Εκατομμύρια διακόπτες, δρομολογητές και τείχη προστασίας είναι δυνητικά ευάλωτοι σε αεροπειρατείες και υποκλοπές, αφού η αμερικανική εταιρεία ασφαλείας Rapid7 ανακάλυψε ένα σοβαρό πρόβλημα με τον τρόπο με τον οποίο διαμορφώνονται αυτές οι συσκευές.
Το πρόβλημα - το οποίο επηρεάζει τους οικιακούς και επαγγελματικούς χρήστες - βρίσκεται στις ρυθμίσεις NAT-PMP που χρησιμοποιούνται για να επιτρέπουν στα εξωτερικά δίκτυα να επικοινωνούν με συσκευές που λειτουργούν σε τοπικό δίκτυο.
Σε μια συμβουλή ευπάθειας, το Rapid7 βρήκε 1.2 εκατομμύρια συσκευές που πάσχουν από εσφαλμένες ρυθμίσεις NAT-PMP, με 2.5% ευάλωτες σε έναν εισβολέα που παρεμποδίζει εσωτερική κίνηση, 88% σε έναν εισβολέα που παρεμποδίζει την εξερχόμενη κίνηση και 88% σε μια επίθεση άρνησης υπηρεσίας αποτέλεσμα αυτής της ευπάθειας.
Περιέργεια για το τι είναι το NAT-PMP και πώς μπορείτε να προστατευθείτε; Διαβάστε παρακάτω για περισσότερες πληροφορίες.
Τι είναι το NAT-PMP και γιατί είναι χρήσιμο;
Υπάρχουν δύο είδη διευθύνσεων IP στον κόσμο. Η πρώτη είναι εσωτερικές διευθύνσεις IP. Αυτά τα μοναδικά αναγνωρίζουν συσκευές σε ένα δίκτυο και επιτρέπουν σε συσκευές μέσα σε ένα τοπικό δίκτυο να επικοινωνούν μεταξύ τους. Αυτά είναι επίσης ιδιωτικά και μόνο άτομα στο εσωτερικό σας δίκτυο μπορούν να δουν και να συνδεθούν με αυτά.
Και έπειτα έχουμε δημόσιες διευθύνσεις IP. Αυτά είναι ένα βασικό μέρος του τρόπου λειτουργίας του Διαδικτύου και επιτρέπουν σε διαφορετικά δίκτυα να αναγνωρίζονται μεταξύ τους και να συνδέονται μεταξύ τους. Το πρόβλημα είναι ότι δεν υπάρχουν αρκετές διευθύνσεις IPv4 (το κυρίαρχο σύστημα διευθύνσεων IP - το IPv6 δεν το έχει αντικαταστήσει ακόμα) IPv6 vs. IPv4: Θα πρέπει να φροντίζετε (ή να κάνετε τίποτα) ως χρήστης [MakeUseOf Εξηγεί] IPv6 εναντίον IPv4 : Θα πρέπει να φροντίζετε (ή να κάνετε τίποτα) ως χρήστης; [MakeUseOf Εξηγεί] Πιο πρόσφατα, έχει γίνει πολύς λόγος για τη μετάβαση στο IPv6 και πώς θα αποφέρει πολλά οφέλη στο Διαδίκτυο. επαναλαμβάνοντας τον εαυτό σας, καθώς υπάρχει πάντα μια περιστασιακή ... Διαβάστε περισσότερα) για να πάει γύρω. Ειδικά όταν εξετάζουμε τα εκατοντάδες εκατομμύρια υπολογιστών, ταμπλέτες, τηλέφωνα και Διαδίκτυο των πραγμάτων Τι είναι το Διαδίκτυο των πραγμάτων και πώς θα επηρεάσει το μέλλον μας [Το MakeUseOf εξηγεί] Τι είναι το Διαδίκτυο των πραγμάτων και πώς θα επηρεάσει το μέλλον μας [MakeUseOf Εξηγεί] Φαίνεται ότι υπάρχουν νέα buzzwords σκάουν επάνω και πεθαίνουν μακριά με κάθε μέρα που περνάει από μας, και "το Διαδίκτυο των πραγμάτων" απλά συμβαίνει να είναι μια από τις πιο πρόσφατες ιδέες που ... Διαβάστε περισσότερα συσκευές που επιπλέουν.
Επομένως, πρέπει να χρησιμοποιήσουμε κάτι που ονομάζεται μετάφραση διεύθυνσης δικτύου (NAT). Αυτό κάνει κάθε δημόσια διεύθυνση να πάει πολύ περισσότερο, καθώς μπορεί κανείς να συνδεθεί με πολλές συσκευές σε ένα ιδιωτικό δίκτυο.
Αλλά τι γίνεται αν έχουμε μια υπηρεσία - όπως ένας διακομιστής ιστού Πώς να δημιουργήσετε ένα διακομιστή Web Apache σε 3 εύκολα βήματα Πώς να δημιουργήσει ένα διακομιστή Web Apache σε 3 εύκολα βήματα Όποιος κι αν είναι ο λόγος είναι, ίσως σε κάποιο σημείο θέλετε να πάρετε μια web server πηγαίνει. Είτε θέλετε να αποκτήσετε τον εαυτό σας απομακρυσμένη πρόσβαση σε ορισμένες σελίδες ή υπηρεσίες, θέλετε να πάρετε μια κοινότητα ... Διαβάστε περισσότερα ή ένα διακομιστή αρχείων Πώς να ρυθμίσετε το FreeNAS Server σας για να αποκτήσετε πρόσβαση στα αρχεία σας από οπουδήποτε Πώς να ρυθμίσετε το FreeNAS Server σας Πρόσβαση στα αρχεία σας από οπουδήποτε FreeNAS είναι ένα ελεύθερο, ανοικτού κώδικα BSD που βασίζεται λειτουργικό σύστημα που μπορεί να μετατρέψει οποιοδήποτε υπολογιστή σε ένα rock-solid server αρχείων. Σήμερα θα σας οδηγήσω σε μια βασική εγκατάσταση, δημιουργώντας ένα απλό κοινόχρηστο αρχείο, ... Διαβάστε περισσότερα - τρέχοντας σε ένα δίκτυο που θα θέλαμε να εκθέσουμε στο μεγαλύτερο Διαδίκτυο; Για αυτό, θα χρειαζόταν να χρησιμοποιήσουμε κάτι που ονομάζεται Μεταφορά Διεύθυνσης Δικτύου - Πρωτόκολλο Χαρτογράφησης Port (NAT-PMP).
Αυτό το ανοιχτό πρότυπο δημιουργήθηκε γύρω στο 2005 από την Apple και σχεδιάστηκε για να καταστήσει πολύ πιο εύκολη τη διαδικασία χαρτογράφησης λιμένων. Το NAT-PNP μπορεί να βρεθεί σε μια σειρά συσκευών, συμπεριλαμβανομένων εκείνων που δεν κατασκευάζονται απαραίτητα από την Apple, όπως αυτά που παράγει η ZyXEL, η Linksys και η Netgear. Ορισμένοι δρομολογητές που δεν το υποστηρίζουν εγγενώς μπορούν επίσης να έχουν πρόσβαση στο NAT-PMP μέσω firmware τρίτων, όπως το DD-WRT Τι είναι το DD-WRT και πώς μπορεί να κάνει τον δρομολογητή σας σε έναν υπερ-δρομολογητή Τι είναι το DD-WRT Και πώς μπορεί να κάνει τον δρομολογητή σας σε έναν υπερ-δρομολογητή Σε αυτό το άρθρο, θα σας παρουσιάσω μερικά από τα πιο cool χαρακτηριστικά του DD-WRT το οποίο, αν αποφασίσετε να χρησιμοποιήσετε, θα σας επιτρέψει να μετατρέψετε το δρομολογητή σας στο σούπερ-δρομολογητή ... Περισσότερα, Τομάτα και OpenWRT.
Έτσι, παίρνουμε ότι το NAT-PMP είναι σημαντικό. Αλλά πώς μπορεί να είναι ευάλωτη;
Πώς λειτουργεί το θέμα ευπάθειας
Το RFC που καθορίζει τον τρόπο με τον οποίο λειτουργεί το NAT-PMP λέει αυτό:
Η πύλη NAT ΔΕΝ ΠΡΕΠΕΙ να δεχτεί αιτήσεις χαρτογράφησης που προορίζονται για την εξωτερική διεύθυνση IP της πύλης NAT ή που έχουν ληφθεί στην εξωτερική διεπαφή δικτύου. Πρέπει να επιτρέπονται μόνο τα πακέτα που λαμβάνονται στην εσωτερική διεπαφή με διεύθυνση προορισμού που ταιριάζει με τις εσωτερικές διευθύνσεις της πύλης NAT.
Τι σημαίνει αυτό; Εν ολίγοις, σημαίνει ότι συσκευές που δεν βρίσκονται στο τοπικό δίκτυο δεν θα πρέπει να μπορούν να δημιουργούν κανόνες για το δρομολογητή. Φαίνεται λογικό, σωστά;
Το πρόβλημα προκύπτει όταν οι δρομολογητές αγνοούν αυτόν τον πολύτιμο κανόνα. Ποια, φαινομενικά, 1, 2 εκατομμύρια από αυτά κάνουν.
Οι συνέπειες μπορεί να είναι σοβαρές. Όπως αναφέρθηκε προηγουμένως, η κυκλοφορία που στέλνεται από συμβιβασμένους δρομολογητές μπορεί να υποκλαπούν, ενδεχομένως να οδηγήσει σε διαρροή δεδομένων και κλοπή ταυτότητας. Λοιπόν, πώς το διορθώνετε;
Ποιες συσκευές επηρεάζονται;
Αυτή είναι μια δύσκολη ερώτηση για απάντηση. Το Rapid7 δεν μπόρεσε να αποδείξει οριστικά τι έχουν επηρεάσει οι δρομολογητές. Από την αξιολόγηση ευπάθειας:
Κατά την αρχική ανακάλυψη αυτής της ευπάθειας και ως μέρος της διαδικασίας γνωστοποίησης, τα Εργαστήρια Rapid7 προσπάθησαν να προσδιορίσουν ποια συγκεκριμένα προϊόντα που υποστηρίζουν το NAT-PMP ήταν ευάλωτα, ωστόσο η προσπάθεια αυτή δεν απέδωσε ιδιαίτερα χρήσιμα αποτελέσματα. ... λόγω των τεχνικών και νομικών περιπλοκών που σχετίζονται με την αποκάλυψη της πραγματικής ταυτότητας των συσκευών στο δημόσιο διαδίκτυο, είναι τελείως πιθανό, ίσως ακόμη και πιθανό, ότι αυτά τα τρωτά σημεία εμφανίζονται σε δημοφιλή προϊόντα με προεπιλεγμένες ή υποστηριζόμενες διαμορφώσεις.
¶Έτσι, πρέπει να κάνετε ένα κομμάτι του σκάψιμου εαυτό σας. Εδώ είναι τι πρέπει να κάνετε.
Πώς μπορώ να μάθω ότι έχω προσβληθεί;
Πρώτον, θα πρέπει να συνδεθείτε στο δρομολογητή σας και να εξετάσετε τις ρυθμίσεις διαμόρφωσης μέσω της διεπαφής ιστού. Δεδομένου ότι υπάρχουν εκατοντάδες διαφορετικοί δρομολογητές, ο καθένας με ριζικά διαφορετικές διεπαφές ιστού, δίνοντας εδώ συμβουλές σχετικά με συσκευές, είναι σχεδόν αδύνατο.
Ωστόσο, η ουσία είναι σχεδόν η ίδια στις περισσότερες συσκευές οικιακής δικτύωσης. Πρώτον, θα πρέπει να συνδεθείτε στον πίνακα διαχείρισης της συσκευής σας μέσω του προγράμματος περιήγησης ιστού. Ελέγξτε το εγχειρίδιο χρήστη, αλλά οι δρομολογητές Linksys μπορούν συνήθως να προσεγγιστούν από το 192.168.1.1, το οποίο είναι η προεπιλεγμένη διεύθυνση IP τους. Ομοίως, η D-Link και η Netgear χρησιμοποιούν το 192.168.0.1 και η Belkin χρησιμοποιεί το 192.168.2.1.
Εάν δεν είστε ακόμα βέβαιοι, μπορείτε να το βρείτε μέσω της γραμμής εντολών. Στο OS X, εκτελέστε:
διαδρομή-n πάρετε προεπιλογή
Η «πύλη» είναι ο δρομολογητής σας. Εάν χρησιμοποιείτε ένα σύγχρονο διανομέα Linux, δοκιμάστε να εκτελέσετε:
ip εμφάνιση διαδρομής
Στα Windows, ανοίξτε τη Γραμμή εντολών Η Γραμμή εντολών των Windows: Απλούστερη και περισσότερο χρήσιμη από ό, τι νομίζετε Η γραμμή εντολών των Windows: Απλούστερη και πιο χρήσιμη από ό, τι νομίζετε Οι εντολές δεν έχουν παραμείνει πάντα ίδιες, στην πραγματικότητα μερικές έχουν καταστραφεί ενώ άλλες νεότερες εντολές ήρθε μαζί, ακόμη και με τα Windows 7 στην πραγματικότητα. Λοιπόν, γιατί κάποιος θα ήθελε να κάνει κόπο κάνοντας κλικ στο ξεκίνημα ... Διαβάστε περισσότερα και εισάγετε:
ipconfig
Και πάλι, η διεύθυνση IP για το "Gateway" είναι αυτή που θέλετε.
Μόλις αποκτήσετε πρόσβαση στον πίνακα διαχείρισης του δρομολογητή σας, περιηγηθείτε στις ρυθμίσεις σας μέχρι να βρείτε αυτά που σχετίζονται με τη μετάφραση διεύθυνσης δικτύου. Εάν βλέπετε κάτι που λέει κάτι σαν 'Να επιτρέπεται η σύνδεση NAT-PMP στις μη αξιόπιστες διεπαφές δικτύου', απενεργοποιήστε το.
Το Rapid7 έχει επίσης αποκτήσει το Κέντρο Συντονισμού Κέντρου Αντιμετώπισης Επείγουσας Ανάγκης (CERT / CC) για να αρχίσει να περιορίζει τη λίστα των ευαίσθητων συσκευών, με σκοπό να συνεργαστεί με τους κατασκευαστές συσκευών για να εκδώσουν μια λύση.
Ακόμη και οι δρομολογητές μπορεί να είναι ευπάθειες ασφαλείας
Ασχολούμαστε συχνά με την ασφάλεια των δικτύων μας. Και όμως, αυτό το θέμα ευπάθειας δείχνει ότι η ασφάλεια των συσκευών που χρησιμοποιούμε για τη σύνδεση στο Διαδίκτυο δεν είναι βεβαιότητα.
Όπως πάντα, θα ήθελα να ακούσω τις σκέψεις σας σχετικά με αυτό το θέμα. Επιτρέψτε μου να ξέρω τι πιστεύετε στο παρακάτω πλαίσιο σχολίων.