Blokovanie UPnP na Mikrotiku

Všetko o sieťach, nastaveniach, problémoch ...
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2317
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Blokovanie UPnP na Mikrotiku

Príspevok od používateľa zoom »

Tento topic je skor pre ludi, ktori hned vedia o co ide.
Takze mame 2 Mikrotiky a mame ich prepojene cez EoIP tunel. Kazdy Mikrotik spravuje svoju siet, ale su na jednom subnete (192.168.0.x). Na zaciatku a konci tunela je teda zopar pravidiel, ktore blokuju niektore pakety, napriklad DHCP (UDP port 67-68, dst 255.255.255.255).

Potrebujem este blokovat UPnP traffic, ale neviem ho kompletne vyfiltrovat. Mam porobenych zopar pravidiel, ktorym sa aj inkrementuje counter, cize odchytia nieco, ale nakoniec vzdy aj tak nejako preklzne UPnP poziadavka zo vzdialeneho "subnetu" na druhy Mikrotik. Po internete sa da docitat mnoho, pomaly kazda stranka ma svoj nazor, ktore porty treba blokovat a niekde je to este vysperkovane v zavislosti od OS.

Momentalne skusam blokovat toto:
• dst 239.255.255.250, UDP port 1900
• TCP porty 2828, 2869 a 5000

Vsetky tieto pravidla sa aplikuju na chain forward. Je to OK, alebo by to malo byt na inpute skor?
Skumal toto uz niekto? Vie poradit dalsie porty alebo cosi?
Hexaris

Re: Blokovanie UPnP na Mikrotiku

Príspevok od používateľa Hexaris »

Ak to dobre chapem tak chain forward mas ok ak ide o prelezenie do druhej siete. Ak ide vyslovene o MT tam je jasne /ip upnp a tam offnes upnp a mozes vyhodit aj rozhrania. Tie porty mas OK aj broadcast SSDP. Jedine skusit wireshark a odsledovat co a odkial to lezie. Pripadne tools a torch.
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2317
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: Blokovanie UPnP na Mikrotiku

Príspevok od používateľa zoom »

UPnP chcem prave ponechat zapnute na obidvoch Mikrotikoch, ale tak, aby kazdy prijimal poziadavky iba od toho svojho "subnetu". No asi budem musiet nejako zachytavat tie pakety, ale je to take biedne, lebo to aj hodiny nic a nasledne *puf* a mam na Mikrotiku dynamicky dst-nat na "cudzi" pocitac.

Zatial som este skusobne pridal do filtrovania aj UDP porty s rovnakymi portami ako tie TCP z mojho zoznamu. Vynuloval som countery a uvidim, ci to nieco napocita a zablokuje.
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12261
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: Blokovanie UPnP na Mikrotiku

Príspevok od používateľa mp3turbo »

>> Vsetky tieto pravidla sa aplikuju na chain forward. Je to OK, alebo by to malo byt na inpute skor?

chain=forward sa pouziva pre traffic ktory prechadza cez Mikrotik.
chain=input sa pouziva pre traffic ktory smeruje na Mikrotik samotny (cize napriklad SSH pripojenie atd).

v kazdom z nich navyse mozes povedat in-interface= kde definujes nutnu podmienku aby prislusny paket prisiel z daneho interfejsu. Kedze mas oddelene Ethernet a EoIP, mozes tymto sposobom velmi lahko dosiahnut blokovanie cohokolvek ked pride z EoIP (teda zo vzdialenej strany) pripadne ked pochadza lokalne (kedze pride z ether1 az ether9).

upnp veci bohuzial nepoznam, priamo poradit neviem. V druhej linke na googli :) som teraz narychlo videl ze source port UPNP requestov by mohol byt 1900 takze keby som to chcel overit, dal by som jednoducho blokovat ten podla prislusnosti na in-interface. Neviem ci to naozaj funguje takto, nemam nasadene, nemam kde otestovat.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2317
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: Blokovanie UPnP na Mikrotiku

Príspevok od používateľa zoom »

No ako napisal Lukas, tak som sa trosku venoval tomu Torchu. Celkom pekna featurka. Takze som nastavil Timeout na 5 minut a nechal som to spustene pre Interface EoIP tunelu. Ked som videl, ze v NATe pribudli tie dynamicke presmerovania z daneho PC, stopol som torchovanie. Nazbieralo sa 75 zaznamov, ale kedze to nema nejaky export, tak tu len zhrniem zopar zaujimavych (pre ten konkretny pocitac):
• 7 zaznamov na destination TCP port 2828, co je jeden z UPnP portov a malo by to filtrovat uz existujuce pravidlo.
• Destination UDP 224.0.0.252:5355, podla internetu sa jedna o Windowsacke LLMNR
• Destination UDP 239.255.255.250:1900, hlavne SSDP/UPnP a malo by byt korektne blokovane existujucim pravidlom
• Destination UDP 224.0.0.253:5344, Teredo tunneling
• Destination UDP ff02::c:1900, zeby tento IPv6 zmetok nebol odfiltrovany? Musim porovnat Source IPv6 adresu s danym pocitacom.

Inak neviem, ktore z tohto by na to mohlo vplyvat. Podla tejto stranky je adresa ff0x::c prave SSDP. Problem je, ze na Mikrotiku v Bridge > Filters neviem nejako robit pravidla pre IPv6, len pre IP(v4). V System > Packages je balicek ipv6 aktivny.

Btw statistika zachytenych UPnP paketov je asi takato:
• UDP 1900 - 97 533 paketov
• TCP 5000 - 3 pakety
• UDP 5000 - 0 paketov
• TCP 2828 - 3 pakety
• UDP 2828 - 0 paketov
• TCP 2869 - 531 paketov
• UDP 2869 - 0 paketov

Na zaklade tohto som vymazal tie UDP pravidla, co som tam skusobne pridal (UDP 5000, 2828, 2869). Ocividne tam nechodi ziaden traffic.

Návrat na "Siete"