Oglas

Milijoni stikal, usmerjevalnikov in požarnih zidov so potencialno ranljivi za ugrabitev in prestrezanje, po ameriškem varnostnem podjetju Rapid7 je odkril resno težavo s tem, kako so te naprave konfigurirane.

Težavo – ki prizadene tako domače kot poslovne uporabnike – najdemo v nastavitvah NAT-PMP, ki se uporabljajo za omogočanje zunanjih omrežij za komunikacijo z napravami, ki delujejo v lokalnem omrežju.

Rapid7 je v obvestilu o ranljivosti našel 1,2 milijona naprav, ki trpijo zaradi napačno konfiguriranih nastavitev NAT-PMP, pri čemer je 2,5 % ranljivih za napadalce prestrezanje notranjega prometa, 88 % napadalec, ki prestreže odhodni promet, in 88 % napad z zavrnitvijo storitve kot posledica tega ranljivost.

Vas zanima, kaj je NAT-PMP in kako se lahko zaščitite? Za več informacij preberite naprej.

Kaj je NAT-PMP in zakaj je koristen?

Na svetu obstajata dve vrsti naslovov IP. Prvi so notranji naslovi IP. Ti edinstveno identificirajo naprave v omrežju in omogočajo napravam znotraj LAN, da komunicirajo med seboj. Ti so tudi zasebni in jih lahko vidijo in se povežejo le osebe v vašem notranjem omrežju.

instagram viewer

In potem imamo javne naslove IP. Ti so bistveni del delovanja interneta in omogočajo različnim omrežjem, da se med seboj identificirajo in povežejo. Problem je v tem ni dovolj IPv4 naslovi (prevladujoči sistem naslavljanja IP – IPv6 ga še ni nadomestil IPv6 vs. IPv4: Ali bi vam moralo biti kot uporabniku mar (ali storiti kar koli)? [MakeUseOf pojasnjuje]V zadnjem času se je veliko govorilo o prehodu na IPv6 in o tem, kako bo internet prinesel veliko koristi. Toda ta "novica" se ponavlja, saj se vedno zgodi kakšna... Preberi več ) iti naokoli. Še posebej, če upoštevamo stotine milijonov računalnikov, tablic, telefonov in Internet stvari Kaj je internet stvari?Kaj je internet stvari? Tukaj je vse, kar morate vedeti o tem, zakaj je tako vznemirljivo in nekatera tveganja. Preberi več aparati, ki lebdijo.

Torej moramo uporabiti nekaj, kar se imenuje Prevajanje omrežnih naslovov (NAT). Tako gre vsak javni naslov veliko dlje, saj je enega lahko povežemo z več napravami v zasebnem omrežju.

Kaj pa, če imamo storitev – kot a spletni strežnik Kako nastaviti spletni strežnik Apache v 3 preprostih korakihNe glede na razlog, boste morda na neki točki želeli zagnati spletni strežnik. Ne glede na to, ali si želite omogočiti oddaljeni dostop do določenih strani ali storitev, želite pridobiti skupnost ... Preberi več ali a datotečni strežnik Kako nastaviti strežnik FreeNAS za dostop do vaših datotek od koder koliFreeNAS je brezplačen, odprtokodni operacijski sistem, ki temelji na BSD, ki lahko kateri koli računalnik spremeni v trden datotečni strežnik. Danes vas bom vodil skozi osnovno namestitev, nastavitev preproste skupne rabe datotek, ... Preberi več – deluje v omrežju, ki ga želimo izpostaviti širšemu internetu? Za to bi morali uporabiti nekaj imenovanega Prevajanje omrežnih naslovov – protokol za preslikavo vrat (NAT-PMP).

usmerjevalnik-primer

Ta odprti standard je okoli leta 2005 ustvaril Apple in je bil zasnovan tako, da je proces preslikave vrat veliko lažji. NAT-PNP je mogoče najti na številnih napravah, vključno s tistimi, ki jih ni nujno izdelal Apple, kot so tiste, ki jih proizvajajo ZyXEL, Linksys in Netgear. Nekateri usmerjevalniki, ki ga izvorno ne podpirajo, lahko dobijo tudi dostop do NAT-PMP prek strojne programske opreme tretjih oseb, kot je npr. DD-WRT Kaj je DD-WRT in kako lahko vaš usmerjevalnik naredi v super usmerjevalnikV tem članku vam bom pokazal nekaj najbolj kul funkcij DD-WRT, ki vam bodo, če se odločite za uporabo, omogočile preoblikovanje lastnega usmerjevalnika v super usmerjevalnik ... Preberi več , Tomato in OpenWRT.

Torej, razumemo, da je NAT-PMP pomemben. Toda kako je lahko ranljiv?

Kako deluje ranljivost

The RFC, ki določa, kako NAT-PMP dela pravi takole:

Prehod NAT NE SME sprejemati zahtev za preslikavo, ki so namenjene zunanjemu naslovu IP prehoda NAT ali prejetim na njegovem zunanjem omrežnem vmesniku. Dovoljeni bi morali biti samo paketi, prejeti na notranjem(-ih) vmesniku(-ih), katerih ciljni naslov se ujema z notranjim(-imi) naslov(-i) prehoda NAT.

Torej, kaj to pomeni? Skratka, to pomeni, da naprave, ki niso v lokalnem omrežju, ne bi smele ustvarjati pravil za usmerjevalnik. Zdi se razumno, kajne?

Težava nastane, ko usmerjevalniki prezrejo to dragoceno pravilo. Kar jih navidez 1,2 milijona počne.

Posledice so lahko hude. Kot smo že omenili, je mogoče promet, ki ga pošiljajo ogroženi usmerjevalniki, prestreči, kar lahko vodi do uhajanja podatkov in kraje identitete. Torej, kako to popraviš?

Katere naprave so prizadete?

Na to vprašanje je težko odgovoriti. Rapid7 ni uspel dokončno dokazati, na katere usmerjevalnike je to vplivalo. Iz ocene ranljivosti:

Med prvotnim odkritjem te ranljivosti in kot del postopka razkritja je Rapid7 Labs poskušal ugotoviti, kateri izdelki, ki podpirajo NAT-PMP, so bili ranljivi, vendar ta prizadevanja niso prinesla posebno koristi rezultate. … zaradi tehničnih in pravnih zapletenosti, povezanih z odkrivanjem prave identitete naprav na javnem internetu, je povsem možno, morda celo verjetno, da so te ranljivosti prisotne v priljubljenih izdelkih privzetih ali podprtih konfiguracije.

Torej se morate malo poglobiti. Tukaj je tisto, kar morate storiti.

Kako lahko ugotovim, da sem prizadet?

Najprej se morate prijaviti v usmerjevalnik in si ogledati nastavitve konfiguracije prek njegovega spletnega vmesnika. Glede na to, da obstaja na stotine različnih usmerjevalnikov, od katerih ima vsak radikalno različne spletne vmesnike, je dajanje nasvetov za posamezne naprave skoraj nemogoče.

Vendar pa je bistvo v večini naprav za domače omrežje skoraj enako. Najprej se morate preko spletnega brskalnika prijaviti v skrbniško ploščo svoje naprave. Preverite svoj uporabniški priročnik, vendar je usmerjevalnike Linksys običajno mogoče doseči z 192.168.1.1, ki je njihov privzeti naslov IP. Podobno D-Link in Netgear uporabljata 192.168.0.1, Belkin pa 192.168.2.1.

Če še vedno niste prepričani, ga lahko najdete v ukazni vrstici. V OS X zaženite:

route -n dobi privzeto

usmerjevalnik-gateway
"Gateway" je vaš usmerjevalnik. Če uporabljate sodobno distribucijo Linuxa, poskusite zagnati:

ip oddaja poti

usmerjevalnik-ip
V sistemu Windows odprite ukazni poziv Ukazni poziv Windows: preprostejši in uporabnejši, kot si misliteUkazi niso vedno ostali enaki, nekateri so bili dejansko zavrnjeni, medtem ko so se pojavili drugi novejši ukazi, tudi z operacijskim sistemom Windows 7. Torej, zakaj bi se kdo trudil s klikom na začetek ... Preberi več in vnesite:

ipconfig

Ponovno je naslov IP za 'Gateway' tisti, ki ga želite.

Ko pridobite dostop do skrbniške plošče usmerjevalnika, pobrskajte po svojih nastavitvah, dokler ne najdete tistih, ki se nanašajo na prevajanje omrežnih naslovov. Če vidite nekaj, kar piše nekaj, kot je »Dovoli NAT-PMP na nezaupljivih omrežnih vmesnikih«, ga izklopite.

Rapid7 je pridobil tudi koordinacijski center za računalniško reševanje v sili (CERT/CC), da se začne zožiti navzdol na seznam ranljivih naprav, s ciljem sodelovanja s proizvajalci naprav za izdajo a popraviti.

Tudi usmerjevalniki so lahko varnostna ranljivost

Varnost naše omrežne opreme pogosto jemljemo za samoumevno. Vendar pa ta ranljivost kaže, da varnost naprav, ki jih uporabljamo za povezavo z internetom, ni gotovo.

Kot vedno bi rad slišal vaše mnenje o tej temi. Sporočite mi, kaj mislite v spodnjem polju za komentarje.

Matthew Hughes je razvijalec programske opreme in pisatelj iz Liverpoola v Angliji. Redko ga najdemo brez skodelice močne črne kave v roki in popolnoma obožuje svoj Macbook Pro in fotoaparat. Njegov blog lahko preberete na http://www.matthewhughes.co.uk in mu sledite na twitterju na @matthewhughes.