Oglas
Milijuni prekidača, usmjerivača i vatrozida potencijalno su osjetljivi na otmicu i presretanje, nakon američke zaštitarske tvrtke Rapid7 otkrio je ozbiljan problem s konfiguracijom tih uređaja.
Problem - koji utječe i na kućne i poslovne korisnike - nalazi se u postavkama NAT-PMP koje se koriste da bi vanjske mreže mogle komunicirati s uređajima koji rade na lokalnoj mreži.
U savjeti o ranjivosti, Rapid7 je pronašao 1,2 milijuna uređaja koji pate od pogrešno konfiguriranih postavki NAT-PMP, s 2,5% ranjivih na napadača presretanje internog prometa, 88% napadaču koji presreće odlazni promet i 88% napadu uskraćivanja usluge kao posljedici toga ranjivost.
Zanima vas što je NAT-PMP i kako se možete zaštititi? Pročitajte za više informacija.
Što je NAT-PMP i zašto je to korisno?
U svijetu postoje dvije vrste IP adresa. Prva je interna IP adresa. Oni jedinstveno identificiraju uređaje na mreži i omogućavaju uređajima unutar LAN-a međusobno komuniciranje. Oni su također privatni i samo ih ljudi iz vaše interne mreže mogu vidjeti i povezati se s njima.
A onda imamo javne IP adrese. Ovo je osnovni dio načina na koji Internet funkcionira i omogućavaju različitim mrežama da se međusobno identificiraju i povežu. Problem je tu nema dovoljno IPv4 adrese (dominantni IP adresni sustav - IPv6 ga još nije zamijenio IPv6 vs. IPv4: Trebate li se brinuti (ili raditi nešto) kao korisnika? [MakeUseOf objašnjava]U novije vrijeme dosta se pričalo o prelasku na IPv6 i kako će to donijeti puno koristi Internetu. Ali, ove se „vijesti“ stalno ponavljaju, jer uvijek ima povremenih ... Čitaj više ) obilaziti. Pogotovo kad uzmemo u obzir stotine milijuna računala, tableta, telefona i Internet stvari Što je Internet stvari?Što je Internet stvari? Evo svega što trebate znati o tome, zašto je tako uzbudljivo i neke od rizika. Čitaj više uređaji koji lebde okolo.
Dakle, moramo koristiti nešto zvano Prijevod mrežne adrese (NAT). To čini da se svaka javna adresa ide znatno dalje jer se jedan može povezati s više uređaja na privatnoj mreži.
Ali što ako imamo uslugu - kao što je web poslužitelj Kako postaviti web poslužitelj Apache u 3 jednostavna korakaBez obzira na razlog, možda ćete u nekom trenutku poželjeti pokrenuti web poslužitelj. Bez obzira želite li sebi pružiti udaljeni pristup određenim stranicama ili uslugama, želite dobiti zajednicu ... Čitaj više ili a poslužitelj datoteka Kako postaviti svoj poslužitelj FreeNAS za pristup datotekama s bilo kojeg mjestaFreeNAS je besplatni, open-source BSD-ov operativni sustav koji može bilo koje računalo pretvoriti u solidan datotečni poslužitelj. Danas ću vas provesti kroz osnovnu instalaciju, postavljanje jednostavnih dijeljenja datoteka, ... Čitaj više - trčanje na mreži koju želimo izložiti širem internetu? Za to bismo trebali upotrijebiti nešto zvano Prijevod mrežne adrese - protokol mapiranja porta (NAT-PMP).
Ovaj otvoreni standard kreirao je Apple oko 2005. godine, a osmišljen je kako bi proces mapiranja luka bio znatno lakši. NAT-PNP se može naći na različitim uređajima, uključujući i one koje Apple nije nužno napravio, poput onih koje proizvode ZyXEL, Linksys i Netgear. Neki usmjerivači koji ga lokalno ne podržavaju također mogu dobiti NAT-PMP putem firmwarea trećih strana, poput DD-WRT Što je DD-WRT i kako to može učiniti vaš usmjerivač u Super RouterU ovom članku ću vam pokazati neke od najboljih funkcija DD-WRT koje će vam, ako se odlučite za korištenje, omogućiti transformiranje vlastitog usmjerivača u super usmjerivač ... Čitaj više , Rajčica i OpenWRT.
Dakle, shvaćamo da je NAT-PMP važan. Ali kako može biti ranjiva?
Kako djeluje ranjivost
RFC koji definira kako NAT-PMP djela kaže ovo:
NAT pristupnik NE MORA prihvaćati zahtjeve za mapiranje koji su namijenjeni vanjskoj IP adresi gateway-a ili su primljeni na vanjskom mrežnom sučelju. Dozvoljeni su samo paketi primljeni na unutarnjem sučelju s odredišnom adresom koja odgovara internoj (i) adresi (NAT) gateway-a.
Dakle, što to znači? Ukratko, to znači da uređaji koji nisu u lokalnoj mreži ne bi mogli stvarati pravila za usmjerivač. Čini se razumnim, zar ne?
Problem nastaje kada usmjerivači ignoriraju ovo vrijedno pravilo. Što, čini se, čini 1,2 milijuna.
Posljedice mogu biti teške. Kao što je ranije spomenuto, promet s kompromitiranih usmjerivača može se presresti, što potencijalno vodi do curenja podataka i krađe identiteta. Pa, kako to popraviti?
Na koje uređaje utječu?
Na ovo je teško pitanje odgovoriti. Rapid7 nisu bili u mogućnosti definitivno dokazati na što su pogođeni usmjerivači. Iz procjene ranjivosti:
Tijekom početnog otkrivanja ove ranjivosti i kao dijela otkrivanja, Rapid7 Labs pokušao je prepoznati koji su konkretni proizvodi koji podržavaju NAT-PMP ranjivi, no taj napor nije donio osobito korisne rezultati. … Zbog tehničkih i pravnih složenosti uključenih u otkrivanje stvarnog identiteta uređaja na javnom Internetu, jest posve je moguće, možda čak i vjerojatno, da su te ranjivosti u popularnim proizvodima zadane ili podržane konfiguracije.
Dakle, morate malo iskopati. Evo što trebate učiniti.
Kako mogu saznati da sam pogođen?
Prvo se morate prijaviti u usmjerivač i pogledati svoje postavke konfiguracije putem njegovog web sučelja. S obzirom na to da postoje stotine različitih usmjerivača, svaki s radikalno različitim web sučeljima, davanje savjeta o uređajima ovdje je gotovo nemoguće.
Međutim, rad je uglavnom isti na većini uređaja za kućno umrežavanje. Prvo se morate prijaviti na upravljačku ploču svog uređaja putem web preglednika. Provjerite korisnički priručnik, ali Linksys usmjerivače obično možete dobiti od 192.168.1.1, što je njihova zadana IP adresa. Isto tako, D-Link i Netgear koriste 192.168.0.1, a Belkin 192.168.2.1.
Ako još uvijek niste sigurni, to možete pronaći putem naredbenog retka. U OS X pokrenite:
route -n zadan
"Gateway" je vaš usmjerivač. Ako koristite moderni Linux distributer, pokušajte pokrenuti:
ip route show
U sustavu Windows otvorite Komandni redak Windows naredbeni redak: jednostavniji i korisniji nego što misliteNaredbe nisu uvijek ostale iste, zapravo su neke uništene, dok su dolazile i druge novije naredbe, čak i sa sustavom Windows 7. Pa, zašto bi se itko htio gnjaviti klikom na početak ... Čitaj više i unesite:
ipconfig
Ponovno, IP adresa za "gateway" je ona koju želite.
Nakon što ste stekli pristup upravljačkoj ploči usmjerivača, pomičite se po postavkama dok ne nađete one koje se odnose na prijevod mrežnih adresa. Ako vidite išta na čemu piše "Dopusti NAT-PMP na nepouzdanim mrežnim sučeljima", isključite ga.
Rapid7 je također dobio koordinacijski centar za pomoć u hitnim situacijama na računalu (CERT / CC) za početak sužavanja dolje popisa ranjivih uređaja, s ciljem suradnje s proizvođačima uređaja na izdavanju popraviti.
Čak i usmjerivači mogu biti sigurnosne ranjivosti
Sigurnost opreme za umrežavanje često shvaćamo zdravo za gotovo. Ipak, ta ranjivost pokazuje da sigurnost uređaja koji koristimo za povezivanje s Internetom nije izvjesna.
Kao i uvijek, volio bih čuti vaša razmišljanja o ovoj temi. Javite mi što mislite u polju za komentare ispod.
Matthew Hughes je programer i pisac softvera iz Liverpoola u Engleskoj. Rijetko se nađe bez šalice jake crne kave u ruci i apsolutno obožava svoj Macbook Pro i svoj fotoaparat. Njegov blog možete pročitati na http://www.matthewhughes.co.uk i slijedite ga na twitteru na @matthewhughes.