Peter Holmes
0 
1510
147
Milijuni prekidača, usmjerivača i vatrozida potencijalno su osjetljivi na otmicu i presretanje, nakon što je američka zaštitna tvrtka Rapid7 otkrila ozbiljan problem s konfiguracijom tih uređaja.
Problem - koji utječe i na kućne i poslovne korisnike - nalazi se u NAT-PMP postavkama koje se koriste kako bi vanjske mreže mogle komunicirati s uređajima koji rade na lokalnoj mreži..
U savjeti o ranjivosti, Rapid7 je pronašao 1,2 milijuna uređaja koji pate od pogrešno konfiguriranih postavki NAT-PMP, s 2,5% ranjivih na napadača koji presreće unutarnji promet, 88% na napadača koji presreće odlazni promet i 88% na napad uskraćivanja usluge. rezultat ove ranjivosti.
Zanima vas što je NAT-PMP i kako se možete zaštititi? Pročitajte za više informacija.
Što je NAT-PMP i zašto je koristan?
U svijetu postoje dvije vrste IP adresa. Prva je interna IP adresa. Ovi jedinstveno identificiraju uređaje na mreži i omogućavaju uređajima unutar LAN-a međusobno komuniciranje. Oni su također privatni i samo ih ljudi iz vaše interne mreže mogu vidjeti i povezati se s njima.
A onda imamo javne IP adrese. Ovo je osnovni dio načina na koji Internet funkcionira i omogućavaju različitim mrežama da se međusobno identificiraju i povežu. Problem je u tome što nema dovoljno IPv4 adresa (dominantni IP adresni sustav - IPv6 ga još nije zamijenio. IPv6 vs IPv4: Trebate li se brinuti (ili raditi nešto) kao korisnika? [MakeUseOf Explains] IPv6 vs. IPv4 : Trebate li se brinuti (ili raditi nešto) kao korisnika? [MakeUseOf objašnjava] U novije vrijeme dosta se pričalo o prelasku na IPv6 i kako će to donijeti puno koristi Internetu. Ali, ova „vijest“ zadržava ponavljajući se, kao što uvijek ima povremenih ...) za obilazak. Osobito kad uzmemo u obzir stotine milijuna računala, tableta, telefona i interneta stvari Što je Internet stvari i kako će to utjecati na našu budućnost [MakeUseOf objašnjava] Što je Internet stvari i kako će utjecati na našu budućnost [MakeUseOf Objašnjava] Čini se da se pojavljuju nove jezične riječi koje svakodnevno prolaze i odumiru, a "Internet stvari" upravo je jedna od novijih ideja koja ... uređaji lebde okolo.
Dakle, moramo koristiti nešto što se naziva Prijevod mreže (NAT). To čini da se svaka javna adresa ide znatno dalje jer se jedan može povezati s više uređaja na privatnoj mreži.
Ali što ako imamo uslugu - poput web poslužitelja Kako postaviti web poslužitelj Apache u 3 jednostavna koraka Kako postaviti Apache web server u 3 jednostavna koraka Bez obzira na razlog, možda ćete u nekom trenutku poželjeti dobiti web server ide. Bez obzira želite li sebi pružiti udaljeni pristup određenim stranicama ili uslugama, želite dobiti zajednicu ... ili datotečni poslužitelj Kako postaviti svoj FreeNAS server da pristupi vašim datotekama s bilo kojeg mjesta Kako postaviti svoj FreeNAS server da pristupi vašim datotekama Bilo gdje FreeNAS je besplatni, open-source BSD-temeljeni operativni sustav koji bilo koji PC može pretvoriti u solidan datotečni poslužitelj. Danas ću vas provesti kroz osnovnu instalaciju, postavljanje jednostavnog dijeljenja datoteka,… - pokretanje na mreži koju želimo izložiti širem internetu? Za to bismo trebali upotrijebiti nešto što se naziva Prijevod mrežne adrese - protokol mapiranja vrata (NAT-PMP).
Ovaj otvoreni standard kreirao je Apple oko 2005. godine, a osmišljen je kako bi proces mapiranja luka bio znatno lakši. NAT-PNP se može naći na različitim uređajima, uključujući i one koje Apple nije nužno napravio, poput onih koje proizvode ZyXEL, Linksys i Netgear. Neki usmjerivači koji to ne podržavaju izvorno mogu dobiti pristup NAT-PMP-u putem trećih firmwarea, poput DD-WRT Što je DD-WRT i kako može usmjeriti vaš ruter u Super-Router Što je DD-WRT I kako se vaš ruter može pretvoriti u super usmjerivač U ovom ćemo vam članku pokazati neke od najboljih funkcija DD-WRT-a koje će vam, ako se odlučite za korištenje, omogućiti transformiranje vlastitog usmjerivača. u super router od…, Tomato i OpenWRT.
Dakle, shvaćamo da je NAT-PMP važan. Ali kako može biti ranjiva?
Kako djeluje ranjivost
RFC koji definira kako funkcionira NAT-PMP kaže ovo:
NAT gateway NE MORA prihvatiti zahtjeve za mapiranje koji su namijenjeni vanjskoj IP adresi gateway-a ili su primljeni na vanjskom mrežnom sučelju. Dozvoljeni su samo paketi primljeni na unutarnjem sučelju s odredišnom adresom koja odgovara internoj adresi NAT gatewaya..
Dakle, što to znači? Ukratko, to znači da uređaji koji nisu u lokalnoj mreži ne bi trebali stvarati pravila za usmjerivač. Čini se razumnim, u redu?
Problem nastaje kada usmjerivači ignoriraju ovo vrijedno pravilo. Što, čini se, njih 1,2 milijuna čini.
Posljedice mogu biti teške. Kao što je ranije spomenuto, promet s kompromitiranih usmjerivača može se presresti, što potencijalno vodi do curenja podataka i krađe identiteta. Pa, kako to popraviti?
Koji su uređaji pogođeni?
Na ovo je teško pitanje odgovoriti. Rapid7 nije uspio definitivno dokazati na što su pogođeni usmjerivači. Iz procjene ranjivosti:
Tijekom početnog otkrivanja ove ranjivosti i kao dijela otkrivanja, Rapid7 Labs pokušao je utvrditi koji su konkretni proizvodi koji podržavaju NAT-PMP ranjivi, no taj napor nije donio posebno korisne rezultate… zbog tehničkih i pravnih složenosti uključenih u otkrivajući pravi identitet uređaja na javnom Internetu, posve je moguće, možda čak vjerojatno, da su te ranjivosti u popularnim proizvodima prisutne u zadanim ili podržanim konfiguracijama.
Dakle, morate malo iskopati. Evo što trebate učiniti.
Kako mogu saznati da sam pogođen?
Prvo se morate prijaviti u usmjerivač i pogledati svoje postavke konfiguracije putem njegovog web sučelja. S obzirom na to da postoje stotine različitih usmjerivača, svaki s radikalno različitim web sučeljima, davanje savjeta o uređajima ovdje je gotovo nemoguće..
Međutim, rad je uglavnom isti na većini uređaja za kućno umrežavanje. Prvo se morate prijaviti na upravljačku ploču svog uređaja putem web preglednika. Provjerite korisnički priručnik, ali do Linksys usmjerivača obično se može doći s adrese 192.168.1.1, što je njihova zadana IP adresa. Isto tako, D-Link i Netgear koriste 192.168.0.1, a Belkin 192.168.2.1.
Ako još uvijek niste sigurni, to možete pronaći putem naredbenog retka. U OS X pokrenite:
route -n zadan
"Gateway" je vaš usmjerivač. Ako koristite moderni Linux distributer, pokušajte pokrenuti:
ip route show
U sustavu Windows otvorite naredbeni redak Windows naredbeni redak: jednostavniji i korisniji nego što mislite Windows naredbeni redak: jednostavniji i korisniji nego što mislite Naredbe nisu uvijek ostale iste, u stvari neke su uništene dok su druge novije naredbe su dolazile, čak i sa sustavom Windows 7. Pa zašto bi iko želio gnjaviti klikom na početak… i ušao:
ipconfig
Ponovno je IP adresa za "Gateway".
Nakon što ste pristupili upravljačkoj ploči vašeg usmjerivača, pomičite se po postavkama dok ne pronađete one koje se odnose na prijevod mrežne adrese. Ako vidite išta na čemu piše "Dopusti NAT-PMP na nepouzdanim mrežnim sučeljima", isključite ga.
Rapid7 je također nabavio računalni centar za koordinaciju odgovora za hitne slučajeve (CERT / CC) da započne sužavanje popisa ranjivih uređaja, s ciljem suradnje s proizvođačima uređaja na izdavanju ispravke.
Čak i usmjerivači mogu biti sigurnosne ranjivosti
Sigurnost opreme za umrežavanje često shvaćamo zdravo za gotovo. Pa ipak, ta ranjivost pokazuje da sigurnost uređaja koje koristimo za povezivanje s Internetom nije sigurnost.
Kao i uvijek, volio bih čuti vaša razmišljanja o ovoj temi. Javite mi što mislite u polju za komentare ispod.