Reklama
Po americkej bezpečnostnej firme sú milióny prepínačov, smerovačov a firewallov potenciálne zraniteľné voči únosu a odpočúvaniu Rapid7 objavil vážny problém s tým, ako sú tieto zariadenia nakonfigurované.
Problém – ktorý sa týka domácich aj firemných používateľov – sa nachádza v nastaveniach NAT-PMP, ktoré umožňujú externým sieťam komunikovať so zariadeniami fungujúcimi v lokálnej sieti.
V upozornení na zraniteľnosť Rapid7 našiel 1,2 milióna zariadení, ktoré trpia nesprávne nakonfigurovanými nastaveniami NAT-PMP, pričom 2,5 % je zraniteľných voči útočníkovi. zachytenie internej prevádzky, 88 % v prípade útočníka zachytávajúceho odchádzajúce prenosy a 88 % v prípade útoku odmietnutia služby v dôsledku tohto zraniteľnosť.
Zaujíma vás, čo je NAT-PMP a ako sa môžete chrániť? Pre viac informácií čítajte ďalej.
Čo je NAT-PMP a prečo je užitočný?
Vo svete existujú dva druhy IP adries. Prvým sú interné IP adresy. Tieto jedinečne identifikujú zariadenia v sieti a umožňujú zariadeniam v rámci siete LAN navzájom komunikovať. Sú tiež súkromné a môžu ich vidieť a pripojiť sa k nim iba ľudia vo vašej internej sieti.
A potom tu máme verejné IP adresy. Sú základnou súčasťou fungovania internetu a umožňujú rôznym sieťam navzájom sa identifikovať a navzájom sa spojiť. Problém je v tom nestačí IPv4 adresy (dominantný systém IP adries – IPv6 ho zatiaľ nenahradil IPv6 vs. IPv4: Mali by ste sa starať (alebo robiť čokoľvek) ako používateľa? [MakeUseOf Explains]V poslednej dobe sa veľa hovorí o prechode na IPv6 a o tom, ako to prinesie veľa výhod pre internet. Ale táto "novinka" sa stále opakuje, pretože vždy dôjde k... Čítaj viac ) obísť. Najmä keď vezmeme do úvahy stovky miliónov počítačov, tabletov, telefónov a Internet vecí Čo je internet vecí?Čo je to internet vecí? Tu je všetko, čo o tom potrebujete vedieť, prečo je to také vzrušujúce a niektoré riziká. Čítaj viac spotrebiče plávajúce okolo.
Takže musíme použiť niečo tzv Preklad sieťových adries (NAT). Vďaka tomu ide každá verejná adresa oveľa ďalej, pretože jedna môže byť spojená s viacerými zariadeniami v súkromnej sieti.
Ale čo ak máme službu – ako napr webový server Ako nastaviť webový server Apache v 3 jednoduchých krokochNech už je dôvod akýkoľvek, možno budete chcieť v určitom okamihu spustiť webový server. Či už si chcete dať vzdialený prístup k určitým stránkam alebo službám, chcete získať komunitu... Čítaj viac alebo a súborový server Ako nastaviť váš server FreeNAS na prístup k vašim súborom odkiaľkoľvekFreeNAS je bezplatný, open source operačný systém založený na BSD, ktorý dokáže premeniť akýkoľvek počítač na pevný súborový server. Dnes vás prevediem základnou inštaláciou, nastavením jednoduchého zdieľania súborov,... Čítaj viac – bežiaci na sieti, ktorú by sme chceli vystaviť väčšiemu internetu? Na to by sme museli použiť niečo s názvom Network Address Translation – Port Mapping Protocol (NAT-PMP).
Tento otvorený štandard bol vytvorený okolo roku 2005 spoločnosťou Apple a bol navrhnutý tak, aby značne zjednodušil proces mapovania portov. NAT-PNP možno nájsť na celom rade zariadení, vrátane tých, ktoré nemusia byť nevyhnutne vyrobené spoločnosťou Apple, ako sú zariadenia vyrábané spoločnosťami ZyXEL, Linksys a Netgear. Niektoré smerovače, ktoré to natívne nepodporujú, môžu tiež získať prístup k NAT-PMP prostredníctvom firmvéru tretích strán, ako napr. DD-WRT Čo je DD-WRT a ako môže z vášho smerovača urobiť supersmerovačV tomto článku vám ukážem niektoré z najlepších funkcií DD-WRT, ktoré, ak sa ich rozhodnete využiť, vám umožnia premeniť váš vlastný router na supersmerovač... Čítaj viac , Paradajka a OpenWRT.
Takže sme pochopili, že NAT-PMP je dôležitý. Ale ako môže byť zraniteľný?
Ako funguje zraniteľnosť
The RFC, ktorý definuje ako NAT-PMP dielo hovorí toto:
Brána NAT NESMIE akceptovať požiadavky na mapovanie určené na externú IP adresu brány NAT alebo prijaté na jej externom sieťovom rozhraní. Povolené by mali byť iba pakety prijaté na internom rozhraní (rozhraniach) s cieľovou adresou, ktorá sa zhoduje s internou adresou (adresami) brány NAT.
Takže, čo to znamená? V skratke to znamená, že zariadenia, ktoré nie sú v lokálnej sieti, by nemali mať možnosť vytvárať pravidlá pre smerovač. Zdá sa to rozumné, však?
Problém nastáva, keď smerovače ignorujú toto cenné pravidlo. Čo, zdá sa, robí 1,2 milióna z nich.
Následky môžu byť vážne. Ako už bolo spomenuté, prenos odosielaný z napadnutých smerovačov môže byť zachytený, čo môže viesť k úniku údajov a krádeži identity. Takže, ako to napravíte?
Aké zariadenia sú ovplyvnené?
Na túto otázku je ťažké odpovedať. Rapid7 to nedokázal definitívne dokázať, ktorých smerovačov sa to týkalo. Z posúdenia zraniteľnosti:
Počas počiatočného objavenia tejto zraniteľnosti a ako súčasť procesu odhalenia sa o to pokúsili laboratóriá Rapid7 identifikovať, ktoré konkrétne produkty podporujúce NAT-PMP boli zraniteľné, avšak toto úsilie neprinieslo obzvlášť užitočné výsledky výsledky.... z dôvodu technickej a právnej zložitosti odhaľovania skutočnej identity zariadení na verejnom internete áno Je celkom možné, možno dokonca pravdepodobné, že tieto chyby zabezpečenia sú prítomné v obľúbených produktoch v predvolenom nastavení alebo podporované konfigurácie.
Takže sa musíte trochu pohrabať. Tu je to, čo musíte urobiť.
Ako zistím, že som ovplyvnený?
Najprv sa musíte prihlásiť do smerovača a pozrieť sa na nastavenia konfigurácie cez jeho webové rozhranie. Vzhľadom na to, že existujú stovky rôznych smerovačov, z ktorých každý má radikálne odlišné webové rozhrania, poskytovanie rád pre konkrétne zariadenia je tu takmer nemožné.
Podstata je však takmer rovnaká vo väčšine domácich sieťových zariadení. Najprv sa musíte prihlásiť do administračného panela vášho zariadenia cez webový prehliadač. Pozrite si používateľskú príručku, ale smerovače Linksys sú zvyčajne dostupné z adresy 192.168.1.1, čo je ich predvolená adresa IP. Podobne aj D-Link a Netgear používajú 192.168.0.1 a Belkin 192.168.2.1.
Ak si stále nie ste istí, môžete to nájsť prostredníctvom príkazového riadku. V OS X spustite:
route -n získať predvolené
„Brána“ je váš smerovač. Ak používate modernú distribúciu Linuxu, skúste spustiť:
ip zobrazenie trasy
V systéme Windows otvorte súbor Príkazový riadok Príkazový riadok systému Windows: Jednoduchší a užitočnejší, ako si myslítePríkazy nezostali vždy rovnaké, v skutočnosti boli niektoré vymazané, zatiaľ čo iné novšie príkazy prišli, dokonca aj so systémom Windows 7. Tak prečo by sa niekto chcel obťažovať klikaním na štart... Čítaj viac a zadajte:
ipconfig
Opäť platí, že IP adresa pre „bránu“ je tá, ktorú chcete.
Po získaní prístupu k administračnému panelu smerovača si prezerajte nastavenia, kým nenájdete tie, ktoré sa týkajú prekladu sieťových adries. Ak uvidíte niečo, čo hovorí niečo ako „Povoliť NAT-PMP na nedôveryhodných sieťových rozhraniach“, vypnite to.
Rapid7 tiež prinútil koordinačné centrum tímu pre počítačovú núdzovú reakciu (CERT/CC), aby sa začalo zužovať zoznam zariadení, ktoré sú zraniteľné, s cieľom v spolupráci s výrobcami zariadení vydať a opraviť.
Dokonca aj smerovače môžu byť bezpečnostnými chybami
Bezpečnosť našich sieťových zariadení často považujeme za samozrejmosť. A napriek tomu táto zraniteľnosť ukazuje, že bezpečnosť zariadení, ktoré používame na pripojenie k internetu, nie je istota.
Ako vždy by som rád počul váš názor na túto tému. Dajte mi vedieť, čo si myslíte v poli komentárov nižšie.
Matthew Hughes je vývojár softvéru a spisovateľ z Liverpoolu v Anglicku. Málokedy ho nájdeme bez šálky silnej čiernej kávy v ruke a svoj Macbook Pro a fotoaparát úplne zbožňuje. Jeho blog si môžete prečítať na http://www.matthewhughes.co.uk a sledujte ho na twitteri na @matthewhughes.
