Joseph Goodman
0 
3037
288
Millioner af switches, routere og firewalls er potentielt sårbare over for kapring og aflytning, efter at det amerikanske sikkerhedsfirma Rapid7 opdagede et alvorligt problem med, hvordan disse enheder konfigureres.
Problemet - som påvirker både hjemmebrugere og forretningsbrugere - findes i NAT-PMP-indstillingerne, der bruges til at tillade eksterne netværk at kommunikere med enheder, der fungerer på et lokalt netværk.
I en rådgivende sårbarhed fandt Rapid7 1,2 millioner enheder, der lider af forkert konfigurerede NAT-PMP-indstillinger, hvor 2,5% er sårbare over for en angriber, der opfanger intern trafik, 88% til en angriber, der opfanger udgående trafik, og 88% for et benægtelse af serviceangreb som en resultat af denne sårbarhed.
Er du nysgerrig efter, hvad NAT-PMP er, og hvordan du kan beskytte dig selv? Læs videre for mere information.
Hvad er NAT-PMP, og hvorfor er det nyttigt?
Der er to slags IP-adresser i verden. Den første er interne IP-adresser. Disse identificerer entydigt enheder på et netværk og tillader enheder i et LAN at kommunikere med hinanden. Disse er også private, og kun folk på dit interne netværk kan se og oprette forbindelse til dem.
Og så har vi offentlige IP-adresser. Disse er en kerne del af, hvordan Internettet fungerer, og tillader forskellige netværk at identificere hinanden og til at forbinde med hinanden. Problemet er, at der ikke er nok IPv4-adresser (det dominerende IP-adresseringssystem - IPv6 har endnu ikke erstattet det. IPv6 vs. IPv4: Bør du pleje (eller gøre noget) som bruger? [MakeUseOf Explains] IPv6 vs. IPv4 : Bør du bryde dig (eller gøre noget) som bruger? [MakeUseOf Explains] Der er for nylig været meget snak om at skifte til IPv6, og hvordan det vil give en masse fordele på Internettet. Men denne "nyhed" holder gentager sig selv, da der altid er lejlighedsvis…) at gå rundt. Især når vi overvejer de hundreder af millioner af computere, tablets, telefoner og Internettet af ting Hvad er Internettet af ting & hvordan vil det påvirke vores fremtid [MakeUseOf Explains] Hvad er Internet of Things & Hvordan vil det påvirke vores fremtid [MakeUseOf Forklarer] Det ser ud til, at der er nye buzzwords, der dukker op og dør af med hver dag, der går forbi os, og "Internet of Things" er tilfældigvis en af de nyere ideer, som ... apparater flyder rundt om.
Så vi er nødt til at bruge noget, der kaldes NAT-adresse (Network Address Translation). Dette får hver offentlig adresse til at gå meget længere, da en kan tilknyttes flere enheder på et privat netværk.
Men hvad nu hvis vi har en service - som en webserver Sådan opsættes en Apache-webserver i 3 nemme trin Sådan opsættes en Apache-webserver i 3 enkle trin Uanset hvad årsagen er, kan du på et tidspunkt ønsker at få en webserver går. Uanset om du vil give dig selv fjernadgang til bestemte sider eller tjenester, vil du få et community ... eller en filserver Sådan konfigureres din FreeNAS-server for at få adgang til dine filer fra hvor som helst Sådan konfigureres din FreeNAS-server til at få adgang til dine filer fra Overalt hvor FreeNAS er et gratis, open source BSD-baseret operativsystem, der kan omdanne enhver pc til en bundsolid filserver. I dag vil jeg lede dig gennem en grundlæggende installation, oprette en simpel fildeling, ... - køre på et netværk, som vi gerne vil udsætte for det større internet? Til det bliver vi nødt til at bruge noget, der kaldes Network Address Translation - Port Mapping Protocol (NAT-PMP).
Denne åbne standard blev oprettet omkring 2005 af Apple og var designet til at gøre processen med kortlægning af havne meget lettere. NAT-PNP kan findes på en række enheder, inklusive enheder, der ikke nødvendigvis er fremstillet af Apple, såsom dem, der er produceret af ZyXEL, Linksys og Netgear. Nogle routere, der ikke understøtter det oprindeligt, kan også få adgang til NAT-PMP via tredjepartsfirmaer, såsom DD-WRT Hvad er DD-WRT, og hvordan det kan gøre din router til en super router Hvad er DD-WRT Og hvordan det kan gøre din router til en super-router I denne artikel vil jeg vise dig nogle af de fedeste funktioner i DD-WRT, som, hvis du beslutter at gøre brug af, vil give dig mulighed for at transformere din egen router ind i superruteren til ..., tomat og OpenWRT.
Så vi får ud af, at NAT-PMP er vigtig. Men hvordan kan det være sårbart?
Sådan fungerer sårbarheden
RFC, der definerer, hvordan NAT-PMP fungerer, siger dette:
NAT-gatewayen SKAL IKKE acceptere kortlægningsanmodninger, der er bestemt til NAT-gatewayens eksterne IP-adresse eller modtaget på dens eksterne netværksgrænseflade. Kun pakker modtaget på den eller de interne grænseflader med en destinationsadresse, der matcher den / de interne adresse (r) i NAT-gatewayen, skal være tilladt.
Så hvad betyder det? Kort sagt betyder det, at enheder, der ikke er på det lokale netværk, ikke skal være i stand til at oprette regler for routeren. Synes det er rimeligt?
Problemet opstår, når routere ignorerer denne værdifulde regel. Hvilket tilsyneladende gør 1,2 millioner af dem.
Konsekvenserne kan være alvorlige. Som tidligere nævnt kan trafik sendt fra kompromitterede routere blive aflyttet, hvilket potentielt kan føre til datalækage og identitetstyveri. Så hvordan løser du det?
Hvilke enheder påvirkes?
Dette er et svært spørgsmål at besvare. Rapid7 har ikke været i stand til endeligt at bevise, hvad routere er blevet påvirket. Fra sårbarhedsvurderingen:
Under den første opdagelse af denne sårbarhed og som en del af afsløringsprocessen forsøgte Rapid7 Labs at identificere, hvilke specifikke produkter, der understøtter NAT-PMP, var sårbare, men denne indsats gav ikke særlig nyttige resultater ... på grund af de tekniske og juridiske kompleksiteter involveret i at afsløre enhedernes ægte identitet på det offentlige internet er det meget muligt, måske endda sandsynligt, at disse sårbarheder findes i populære produkter i standard eller understøttede konfigurationer.
Så du er nødt til at gøre lidt for at grave dig selv. Her er hvad du skal gøre.
Hvordan kan jeg finde ud af, hvordan jeg er påvirket?
Først skal du logge ind på din router og se på dine konfigurationsindstillinger gennem dens webgrænseflade. I betragtning af at der er hundreder af forskellige routere, hver med radikalt forskellige webgrænseflader, er det næsten umuligt at give enhedsspecifik rådgivning her.
Imidlertid er kernen stort set det samme på de fleste hjemmenetværksenheder. For det første skal du logge på administrationspanelet på din enhed via din webbrowser. Kontroller din brugermanual, men Linksys routere kan normalt nås fra 192.168.1.1, som er deres standard IP-adresse. Ligeledes bruger D-Link og Netgear 192.168.0.1, og Belkin bruger 192.168.2.1.
Hvis du stadig ikke er sikker, kan du finde det gennem din kommandolinie. På OS X skal du køre:
rute -n få standard
'Gateway' er din router. Hvis du bruger en moderne Linux-distro, kan du prøve at køre:
ip rute show
I Windows skal du åbne kommandoprompten Windows-kommandoprompten: Enklere og mere nyttige end du tror Windows-kommandoprompten: Enklere og mere anvendelig end du tror, at kommandoerne ikke altid har været de samme, faktisk er nogle blevet skraldet, mens andre nyere kommandoer fulgte, selv med Windows 7 faktisk. Så hvorfor skulle nogen ønske at gider ved at klikke på starten ... og indtaste:
ipconfig
Igen er IP-adressen for 'Gateway' den du ønsker.
Når du har fået adgang til din routers administrationspanel, skal du kaste dig rundt i dine indstillinger, indtil du finder dem, der vedrører oversættelse af netværksadresse. Hvis du ser noget, der siger noget som "Tillad NAT-PMP på ikke-betroede netværksgrænseflader", skal du slukke det.
Rapid7 har også fået Computer Emergency Response Team Cordination Center (CERT / CC) til at begynde at indsnævre listen over enheder, der er sårbare, med det formål at samarbejde med enhedsproducenter for at udstede en løsning.
Selv routere kan være sikkerhedsmæssige sårbarheder
Vi tager ofte sikkerheden i vores netværksudstyr for givet. Og alligevel viser denne sårbarhed, at sikkerheden på de enheder, vi bruger til at oprette forbindelse til internettet, ikke er en sikkerhed.
Som altid vil jeg meget gerne høre dine tanker om dette emne. Fortæl mig hvad du synes i kommentarfeltet nedenfor.