Portfreigabe fürs Gaming heutzutage noch nötig?

[Raijin]

Bezüglich Schadsoftware und UPnP:

Was ihr dabei vergesst ist, dass Schadsoftware nicht gleich Schadsoftware ist. Solche, die zB Daten verschlüsselt (Ransomware) backt sich ein Ei auf UPnP. Aber ein Trojaner, der mal eben eine Hintertür ins System einbaut, nutzt sehr wohl UPnP.

Fakt ist, dass UPnP stark umstritten ist. Einerseits liegt bereits ein Gefahrenpotential innerhalb von UPnP selbst, da es keinerlei Authorisierungsmechanismus gibt und somit sowohl "gute" als auch böse Software munter Ports öffnen kann. Andererseits birgt aber auch und vor allem die fehlerhafte Implementierung der meisten Routerhersteller ein enormes Risiko. Ein großer Teil der Router (zumindest im Consumer-Bereich) reagiert nämlich sogar am WAN-Port auf UPnP.....

Man sollte es sich also sehr gut überlegen, UPnP zu aktivieren bzw sollte explizit beim eigenen Routermodell prüfen ob es von oben erwähnter Sicherheitslücke betroffen ist oder ein Update verfügbar ist. Im Idealfall kann man in der GUI wenigstens UPnP auf einzelne IPs im Netzwerk zu beschränken (zB Konsole-only).

Zum eigentlichen Thema:

Portweiterleitungen sind bei Spielen eigentlich nur beim Betrieb eines eigenen Servers bzw. bei Spieler-zu-Spieler-Kommunikation ohne einen zentralen Server. Letzteres ist wie oben bereits erwähnt wurde insbesondere bei Konsolen der Fall, weil zB Voice-Chats in der Regel ohne Server arbeiten und direkt von Konsole zu Konsole gehen. Klassisches Problem dabei: Spieler X hört Spieler Y, aber nicht Spieler Z, kann aber u.U. von allen gehört werden.. Die PS4 meldet dann "Nix Voice mit Spieler, NAT-Probleme"

 

[Jesterfox]

Aber ein Trojaner, der mal eben eine Hintertür ins System einbaut, nutzt sehr wohl UPnP.

Das schafft ein Trojaner auch ohne UPnP indem er einfach von nem Control-Server pollt… mal unabhängig davon das sich UDP Verbindungen auch durch ne Firewall hinweg von außen aufbauen lassen wenn nur ein Control-Server ganz kurz bei koordinieren hilft (macht z.B. Skype so)

 

[Raijin]

Mit einem Unterschied: Mit UPnP kannst du zB SMB-Ports oder beliebige andere System-Ports im Router weiterleiten, die ansonsten Admin-Rechte voraussetzen würden.

Wir können hier gerne noch weiter darüber diskutieren, aber UPnP gilt de facto als potentielles Sicherheitsrisiko. Mit UPnP kann man sich im worst case sogar von WAN-Seite Zugriff auf System-Ports verschaffen, auch wenn das Zielsystem frei von Malware ist.

Ich hab das selbst schon in meiner "Werkstatt" ausprobiert. Über WAN auf einem betroffenen Router die SMB-Ports weitergeleitet und munter auf die Freigaben eines Laptops dahinter zugegriffen.

Natürlich müssen für einen erfolgreichen Angriff noch weitere Rahmenbedingungen erfüllt sein - zB OS-Firewall, 08/15 Passwort, etc, die ich in meinem Versuch natürlich mutwillig angepasst habe -, aber Angriffe dieser Art werden in 99% der Fälle eh nach dem Prinzip Schrotflinte auf eine IP-Range im WAN automatisch ausgeführt und abends guckt sich das Script-Kiddie gemütlich die Resultate an. Und wenn man bedenkt, dass "123456789" oder auch "password" immer noch in den Top10 der meistverwendeten Passwörter sind, ist die Trefferwahrscheinlichkeit vermutlich gar nicht so schlecht.. Und was ne Firewall tut und wofür sie da ist, wissen solche Leute auch nicht bzw. schalten sie lieber blauäugig ab, "weil sie nervt".

 

[Jesterfox]

UPnP erweitert die Möglichkeiten nach einem erfolgreichen Angriff, da geb ich dir Recht. Deswegen auch das "jein" in meinem ersten Post dazu. Aber es muss eben vorher schon ein erfolgreicher Angriff stattgefunden haben damit sich das auswirken kann (fehlerhafte UPnP Implementierungen mal außen vor... wenn es Sicherheitslücken hat kann *alles* ein Problem sein, selbst ne Firewall/Paketfilter ;-)

 

[Raijin]

fehlerhafte UPnP Implementierungen mal außen vor

Eben nicht. Man kann doch nicht ausblenden, dass ein signifikanter Teil der UPnP-Implementierungen von dieser Sicherheitslücke betroffen sind oder bei älteren Firmwares waren. Das ist ne Milchmädchenrechnung - wir streichen das größte Gefahrenpotential aus der Beurteilung und dann wird das Endergebnis plötzlich positiv?

Wenn man sich die jüngsten Meldungen über Router-Botnetze so anschaut, kann man sich denken wieviel Wert die 08/15 Hersteller auf die Sicherheit legen, inkl. UPnP.

Wie dem auch sei, jeder darf UPnP aktivieren, wenn er will. Das vorliegende Thema betreffend würden sich dadurch evtl. benötigte Ports im Router ohne Zutun des Anwenders weiterleiten. Das kann mit ein Grund sein warum sich das Umfeld des TE nie einen Kopf um Portweiterleitungen gemacht hat, weil UPnP das im Hintergrund schon längst erledigt hat - wenn überhaupt erforderlich.