Hirdetés
Switchek, útválasztók és tűzfalak milliói válhatnak kiszolgáltatottá az eltérítéssel és lehallgatással szemben, miután egy amerikai biztonsági cég A Rapid7 komoly problémát fedezett fel ezeknek az eszközöknek a konfigurációjával.
A probléma – amely mind az otthoni, mind az üzleti felhasználókat érinti – a NAT-PMP beállításaiban keresendő, amelyek lehetővé teszik a külső hálózatok számára a helyi hálózaton működő eszközökkel való kommunikációt.
Egy sebezhetőségi figyelmeztetésben a Rapid7 1,2 millió olyan eszközt talált, amelyek rosszul konfigurált NAT-PMP beállításokban szenvednek, és 2,5%-uk sebezhető a támadókkal szemben. a belső forgalmat elfogja, 88%-a a kimenő forgalmat elfogó támadónak, és 88%-a az ebből eredő szolgáltatásmegtagadási támadásnak sebezhetőség.
Kíváncsi, mi az a NAT-PMP, és hogyan védheti meg magát? További információkért olvassa el.
Mi az a NAT-PMP, és miért hasznos?
Kétféle IP-cím létezik a világon. Az első a belső IP-címek. Ezek egyedileg azonosítják a hálózaton lévő eszközöket, és lehetővé teszik, hogy a LAN-on belüli eszközök kommunikáljanak egymással. Ezek szintén privátak, és csak a belső hálózaton lévők láthatják és csatlakozhatnak hozzájuk.
És akkor nyilvános IP-címeink vannak. Ezek az internet működésének alapvető részét képezik, és lehetővé teszik, hogy a különböző hálózatok azonosítsák egymást, és kapcsolódjanak egymással. A probléma ott van nem elég az IPv4 címek (a domináns IP címzési rendszer – Az IPv6 még nem váltotta fel IPv6 vs. IPv4: Törődjön (vagy tegyen bármit) felhasználóként? [MakeUseOf Explains]A közelmúltban sok szó esett az IPv6-ra való váltásról, és arról, hogy az milyen előnyökkel jár majd az interneten. De ez a "hír" folyamatosan ismétli önmagát, hiszen mindig van egy-egy... Olvass tovább ) körbemenni. Főleg, ha figyelembe vesszük a több száz millió számítógépet, táblagépet, telefont ill Internet Of Things Mi az a tárgyak internete?Mi az a tárgyak internete? Itt van minden, amit tudnia kell róla, miért olyan izgalmas, és néhány kockázatot. Olvass tovább körül lebegő készülékek.
Tehát valami ún Hálózati címfordítás (NAT). Ezáltal minden nyilvános cím sokkal tovább megy, mivel egy magánhálózaton több eszközhöz is társítható.
De mi van akkor, ha van egy szolgáltatásunk – például a web szerver Az Apache webszerver beállítása 3 egyszerű lépésbenBármi is legyen az ok, előfordulhat, hogy egy bizonyos ponton be szeretné indítani a webszervert. Akár távoli hozzáférést szeretne adni bizonyos oldalakhoz vagy szolgáltatásokhoz, szeretne egy közösséget... Olvass tovább vagy a fájlszerver Hogyan állítsd be a FreeNAS-kiszolgálót, hogy bárhonnan hozzáférj a fájlokhozA FreeNAS egy ingyenes, nyílt forráskódú BSD-alapú operációs rendszer, amely bármilyen számítógépet sziklaszilárd fájlszerverré alakíthat. Ma végigvezetem Önt egy alapvető telepítésen, egy egyszerű fájlmegosztás beállításán,... Olvass tovább – olyan hálózaton futunk, amelyet szeretnénk a nagyobb internet számára kitenni? Ehhez valami ún Hálózati cím fordítás – Port Mapping Protocol (NAT-PMP).
Ezt a nyílt szabványt 2005 körül hozta létre az Apple, és úgy tervezték, hogy a portleképezés folyamatát sokkal könnyebbé tegye. A NAT-PNP számos eszközön megtalálható, beleértve azokat is, amelyeket nem feltétlenül az Apple készített, például a ZyXEL, a Linksys és a Netgear által gyártottakat. Egyes útválasztók, amelyek natívan nem támogatják, hozzáférhetnek a NAT-PMP-hez harmadik fél firmware-jén keresztül is, mint pl. DD-WRT Mi az a DD-WRT, és hogyan teheti az útválasztót szuper-routerréEbben a cikkben a DD-WRT néhány legmenőbb funkcióját fogom bemutatni, amelyeket, ha úgy döntesz, hogy kihasználod, saját útválasztódat átalakíthatod a... Olvass tovább , Paradicsom és OpenWRT.
Tehát azt látjuk, hogy a NAT-PMP fontos. De hogyan lehet sebezhető?
Hogyan működik a sebezhetőség
Az RFC, amely meghatározza, hogyan NAT-PMP a mű ezt írja:
A NAT-átjáró NEM SZABAD elfogadni a NAT-átjáró külső IP-címére küldött vagy a külső hálózati interfészén fogadott leképezési kéréseket. Csak a belső interfész(ek)en fogadott csomagok engedélyezettek, amelyek célcíme megegyezik a NAT-átjáró belső címével.
Szóval mit jelent ez? Röviden azt jelenti, hogy a helyi hálózaton kívüli eszközök nem hozhatnak létre szabályokat az útválasztóhoz. Ésszerűnek tűnik, igaz?
A probléma akkor merül fel, ha az útválasztók figyelmen kívül hagyják ezt az értékes szabályt. Amit látszólag 1,2 millióan csinálnak.
A következmények súlyosak lehetnek. Ahogy korábban említettük, a feltört útválasztókról küldött forgalom lehallgatható, ami adatszivárgáshoz és személyazonosság-lopáshoz vezethet. Szóval, hogyan javítod?
Milyen eszközöket érint?
Erre a kérdésre nehéz válaszolni. A Rapid7 nem tudta hogy véglegesen bizonyítsuk, milyen útválasztókat érintettek. A sebezhetőség felméréséből:
A sérülékenység kezdeti felfedezése során és a közzétételi folyamat részeként a Rapid7 Labs megpróbálta azonosítani, mely konkrét NAT-PMP-t támogató termékek voltak sebezhetőek, de ez az erőfeszítés nem járt különösebben hasznosan eredmények. … az eszközök valódi identitásának feltárásával járó technikai és jogi bonyolultságok miatt a nyilvános interneten Teljesen lehetséges, sőt valószínű, hogy ezek a sérülékenységek alapértelmezésben vagy támogatott termékekben is megtalálhatók konfigurációk.
Szóval ásnod kell magad egy kicsit. Íme, mit kell tennie.
Hogyan tudhatom meg, hogy érintett vagyok?
Először is be kell jelentkeznie az útválasztóba, és meg kell tekintenie a konfigurációs beállításait a webes felületén keresztül. Tekintettel arra, hogy több száz különböző útválasztó létezik, amelyek mindegyike radikálisan eltérő webes felülettel rendelkezik, itt szinte lehetetlen eszközspecifikus tanácsokat adni.
A lényeg azonban nagyjából ugyanaz a legtöbb otthoni hálózati eszközön. Először is be kell jelentkeznie a készülék adminisztrációs paneljére a webböngészőn keresztül. Nézze meg a felhasználói kézikönyvet, de a Linksys útválasztók általában a 192.168.1.1-ről érhetők el, amely az alapértelmezett IP-címük. Hasonlóképpen, a D-Link és a Netgear a 192.168.0.1-et, a Belkin pedig a 192.168.2.1-et használja.
Ha még mindig nem biztos benne, megtalálhatja a parancssorból. OS X rendszeren futtassa:
route -n get default
Az „átjáró” az Ön útválasztója. Ha modern Linux disztribúciót használ, próbálja meg futni:
ip route show
Windows rendszerben nyissa meg a Parancssor A Windows parancssor: egyszerűbb és hasznosabb, mint gondolnáA parancsok nem mindig maradtak ugyanazok, sőt, néhányat a szemétbe tettek, míg más újabb parancsok jöttek, még a Windows 7 esetében is. Szóval miért akarna bárki is a kezdésre kattintani... Olvass tovább és írja be:
ipconfig
Ismét az „átjáró” IP-címe a kívánt.
Miután hozzáfért az útválasztó adminisztrációs paneljéhez, addig bökdössen a beállítások között, amíg meg nem találja azokat, amelyek a hálózati címfordításhoz kapcsolódnak. Ha valami olyasmit lát, mint „NAT-PMP engedélyezése nem megbízható hálózati interfészeken”, kapcsolja ki.
A Rapid7 a Computer Emergency Response Team Cordination Center (CERT/CC) szűkítését is elérte. lefelé a sebezhető eszközök listáját, azzal a céllal, hogy az eszközgyártókkal együttműködve kiadják a javítani.
Még az útválasztók is biztonsági rések lehetnek
Hálózati felszereléseink biztonságát gyakran természetesnek vesszük. És mégis, ez a sérülékenység azt mutatja, hogy az internethez való csatlakozáshoz használt eszközök biztonsága nem biztos.
Mint mindig, most is szívesen hallanám a véleményeteket erről a témáról. Mondja el nekem, mit gondol az alábbi megjegyzés rovatban.
Matthew Hughes szoftverfejlesztő és író Liverpoolból, Angliából. Ritkán találják meg csésze erős feketekávé nélkül a kezében, és teljesen imádja Macbook Pro-ját és fényképezőgépét. A blogját itt olvashatja http://www.matthewhughes.co.uk és kövesd őt a Twitteren a @matthewhughes címen.