Διαφήμιση

Εκατομμύρια διακόπτες, δρομολογητές και τείχη προστασίας είναι δυνητικά ευάλωτοι σε πειρατείες και υποκλοπή, μετά την αμερικανική εταιρεία ασφαλείας Το Rapid7 ανακάλυψε ένα σοβαρό πρόβλημα με τον τρόπο διαμόρφωσης αυτών των συσκευών.

Το πρόβλημα - το οποίο επηρεάζει τόσο τους οικιακούς όσο και τους επιχειρηματικούς χρήστες - βρίσκεται στις ρυθμίσεις NAT-PMP που χρησιμοποιούνται για να επιτρέπουν σε εξωτερικά δίκτυα να επικοινωνούν με συσκευές που λειτουργούν σε τοπικό δίκτυο.

Σε ένα συμβουλευτικό πρόγραμμα ευπάθειας, το Rapid7 βρήκε 1,2 εκατομμύρια συσκευές που πάσχουν από εσφαλμένες ρυθμίσεις NAT-PMP, με 2,5% ευάλωτες σε έναν εισβολέα αναχαίτιση της εσωτερικής κίνησης, 88% σε έναν εισβολέα που παρεμποδίζει την εξερχόμενη κίνηση και 88% σε μια επίθεση άρνησης υπηρεσίας ως αποτέλεσμα αυτού τρωτό.

Είστε περίεργοι για το τι είναι το NAT-PMP και πώς μπορείτε να προστατευτείτε; Διαβάστε παρακάτω για περισσότερες πληροφορίες.

Τι είναι το NAT-PMP και γιατί είναι χρήσιμο;

Υπάρχουν δύο είδη διευθύνσεων IP στον κόσμο. Το πρώτο είναι εσωτερικές διευθύνσεις IP. Αυτές αναγνωρίζουν μοναδικά τις συσκευές σε ένα δίκτυο και επιτρέπουν σε συσκευές εντός ενός LAN να επικοινωνούν μεταξύ τους. Αυτά είναι επίσης ιδιωτικά και μόνο τα άτομα στο εσωτερικό σας δίκτυο μπορούν να δουν και να συνδεθούν σε αυτά.

instagram viewer

Και τότε έχουμε δημόσιες διευθύνσεις IP. Αυτά είναι ένα βασικό μέρος του τρόπου λειτουργίας του Διαδικτύου και επιτρέπουν σε διαφορετικά δίκτυα να ταυτίζονται μεταξύ τους και να συνδέονται μεταξύ τους. Το πρόβλημα είναι, εκεί δεν είναι αρκετό IPv4 διευθύνσεις (το κυρίαρχο σύστημα διευθύνσεων IP - Το IPv6 δεν το έχει αντικαταστήσει ακόμη IPv6 εναντίον IPv4: Πρέπει να φροντίζετε (ή να κάνετε οτιδήποτε) ως χρήστης; [MakeUseOf Εξηγεί]Πιο πρόσφατα, έχει γίνει πολλή συζήτηση σχετικά με τη μετάβαση στο IPv6 και πώς θα αποφέρει πολλά οφέλη στο Διαδίκτυο. Όμως, αυτή η «είδηση» επαναλαμβάνεται, καθώς υπάρχει πάντα μια περιστασιακή ... Διαβάστε περισσότερα για να γυρίσω. Ειδικά όταν εξετάζουμε τις εκατοντάδες εκατομμύρια υπολογιστές, tablet, τηλέφωνα και Το διαδίκτυο των πραγμάτων Τι είναι το Διαδίκτυο των πραγμάτων;Τι είναι το Διαδίκτυο των πραγμάτων; Εδώ είναι όλα όσα πρέπει να ξέρετε για αυτό, γιατί είναι τόσο συναρπαστικό και μερικοί από τους κινδύνους. Διαβάστε περισσότερα συσκευές που αιωρούνται.

Έτσι, πρέπει να χρησιμοποιήσουμε κάτι που ονομάζεται Μετάφραση διεύθυνσης δικτύου (NAT). Αυτό κάνει κάθε δημόσια διεύθυνση να προχωρά πολύ περισσότερο, καθώς μπορεί να συσχετιστεί με πολλές συσκευές σε ιδιωτικό δίκτυο.

Αλλά τι γίνεται αν έχουμε μια υπηρεσία - όπως ένα διακομιστής ιστού Πώς να ρυθμίσετε έναν διακομιστή Web Apache σε 3 εύκολα βήματαΌποιος και αν είναι ο λόγος, ίσως κάποια στιγμή θέλετε να ξεκινήσετε έναν διακομιστή Ιστού. Είτε θέλετε να δώσετε στον εαυτό σας απομακρυσμένη πρόσβαση σε συγκεκριμένες σελίδες ή υπηρεσίες, θέλετε να αποκτήσετε μια κοινότητα ... Διαβάστε περισσότερα ή α διακομιστής αρχείων Πώς να ρυθμίσετε τον διακομιστή FreeNAS για πρόσβαση στα αρχεία σας από οπουδήποτεΤο FreeNAS είναι ένα δωρεάν, ανοιχτού κώδικα, βασισμένο σε BSD λειτουργικό σύστημα που μπορεί να μετατρέψει οποιονδήποτε υπολογιστή σε έναν σταθερό διακομιστή αρχείων. Σήμερα θα σας καθοδηγήσω σε μια βασική εγκατάσταση, δημιουργώντας ένα απλό κοινόχρηστο αρχείο, ... Διαβάστε περισσότερα - τρέχετε σε ένα δίκτυο που θα θέλαμε να εκθέσουμε στο ευρύτερο Διαδίκτυο; Για αυτό, θα πρέπει να χρησιμοποιήσουμε κάτι που ονομάζεται Μετάφραση διεύθυνσης δικτύου - Πρωτόκολλο χαρτογράφησης λιμένων (NAT-PMP).

παράδειγμα δρομολογητή

Αυτό το ανοιχτό πρότυπο δημιουργήθηκε γύρω στο 2005 από την Apple και σχεδιάστηκε για να κάνει τη διαδικασία χαρτογράφησης λιμένων πολύ πιο εύκολη. Το NAT-PNP μπορεί να βρεθεί σε μια σειρά συσκευών, συμπεριλαμβανομένων αυτών που δεν είναι απαραίτητα κατασκευασμένες από την Apple, όπως αυτές που παράγονται από τις ZyXEL, Linksys και Netgear. Ορισμένοι δρομολογητές που δεν το υποστηρίζουν εγγενώς μπορούν επίσης να έχουν πρόσβαση στο NAT-PMP μέσω λογισμικού τρίτων, όπως DD-WRT Τι είναι το DD-WRT και πώς μπορεί να κάνει το δρομολογητή σας σε υπερ-δρομολογητήΣε αυτό το άρθρο, θα σας δείξω μερικά από τα πιο όμορφα χαρακτηριστικά του DD-WRT τα οποία, αν αποφασίσετε να χρησιμοποιήσετε, θα σας επιτρέψουν να μετατρέψετε τον δικό σας δρομολογητή σε υπερ-δρομολογητή ... Διαβάστε περισσότερα , Τομάτα και OpenWRT.

Λάβουμε λοιπόν ότι το NAT-PMP είναι σημαντικό. Αλλά πώς μπορεί να είναι ευάλωτο;

Πώς λειτουργεί το θέμα ευπάθειας

ο RFC που καθορίζει τον τρόπο NAT-PMP Το έργο λέει αυτό:

Η πύλη NAT ΔΕΝ ΠΡΕΠΕΙ να δέχεται αιτήματα αντιστοίχισης που προορίζονται για την εξωτερική διεύθυνση IP της πύλης NAT ή που λαμβάνονται στην εξωτερική διεπαφή δικτύου. Επιτρέπονται μόνο τα πακέτα που λαμβάνονται στις εσωτερικές διεπαφές με διεύθυνση προορισμού που ταιριάζει με τις εσωτερικές διευθύνσεις της πύλης NAT.

Λοιπόν, τι σημαίνει αυτό; Με λίγα λόγια, αυτό σημαίνει ότι οι συσκευές που δεν βρίσκονται στο τοπικό δίκτυο δεν θα πρέπει να μπορούν να δημιουργούν κανόνες για το δρομολογητή. Φαίνεται λογικό, σωστά;

Το πρόβλημα προκύπτει όταν οι δρομολογητές αγνοούν αυτόν τον πολύτιμο κανόνα. Που φαίνεται, 1,2 εκατομμύρια.

Οι συνέπειες μπορεί να είναι σοβαρές. Όπως αναφέρθηκε προηγουμένως, η επισκεψιμότητα που αποστέλλεται από παραβιασμένους δρομολογητές μπορεί να υποκλαπεί, πιθανώς να οδηγήσει σε διαρροή δεδομένων και κλοπή ταυτότητας. Λοιπόν, πώς μπορείτε να το διορθώσετε;

Ποιες συσκευές επηρεάζονται;

Αυτή είναι μια δύσκολη ερώτηση για απάντηση. Το Rapid7 δεν κατάφερε για να αποδείξει οριστικά ποιοι δρομολογητές έχουν επηρεαστεί. Από την εκτίμηση ευπάθειας:

Κατά τη διάρκεια της αρχικής ανακάλυψης αυτής της ευπάθειας και ως μέρος της διαδικασίας αποκάλυψης, το Rapid7 Labs προσπάθησε να το κάνει προσδιορίστε ποια συγκεκριμένα προϊόντα που υποστηρίζουν το NAT-PMP ήταν ευάλωτα, ωστόσο η προσπάθεια δεν απέδωσε ιδιαίτερα χρήσιμη Αποτελέσματα.... λόγω των τεχνικών και νομικών πολυπλοκότητας που εμπλέκονται στην αποκάλυψη της πραγματικής ταυτότητας των συσκευών στο δημόσιο Διαδίκτυο, είναι απολύτως πιθανό, ίσως ακόμη και πιθανό, ότι αυτές οι ευπάθειες υπάρχουν σε δημοφιλή προϊόντα από προεπιλογή ή υποστηρίζονται διαμορφώσεις.

Έτσι, πρέπει να κάνετε λίγο σκάψιμο. Να τι πρέπει να κάνετε.

Πώς μπορώ να μάθω ότι επηρεάζομαι;

Αρχικά, πρέπει να συνδεθείτε στο δρομολογητή σας και να δείτε τις ρυθμίσεις διαμόρφωσης μέσω της διεπαφής ιστού. Δεδομένου ότι υπάρχουν εκατοντάδες διαφορετικοί δρομολογητές, ο καθένας με ριζικά διαφορετικές διεπαφές ιστού, η παροχή συμβουλών για συγκεκριμένες συσκευές εδώ είναι σχεδόν αδύνατη.

Ωστόσο, η ουσία είναι σχεδόν η ίδια στις περισσότερες συσκευές οικιακής δικτύωσης. Πρώτον, πρέπει να συνδεθείτε στον πίνακα διαχείρισης της συσκευής σας μέσω του προγράμματος περιήγησης ιστού. Ελέγξτε το εγχειρίδιο χρήστη σας, αλλά οι δρομολογητές Linksys είναι συνήθως προσβάσιμοι από το 192.168.1.1, που είναι η προεπιλεγμένη διεύθυνση IP τους. Ομοίως, οι D-Link και Netgear χρησιμοποιούν 192.168.0.1 και Belkin χρησιμοποιούν 192.168.2.1.

Εάν δεν είστε ακόμα σίγουροι, μπορείτε να το βρείτε μέσω της γραμμής εντολών σας. Στο OS X, εκτελέστε:

διαδρομή -n λάβετε προεπιλογή

πύλη δρομολογητή
Το «Gateway» είναι ο δρομολογητής σας. Εάν χρησιμοποιείτε μια σύγχρονη διανομή Linux, δοκιμάστε να εκτελέσετε:

εμφάνιση διαδρομής ip

δρομολογητής-ip
Στα Windows, ανοίξτε το Γραμμή εντολών Η γραμμή εντολών των Windows: Απλούστερη και πιο χρήσιμη από ό, τι νομίζετεΟι εντολές δεν παρέμειναν πάντα οι ίδιες, στην πραγματικότητα ορισμένες έχουν απορριφθεί, ενώ άλλες νέες εντολές ήρθαν, ακόμη και με τα Windows 7 στην πραγματικότητα. Λοιπόν, γιατί κάποιος θέλει να ασχοληθεί με το κλικ στην αρχή ... Διαβάστε περισσότερα και εισάγετε:

ipconfig

Και πάλι, η διεύθυνση IP για το «Gateway» είναι αυτή που θέλετε.

Μόλις αποκτήσετε πρόσβαση στον πίνακα διαχείρισης του δρομολογητή σας, κάντε μια στροφή στις ρυθμίσεις σας μέχρι να βρείτε αυτές που σχετίζονται με τη Μετάφραση διευθύνσεων δικτύου. Εάν δείτε κάτι που λέει κάτι "Να επιτρέπεται το NAT-PMP σε μη αξιόπιστες διασυνδέσεις δικτύου", απενεργοποιήστε το.

Το Rapid7 έχει επίσης αποκτήσει το Κέντρο Συντονισμού Ομάδας Ανταπόκρισης Έκτακτης Ανάγκης Υπολογιστών (CERT / CC) για να αρχίσει να περιορίζεται κάτω από τη λίστα των συσκευών που είναι ευάλωτες, με σκοπό τη συνεργασία με κατασκευαστές συσκευών για την έκδοση α διορθώσετε.

Ακόμη και οι δρομολογητές μπορούν να είναι ευπάθειες ασφαλείας

Συχνά θεωρούμε δεδομένη την ασφάλεια των εργαλείων δικτύωσης. Ωστόσο, αυτή η ευπάθεια δείχνει ότι η ασφάλεια των συσκευών που χρησιμοποιούμε για τη σύνδεση στο Διαδίκτυο δεν είναι βεβαιότητα.

Όπως πάντα, θα ήθελα να ακούσω τις σκέψεις σας για αυτό το θέμα. Επιτρέψτε μου να ξέρω τι πιστεύετε στο παρακάτω πλαίσιο σχολίων.

Ο Matthew Hughes είναι προγραμματιστής λογισμικού και συγγραφέας από το Λίβερπουλ της Αγγλίας. Σπάνια βρέθηκε χωρίς ένα φλιτζάνι ισχυρό μαύρο καφέ στο χέρι του και λατρεύει απολύτως το Macbook Pro και την κάμερα του. Μπορείτε να διαβάσετε το ιστολόγιό του στο http://www.matthewhughes.co.uk και ακολουθήστε τον στο twitter στο @matthewhughes.