Harry James
0 
4563
304
Miliony přepínačů, směrovačů a bran firewall jsou potenciálně zranitelné vůči únosům a odposlechům poté, co americká bezpečnostní firma Rapid7 objevila závažný problém s konfigurací těchto zařízení.
Problém - který ovlivňuje domácí i firemní uživatele - se nachází v nastaveních NAT-PMP používaných k umožnění externích sítí komunikovat se zařízeními pracujícími v místní síti.
V doporučení pro zranitelnost Rapid7 našel 1,2 milionu zařízení, která trpí chybně nakonfigurovaným nastavením NAT-PMP, s 2,5% zranitelností vůči útočníkovi zachycující interní provoz, 88% vůči útočníkovi zachycujícím odchozí provoz a 88% útokem odmítnutí služby jako výsledek této chyby zabezpečení.
Zajímá vás, co je NAT-PMP a jak se můžete chránit? Pro více informací si přečtěte dále.
Co je to NAT-PMP a proč je to užitečné?
Na světě existují dva druhy IP adres. První je interní IP adresa. Tito jedinečně identifikují zařízení v síti a umožňují zařízením v síti LAN komunikovat mezi sebou. Jsou také soukromé a vidí a připojují se k nim pouze lidé ve vaší vnitřní síti.
A pak máme veřejné IP adresy. Toto je hlavní část fungování internetu a umožňuje různým sítím navzájem se identifikovat a vzájemně se propojovat. Problém je v tom, že není dostatek adres IPv4 (dominantní systém adresování IP - IPv6 jej dosud nenahradil IPv6 vs. IPv4: Měli byste se starat (nebo něco) jako uživatel? [MakeUseOf vysvětluje] IPv6 vs. IPv4 „Měli byste se jako uživatel starat (nebo něco dělat)? [MakeUseOf vysvětluje] V poslední době se hodně mluví o přechodu na IPv6 a o tom, jak to přinese mnoho výhod pro internet. Ale tato„ zpráva “stále udržuje opakovat sám sebe, protože je vždy příležitostné ...) obejít se. Zejména když vezmeme v úvahu stovky milionů počítačů, tabletů, telefonů a internetu věcí, co je internet věcí a jak to ovlivní naši budoucnost [MakeUseOf vysvětluje] Co je internet věcí a jak to ovlivní naši budoucnost [makeUseOf Vysvětluje] Vypadá to, že se objevují nová bzučící slova a vymírají se s každým dnem, který nás prochází, a „internet věcí“ se prostě stává jedním z nejnovějších nápadů, o kterých… zařízení se vznáší.
Musíme tedy použít něco, co se nazývá překlad síťových adres (NAT). Díky tomu každá veřejná adresa jde mnohem dále, protože jeden může být spojen s více zařízeními v soukromé síti.
Ale co když máme službu - jako webový server Jak nastavit webový server Apache ve 3 jednoduchých krocích Jak nastavit webový server Apache ve 3 jednoduchých krocích Ať už je důvod jakýkoli, můžete v určitém okamžiku chtít získat webový server bude fungovat. Ať už se chcete dát vzdálený přístup k určitým stránkám nebo službám, chcete získat komunitu ... nebo souborový server Jak nastavit server FreeNAS pro přístup k souborům odkudkoli Jak nastavit server FreeNAS pro přístup k souborům z Anywhere FreeNAS je bezplatný, otevřený zdrojový operační systém založený na BSD, který dokáže z jakéhokoli PC vytvořit souborový server s pevnou základnou. Dnes vás provedu základní instalací, provedením jednoduchého sdílení souborů, ... - spuštěním v síti, kterou bychom chtěli vystavit většímu internetu? K tomu bychom potřebovali použít tzv. Překlad síťových adres - Port Mapping Protocol (NAT-PMP).
Tento otevřený standard byl vytvořen kolem roku 2005 společností Apple a byl navržen tak, aby proces mapování portů byl mnohem snazší. NAT-PNP lze nalézt na řadě zařízení, včetně těch, která nemusí být nutně vyrobena společností Apple, jako jsou zařízení vyráběná společnostmi ZyXEL, Linksys a Netgear. Některé směrovače, které to nativně nepodporují, mohou také získat přístup k NAT-PMP prostřednictvím firmwarů třetích stran, jako je DD-WRT Co je DD-WRT a jak může udělat váš router do super-routeru Co je DD-WRT A jak to může udělat váš router do super-routeru V tomto článku vám ukážu některé z nejlepších funkcí DD-WRT, které, pokud se rozhodnete využít, vám umožní transformovat váš vlastní router do super routeru ..., Tomato a OpenWRT.
Zjistili jsme tedy, že NAT-PMP je důležitý. Ale jak to může být zranitelné?
Jak zranitelnost funguje
RFC, který definuje, jak funguje NAT-PMP, říká toto:
Brána NAT MUSÍ akceptovat mapovací žádosti určené na externí IP adresu NAT brány nebo přijaté na jejím externím síťovém rozhraní. Povoleny by měly být pouze pakety přijaté na interním rozhraní (rozhraních) s cílovou adresou odpovídající interní adrese (adresám) brány NAT.
Co to znamená? Zkrátka to znamená, že zařízení, která nejsou v místní síti, by neměla být schopna vytvářet pravidla pro router. Vypadá to rozumně, správně?
Problém nastává, když směrovače toto cenné pravidlo ignorují. Což podle všeho činí 1,2 milionu.
Důsledky mohou být závažné. Jak již bylo zmíněno, přenos odeslaný z ohrožených směrovačů může být zachycen, což může vést k úniku dat a krádeži identity. Jak na to??
Jaká zařízení jsou ovlivněna?
Na tuto otázku je těžké odpovědět. Rapid7 nebyl schopen definitivně prokázat, jaké směrovače byly ovlivněny. Z posouzení zranitelnosti:
Během počátečního objevu této zranitelnosti a v rámci procesu zveřejňování se společnosti Rapid7 Labs pokusily zjistit, které konkrétní produkty podporující NAT-PMP byly zranitelné, ale toto úsilí nepřineslo zvláště užitečné výsledky ... kvůli technickým a právním složitostem při odhalení skutečné identity zařízení na veřejném internetu je zcela možné, možná dokonce pravděpodobné, že tyto chyby zabezpečení jsou přítomny v populárních produktech ve výchozích nebo podporovaných konfiguracích.
Takže se musíte trochu kopat. Tady je to, co musíte udělat.
Jak zjistím, že jsem zasažen?
Nejprve se musíte přihlásit do routeru a podívat se na nastavení konfigurace prostřednictvím webového rozhraní. Vzhledem k tomu, že existují stovky různých směrovačů, každý s radikálně odlišnými webovými rozhraními, není zde možné poskytovat rady pro konkrétní zařízení téměř nemožné.
Podstata je však ve většině domácích síťových zařízení téměř stejná. Nejprve se musíte přihlásit do administračního panelu zařízení pomocí webového prohlížeče. Zkontrolujte si uživatelskou příručku, ale směrovače Linksys jsou obvykle dostupné od 192.168.1.1, což je jejich výchozí IP adresa. Podobně D-Link a Netgear používají 192.168.0.1 a Belkin 192.168.2.1.
Pokud si stále nejste jisti, najdete jej pomocí příkazového řádku. V OS X spusťte:
route -n dostat výchozí
„Brána“ je váš router. Pokud používáte moderní linuxové distro, zkuste spustit:
ip route show
Ve Windows otevřete příkazový řádek Příkazový řádek systému Windows: jednodušší a užitečnější než si myslíte Příkazový řádek Windows: jednodušší a užitečnější než si myslíte Příkazy ne vždy zůstaly stejné, ve skutečnosti některé byly ztraceny, zatímco jiné novější příkazy přišly, dokonce s Windows 7 ve skutečnosti. Proč by se tedy někdo chtěl obtěžovat kliknutím na začátek ... a zadejte:
ipconfig
IP adresa brány je opět ta, kterou chcete.
Jakmile získáte přístup k administračnímu panelu routeru, nechte se v nastaveních probodnout, dokud nenajdete ty, které se týkají překladu síťových adres. Pokud uvidíte něco, co říká něco jako „Povolit NAT-PMP na nedůvěryhodných síťových rozhraních“, vypněte jej.
Rapid7 také dostal tým pro počítačové nouzové reakce (CERT / CC), aby zahájil zúžení seznamu zranitelných zařízení, s cílem spolupracovat s výrobci zařízení na vydání opravy.
Dokonce i směrovače mohou být bezpečnostními chybami
Zabezpečení našeho síťového vybavení často považujeme za samozřejmost. Tato chyba zabezpečení však ukazuje, že zabezpečení zařízení, která používáme pro připojení k internetu, není jistota.
Jako vždy bych rád slyšel vaše myšlenky na toto téma. Dejte nám vědět, co si myslíte v níže uvedeném okénku s poznámkami.