Michael Fisher
0 
3740
486
Miliony przełączników, routerów i zapór ogniowych są potencjalnie podatne na porwanie i przechwytywanie po tym, jak amerykańska firma bezpieczeństwa Rapid7 odkryła poważny problem z konfiguracją tych urządzeń.
Problem - który dotyczy zarówno użytkowników domowych, jak i biznesowych - znajduje się w ustawieniach NAT-PMP używanych do zezwalania sieciom zewnętrznym na komunikowanie się z urządzeniami działającymi w sieci lokalnej.
W raporcie dotyczącym luk w zabezpieczeniach Rapid7 znalazł 1,2 miliona urządzeń, które cierpią z powodu źle skonfigurowanych ustawień NAT-PMP, z 2,5% podatnymi na atakującego przechwytującego ruch wewnętrzny, 88% na atakującego przechwytującego ruch wychodzący, a 88% na atak typu „odmowa usługi” wynik tej podatności.
Ciekawi Cię, czym jest NAT-PMP i jak możesz się chronić? Czytaj dalej, aby dowiedzieć się więcej.
Co to jest NAT-PMP i dlaczego jest użyteczny?
Istnieją dwa rodzaje adresów IP na świecie. Pierwszy to wewnętrzne adresy IP. Umożliwiają one jednoznaczną identyfikację urządzeń w sieci i umożliwiają komunikację między urządzeniami w sieci LAN. Są one również prywatne i tylko osoby w Twojej sieci wewnętrznej mogą je widzieć i łączyć się z nimi.
A potem mamy publiczne adresy IP. Stanowią one podstawową część działania Internetu i pozwalają różnej sieci identyfikować się i łączyć ze sobą. Problem polega na tym, że nie ma wystarczającej liczby adresów IPv4 (dominujący system adresowania IP - IPv6 nie zastąpił go jeszcze IPv6 vs. IPv4: czy należy dbać (lub robić cokolwiek) jako użytkownik? [MakeUseOf wyjaśnia] IPv6 vs. IPv4 : Czy powinienem troszczyć się (lub robić cokolwiek) jako użytkownik? [MakeUseOf wyjaśnia] Ostatnio dużo mówi się o przejściu na IPv6 i o tym, jak przyniesie on wiele korzyści dla Internetu. powtarzając się, ponieważ zawsze jest okazjonalnie ...) do obejrzenia. Zwłaszcza, gdy weźmiemy pod uwagę setki milionów komputerów, tabletów, telefonów i Internetu rzeczy Czym jest Internet przedmiotów i jak wpłynie na naszą przyszłość [MakeUseOf wyjaśnia] Czym jest Internet przedmiotów i jak wpłynie na naszą przyszłość [MakeUseOf Wyjaśnia] Wygląda na to, że z każdym mijającym dniem pojawiają się nowe modne słowa, a „Internet przedmiotów” jest jednym z najnowszych pomysłów, które… pływają urządzenia.
Musimy więc użyć czegoś, co nazywa się translacją adresów sieciowych (NAT). To sprawia, że każdy adres publiczny idzie znacznie dalej, ponieważ jedno może być powiązane z wieloma urządzeniami w sieci prywatnej.
Ale co, jeśli mamy usługę - na przykład serwer WWW Jak skonfigurować serwer Apache w 3 łatwych krokach Jak skonfigurować serwer Apache w 3 łatwych krokach Niezależnie od przyczyny, w pewnym momencie możesz chcieć uzyskać serwer WWW działa. Niezależnie od tego, czy chcesz zapewnić sobie zdalny dostęp do niektórych stron lub usług, chcesz uzyskać społeczność… lub serwer plików. Jak skonfigurować serwer FreeNAS, aby uzyskać dostęp do plików z dowolnego miejsca Jak skonfigurować serwer FreeNAS, aby uzyskać dostęp do plików z Gdziekolwiek FreeNAS to darmowy system operacyjny oparty na BSD o otwartym kodzie źródłowym, który może zmienić dowolny komputer w solidny serwer plików. Dzisiaj przeprowadzę Cię przez podstawową instalację, konfigurowanie prostego udziału plików,… - działającego w sieci, którą chcielibyśmy udostępnić szerszemu Internetowi? W tym celu musielibyśmy użyć czegoś o nazwie Network Address Translation - protokół mapowania portów (NAT-PMP).
Ten otwarty standard został opracowany około 2005 r. Przez Apple i został zaprojektowany, aby znacznie ułatwić proces mapowania portów. NAT-PNP można znaleźć na wielu urządzeniach, w tym niekoniecznie produkowanych przez Apple, takich jak te produkowane przez ZyXEL, Linksys i Netgear. Niektóre routery, które nie obsługują go natywnie, mogą również uzyskać dostęp do NAT-PMP za pośrednictwem oprogramowania firm trzecich, na przykład DD-WRT Co to jest DD-WRT i jak może zmienić router w super-router Co to jest DD-WRT I jak może sprawić, że twój router stanie się super-routerem W tym artykule pokażę ci niektóre z najfajniejszych funkcji DD-WRT, które, jeśli zdecydujesz się skorzystać, pozwolą ci przekształcić własny router do super-routera…, Tomato i OpenWRT.
Rozumiemy, że NAT-PMP jest ważny. Ale jak może być wrażliwy?
Jak działa ta luka?
RFC, które określa sposób działania NAT-PMP, mówi:
Brama NAT NIE MOŻE akceptować żądań mapowania skierowanych na zewnętrzny adres IP bramy NAT lub odebranych w zewnętrznym interfejsie sieciowym. Tylko pakiety otrzymane na interfejsie wewnętrznym (ach) z adresem docelowym pasującym do adresów wewnętrznych bramy NAT powinny być dozwolone.
Więc, co to znaczy? Krótko mówiąc, oznacza to, że urządzenia, które nie znajdują się w sieci lokalnej, nie powinny mieć możliwości tworzenia reguł dla routera. Wydaje się rozsądne, prawda?
Problem powstaje, gdy routery ignorują tę cenną zasadę. Co najwyraźniej 1,2 miliona z nich.
Konsekwencje mogą być poważne. Jak wspomniano wcześniej, ruch wysyłany z zainfekowanych routerów może zostać przechwycony, co może prowadzić do wycieku danych i kradzieży tożsamości. Jak to naprawić??
Jakie urządzenia są dotknięte?
Trudno odpowiedzieć na to pytanie. Rapid7 nie był w stanie ostatecznie udowodnić, które routery zostały naruszone. Z oceny podatności:
Podczas pierwszego odkrycia tej luki i jako część procesu ujawnienia Rapid7 Labs próbowała zidentyfikować, które konkretne produkty obsługujące NAT-PMP były wrażliwe, jednak wysiłek ten nie przyniósł szczególnie użytecznych rezultatów… ze względu na złożoność techniczną i prawną związaną z odkrycie prawdziwej tożsamości urządzeń w publicznym Internecie jest całkowicie możliwe, być może nawet prawdopodobne, że luki te występują w popularnych produktach w domyślnych lub obsługiwanych konfiguracjach.
Musisz sam trochę kopać. Oto, co musisz zrobić.
Jak mogę dowiedzieć się, że jestem dotknięty?
Najpierw musisz zalogować się do routera i sprawdzić ustawienia konfiguracji za pośrednictwem interfejsu internetowego. Biorąc pod uwagę, że istnieją setki różnych routerów, każdy z radykalnie różnymi interfejsami internetowymi, udzielanie porad dotyczących konkretnych urządzeń jest prawie niemożliwe.
Jednak sedno jest prawie takie samo na większości domowych urządzeń sieciowych. Po pierwsze, musisz zalogować się do panelu administracyjnego urządzenia za pomocą przeglądarki internetowej. Sprawdź instrukcję obsługi, ale routery Linksys zwykle można uzyskać od 192.168.1.1, który jest ich domyślnym adresem IP. Podobnie D-Link i Netgear używają 192.168.0.1, a Belkin 192.168.2.1.
Jeśli nadal nie masz pewności, możesz go znaleźć w wierszu polecenia. W systemie OS X uruchom:
route -n pobierz domyślnie
„Brama” to Twój router. Jeśli używasz nowoczesnej dystrybucji Linuksa, spróbuj uruchomić:
Pokaż trasę IP
W systemie Windows otwórz wiersz polecenia Wiersz polecenia systemu Windows: prostszy i bardziej przydatny niż myślisz Wiersz polecenia systemu Windows: prostszy i bardziej przydatny niż myślisz Polecenia nie zawsze pozostały takie same, w rzeczywistości niektóre zostały skasowane, a inne nowsze pojawiły się polecenia, nawet w systemie Windows 7. Dlaczego więc ktoś miałby zawracać sobie głowę kliknięciem przycisku Start… i wpisać:
ipconfig
Ponownie adres IP „Bramy” jest tym, którego potrzebujesz.
Po uzyskaniu dostępu do panelu administracyjnego routera możesz przejrzeć ustawienia, aż znajdziesz te związane z translacją adresów sieciowych. Jeśli zobaczysz coś, co mówi coś w rodzaju „Zezwalaj NAT-PMP na niezaufanych interfejsach sieciowych”, wyłącz to.
Rapid7 otrzymał również Centrum Cordination Response Team Cordination Centre (CERT / CC), aby rozpocząć zawężanie listy podatnych urządzeń, w celu współpracy z producentami urządzeń w celu wydania poprawki.
Nawet routery mogą stanowić luki w zabezpieczeniach
Często uważamy bezpieczeństwo naszego sprzętu sieciowego za coś oczywistego. A jednak ta luka pokazuje, że bezpieczeństwo urządzeń, których używamy do łączenia się z Internetem, nie jest pewne.
Jak zawsze chciałbym usłyszeć wasze przemyślenia na ten temat. Daj mi znać, co myślisz w polu komentarzy poniżej.