Bezpieczeństwo techniki UPNP

• Autorzy: Gierszewski T. , Łoś P.

Warianty tytułu

EN

Security of UPNP technology

• Języki publikacji: PL

Abstrakty

PL

Artykuł przedstawia technikę UPnP wraz z omówieniem architektury urządzeń, a także przykładowymi scenariuszami użycia. Następnie przedstawiana jest analiza bezpieczeństwa rozwiązania, a także przykłady możliwych nadużyć potwierdzone przeprowadzonymi pracami. Wnioskiem, jaki płynie z tej analizy jest fakt braku zabezpieczeń w standardowych implementacjach, kontrastujący z rosnącą popularnością rozwiązania. Tym samym na dzień dzisiejszy technika UPnP nie może być traktowana jako bezpieczna. Dlatego w ostatniej części pracy przedstawiono mechanizmy bezpieczeństwa dedykowane dla UPnP. Ponadto omówiono sposoby pozwalające zminimalizować zagrożenie związane z eksploatacją istniejących implementacji.

EN

Paper presents UPnP technology along with its architecture and exemplary usage scenarios. Next a security analysis, based on literature and proved with own experiments, is presented along with possible exemplary abuse scenarios. According to the results obtained UPnP technology cannot be treated as a safe solution and hence the last part of the article presents a survey on security solutions dedicated to UPnP. The ways of mitigating threat related to popular insecure implementations usage is also presented.

Słowa kluczowe

PL

technika UPNP; analiza bezpieczeństwa; translacje DNAT

EN

UPnP technology; security solutions; DNAT translations

• Wydawca: Wydział Elektroniki, Telekomunikacji i Informatyki Politechniki Gdańskiej
• Czasopismo: Zeszyty Naukowe Wydziału ETI Politechniki Gdańskiej. Technologie Informacyjne
• Rocznik: 2013
• Tom: T. 21
• Strony: 21--37
• Opis fizyczny: Bibliogr. 26 poz., rys.

Twórcy

autor

Gierszewski T.

• Politechnika Gdańska, Katedra Teleinformatyki

autor

Łoś P.

• Politechnika Gdańska, Katedra Teleinformatyki

Bibliografia

• [1] Venkitaraman N.: Wide-Area Media Sharing with UPnP/DLNA, 2008.
• [2] UPnP FORUM: UPnP Device Architecture 1.0, 2008.
• [3] Miller B. A., Nixon T., Tai C., Wood M. D.: Home networking with universal plug and play, IEEE Communications Magazine, 39(12), 2001.
• [4] Cotroneo D., Graziano A., Russo S.: Security requirements in service oriented architectures for ubiquitous computing, Proceedings of the 2nd workshop on Middleware for pervasive and adhoc computing, s. 172-177, ACM, 2004.
• [5] Hemel A.: Universal Plug and Play: Dead simple or simply deadly?, 5th System Administration and Network Engineering Conference, Delft, The Netherlands, 2006.
• [6] Haque, A. A. M. M.: UPnP Networking: Architecture and Security Issues, http://www.tml.tkk.fi/Publications/C/25/papers/Haque_final.pdf, 2007, dostęp 03.2014.
• [7] Selén K.: UPnP security in Internet gateway devices. W: Publications in Telecommunications Software and Multimedia, Espoo, Finland, 2006.
• [8] Finnon A., Attacking UPnP: The useful plug and pwn protocol, Bsides Security Conference, BSidesVienna, http://finux.co.uk/slides/PlugAndPwnProtocol.pdf, 2011, dostęp 03.2014.
• [9] Moore H. D.: Security Flaws in Universal Plug and Play: Unplug, Don't Play, http://community.rapid7.com/docs/DOC-2150, 2013, dostęp 03.2014.
• [10] Łoś P.: Bezpieczeństwo protokołu UPnP, Praca dyplomowa, WETI PG, Gdańsk czerwiec 2013.
• [11] Miranda-UPnP, https://code.google.com/p/miranda-upnp/, dostęp 03.2014.
• [12] Miranda-UPnP Tool, http://code.google.com/p/mirandaupnptool/, dostęp 03.2014.
• [13] Metasploit Framework: World's most used penetration testing software, http://www.metasploit.com/, dostęp 03.2014.
• [14] Hacking the Interwebs, http://www.gnucitizen.org/blog/hacking-the-interwebs/, dostęp 03.2014
• [15] Flash UPnP Attack FAQ, http://www.gnucitizen.org/blog/flash-upnp-attack-faq/, dostęp 03.2014
• [16] Podatność CVE-2001-0877, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-0877, 2001, dostęp 03.2014.
• [17] Zhou X.: Research on the UPNP Standard Security of Digital Home, SCI-TECH Information Developmetn & Economy, Vol. 25, 2007.
• [18] Lee J. J., Huang C. Y., Lee L. Y., Lei C. L.: Design and implementation of secure communication channels over UPnP networks, IEEE International Conference on Multimedia and Ubiquitous Engineering, 2007.
• [19] UPnP FORUM: UPnP Security Ceremonies Design Document 1.0, 2003.
• [20] UPnP FORUM: UPnP SecurityConsole:1 Service Template 1.0, 2003.
• [21] UPnP FORUM: UPnP DeviceSecurity:1 Service Template 1.0, 2003.
• [22] Zheng H., Li C., Chen Z: Petri Nets Based Modeling and Analysis of UPnP Security Ceremonies, Third Pacific-Asia IEEE Conference on Circuits, Communications and System (PACCS), s. 1-4, 2011.
• [23] Islam M. Z., Hossain M. M., Haque S., Lahiry J., Bonny S. A., Uddin M. N.: User-agent based access control for DLNA devices, 6th IEEE International Conference on Knowledge and Smart Technology (KST), s. 7-11, 2014.
• [24] Pehkonen V., Koivisto J.: Secure universal plug and play network, IEEE International Conference on Information Assurance and Security, IAS, s. 11–14, 2010.
• [25] Suomalainen J., Moloney S., Koivisto J., Keinänen K.: OpenHouse: a secure platform for distributed home services, Proc. PST, s. 15–23, 2008.
• [26] Huiya Z., Yuesheng Z.: A Kerberos-based Extension for Secure Home Networks, 4th International Conference on Computer Engineering and Technology, Singapur 2012.