SNMP vs UPnP

Dominique ROUSSEAU a formulé ce mercredi :

ZeroConf ?
(qui s'appelle RendezVous chez Apple, il me semble)

C'est bien mais très basique,
en gros ça veut dire qu'il y a un serveur DHCP et du multicast DNS.

Pas de port fowarding içi.
Et pour le moment, avec certains softs qui ne sont pas NAT-friendly,
seul l'upnp permet de résoudre les problèmes (sans analyser le corps
des packets).

--
[moua]

Le Wed, 15 Dec 2004 12:08:23 +0100, DavidB a écrit :

Pas de port fowarding içi.
Et pour le moment, avec certains softs qui ne sont pas NAT-friendly,
seul l'upnp permet de résoudre les problèmes (sans analyser le corps
des packets).

Je trouve ça super pratique (du point de vue d'un attaquant) d'avoir un
device qui me permet de mettre en place du port forwarding à la demande.
J'dis ça, j'dis rien...


--
BOFH excuse #87:

Password is too complex to decrypt

Cedric Blancher avait prétendu :

Je trouve ça super pratique (du point de vue d'un attaquant) d'avoir un
device qui me permet de mettre en place du port forwarding à la demande.
J'dis ça, j'dis rien...

Il faut déjà avoir accès au pc concerné pour mettre en place le port
fowarding
vers celui-çi.
Si tu a réussi a lancer un programme qui a accès au net sur cet
ordinateur,
c'est qu'il y a des moyens d'y accéder.

Seul l'uPnP permet de faire transiter un fichier directement entre 2 PC
NATé,
sans avoir de conaissance réseau particulière.

--
[moua]

Le Wed, 15 Dec 2004 13:09:12 +0100, DavidB a écrit :

Il faut déjà avoir accès au pc concerné pour mettre en place le port
fowarding vers celui-çi.

Pas besoin d'y avoir accès pour exécuter du code dessus. Les gesn qui
répandent des spywares le font de manière très efficace sans avoir pour
auatnt d'accès à la machine.

Si tu a réussi a lancer un programme qui a accès au net sur cet
ordinateur, c'est qu'il y a des moyens d'y accéder.

C'est juste qu'il communique avec l'extérieur. Implanter du code avec,
par exemple la faille IFRAME ou la GDI, me permettrait de reconfigurer le
firewall pour, maintenant, avoir accès direct à la machine, alors
qu'avant, je ne l'avais pas.

Seul l'uPnP permet de faire transiter un fichier directement entre 2 PC
NATé, sans avoir de conaissance réseau particulière.

Certes, certes, mais à quel prix ?


--
Vous vous rappeller il y a 6 mois environ quant je vous avez dit qu'un
system permettant de jouer au jeu play sur DC serait commercialiser.
TOUT LE MONDE S'EST FOUTU DE MA GUELLE.Beaucoup on dit que j'étais fou.
-+- ? in GPJ: Ni rancunier, paranoïaque, ou vantard. Tel suis-je. -+-

Il se trouve que Cedric Blancher a formulé :

Pas besoin d'y avoir accès pour exécuter du code dessus. Les gesn qui
répandent des spywares le font de manière très efficace sans avoir pour
auatnt d'accès à la machine.

Par y avoir accès, je voulais dire que tu avais réussi à lancer ton
code dessus,
peut importe le moyen.

C'est juste qu'il communique avec l'extérieur. Implanter du code avec,
par exemple la faille IFRAME ou la GDI, me permettrait de reconfigurer le
firewall pour, maintenant, avoir accès direct à la machine, alors
qu'avant, je ne l'avais pas.

Sans l'uPnP, si tu arrive à lancer du code,
tu peut demander au PC de se connecter à un serveur qui le controllera
à distance.
Avec l'uPnP c'est plus pratique, pas besoin de serveur distant (le PC
faisant lui même serveur).
Mais ça ne fait pas une grosse différence.

Certes, certes, mais à quel prix ?

Au prix d'avoir un PC qui agit presque comme s'il étais connecté
directement au net
(rien ne l'empeche d'avoir tout de même un firewall), mais en étant
derrière un routeur.

Je comprend que l'on soit rétissent, mais si c'est le seul moyen pour
transférer un fichier
ou une vidéo (sans passer par un supernode superlent), alors pourquoi
pas ?
Tant que le firewall/antivirus/patch pas trop ancien suivent derrière.

--
[moua]

Dominique ROUSSEAU a formulé ce mercredi :

ZeroConf ?
(qui s'appelle RendezVous chez Apple, il me semble)

C'est bien mais très basique,
en gros ça veut dire qu'il y a un serveur DHCP et du multicast DNS.

Le DHCP, c'est une autre façon de faire.
Zeroconf a justement pour but de se passer de serveur DHCP, en utilisant
des adresses "link local". Et oui, le multicast DNS fait partie des
éléments nécessaires pour Zeroconf.

Pas de port fowarding içi.
Et pour le moment, avec certains softs qui ne sont pas NAT-friendly,
seul l'upnp permet de résoudre les problèmes (sans analyser le corps
des packets).

Oui, upnp couvre aussi ces aspects là.


Dom

Thierry wrote:

Bonjour,

Je m'interesse a ces 2 protocoles pour gerer la configuration d'une borne
WiFi.
Apparement les 2 se recoupent et ont le même but.
Quelques questions:
- pour quelles raisons UPnP a vu le jour alors que SMNP existait depuis
longtemps ?
Navré, sais pas, jamais eu besoin et comme je fonctionne selon le mode <<

voici mon besoin qu'existe-t-il dans ce domaine qui me permette de ne pas
réinventer la roue ? >> jamais utilisé.
Faudrait qu'on m'explique dans quels cas de figure on ne peut VRAIMENT PAS
se passer d'uPnP et là j'aviserai.

Du reste jamais rencontré sur des équipements réseaux fixes tels que 3com,
Nortel, Cisco, Foundry, Juniper, etc.
3Com et Cisco font partie du forum uPnP et je crois que ce protocole est
présent dans les éléments sans-fils de leur gamme mais je ne vois toujours
pas quand on doit y recourir.

- y'a t-il des OID SNMP spécifiques au WiFi (SSID, mode de cryptage, ...)
Oui, bien entendu, il y a une MIB 802.11 qui fait partie des spec. Voir un

extrait en fin de post.
Mais dans la pratique comme elle est calquée sur la structure du standard et
vraiment pas sur la réalité des implantations...., les constructeurs lui
préfèrent, en général, une extension des MIB classiques (MIBII, MIB Host).
Symbol fut le pionnier dans ce domaine. On retrouve(ait) des restes de la
MIB Symbol dans certaines gammes (3com).

ou y a t'il des specifications en cours ? Pour les quelques AP testées il
s'agit d'OID proprietaires.

db
-- **********************************************************************
-- * Major sections
-- **********************************************************************
-- Station ManagemenT (SMT) Attributes
-- DEFINED AS "The SMT object class provides the necessary support at
the
-- station to manage the processes in the station such that the
-- station may work cooperatively as a part of an IEEE 802.11
network.";

dot11smt OBJECT IDENTIFIER ::= {ieee802dot11 1}

-- dot11smt GROUPS
-- dot11StationConfigTable ::= {dot11smt 1}
-- dot11AuthenticationAlgorithmsTable ::= {dot11smt 2}
-- dot11WEPDefaultKeysTable ::= {dot11smt 3}
-- dot11WEPKeyMappingsTable ::= {dot11smt 4}
-- dot11PrivacyTable ::= {dot11smt 5}
-- dot11SMTnotification ::= {dot11smt 6}

-- MAC Attributes
-- DEFINED AS "The MAC object class provides the necessary support
-- for the access control, generation, and verification of frame check
-- sequences, and proper delivery of valid data to upper layers.";

dot11mac OBJECT IDENTIFIER ::= {ieee802dot11 2}

-- MAC GROUPS
-- reference IEEE Std 802.1f-1993
-- dot11OperationTable ::= {dot11mac 1}
-- dot11CountersTable ::= {dot11mac 2}
-- dot11GroupAddressesTable ::= {dot11mac 3}

-- Resource Type ID
dot11res OBJECT IDENTIFIER ::= {ieee802dot11 3}
dot11resAttribute OBJECT IDENTIFIER ::= {dot11res 1 }

-- PHY Attributes
-- DEFINED AS "The PHY object class provides the necessary support
-- for required PHY operational information that may vary from PHY
-- to PHY and from STA to STA to be communicated to upper layers."

dot11phy OBJECT IDENTIFIER ::= {ieee802dot11 4}

-- phy GROUPS
-- dot11PhyOperationTable ::= {dot11phy 1}
-- dot11PhyAntennaTable ::= {dot11phy 2}
-- dot11PhyTxPowerTable ::= {dot11phy 3}
-- dot11PhyFHSSTable ::= {dot11phy 4}
-- dot11PhyDSSSTable ::= {dot11phy 5}
-- dot11PhyIRTable ::= {dot11phy 6}
-- dot11RegDomainsSupportedTable ::= {dot11phy 7}
-- dot11AntennasListTable ::= {dot11phy 8}
-- dot11SupportedDataRatesTxTable ::= {dot11phy 9}
-- dot11SupportedDataRatesRxTable ::= {dot11phy 10}


--
email : usenet blas net

Dominique Blas avait énoncé :

Faudrait qu'on m'explique dans quels cas de figure on ne peut VRAIMENT PAS
se passer d'uPnP et là j'aviserai.

Pour la VoIP par exemple, faire du SIP en P2P est impossible si les 2
personnes sont derrières un simple NAT.
Donc à part faire du tunneling ou passer par un serveur indermédiaire
(bonjour
les ressources utilisés sur ce serveur et les vitesses de transferts
s'il y a beaucoup de monde...).

Par exemple avec Skype (qui marche quasiment partout, peut importe la
configuration du réseau
des 2 personnes) certains utilisateurs sont automatiquement mis en
supernode,
et 2 personnes NATés doivent passer par son intermédiaire pour
communiquer ensembles.

Quelques infos dessus (trouvé vite fait) :
http://www.voip-info.org/wiki-Nat+and+VOIP

Un autre cas similaire : les logiciels comme msn messenger, lors du
transfert d'un fichier,
si les 2 personnes sont NATés sans Upnp le client utilise un serveur de
MS comme intermédiaire,
ça marche, mais c'est horriblement lent et prend tout de même des
ressources considérables chez MS.

--
[moua]

Bonjour,

Dominique Blas a écrit :

- y'a t-il des OID SNMP spécifiques au WiFi (SSID, mode de cryptage,
...)
dot11smt OBJECT IDENTIFIER ::= {ieee802dot11 1}

Ok, j'ai telechargé les MIB supplementaires sur le site de GetIF, dont le
fameux EEE802dot11-MIB. Pb: il y a une erreur au chargement de ce fichier:
Too many textual conventions(OCTETSTRING): At line 62 in F:Getif
2.3.1mibs/IEEE802dot11-MIB-V1SMI.MIB
:(is a reserved word): At line 62 in F:Getif 2.3.1mibs/IEEE802dot11-MIB-
V1SMI.MIB
Bad operator((): At line 62 in F:Getif 2.3.1mibs/IEEE802dot11-MIB-
V1SMI.MIB
Une idée ? Ce n'est a priori pas un pb de dependances et c'est le même
qu'on trouve sur le FTP de Cisco
(ftp://ftp.cisco.com/pub/mibs/v1/IEEE802dot11-MIB-V1SMI.my)

J'arrive pas a trouver le MIB officiel sur le site d'IEEE.

Les MIB de ma borne Cisco ont l'air de correspondre a ceux du fichier, par
exemple 1.2.840.10036.1.1.1.9 pour le SSID.
http://asn1.elibel.tm.fr/cgi-bin/oid/display?tree=1.2.840.10036.1.1.1
(sympa ce site. c'est FT qui maintient ?)

Pourquoi ces OID se trouvent dans la branche us (840) et non pas en 3 ?

--
« Always look at the bright side of the life... »
Mon blog RSS : http://yarglah.free.fr/monblog_rss.php

DavidB wrote:

Dominique Blas avait énoncé :

Faudrait qu'on m'explique dans quels cas de figure on ne peut VRAIMENT
PAS se passer d'uPnP et là j'aviserai.

Pour la VoIP par exemple, faire du SIP en P2P est impossible si les 2
personnes sont derrières un simple NAT.
Certes mais quel est le rapport avec uPnP ?

D'une part le souci se résout si on dispose d'un full-NAT prenant en compte
le proto SIP (ou H323) et, pour Skype, il y a la posssibiltité de passer
par un supernode.
Je ne vois donc pas de uPnP à l'horizon d'autant que si le dispositif
contrôlé par uPnP ne dispose pas des fonctionnalités souhaitées (en
l'occurrence Full-NAt) il pourra toujours s'énerver à les configurer !

[...]

Un autre cas similaire : les logiciels comme msn messenger, lors du
transfert d'un fichier,
si les 2 personnes sont NATés sans Upnp le client utilise un serveur de
MS comme intermédiaire,
ça marche, mais c'est horriblement lent et prend tout de même des
ressources considérables chez MS.
Ca c'est leur problème, ils n'avaient qu'à bien penser leur Messenger, le

P2P ce n'est pas fait pour les chiens.
Et qu'apporte donc uPnP dans cette histoire ? Le P2P justement ?

db


--
email : usenet blas net