Mainos

Miljoonat kytkimet, reitittimet ja palomuurit ovat potentiaalisesti alttiita sieppauksille ja sieppauksille amerikkalaisen turvayrityksen jälkeen Rapid7 löysi vakavan ongelman kuinka nämä laitteet määritetään.

Ongelma - joka vaikuttaa sekä koti- että yrityskäyttäjiin - löytyy NAT-PMP-asetuksista, joita käytetään ulkoisten verkkojen kommunikointiin paikallisessa verkossa toimivien laitteiden kanssa.

Haavoittuvuusohjeessa Rapid7 löysi 1,2 miljoonaa laitetta, jotka kärsivät väärin konfiguroiduista NAT-PMP-asetuksista, ja 2,5% alttiita hyökkääjälle sisäisen liikenteen sieppaaminen, 88% lähtevän liikenteen sieppaamiseen hyökkääjälle ja 88% palvelun epäämisen hyökkäykselle tämän seurauksena haavoittuvuus.

Haluatko tietää mitä NAT-PMP on ja kuinka voit suojautua? Lue lisätietoja.

Mikä on NAT-PMP, ja miksi siitä on hyötyä?

Maailmassa on kahta tyyppisiä IP-osoitteita. Ensimmäinen on sisäiset IP-osoitteet. Nämä tunnistavat verkon laitteet yksilöllisesti ja sallivat lähiverkon laitteiden kommunikoida keskenään. Nämä ovat myös yksityisiä, ja vain sisäisen verkon ihmiset näkevät ja yhdistävät heidät.

Ja sitten meillä on julkiset IP-osoitteet. Nämä ovat keskeinen osa Internetin toimintaa ja antavat eri verkoille mahdollisuuden tunnistaa toisiaan ja muodostaa yhteyden toisiinsa. Ongelma on siinä eivät riitä IPv4: ään osoitteet (hallitseva IP-osoitejärjestelmä - IPv6 ei ole vielä korvannut sitä IPv6 vs. IPv4: Pitäisikö sinun välittää (tai tehdä jotain) käyttäjänä? [MakeUseOf selittää]Viime aikoina on puhuttu paljon IPv6: lle siirtymisestä ja siitä, miten se tuo Internetille paljon etuja. Mutta tämä "uutinen" toistuu jatkuvasti, koska aina on satunnaista ... Lue lisää ) kiertää. Varsinkin kun tarkastellaan satoja miljoonia tietokoneita, tabletteja, puhelimia ja Esineiden internet Mikä on esineiden Internet?Mikä on esineiden Internet? Tässä on kaikki mitä sinun tarvitsee tietää siitä, miksi se on niin jännittävä, ja joitain riskejä. Lue lisää laitteet kelluvat.

Joten meidän on käytettävä jotain nimeltään Verkko-osoitteen käännös (NAT). Tämä saa jokaisen julkisen osoitteen menemään paljon pidemmälle, koska yksi voidaan yhdistää useisiin laitteisiin yksityisessä verkossa.

Mutta entä jos meillä on palvelu - kuten verkkopalvelin Kuinka perustaa Apache-verkkopalvelin 3 helpossa vaiheessaMikä tahansa syy on, saatat joskus haluta käynnistää web-palvelimen. Haluatko antaa itsellesi etäkäytön tietyille sivuille tai palveluille, haluat saada yhteisön ... Lue lisää tai a tiedosto palvelin Kuinka perustaa FreeNAS-palvelimesi käyttämään tiedostojasi mistä tahansaFreeNAS on ilmainen, avoimen lähdekoodin BSD-pohjainen käyttöjärjestelmä, joka voi muuttaa minkä tahansa PC: n kiinteäksi tiedostopalvelimeksi. Tänään aion käydä läpi perusasennuksen, perustaa yksinkertaisen tiedostojaon, ... Lue lisää - käynnissä verkossa, jonka haluamme altistaa laajemmalle Internetille? Tätä varten meidän on käytettävä jotain nimeltään Verkko-osoitteen muuntaminen - Port Mapping Protocol (NAT-PMP).

reititin-esimerkki

Tämä avoin standardi luotiin vuonna 2005 noin Apple, ja se oli suunniteltu helpottamaan porttikartoitusprosessia. NAT-PNP löytyy monista laitteista, mukaan lukien sellaiset, joita ei välttämättä tee Apple, kuten esimerkiksi ZyXEL, Linksys ja Netgear. Jotkut reitittimet, jotka eivät tue sitä alkuperäisesti, voivat myös käyttää NAT-PMP: tä kolmansien osapuolten yritysohjelmien kautta, kuten DD-WRT Mikä on DD-WRT ja kuinka se voi tehdä reitittimestäsi superreitittimenTässä artikkelissa aion näyttää sinulle joitain DD-WRT: n hienoimmista ominaisuuksista, jotka, jos päätät käyttää sitä, antaa sinun muuttaa oman reitittimensi super-reitittimeksi ... Lue lisää , Tomaatti ja OpenWRT.

Joten NAT-PMP on tärkeä. Mutta kuinka se voi olla haavoittuvainen?

Kuinka haavoittuvuus toimii

RFC, joka määrittelee kuinka NAT-PMP Works sanoo tämän:

NAT-yhdyskäytävä EI pidä hyväksyä kartoituspyyntöjä, jotka on tarkoitettu NAT-yhdyskäytävän ulkoiseen IP-osoitteeseen tai vastaanotettu sen ulkoiseen verkkorajapintaan. Ainoastaan ​​sellaiset paketit, jotka vastaanotetaan sisäisiltä rajapinnoilta tai kohdeosoitteilta, jotka vastaavat NAT-yhdyskäytävän sisäisiä osoitteita, olisi sallittava.

Mitä se tarkoittaa? Lyhyesti sanottuna se tarkoittaa, että laitteiden, joita ei ole lähiverkossa, ei pitäisi voida luoda sääntöjä reitittimelle. Vaikuttaa järkevältä, eikö?

Ongelma syntyy, kun reitittimet ohittavat tämän arvokkaan säännön. Mitä näennäisesti 1,2 miljoonaa heistä tekee.

Seuraukset voivat olla vakavia. Kuten aiemmin mainittiin, vaarantuneilta reitittimiltä lähetetty liikenne voidaan siepata, mikä voi johtaa tietojen vuotamiseen ja identiteettivarkauksiin. Joten miten korjaat sen?

Mihin laitteisiin vaikuttaa?

Tähän on vaikea vastaus. Rapid7 ei ole pystynyt todistaa lopullisesti, mihin reitittimiin se on vaikuttanut. Haavoittuvuuden arvioinnista:

Tämän haavoittuvuuden ensimmäisen havaitsemisen aikana ja osana paljastusprosessia Rapid7 Labs yritti tunnistaa, mitkä NAT-PMP: tä tukevat tuotteet olivat haavoittuvia, mutta tämä työ ei tuottanut erityisen hyödyllistä tuloksiin. - teknisten ja oikeudellisten monimutkaisuuksien vuoksi, jotka liittyvät laitteiden todellisen identiteetin paljastamiseen julkisessa Internetissä, se on on täysin mahdollista, ehkä jopa todennäköistä, että nämä haavoittuvuudet esiintyvät suosituissa tuotteissa oletuksena tai tuettuina kokoonpanoissa.

Joten, sinun on tehtävä vähän kaivaa itseäsi. Tässä on mitä sinun täytyy tehdä.

Kuinka saan selville, että olen vaikuttunut?

Ensin sinun on kirjauduttava reitittimeesi ja tarkasteltava kokoonpanoasetuksia sen web-käyttöliittymän kautta. Koska on olemassa satoja erilaisia ​​reitittimiä, joilla kaikilla on radikaalisti erilaiset web-rajapinnat, laitekohtaisten neuvojen antaminen tässä on lähes mahdotonta.

Yhteenveto on kuitenkin suurin piirtein sama useimmissa kotiverkkolaitteissa. Ensinnäkin sinun on kirjauduttava laitteen hallintapaneeliin selaimesi kautta. Tarkista käyttöohjeet, mutta Linksys-reitittimiin pääsee yleensä kohdasta 192.168.1.1, joka on heidän oletus-IP-osoitteensa. Samoin D-Link ja Netgear käyttävät 192.168.0.1 ja Belkin käyttävät 192.168.2.1.

Jos et vieläkään ole varma, voit löytää sen komentoriviltä. Suorita OS X: ssä:

reitti -n saa oletuksen

reititin-yhdyskäytävän
Yhdyskäytävä on reitittimesi. Jos käytät modernia Linux-distroa, kokeile suorittamista:

IP-reitinäyttö

reititin-ip
Avaa Windows-käyttöjärjestelmä Komentokehote Windowsin komentokehote: Yksinkertaisempi ja hyödyllisempi kuin luuletKomennot eivät ole aina pysyneet samoina, tosiasiassa jotkut on roskattu, kun taas muut uudemmat komennot tulivat mukana, jopa Windows 7: ssä. Joten miksi kukaan halua vaivautua napsauttamalla alkua ... Lue lisää ja kirjoita:

ipconfig

Jälleen yhdyskäytävän IP-osoite on haluamasi.

Kun olet saanut pääsyn reitittimen hallintapaneeliin, niputa asetuksia, kunnes löydät ne, jotka liittyvät verkko-osoitteen muuntamiseen. Jos näet jotain, joka sanoo esimerkiksi "Salli NAT-PMP epäluotettavissa verkkorajapinnoissa", kytke se pois päältä.

Rapid7 on saanut myös tietokonehälytysryhmän koordinointikeskuksen (CERT / CC) aloittamaan kapenemisen alas luettelon laitteista, jotka ovat haavoittuvia, jotta voitaisiin tehdä yhteistyössä laitevalmistajien kanssa a korjata.

Jopa reitittimet voivat olla tietoturvan haavoittuvuuksia

Otamme usein verkkovarusteidemme turvallisuuden itsestäänselvyytenä. Ja vielä, tämä haavoittuvuus osoittaa, että Internet-yhteyden muodostamiseen käyttämämme laitteiden turvallisuus ei ole varmuus.

Kuten aina, haluaisin kuulla ajatuksesi tästä aiheesta. Kerro minulle mielipiteesi alla olevasta kommenttiruudusta.

Matthew Hughes on ohjelmistokehittäjä ja kirjailija Liverpoolista, Englannista. Hän on harvoin löydetty ilman kuppia vahvaa mustaa kahvia kädessään ja ihailee ehdottomasti MacBook Prota ja kameraansa. Voit lukea hänen bloginsa osoitteessa http://www.matthewhughes.co.uk ja seuraa häntä twitterissä osoitteessa @matthewhughes.