Aller au contenu

UPnP or not UPnP


church

Messages recommandés

Bon aller fin du hors sujet, si tu désire en débatte, rdv dans le topic de sécurisation

Nettoyage du topic

Oui sur le forum officiel :

https://community.synology.com/forum/2/post/119673

Je t'avoue que ton "nettoyage" de topic est plus que contestable et transpire la mauvaise foi...

De fait il reste du topic que j'ai exclusivement conseillé l'UPnP pour parametrer les règles du firewall ce qui n'est pas le cas !

 

Je recommandais bien ensuite d'éditer les regles générées par défaut...selon les mêmes procédés et outils de vérification décrits dans le lien que tu fournis (OpenDNS, GRC shield up...) ! Bizarrement les screenshots et liens que je proposais pour fonder ma solution ont aussi disparu.

 

Je ne désire pas me battre, je souhaitais simplement contredire ton affirmation tout à fait excessive "l'UPnP est une faille".

 

Bravo Monsieur le modo...

 

 

 

Envoyé de mon SM-P605 en utilisant Tapatalk

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Ce topic est là pour parlé de V1.2 de srm, de ses nouveautés, de ses bugs et pas de débattre de l’upnp comme c’était le cas, donc stop au HS merci.
Ma réponse était bien relative au sujet puisque des dysfonctionnements sont observés avec le filtrage sur SRM 1.2. Remets là et tu verras. Il s'agissait de récupérer des règles automatiques via l'UPnP puis de les éditer et de contrôler qu'elles n'étaient pas trop permissives avec le scanner de ports GRC Shield Up et de les renforcer avec OpenDNS.
Ces solutions sont évoquées sur le lien que tu postes toi même.

Il s'est ensuite agit de corriger une énormité présente dans ta réponse "l'UPnP est une faille".


Envoyé de mon SM-P605 en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Puisque tu y tiens tant :

C’est probablement une question de point de vue, mais l’UPnP affaiblit considérablement la sécurité d’un réseau car on perd totalement le contrôle des ports ouverts. C’est un fait.

Personnellement je préfère les ouvrir manuellement plutôt que de vérifier tous les jours qu’il n’y ait pas un service qui en ait ouvert de nouveaux.

Je n’ai pas été voir les préconisations de l’ANSSI à ce sujet, mais j’ai peu de doutes sur la recommandation qu’on y trouvera (désactivation d’UPnP).

Tout ça pour dire que la remarque de @Einsteinium n’est pas tant une énormité, loin de là.

@Einsteinium : Si tu as la possibilité de créer un nouveau sujet nommé "UPnP or not UPnP" et d’y déplacer les messages HS ici, ça serait pas mal.

Lien vers le commentaire
Partager sur d’autres sites

@PiwiLAbruti Ouai je fais sa 🙂

Je maintiens ce que je dis, upnp ne devrais pas existé, cela a été fait dans le but de simplifier pour le commun des utilisateurs l’ouverture de ports ENTRANT, mais je trouve que à la date d’aujourd’hui, avec internet... ou l’on trouve tout... même la personne la plus nulle est capable de le faire.

Après à t’avoir lu avant nettoyage du HS sur le topic de la V1.2, on a l’impression que tu penses que tout ce qui est connecté à besoin d’ouvrir des ports dans le routeur... bah non... désolé...

Lien vers le commentaire
Partager sur d’autres sites

Mon message a été posté en réponse à un sujet précis. Il m'appartient ou pas de valider son transfert sur un autre topic. Si vous voulez lancer un topic polémique, a vous de le faire sans exploiter ma réponse sans mon autorisation.

Que le protocole puisse avoir des effets de bord et fragiliser le réseau local je n'en ai jamais disconvenu. J'ai par contre bien indiqué en quoi il pouvait permettre de relancer une base plus propre sur les regles de filtrage defaillante de SRM 1.2 et j'insistais sur la nécessité de les renforcer avec des solutions que le lien du modo susceptible détaille.

Ma réaction avait pour but d'alerter sur un jugement péremptoire : "le protocole UPnP est une faille" de la part d'un membre de la modération d'un forum technique que je considère comme une source d'information sérieuse.

Il aurait indiqué "je considère que ce protocole n'est pas fiable pour X raisons" je ne m'en serais pas ému.

A ce compte là autant sortir des âneries du style "Windows est une faille" , "le WPA2 est une faille" dignes des trolls présents sur tous les forum hardware.

Bref, une maj corrective de SRM 1.2 devrait vite arriver après contact avec le support pour ces soucis de filtrage.

C'est de l'info mais Einstein considérera sûrement que c'est aussi hors sujet...



Envoyé de mon SM-G950F en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, church a dit :

Mon message a été posté en réponse à un sujet précis. Il m'appartient ou pas de valider son transfert sur un autre topic. Si vous voulez lancer un topic polémique, a vous de le faire sans exploiter ma réponse sans mon autorisation.

Tu repartais dans du HS en fessant un débat, donc c’était soit un nouveau nettoyage du topic et avertissement, soit cela.


Que le protocole puisse avoir des effets de bord et fragiliser le réseau local je n'en ai jamais disconvenu. J'ai par contre bien indiqué en quoi il pouvait permettre de relancer une base plus propre sur les regles de filtrage defaillante de SRM 1.2 et j'insistais sur la nécessité de les renforcer avec des solutions que le lien du modo susceptible détaille.

On a pas la même notion de base plus propre

Ma réaction avait pour but d'alerter sur un jugement péremptoire : "le protocole UPnP est une faille" de la part d'un membre de la modération d'un forum technique que je considère comme une source d'information sérieuse.

Et bien justement, c’est pas ici que tu trouveras un membre actif ou de la modération qui conseillera l’utilisation de l’upnp...

Il aurait indiqué "je considère que ce protocole n'est pas fiable pour X raisons" je ne m'en serais pas ému.

A ce compte là autant sortir des âneries du style "Windows est une faille" , "le WPA2 est une faille" dignes des trolls présents sur tous les forum hardware.

Un protocole qui permet sans pré autorisation d’ouvrir tous les ports entrant qu’il désire dans un pare feu... enfin après chacun voit midi à sa porte...

Bref, une maj corrective de SRM 1.2 devrait vite arriver après contact avec le support pour ces soucis de filtrage.

C'est de l'info mais Einstein considérera sûrement que c'est aussi hors sujet...

C’est effectivement HS pour ce topic, vue que cela concerne srm et pas l’upnp...

Envoyé de mon SM-G950F en utilisant Tapatalk

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, Einsteinium a dit :

Un protocole qui permet sans pré autorisation d’ouvrir tous les ports entrant qu’il désire dans un pare feu... enfin après chacun voit midi à sa porte...

Tu prouves encore une fois que tu ne sais pas exactement de quoi tu parles et que tu maitrises mal la notion de réseau NATté. 😅

Il ne s'agit nullement d'ouvrir des ports ENTRANTS à tout va !

Un périphérique situé derrière un dispositif NATté va inititier une communication/trafic via un protocole/port précis avec un serveur/IP externe.

Ce serveur/IP va donc retourner une réponse à sa requête sur le protocole/port sur lequel il a été contacté et cette réponse va être restituée au périphérique ayant réalisé la requete par la passerelle/routeur/box.

Lorsqu'un parefeu est en place et bien paramétré, en aucun cas un serveur/ IP externe ne doit initier un trafic entrant qui ne serait pas lié à une requête préalable, que l'UPnP soit activé ou pas ! Au mieux le protocole/port de communication est invisible, au pire il devrait apparaitre comme fermé à la communication.

L'UPnP va d'abord faciliter la découverte des périphériques et services disponibles sur le réseau local et ensuite leur accès à Internet et je répète que la fragilité qu'il introduit se situe principalement là : le controle de ce qui sort de ton réseau.

 

Citation

 

Et bien justement, c’est pas ici que tu trouveras un membre actif ou de la modération qui conseillera l’utilisation de l’upnp...


 

Par contre, tu ne peux pas dire de manière aussi simpliste et approximative que le protocole UPnP va ouvrir à tout va ton réseau local aux hordes d'IP et serveurs malveillants : c'est faux, c'est de la caricature voire de la désinformation.

Il faudra que tu expliques aux utilisateurs moins experts (il y en a je t'assure...sinon ce forum n'existerait pas) pourquoi l'UPnP est intégré à toutes les box et routeurs du marché y compris les modèles de chez Synology.

Je réitère donc mon propos : je ne suis pas un intégriste de l'UPnP (lol). Je dis juste que son activation sur le réseau de Mme Michu ne me choque pas au sens ou il lui permettra de plus facilement installer sa smart TV, sa Xbox, sa platine bluray ou son lecteur multimédia DLNA et son PC.

Pour autant il s'agira bien d'activer son parefeu et de paramétrer au niveau de chaque périphérique quand et pourquoi il devra accéder à Internet, afin de limiter les risques.

PS : je persiste, je ne suis pas à l'origine de ce sujet et n'ai pas donné mon accord pour sa création. Soit Einstein le supprime, soit il le met à son nom à lui : "UPnP or not UPnP par Einstein". J'imagine qu'il le supprimera comme tous les autres posts ou la contradiction lui est apportée.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.