miniupnpd will assign the IP address of the local network to the client.
Não, o UPnP não atribui endereços IP (o DHCP faz isso). O UPnP neste contexto adiciona mapeamentos , regras de firewall que permitem conexões através do NAT. Isso em geral é uma ideia perigosa, seja em secure_mode
ou não:
- Chris Hoffman, O UPnP é um risco de segurança?
- Andy Green, O que é o UPnP & Por que é perigoso?
# Secure Mode, UPnP clients can only add mappings to their own IP
Embora as restrições de acesso não permitam conexões a portas baixas (portas conhecidas ou de sistema, < 1024) na rede local, elas não protegem nada que esteja escutando em outras portas. O secure_mode = yes
verifica se o cliente está solicitando uma regra de firewall para si mesmo.
Cenário com secure_mode = no
:
- Alguém encomenda um Smart Dishwasher da China, incorporado com um malware. Ele está conectado à rede da sua empresa usando Wi-Fi e possui endereço IP atribuído por DHCP
192.168.0.196
. - Você tem um servidor da Web interno na porta HTTP alternativa 8080,
http://192.168.0.20:8080/
. - A lava-louças solicita que seu miniupnpd permita o acesso a
192.168.0.20:8080
. - Todos têm acesso ao seu servidor da web interno.
Com secure_mode = yes
, o diswasher tem que fazer algo mais ativo, por exemplo, executar como um proxy reverso ou realmente roubar os dados e enviá-lo embora. A máquina de lavar louça também pode ser qualquer dispositivo BYOD!