reklama
Po americké bezpečnostní firmě jsou miliony přepínačů, směrovačů a bran firewall potenciálně zranitelné vůči únosu a odposlouchávání Rapid7 objevil vážný problém s konfigurací těchto zařízení.
Tento problém, který ovlivňuje domácí i firemní uživatele, se nachází v nastaveních NAT-PMP používaných k umožnění externích sítí komunikovat se zařízeními pracujícími v místní síti.
V poradci ohledně zranitelnosti našel Rapid7 1,2 milionu zařízení, která trpí chybně nakonfigurovaným nastavením NAT-PMP, s 2,5% zranitelností vůči útočníkovi zachycení interního provozu, 88% útočníkovi zachycení odchozího provozu a 88% útoku odmítnutí služby v důsledku tohoto zranitelnost.
Zajímá vás, co je to NAT-PMP a jak se můžete chránit? Pro více informací si přečtěte dále.
Co je to NAT-PMP a proč je to užitečné?
Na světě existují dva druhy IP adres. První je interní IP adresa. Tito jedinečně identifikují zařízení v síti a umožňují zařízením v síti LAN komunikovat mezi sebou. Jsou také soukromé a vidí je a mohou se k nim připojit pouze lidé ve vaší interní síti.
A pak máme veřejné IP adresy. Toto je hlavní část fungování internetu a umožňuje různým sítím vzájemně se identifikovat a vzájemně se propojovat. Problém je, že nestačí IPv4 adresy (dominantní systém adresování IP - IPv6 jej dosud nenahradil IPv6 vs. IPv4: Měli byste se jako uživatel starat (nebo něco)? [MakeUseOf vysvětluje]V poslední době se hodně mluví o přechodu na IPv6 a o tom, jak to přinese mnoho výhod pro internet. Ale tato „zpráva“ se neustále opakuje, protože vždy existuje příležitost ... Přečtěte si více ) jít okolo. Obzvláště když vezmeme v úvahu stovky milionů počítačů, tabletů, telefonů a Internet věcí Co je to internet věcí?Co je to internet věcí? Zde je vše, co o něm potřebujete vědět, proč je to tak vzrušující a některá rizika. Přečtěte si více spotřebiče plovoucí kolem.
Takže musíme použít něco, čemu se říká Překlad síťových adres (NAT). Díky tomu každá veřejná adresa jde mnohem dále, protože jeden může být spojen s více zařízeními v soukromé síti.
Ale co když máme službu - jako webový server Jak nastavit webový server Apache ve 3 snadných krocíchAť už je důvod jakýkoli, můžete někdy chtít spustit webový server. Ať už se chcete dát vzdálený přístup k určitým stránkám nebo službám, chcete získat komunitu ... Přečtěte si více nebo a souborový server Jak nastavit server FreeNAS pro přístup k souborům odkudkoliFreeNAS je bezplatný, otevřený zdrojový operační systém založený na BSD, který dokáže z jakéhokoli PC vytvořit souborový server s pevnou základnou. Dnes vás provedu základní instalací, nastavením jednoduchého sdílení souborů, ... Přečtěte si více - běží na síti, kterou bychom chtěli vystavit většímu internetu? K tomu je třeba použít něco, co se nazývá Překlad síťových adres - protokol mapování portů (NAT-PMP).

Tento otevřený standard byl vytvořen kolem roku 2005 společností Apple a byl navržen tak, aby proces mapování portů byl mnohem snazší. NAT-PNP lze nalézt na celé řadě zařízení, včetně těch, která nemusí být nutně vyrobena společností Apple, jako jsou zařízení vyráběná společnostmi ZyXEL, Linksys a Netgear. Některé směrovače, které to nativně nepodporují, mohou také získat přístup k NAT-PMP prostřednictvím firmwarů třetích stran, například DD-WRT Co je DD-WRT a jak to může udělat váš router do super-routeruV tomto článku vám ukážu některé z nejlepších funkcí DD-WRT, které, pokud se rozhodnete využít, vám umožní transformovat svůj vlastní router na super-router ... Přečtěte si více , Tomato a OpenWRT.
Zjistili jsme tedy, že NAT-PMP je důležitý. Ale jak to může být zranitelné?
Jak zranitelnost funguje
RFC, který definuje jak NAT-PMP práce říká toto:
Brána NAT MUSÍ akceptovat mapovací žádosti určené na externí IP adresu NAT brány nebo přijaté na jejím externím síťovém rozhraní. Povoleny by měly být pouze pakety přijaté na interním rozhraní (rozhraních) s cílovou adresou odpovídající interní adrese (adresám) brány NAT.
Co to znamená? Zkrátka to znamená, že zařízení, která nejsou v místní síti, by neměla být schopna vytvářet pravidla pro router. Vypadá to rozumně, že?
Problém nastává, když směrovače toto cenné pravidlo ignorují. Což podle všeho činí 1,2 milionu.
Důsledky mohou být závažné. Jak již bylo zmíněno, přenos odeslaný z ohrožených směrovačů může být zachycen, což může vést k úniku dat a krádeži identity. Jak to tedy opravit?
Která zařízení jsou ovlivněna?
Na tuto otázku je těžké odpovědět. Rapid7 nebyl schopen definitivně prokázat, jaké směrovače byly ovlivněny. Z posouzení zranitelnosti:
Během počátečního objevení této chyby zabezpečení a v rámci procesu zveřejnění se pokusily laboratoře Rapid7 identifikovat, které konkrétní produkty podporující NAT-PMP byly zranitelné, avšak toto úsilí nepřineslo zvláště užitečné Výsledek. … Vzhledem k technickým a právním složitostem při odhalování skutečné identity zařízení na veřejném internetu to je je zcela možné, možná dokonce pravděpodobné, že tyto chyby zabezpečení jsou ve výchozím nastavení nebo podporovány v populárních produktech konfigurace.
Takže se musíte trochu kopat. Zde je to, co musíte udělat.
Jak zjistím, že jsem zasažen?
Nejprve se musíte přihlásit do routeru a podívat se na nastavení konfigurace prostřednictvím webového rozhraní. Vzhledem k tomu, že existují stovky různých směrovačů, každý s radikálně odlišnými webovými rozhraními, není zde možné poskytovat rady specifické pro dané zařízení.
Podstata je však ve většině domácích síťových zařízení téměř stejná. Nejprve se musíte přihlásit do administračního panelu zařízení pomocí webového prohlížeče. Zkontrolujte si uživatelskou příručku, ale směrovače Linksys jsou obvykle dostupné od 192.168.1.1, což je jejich výchozí IP adresa. Podobně D-Link a Netgear používají 192.168.0.1 a Belkin 192.168.2.1.
Pokud si stále nejste jisti, najdete jej pomocí příkazového řádku. V OS X spusťte:
route -n dostat výchozí
„Brána“ je váš router. Pokud používáte moderní linuxové distro, zkuste spustit:
ip route show
Ve Windows otevřete Příkazový řádek Příkazový řádek systému Windows: jednodušší a užitečnější, než si myslítePříkazy ne vždy zůstaly stejné, ve skutečnosti některé byly vyhozeny do koše, zatímco přišly další novější příkazy, dokonce i ve Windows 7. Tak proč by se někdo chtěl obtěžovat kliknutím na začátek ... Přečtěte si více a zadejte:
ipconfig
IP adresa brány je opět ta, kterou chcete.
Jakmile získáte přístup k administračnímu panelu routeru, nechte se v nastaveních probodnout, dokud nenajdete ta, která se týkají překladu síťových adres. Pokud uvidíte něco, co říká něco jako „Povolit NAT-PMP na nedůvěryhodných síťových rozhraních“, vypněte jej.
Rapid7 také dostal počítačový pohotovostní tým týmové koordinační centrum (CERT / CC), aby začal zužovat seznam zařízení, která jsou zranitelná, s cílem spolupracovat s výrobci zařízení při vydávání a opravit.
Dokonce i směrovače mohou být bezpečnostními chybami
Zabezpečení našeho síťového vybavení často považujeme za samozřejmost. Tato chyba zabezpečení však ukazuje, že zabezpečení zařízení, která používáme pro připojení k internetu, není jistota.
Jako vždy bych rád slyšel vaše myšlenky na toto téma. Dejte nám vědět, co si myslíte v níže uvedeném komentáři.
Matthew Hughes je vývojář a spisovatel softwaru z anglického Liverpoolu. Málokdy je nalezen bez šálku silné černé kávy v ruce a absolutně zbožňuje svůj Macbook Pro a fotoaparát. Jeho blog si můžete přečíst na adrese http://www.matthewhughes.co.uk a následujte ho na twitteru na @ matthewhughes.