UPnP: tetntativi non autorizzati di accesso

[Luke]

Salve a tutti,

volevo presentare un problema che ho con lo UPnP del mio QNAP TS-109 Pro II: ogni volta che lo attivo, sotto il menu Media Station per la condivisione del folder QMultimedia, posso rilevare dai logs tentativi di accesso non autorizzati alla porta 1900. Gli attacchi provengono da Internet, gli IP non fanno parte del range della mia LAN (molto piccola, domestica) ma sembrano legati a una serie di providers, non ultimo proprio il mio, dato che gli IP in questione sono a volte contigui a quello proiettato dal mio router sulla Rete. Per come la vedo io è un tentativo di spoofing reso possibile dal protocollo UPnP: appena lo disattivo gli alert sui log non si presentano più. Data la frequenza elevata degli attacchi (a volte anche uno ogni 5 minuti, per l'intera giornata), alla fine ho deciso di disattivare la condivisione dei file multimediali mediante UPnP, ma naturalmente questo mi impedisce di usufruirne su PS3 e XBOX. Suppongo che la soluzione passi attraverso un filtro da configurare sul router ADSL (ho un DLink DGL-4300 gaming router con funzioni avanzate di QoS) ho provato a crearmene uno che bloccasse tutto il traffico in entrata e in uscita dal NAS, sembra funzionare (impedisce al NAS di contattare i server NTP) però gli attacchi continuano, perlomeno a giudicare dai log. Forse sbaglio qualcosa io. Volevo un consiglio, e chiedere come mai secondo voi questa gente non va a farsi un aperitivo anzichè tentare inutili attacchi al mio NAS...

Grazie

[edo]

Hai configurato il Router per l' accesso da remoto verso il NAS? o servizio DMZ?
UPnP è attivo anche sul Router?

[Luke]

No, non ho configurato il router per accedere al NAS dall'esterno, lo UPnP non è attivo sul router, il NAS non è in una DMZ, il firewall è attivo, però se attivo lo UPnP sul NAS ci sono questi tentativi di accesso alla porta 1900..

[edo]

Hai installato Miranda? che usa UPnP del NAS cercando di farsi aprire la 1900.
Ti serve proprio UPnP? definito, cito testualmente Wikipedia
vulnerabilità intrinseca al protocollo UPnP che permetterebbe l'utilizzo di script Flash maligni per riconfigurare a piacimento dell'attacker le periferiche UPnP. Particolarmente vulnerabili sarebbero per le loro caratteristiche i router domestici.

[Luke]

No, non ho installato Miranda. Ora sto facendo un'analisi incrociate dei log router / NAS per ottimizzare un filtro applicato direttamente alle porte usate dal protocollo UPnP. Credo sia possibile fare in modo di bloccare lo UPnP ai limiti della LAN. Nel mentre attiverò lo UPnP del NAS solo per fare questi controlli...

[ceciacd79]

Ciao, io ho appena acquistato un Ts-219P e ho riscontrato il tuo stesso problema. Sei riuscito a risolverlo?