1,2 miliona routerów jest podatnych na przejęcie. Czy twój jest jednym z nich?

Reklama

Miliony przełączników, routerów i zapór ogniowych są potencjalnie podatne na przechwycenie i przechwycenie, po amerykańskiej firmie zajmującej się bezpieczeństwem Rapid7 wykrył poważny problem z konfiguracją tych urządzeń.

Problem – który dotyka zarówno użytkowników domowych, jak i biznesowych – dotyczy ustawień NAT-PMP, które pozwalają sieciom zewnętrznym na komunikację z urządzeniami pracującymi w sieci lokalnej.

W poradniku dotyczącym luk w zabezpieczeniach Rapid7 znalazł 1,2 miliona urządzeń, które cierpią z powodu błędnie skonfigurowanych ustawień NAT-PMP, z 2,5% podatnością na atak przechwytywanie ruchu wewnętrznego, 88% do atakującego przechwytującego ruch wychodzący, a 88% do ataku typu „odmowa usługi” w wyniku tego słaby punkt.

Ciekawi Cię, czym jest NAT-PMP i jak możesz się chronić? Czytaj dalej, aby dowiedzieć się więcej.

Co to jest NAT-PMP i dlaczego jest przydatny?

Na świecie istnieją dwa rodzaje adresów IP. Pierwszy to wewnętrzne adresy IP. Te jednoznacznie identyfikują urządzenia w sieci i pozwalają urządzeniom w sieci LAN komunikować się ze sobą. Są one również prywatne i tylko osoby w Twojej sieci wewnętrznej mogą je zobaczyć i połączyć się z nimi.

A potem mamy publiczne adresy IP. Stanowią one zasadniczą część działania Internetu i pozwalają różnym sieciom na wzajemną identyfikację i łączenie się ze sobą. Problem polega na tym, że to za mało IPv4 adresy (dominujący system adresowania IP – IPv6 jeszcze go nie zastąpił IPv6 a IPv4: czy powinieneś się troszczyć (lub robić coś) jako użytkownik? [Użyj wyjaśnień]Ostatnio dużo mówi się o przejściu na IPv6 io tym, jak przyniesie wiele korzyści dla Internetu. Ale ta „wiadomość” wciąż się powtarza, ponieważ zawsze zdarzają się sporadyczne... Czytaj więcej ), aby się obejść. Zwłaszcza, gdy weźmiemy pod uwagę setki milionów komputerów, tabletów, telefonów i Internet przedmiotów Czym jest Internet Rzeczy?Czym jest Internet Rzeczy? Oto wszystko, co musisz o tym wiedzieć, dlaczego jest to takie ekscytujące i niektóre zagrożenia. Czytaj więcej urządzenia unoszące się wokół.

Więc musimy użyć czegoś, co nazywa się Translacja adresów sieciowych (NAT). To sprawia, że ​​każdy adres publiczny idzie znacznie dalej, ponieważ jeden może być powiązany z wieloma urządzeniami w sieci prywatnej.

Ale co, jeśli mamy usługę – taką jak serwer internetowy Jak skonfigurować serwer WWW Apache w 3 prostych krokach?Bez względu na przyczynę, w pewnym momencie możesz chcieć uruchomić serwer WWW. Niezależnie od tego, czy chcesz zapewnić sobie zdalny dostęp do określonych stron lub usług, chcesz uzyskać społeczność... Czytaj więcej lub serwer plików Jak skonfigurować serwer FreeNAS, aby uzyskać dostęp do plików z dowolnego miejsca?FreeNAS to darmowy system operacyjny typu open source oparty na BSD, który może zmienić dowolny komputer w solidny serwer plików. Dzisiaj przeprowadzę Cię przez podstawową instalację, konfigurowanie prostego udostępniania plików,... Czytaj więcej – działa w sieci, którą chcielibyśmy udostępnić szerszemu Internetowi? W tym celu musielibyśmy użyć czegoś, co nazywa się Translacja adresów sieciowych — protokół mapowania portów (NAT-PMP).

Ten otwarty standard został stworzony około 2005 roku przez Apple i został zaprojektowany, aby znacznie ułatwić proces mapowania portów. NAT-PNP można znaleźć na wielu urządzeniach, w tym tych, które niekoniecznie są produkowane przez Apple, takich jak te produkowane przez ZyXEL, Linksys i Netgear. Niektóre routery, które nie obsługują go natywnie, mogą również uzyskać dostęp do NAT-PMP za pośrednictwem oprogramowania firmowego innych firm, takiego jak DD-WRT Co to jest DD-WRT i jak może zmienić twój router w super-router?W tym artykule pokażę Ci niektóre z najfajniejszych funkcji DD-WRT, które, jeśli zdecydujesz się wykorzystać, pozwolą Ci przekształcić własny router w super-router... Czytaj więcej , Pomidor i OpenWRT.

Tak więc rozumiemy, że NAT-PMP jest ważny. Ale jak może być wrażliwy?

Jak działa luka

ten RFC, który definiuje sposób NAT-PMP prace mówią to:

Brama NAT NIE MOŻE akceptować żądań mapowania skierowanych do zewnętrznego adresu IP bramy NAT lub otrzymanych przez jej zewnętrzny interfejs sieciowy. Dozwolone powinny być tylko pakiety odebrane przez wewnętrzny interfejs (interfejsy) z adresem docelowym zgodnym z wewnętrznym adresem (adresami) bramy NAT.

Więc, co to znaczy? W skrócie oznacza to, że urządzenia, które nie są w sieci lokalnej, nie powinny mieć możliwości tworzenia reguł dla routera. Wydaje się rozsądne, prawda?

Problem pojawia się, gdy routery ignorują tę cenną zasadę. Co pozornie robi 1,2 miliona z nich.

Konsekwencje mogą być poważne. Jak wspomniano wcześniej, ruch wysyłany z zaatakowanych routerów może zostać przechwycony, co potencjalnie może prowadzić do wycieku danych i kradzieży tożsamości. Więc jak to naprawić?

Jakich urządzeń dotyczy problem?

To trudne pytanie. Rapid7 nie był w stanie aby ostatecznie udowodnić, które routery zostały dotknięte problemem. Z oceny podatności:

Podczas pierwszego wykrycia tej luki oraz w ramach procesu ujawniania, firma Rapid7 Labs próbowała: określić, które konkretne produkty obsługujące NAT-PMP były podatne na ataki, jednak ten wysiłek nie był szczególnie przydatny wyniki. … ze względu na zawiłości techniczne i prawne związane z odkrywaniem prawdziwej tożsamości urządzeń w publicznym Internecie, jest to całkowicie możliwe, a może nawet prawdopodobne, że te luki są obecne w popularnych produktach domyślnie lub wspieranych konfiguracje.

Musisz więc trochę kopać sam. Oto, co musisz zrobić.

Jak mogę się dowiedzieć, że mnie to dotyczy?

Najpierw musisz zalogować się do routera i sprawdzić ustawienia konfiguracji za pośrednictwem jego interfejsu internetowego. Biorąc pod uwagę, że istnieją setki różnych routerów, z których każdy ma radykalnie różne interfejsy sieciowe, udzielanie tutaj porad dotyczących konkretnego urządzenia jest prawie niemożliwe.

Jednak istota jest prawie taka sama w przypadku większości domowych urządzeń sieciowych. W pierwszej kolejności musisz zalogować się do panelu administracyjnego swojego urządzenia przez przeglądarkę internetową. Sprawdź swoją instrukcję obsługi, ale routery Linksys są zwykle dostępne od 192.168.1.1, który jest ich domyślnym adresem IP. Podobnie D-Link i Netgear używają 192.168.0.1, a Belkin 192.168.2.1.

Jeśli nadal nie masz pewności, możesz go znaleźć za pomocą wiersza poleceń. W systemie OS X uruchom:

trasa -n pobierz domyślną

„Brama” to Twój router. Jeśli używasz nowoczesnej dystrybucji Linuksa, spróbuj uruchomić:

pokaz trasy ip

W systemie Windows otwórz Wiersz polecenia Wiersz poleceń systemu Windows: prostszy i bardziej użyteczny niż myśliszPolecenia nie zawsze pozostawały takie same, w rzeczywistości niektóre zostały usunięte, podczas gdy pojawiły się inne nowsze polecenia, nawet w systemie Windows 7. Po co więc ktokolwiek miałby chcieć zawracać sobie głowę klikaniem na początek... Czytaj więcej i wpisz:

ipconfig

Ponownie, adres IP „Brama” jest tym, którego chcesz.

Po uzyskaniu dostępu do panelu administracyjnego routera przejrzyj ustawienia, aż znajdziesz te, które odnoszą się do translacji adresów sieciowych. Jeśli zobaczysz coś, co mówi coś w stylu „Zezwalaj na NAT-PMP na niezaufanych interfejsach sieciowych”, wyłącz to.

Rapid7 pozyskał również Centrum Koordynacji Zespołu Reagowania na Awarie Komputerowe (CERT/CC), które zaczęło się zawężać w dół listy urządzeń, które są podatne na ataki, w celu współpracy z producentami urządzeń w celu wydania naprawić.

Nawet routery mogą stanowić luki w zabezpieczeniach

Często traktujemy bezpieczeństwo naszego sprzętu sieciowego za pewnik. A jednak ta luka pokazuje, że bezpieczeństwo urządzeń, których używamy do łączenia się z Internetem, nie jest pewne.

Jak zawsze bardzo chciałbym poznać Twoje przemyślenia na ten temat. Daj mi znać, co myślisz w polu komentarzy poniżej.