Millioner av brytere, rutere og brannmurer er potensielt utsatt for kapring og avlyting, etter at amerikanske sikkerhetsfirma Rapid7 oppdaget et alvorlig problem med hvordan disse enhetene er konfigurert.
Problemet - som påvirker både hjemme- og bedriftsbrukere - finnes i NAT-PMP-innstillingene som brukes til å tillate at eksterne nettverk kommuniserer med enheter som opererer på et lokalt nettverk.
I en sårbarhetsrådgivning fant Rapid7 1, 2 millioner enheter som lider av feilkonfigurerte NAT-PMP-innstillinger, med 2, 5% sårbar for en angriper som interfererer med intern trafikk, 88% til en angriper som avbryter utgående trafikk og 88% til et benektelsesangrep som en Resultatet av dette sikkerhetsproblemet.
Nysgjerrig hva NAT-PMP er, og hvordan kan du beskytte deg selv? Les videre for mer informasjon.
Hva er NAT-PMP, og hvorfor er det nyttig?
Det finnes to typer IP-adresser i verden. Den første er interne IP-adresser. Disse unikt identifiserer enheter på et nettverk og tillater enheter i et LAN å kommunisere med hverandre. Disse er også private, og bare personer på ditt interne nettverk kan se og koble til dem.
Og da har vi offentlige IP-adresser. Disse er en sentral del av hvordan Internett fungerer, og tillater at ulike nettverk identifiserer hverandre og å koble til hverandre. Problemet er at det ikke er nok IPv4-adresser (det dominerende IP-adressesystemet - IPv6 har ennå ikke erstattet det IPv6 vs IPv4: Bør du vare (eller gjøre noe) som bruker? [MakeUseOf Forklarer] IPv6 vs IPv4 : Skal du vare (eller gjøre noe) som bruker? [MakeUseOf Forklarer] Nyere har det vært mye snakk om å bytte til IPv6 og hvordan det vil gi mange fordeler til Internett. Men denne "nyheten" holder gjenta seg selv, da det alltid er sporadisk ... Les mer) å gå rundt. Spesielt når vi ser på hundrevis av millioner av datamaskiner, tabletter, telefoner og Internett av ting. Hva er Internettet av ting og hvordan vil det påvirke vår fremtid? [MakeUseOf Forklarer] Hva er internett av ting og hvordan vil det påvirke vår fremtid? [MakeUseOf Forklarer] Det ser ut til at det er nye buzzwords som dukker opp og dør av med hver dag som passerer oss forbi, og "Internett av ting" skjer bare for å være en av de nyere ideene som ... Les mer apparater som flyter om.
Så, vi må bruke noe som heter Network Address Translation (NAT). Dette gjør at hver offentlig adresse går mye lenger, da man kan knytte seg til flere enheter på et privat nettverk.
Men hva om vi har en tjeneste - som en webserver Hvordan sette opp en Apache Web Server i tre enkle trinn Hvordan sette opp en Apache Web Server i 3 enkle trinn Uansett hva årsaken er, kan du på et tidspunkt få en web server går. Enten du vil gi deg ekstern tilgang til bestemte sider eller tjenester, vil du få et fellesskap ... Les mer eller en filserver Hvordan sette opp FreeNAS-serveren for å få tilgang til filene dine hvor som helst Hvordan sette opp FreeNAS-serveren til Få tilgang til filene dine hvor som helst FreeNAS er et gratis, åpen kildekode-BSD-basert operativsystem som kan gjøre hvilken som helst PC til en stasjonær filserver. I dag skal jeg gå gjennom en grunnleggende installasjon, sette opp en enkel fildeling, ... Les mer - kjører på et nettverk som vi ønsker å eksponere til større Internett? For det må vi bruke noe som heter Network Address Translation - Port Mapping Protocol (NAT-PMP).
Denne åpne standarden ble opprettet rundt 2005 av Apple, og ble designet for å gjøre prosessen med portkartlegging mye lettere. NAT-PNP finnes på en rekke enheter, inkludert de som ikke nødvendigvis er laget av Apple, som de produsert av ZyXEL, Linksys og Netgear. Noen rutere som ikke støtter det nativt, kan også få tilgang til NAT-PMP gjennom tredjeparts firmware, for eksempel DD-WRT. Hva er DD-WRT og hvordan det kan gjøre ruteren din til en super-router. Hva er DD-WRT? Og hvordan det kan gjøre ruteren din til en super-router I denne artikkelen skal jeg vise deg noen av de kuleste funksjonene i DD-WRT som, hvis du bestemmer deg for å bruke, tillater deg å forvandle din egen router inn i super-router av ... Les mer, Tomat og OpenWRT.
Så, vi får det NAT-PMP er viktig. Men hvordan kan det være sårbart?
Hvordan sikkerhetsproblemet fungerer
RFC som definerer hvordan NAT-PMP fungerer, sier dette:
NAT-gatewayen må IKKE akseptere kartforespørsler som er bestemt for NAT-gatewayens eksterne IP-adresse eller mottatt på det eksterne nettverksgrensesnittet. Kun pakker mottatt på det interne grensesnittet (er) med en destinasjonsadresse som samsvarer med den interne adressen til NAT-gatewayen, bør tillates.
Så, hva betyr det? Kort sagt betyr det at enheter som ikke er på det lokale nettverket, ikke skal kunne lage regler for ruteren. Virker rimelig, ikke sant?
Problemet oppstår når rutere ignorerer denne verdifulle regelen. Som tilsynelatende gjør 1, 2 millioner av dem.
Konsekvensene kan være alvorlige. Som tidligere nevnt kan trafikk sendt fra kompromitterte rutere bli avlyst, potensielt føre til datalekkasje og identitetstyveri. Så, hvordan fikser du det?
Hvilke enheter påvirkes?
Dette er et vanskelig spørsmål å svare på. Rapid7 har ikke klart å bevise hvilke rutere som har blitt påvirket. Fra sårbarhetsvurderingen:
Under den første oppdagelsen av dette sikkerhetsproblemet, og som en del av avsløringsprosessen, forsøkte Rapid7 Labs å identifisere hvilke spesifikke produkter som støtter NAT-PMP, sårbare, men at innsatsen ikke ga spesielt nyttige resultater. ... på grunn av de tekniske og juridiske kompleksitetene som er involvert i å avdekke den sanne identiteten til enheter på det offentlige Internett, er det helt mulig, kanskje til og med sannsynlig at disse sårbarhetene er til stede i populære produkter som standard eller støttede konfigurasjoner.
Så, du må gjøre en del av å grave deg selv. Her er hva du trenger å gjøre.
Hvordan kan jeg finne ut at jeg er berørt?
Først må du logge deg på ruteren og se på konfigurasjonsinnstillingene dine via webgrensesnittet. Gitt at det er hundrevis av forskjellige rutere, hver med radikalt forskjellige nettgrensesnitt, gir det enhetsspesifikk råd her nært umulig.
Imidlertid er kjernen stort sett den samme på tvers av de fleste hjemmenettverksenheter. For det første må du logge deg på administrasjonspanelet på enheten din gjennom nettleseren din. Sjekk brukerhåndboken, men Linksys-rutere kan vanligvis nås fra 192.168.1.1, som er deres standard IP-adresse. På samme måte bruker D-Link og Netgear 192.168.0.1, og Belkin bruker 192.168.2.1.
Hvis du fortsatt ikke er sikker, kan du finne den gjennom kommandolinjen. På OS X, kjør:
rute -n blir standard
"Gateway" er ruteren din. Hvis du bruker en moderne Linux-distro, kan du prøve å kjøre:
ip ruteplan
I Windows åpner du kommandoprompt Windows kommandoprompt: enklere og mer nyttig enn du tror Windows-kommandoprompt: enklere og mer nyttig enn du tror Kommandoene har ikke alltid vært de samme, faktisk har noen blitt søppel mens andre nyere kommandoer kom sammen, selv med Windows 7 faktisk. Så hvorfor ville noen bry å klikke på start ... Les mer og skriv inn:
ipconfig
Igjen er IP-adressen til "Gateway" den du vil ha.
Når du har fått tilgang til ruterenes administrasjonspanel, ta et poke rundt i innstillingene dine til du finner de som er relatert til nettverksadresseoversettelse. Hvis du ser noe som sier noe som "Tillat NAT-PMP på usikrede nettverksgrensesnitt", slå av den.
Rapid7 har også fått Computer Emergency Response Team Cordination Center (CERT / CC) for å begynne å begrense ned listen over enheter som er sårbare, med sikte på å jobbe med enhetsprodusentene for å utføre en reparasjon.
Selv rutere kan være sikkerhetsproblemer
Vi tar ofte sikkerheten til nettverksutstyret for gitt. Og likevel viser dette sikkerhetsproblemet at sikkerheten til enhetene vi bruker for å koble til Internett, ikke er en sikkerhet.
Som alltid vil jeg gjerne høre tankene dine om dette emnet. Gi meg beskjed om hva du synes i kommentarfeltet nedenfor.