Annonse
Millioner av brytere, rutere og brannmurer er potensielt sårbare for kapring og avlytting, etter amerikansk sikkerhetsfirma Rapid7 oppdaget et alvorlig problem med hvordan disse enhetene er konfigurert.
Problemet – som påvirker både hjemme- og forretningsbrukere – finnes i NAT-PMP-innstillingene som brukes til å tillate eksterne nettverk å kommunisere med enheter som opererer på et lokalt nettverk.
I en sårbarhetsrådgivning fant Rapid7 1,2 millioner enheter som lider av feilkonfigurerte NAT-PMP-innstillinger, med 2,5 % sårbare for en angriper avskjærer intern trafikk, 88 % til en angriper som avskjærer utgående trafikk, og 88 % til et tjenestenektangrep som et resultat av dette sårbarhet.
Nysgjerrig på hva NAT-PMP er, og hvordan du kan beskytte deg selv? Les videre for mer informasjon.
Hva er NAT-PMP, og hvorfor er det nyttig?
Det finnes to typer IP-adresser i verden. Den første er interne IP-adresser. Disse identifiserer enheter på et nettverk unikt og lar enheter innenfor et LAN kommunisere med hverandre. Disse er også private, og bare personer på ditt interne nettverk kan se og koble til dem.
Og så har vi offentlige IP-adresser. Disse er en kjernedel av hvordan Internett fungerer, og lar forskjellige nettverk identifisere hverandre og koble seg til hverandre. Problemet er der er ikke nok IPv4 adresser (det dominerende IP-adressesystemet – IPv6 har ennå ikke erstattet den IPv6 vs. IPv4: Bør du bry deg (eller gjøre noe) som bruker? [MakeUseOf forklarer]Nylig har det vært mye snakk om å bytte til IPv6 og hvordan det vil gi mange fordeler til Internett. Men denne "nyheten" gjentar seg selv, siden det alltid er en og annen... Les mer ) å gå rundt. Spesielt når vi tar i betraktning de hundrevis av millioner av datamaskiner, nettbrett, telefoner og Internett av ting Hva er tingenes internett?Hva er tingenes internett? Her er alt du trenger å vite om det, hvorfor det er så spennende, og noen av risikoene. Les mer apparater som flyter rundt.
Så vi må bruke noe som heter Network Address Translation (NAT). Dette gjør at hver offentlig adresse går mye lenger, da man kan knyttes til flere enheter på et privat nettverk.
Men hva om vi har en tjeneste – som en Internett server Slik setter du opp en Apache-webserver i 3 enkle trinnUansett hva grunnen er, kan det hende du på et tidspunkt ønsker å få i gang en webserver. Enten du ønsker å gi deg selv ekstern tilgang til bestemte sider eller tjenester, ønsker du å få et fellesskap... Les mer eller a filserver Slik setter du opp FreeNAS-serveren din for å få tilgang til filene dine fra hvor som helstFreeNAS er et gratis, åpen kildekode BSD-basert operativsystem som kan gjøre enhver PC til en bunnsolid filserver. I dag skal jeg lede deg gjennom en grunnleggende installasjon, sette opp en enkel fildeling, ... Les mer – kjører på et nettverk som vi ønsker å eksponere for det større Internett? For det må vi bruke noe som heter Nettverksadresseoversettelse – Port Mapping Protocol (NAT-PMP).
Denne åpne standarden ble laget rundt 2005 av Apple, og ble designet for å gjøre prosessen med portkartlegging mye enklere. NAT-PNP kan finnes på en rekke enheter, inkludert de som ikke nødvendigvis er laget av Apple, for eksempel de som produseres av ZyXEL, Linksys og Netgear. Noen rutere som ikke støtter det naturlig kan også få tilgang til NAT-PMP gjennom tredjeparts fastvare, som f.eks. DD-WRT Hva er DD-WRT og hvordan det kan gjøre ruteren din til en superruterI denne artikkelen skal jeg vise deg noen av de kuleste funksjonene til DD-WRT som, hvis du bestemmer deg for å bruke, vil tillate deg å forvandle din egen ruter til super-ruteren til... Les mer , Tomat og OpenWRT.
Så vi forstår at NAT-PMP er viktig. Men hvordan kan det være sårbart?
Hvordan sårbarheten fungerer
De RFC som definerer hvordan NAT-PMP fungerer sier dette:
NAT-gatewayen MÅ IKKE godta kartleggingsforespørsler som er destinert til NAT-gatewayens eksterne IP-adresse eller mottatt på dens eksterne nettverksgrensesnitt. Bare pakker mottatt på det interne grensesnittet(e) med en destinasjonsadresse som samsvarer med den interne adressen(e) til NAT-gatewayen skal tillates.
Så hva betyr det? Kort sagt betyr det at enheter som ikke er på det lokale nettverket ikke skal kunne lage regler for ruteren. Virker fornuftig, ikke sant?
Problemet oppstår når rutere ignorerer denne verdifulle regelen. Noe tilsynelatende 1,2 millioner av dem gjør.
Konsekvensene kan være alvorlige. Som tidligere nevnt kan trafikk sendt fra kompromitterte rutere bli fanget opp, noe som potensielt kan føre til datalekkasje og identitetstyveri. Så hvordan fikser du det?
Hvilke enheter er berørt?
Dette er et vanskelig spørsmål å svare på. Rapid7 har ikke vært i stand til det for å definitivt bevise hvilke rutere som har blitt påvirket. Fra sårbarhetsvurderingen:
Under den første oppdagelsen av denne sårbarheten og som en del av avsløringsprosessen, forsøkte Rapid7 Labs å identifisere hvilke spesifikke produkter som støtter NAT-PMP som var sårbare, men denne innsatsen ga ikke særlig nytte resultater. … på grunn av den tekniske og juridiske kompleksiteten som er involvert i å avdekke den sanne identiteten til enheter på det offentlige Internett, er det fullt mulig, kanskje til og med sannsynlig, at disse sårbarhetene er tilstede i populære produkter som er standard eller støttes konfigurasjoner.
Så du må grave litt selv. Her er hva du må gjøre.
Hvordan kan jeg finne ut at jeg er berørt?
Først må du logge på ruteren og se på konfigurasjonsinnstillingene dine gjennom webgrensesnittet. Gitt at det er hundrevis av forskjellige rutere, hver med radikalt forskjellige nettgrensesnitt, er det nesten umulig å gi enhetsspesifikke råd her.
Hovedsaken er imidlertid stort sett den samme på tvers av de fleste hjemmenettverksenheter. Først må du logge på administrasjonspanelet til enheten din via nettleseren. Sjekk brukermanualen din, men Linksys-rutere kan vanligvis nås fra 192.168.1.1, som er deres standard IP-adresse. På samme måte bruker D-Link og Netgear 192.168.0.1, og Belkin bruker 192.168.2.1.
Hvis du fortsatt ikke er sikker, kan du finne den via kommandolinjen. På OS X, kjør:
rute -n får standard
"Gateway" er ruteren din. Hvis du bruker en moderne Linux-distro, prøv å kjøre:
ip rute show
I Windows åpner du Ledeteksten Windows-ledeteksten: Enklere og mer nyttig enn du trorKommandoene har ikke alltid vært de samme, faktisk har noen blitt kastet mens andre nyere kommandoer kom, selv med Windows 7 faktisk. Så hvorfor skulle noen gidde å klikke på starten... Les mer og skriv inn:
ipconfig
Igjen, IP-adressen for 'Gateway' er den du vil ha.
Når du har fått tilgang til ruterens administrasjonspanel, kan du se i innstillingene dine til du finner de som er relatert til Network Address Translation. Hvis du ser noe som sier noe som "Tillat NAT-PMP på usikre nettverksgrensesnitt", slå det av.
Rapid7 har også fått Computer Emergency Response Team Cordination Center (CERT/CC) til å begynne å begrense nedover listen over enheter som er sårbare, med sikte på å samarbeide med enhetsprodusenter for å utstede en fastsette.
Selv rutere kan være sikkerhetssårbarheter
Vi tar ofte sikkerheten til nettverksutstyret vårt for gitt. Og likevel viser denne sårbarheten at sikkerheten til enhetene vi bruker for å koble til Internett ikke er en sikkerhet.
Som alltid vil jeg gjerne høre dine tanker om dette emnet. Fortell meg hva du synes i kommentarfeltet nedenfor.
Matthew Hughes er en programvareutvikler og forfatter fra Liverpool, England. Han er sjelden å finne uten en kopp sterk svart kaffe i hånden og elsker absolutt Macbook Pro og kameraet hans. Du kan lese bloggen hans på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.
