrir, en fermer, en transferer etc..
Donc, d'une part, la seule chose que j'ai dite est que les ports sont forcemments ouverts dans le sens WAN -> LAN, ce qui tu en conviendra est une évidence. D'autre part, la seule chose qui pourrait empecher une application entièrement située sur le wan de parler à l'API UPNP est un firewall autre bien configuré.
Alors evidemment, partant de ce principe, on peut tout mettre sur une passerelle. C'est sur, netfilter controle ce qui arrive de l'exterieur, je peux mettre dons un serveur ftp plein de failles, un serveur web, un telnet sur mon firewall, n'est ce pas ?
Il ne faut pas confondre la sécurité d'un protocole avec les façons que l'on peut avoir de le sécuriser a posteriori.

Enfin bon , suis peut-être un peu debil et un gros nul en réseau , mais bon , je vois mal comment une appli externe pourrait ouvrir un port sur un appli interne sachant que les ip interne sont masquées ?
Elle fait comment ton appi pour faire le forwarder ?

simple, il suffit de se connecter sur le port 1900 sur la paserelle UPNP et lui envoyer des paquets faisant appel à l'API IGD..
Dans tous les cas, et même si un firewall empeche l'utilisation directe de ce port, il existe diverses techniques permettant de franchir une paserelle NAT.
Et enfin, toute ton argumentation tient à la confiance que tu as dans le protocole MSN (par exemple). Car tu parles d'applis Interne.. Une fois une comunication etablie entre ton processus msn local et un processsus "externe", n'importe quel apprenti hacker du dimanche est capable d'exploiter un buffer overflow paru sur bugtrack pour lui faire executer de menues actions. Envoyer un packet UPNP demandant au firewall de transferer des ports sur la paserelle est en particulier assez simple...

de toute facon , on part sur un debat qui n'a rien a $%#&! dans ce post puisque la question d'origine effectivement c'etait juste de savoir si ipcop etait compatoble Upnp !
@+ Bonne journée

Attention, c'est toi qui a posé la question :

Pourkoi c'est le bas du bas de la secu ?
Je vois pas ou c'est moins secu ?

Nous essayons de t'apporter des réponses.

Pour clore définitivement le débat pour moi sur ce thread, j'ajouterai ceci :
Tu sembles croire que l'on est opposés à l'utilisation de ce genre de choses.
Si tu avais fait une recherche sur ixus au sujet UPNP, tu serais probablement tombé sur des sujets datant d'il y a quelques mois. Tu aurais vu que GrosBedos et Antolien en particulier ont fait pas mal de recherches autour. Antolien a même posté je pense un moyen de faire tourner IGD sur une passerelle debian. J'ai pour ma part fait tourner IGD sur ma passerelle, et j'ai même etudie assez longuement les paquets MSN pour essayer de parvenir à les faire franchir une paserelle NAT sans l'aide d'IGD.

Tout ça pour te dire que l'on comprend bien qu'il puisse y avoir un besoin autour de ça. Mais, et ça c'est un avis purement technique,la solution IGD est vraiment faible au niveau sécurité, et mettre ceci sur un firewall est une très mauvaise idée. Si tu sais ce que tu fais et acceptes les risque inhérents, OK. Mais l'integrer dans IPCop, c'est l'imposer à tous, et ceux qui souhaitent un firewall pour une PME par exemple devraient vraiment éviter ceci.

Bonne journée !

t.

[rootiedub]

slt,

bon, IPCop ne supporte pas l'UPnp... cela n'empêche pour autant pas MSN de fonctionner.

Débat technique mis à part, même si la connexion en visioconf. ne se fait pas forcément du premier coup,
on y arrive quand même, donc ce n'est pas vraiment un pb il me semble.

byyye

[techzone]

(Pour TOMTOM) va voir la bas , y'a une petiote phrase ki t'apprendra des trucs : http://support.microsoft.com/default.as ... ;FR;300692

Comment tu crois qu'une appli externe pourrait faire un forward sur une ip interne qu'elle ne connait pas ?
Je crois que c'est toi qui devrait revoir ton reseau !
lol
bon allez on va arreter la , on sort du sujet.

[braouazou]

[mode troll bien engagé on]

Pour faire simple, et d'après mes maigres connaissances en ce domaine, l'appli externe va demander à l'appli interne (msn par exemple) d'ouvrir ce/ces port(s)... Les 2 applications négocient ensemble le port à ouvrir.

D'où ce que te dit tomtom, ta théorie n'est basée que sur la confiance que tu as dans l'application utilisant ce protocole (ici, encore une fois, msn, dont nous ne savons pas grand chose...).

[/mode troll bien engagé off]

@++

[techzone]

je suis pas tout à fait d'accord avec toi braouazou .
Il n'y a absolument aucune negotiation entre les appli , car de toute facon , les appli elles n'en ont rien a $%#&! de savoir si elles sont derrière un NAT ou non .
Pernons un exemple (MSN) :
MSN envoie une requete au serveur MSN lui disant qu'il attend un réponse sur le port 3389.
En suite Windows XP (Puisque pour l'instant c'est le seul OS compatible UPnP) envoie une demande au NAT pour faire un forward du port 3389 vers lui.
Lorsque le serveur msn repondra au NAT sur le port 3389 la reponse sera rediriger vers le client Windows XP qui heberge l'appli MSN.
Ca evite simplement de faire le forward a la main sur ton NAT , surtout quand le port change regulièrement. Ca fonctionne de la même manière pour certains jeux d'ailleurs.
Voila comment ca fonctionne en realité , d'ailleur smoothwall implémente ca dans sa version GPL et non commercial comme l'a suggerer tomtom , donc .....
Alors , il est ou le trou de secu dans ce cas la ? Sachant qu'en plus , on peut preciser qu'elle ip interne a le droit d'utiliser UPnP ou non dans le firewall.
Bon enfin comme je l'ai dit , ca sert a rien de discuter , je pense que ce debat n'a rien a faire ici.
Bonne journée à tous .

[grosbedos]

je ne critique pas du tout microsoft, par exemple windows..ont peu faire beaucoup de remarque, mais c'est vrai que leur produit est bon...y'as pas photo, linux en desktop devient utilisable pour un neophite mais ...

par contre msn je suis désolé, il n'offre rien de plus...ils ont reussi à l'implanter grace à leur nom, et à son install par defaut sur xp lol.
(ca me fait penser à une vieille histoire d'internet explorer lol)....