Следует ли изменить конфигурацию ufw по умолчанию, разрешающую mDNS и UPnP для обнаружения служб?

Question

Следует ли изменить конфигурацию ufw по умолчанию, разрешающую mDNS и UPnP для обнаружения служб?

Файлы конфигурации ufw по умолчанию в Ubuntu 18.04 ( /etc/ufw/before.rules и /etc/ufw/before6.ruls ) допускают обнаружение служб для UPnP и mDNS.

Файл /etc/ufw/before.rules

      ...
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

# allow MULTICAST UPnP for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT
...

Файл /etc/ufw/before6.rules

      ...
# allow MULTICAST mDNS for service discovery
-A ufw6-before-input -p udp -d ff02::fb --dport 5353 -j ACCEPT

# allow MULTICAST UPnP for service discovery
-A ufw6-before-input -p udp -d ff02::f --dport 1900 -j ACCEPT
...

Я читал несколько статей, в которых говорится, что UPnP сопряжен с рисками для безопасности. Должен ли я отключить эти правила? В таком случае достаточно их закомментировать или мне нужно изменить ACCEPT на DROP или REJECT ?

Заранее спасибо за любую подсказку.

0

ufw upnp mdns

Источник

Romualdo Caruso 09 июн '22 в 14:13

2 ответа

Другие вопросы по тегам ufw upnp mdns

Thomas Ward 13 июн '22 в 18:40 2022-06-13 18:40 · Answer 1 · 2022-06-13 18:40

На самом деле вопрос здесь в том, нужен ли вам UPnP?

Если вам нужен UPnP по какой-то логической причине, то можно оставить эти правила в покое. Однако вы можете закомментировать их, как вы указали, если вам не нужно или вы не хотите, чтобы обнаружение службы UPnP работало.

В большинстве сетей UPnP больше не включен по умолчанию, поэтому есть некоторые меры по смягчению последствий, однако UPnP представляет собой угрозу безопасности, поскольку может открыть дыры в вашей сети, пока ваше устройство использует UPnP. Обычно лучше оставить UPnP отключенным. Однако имейте в виду, что 18.04 тоже 4 года и ufwзначения по умолчанию могли измениться с 18.04, поэтому обоснование этого предложенного вами вопроса может больше не применяться в более поздних выпусках Ubuntu.

Romualdo Caruso 13 июн '22 в 18:10 2022-06-13 18:10 · Answer 2 · 2022-06-13 18:10

Для второй части вопроса достаточно их закомментировать, потому что в этом случае эти пакеты продолжают свою фильтрацию по цепочке ufw-after-input , затем по цепочке ufw-skip-to-policy-input , которая в итоге отбрасывается . их.

0

Источник

Romualdo Caruso 13 июн '22 в 18:10