Reklāma
Pēc amerikāņu drošības firmas miljoniem slēdžu, maršrutētāju un ugunsmūru ir potenciāli neaizsargāti pret nolaupīšanu un pārtveršanu Rapid7 atklāja nopietnu problēmu ar to, kā šīs ierīces ir konfigurētas.
Problēma, kas skar gan mājas, gan biznesa lietotājus, ir atrodama NAT-PMP iestatījumos, ko izmanto, lai ļautu ārējiem tīkliem sazināties ar ierīcēm, kas darbojas lokālajā tīklā.
Ievainojamības ieteikumā Rapid7 atrada 1,2 miljonus ierīču, kas cieš no nepareizi konfigurētiem NAT-PMP iestatījumiem, un 2,5% ir neaizsargātas pret uzbrucēju. iekšējās trafika pārtveršana, 88% uzbrucējam, kas pārtver izejošo trafiku, un 88% pakalpojuma atteikuma uzbrukumam šīs darbības rezultātā. ievainojamība.
Vai vēlaties uzzināt, kas ir NAT-PMP un kā jūs varat sevi pasargāt? Plašāku informāciju lasiet tālāk.
Kas ir NAT-PMP un kāpēc tas ir noderīgs?
Pasaulē ir divu veidu IP adreses. Pirmā ir iekšējās IP adreses. Tie unikāli identificē ierīces tīklā un ļauj LAN ierīcēm sazināties savā starpā. Tie ir arī privāti, un tikai jūsu iekšējā tīkla lietotāji var tos redzēt un izveidot savienojumu ar tiem.
Un tad mums ir publiskas IP adreses. Tās ir galvenā interneta darbības sastāvdaļa un ļauj dažādiem tīkliem identificēt viens otru un izveidot savienojumu. Problēma ir tur nepietiek ar IPv4 adreses (dominējošā IP adrešu sistēma - IPv6 to vēl nav aizstājis IPv6 vs. IPv4: vai jums kā lietotājam būtu jārūpējas (vai jādara kaut kas)? [MakeUseOf paskaidro]Pavisam nesen ir daudz runāts par pāreju uz IPv6 un to, kā tas sniegs daudz priekšrocību internetam. Bet šīs "ziņas" atkārtojas, jo vienmēr ik pa laikam notiek... Lasīt vairāk ), lai dotos apkārt. It īpaši, ja ņemam vērā simtiem miljonu datoru, planšetdatoru, tālruņu un Lietu internets Kas ir lietu internets?Kas ir lietu internets? Šeit ir viss, kas jums par to jāzina, kāpēc tas ir tik aizraujoši, un daži riski. Lasīt vairāk ierīces, kas peld apkārt.
Tātad, mums ir jāizmanto kaut kas, ko sauc Tīkla adrešu tulkošana (NAT). Tādējādi katra publiskā adrese ir daudz tālāka, jo vienu var saistīt ar vairākām ierīcēm privātā tīklā.
Bet ko darīt, ja mums ir pakalpojums, piemēram, a tīmekļa serveris Kā iestatīt Apache tīmekļa serveri 3 vienkāršās darbībāsNeatkarīgi no iemesla, iespējams, kādā brīdī vēlēsities aktivizēt tīmekļa serveri. Neatkarīgi no tā, vai vēlaties piešķirt sev attālu piekļuvi noteiktām lapām vai pakalpojumiem, jūs vēlaties iegūt kopienu... Lasīt vairāk vai a failu serveris Kā iestatīt savu FreeNAS serveri, lai piekļūtu saviem failiem no jebkuras vietasFreeNAS ir bezmaksas, uz BSD balstīta atvērtā koda operētājsistēma, kas var pārvērst jebkuru datoru par stabilu failu serveri. Šodien es iepazīstināšu jūs ar pamata instalēšanu, vienkāršas failu koplietošanas iestatīšanu,... Lasīt vairāk – darbojas tīklā, kuru mēs vēlētos pakļaut plašākam internetam? Šim nolūkam mums būtu jāizmanto kaut kas, ko sauc Tīkla adrešu tulkošana — portu kartēšanas protokols (NAT-PMP).
Šo atvērto standartu ap 2005. gadu izveidoja Apple, un tas bija paredzēts, lai ievērojami atvieglotu portu kartēšanas procesu. NAT-PNP var atrast dažādās ierīcēs, tostarp tajās, kuras ne vienmēr ražo Apple, piemēram, ZyXEL, Linksys un Netgear ražotajās ierīcēs. Daži maršrutētāji, kas to neatbalsta sākotnēji, var piekļūt arī NAT-PMP, izmantojot trešās puses programmaparatūru, piemēram, DD-WRT Kas ir DD-WRT un kā tas var padarīt jūsu maršrutētāju par supermaršrutētājuŠajā rakstā es jums parādīšu dažas no stilīgākajām DD-WRT funkcijām, kuras, ja nolemjat izmantot, ļaus pārveidot savu maršrutētāju par... Lasīt vairāk , Tomāts un OpenWRT.
Tātad, mēs saprotam, ka NAT-PMP ir svarīgs. Bet kā tas var būt neaizsargāts?
Kā darbojas ievainojamība
The RFC, kas nosaka, kā NAT-PMP darbi saka tā:
NAT vārteja NEDRĪKST pieņemt kartēšanas pieprasījumus, kas paredzēti NAT vārtejas ārējai IP adresei vai saņemti tās ārējā tīkla saskarnē. Jāatļauj tikai tās paketes, kas saņemtas iekšējā(-s) saskarnē(-ēs), kuru galamērķa adrese atbilst NAT vārtejas iekšējai(-ām) adresei(-ēm).
Tātad, ko tas nozīmē? Īsāk sakot, tas nozīmē, ka ierīcēm, kas nav lokālajā tīklā, nevajadzētu izveidot maršrutētāja noteikumus. Šķiet saprātīgi, vai ne?
Problēma rodas, ja maršrutētāji ignorē šo vērtīgo noteikumu. Ko, šķiet, dara 1,2 miljoni no viņiem.
Sekas var būt smagas. Kā minēts iepriekš, trafiku, kas tiek nosūtīts no apdraudētiem maršrutētājiem, var pārtvert, kas var izraisīt datu noplūdi un identitātes zādzību. Tātad, kā jūs to labojat?
Kādas ierīces tiek ietekmētas?
Uz šo jautājumu ir grūti atbildēt. Rapid7 nav varējis lai galīgi pierādītu, kuri maršrutētāji ir ietekmēti. No ievainojamības novērtējuma:
Šīs ievainojamības sākotnējās atklāšanas laikā un izpaušanas procesa ietvaros Rapid7 Labs mēģināja noteikt, kuri konkrēti produkti, kas atbalsta NAT-PMP, bija neaizsargāti, tomēr šie centieni nebija īpaši noderīgi rezultātus. … tā kā ir tehniskas un juridiskas sarežģītības, kas saistītas ar ierīču patiesās identitātes atklāšanu publiskajā internetā, tas tā ir ir pilnīgi iespējams, varbūt pat iespējams, ka šīs ievainojamības ir populāros produktos pēc noklusējuma vai tiek atbalstīti konfigurācijas.
Tātad, jums pašiem ir nedaudz jārok. Lūk, kas jums jādara.
Kā es varu uzzināt, ka esmu ietekmēts?
Pirmkārt, jums ir jāpiesakās maršrutētājā un, izmantojot tā tīmekļa saskarni, jāaplūko konfigurācijas iestatījumi. Ņemot vērā, ka ir simtiem dažādu maršrutētāju, katram no kuriem ir radikāli atšķirīgas tīmekļa saskarnes, ir gandrīz neiespējami sniegt konkrētu ierīci.
Tomēr būtība lielākajā daļā mājas tīkla ierīču ir gandrīz vienāda. Pirmkārt, jums ir jāpiesakās ierīces administrēšanas panelī, izmantojot tīmekļa pārlūkprogrammu. Pārbaudiet savu lietotāja rokasgrāmatu, taču Linksys maršrutētājus parasti var sasniegt no 192.168.1.1, kas ir to noklusējuma IP adrese. Tāpat D-Link un Netgear izmanto 192.168.0.1, un Belkin izmanto 192.168.2.1.
Ja joprojām neesat pārliecināts, varat to atrast, izmantojot komandrindu. Operētājsistēmā OS X palaidiet:
route -n get default
"Vārteja" ir jūsu maršrutētājs. Ja izmantojat modernu Linux distribūciju, mēģiniet palaist:
ip maršruta šovs
Operētājsistēmā Windows atveriet Komandu uzvedne Windows komandu uzvedne: vienkāršāka un noderīgāka, nekā jūs domājatKomandas ne vienmēr ir palikušas nemainīgas, patiesībā dažas ir izmestas atkritnē, kamēr parādījās citas jaunākas komandas, pat ar operētājsistēmu Windows 7. Tātad, kāpēc gan lai kāds gribētu noklikšķināt uz sākuma... Lasīt vairāk un ievadiet:
ipconfig
Atkal, “Vārtejas” IP adrese ir tā, kuru vēlaties.
Kad esat ieguvis piekļuvi maršrutētāja administrācijas panelim, skatieties iestatījumus, līdz atrodat tos, kas attiecas uz tīkla adrešu tulkošanu. Ja redzat kaut ko tādu, kas saka, piemēram, “Atļaut NAT-PMP neuzticamos tīkla interfeisos”, izslēdziet to.
Rapid7 ir arī panācis, ka datoru avārijas reaģēšanas komandas koordinācijas centrs (CERT/CC) sāk sašaurināties. uz leju ievainojamo ierīču sarakstu, lai sadarbotos ar ierīču ražotājiem, lai izdotu a labot.
Pat maršrutētāji var būt drošības ievainojamība
Mēs bieži uzskatām, ka mūsu tīkla aprīkojuma drošība ir pašsaprotama. Tomēr šī ievainojamība parāda, ka to ierīču drošība, kuras mēs izmantojam, lai izveidotu savienojumu ar internetu, nav droša.
Kā vienmēr, es labprāt dzirdētu jūsu domas par šo tēmu. Ļaujiet man zināt, ko jūs domājat komentāru lodziņā zemāk.
Metjū Hjūzs ir programmatūras izstrādātājs un rakstnieks no Liverpūles, Anglijā. Viņš reti sastopams bez stipras melnas kafijas tases rokā un absolūti dievina savu Macbook Pro un savu kameru. Jūs varat lasīt viņa emuāru vietnē http://www.matthewhughes.co.uk un sekojiet viņam Twitter vietnē @matthewhughes.