Skelbimas
Amerikos saugos firmai milijonai jungiklių, maršruto parinktuvų ir ugniasienės gali būti pažeidžiami užgrobimo ir perėmimo atveju. Rapid7 aptiko rimtą problemą kaip šie įrenginiai sukonfigūruoti.
Problema, kuri turi įtakos tiek namų, tiek verslo vartotojams, randama NAT-PMP nustatymuose, naudojamuose išoriniams tinklams leisti susisiekti su įrenginiais, veikiančiais vietiniame tinkle.
Pranešime dėl pažeidžiamumo „Rapid7“ rado 1,2 milijono įrenginių, kurie kenčia nuo netinkamai sukonfigūruotų NAT-PMP nustatymų, iš kurių 2,5 % yra pažeidžiami užpuoliko. perimti vidinį srautą, 88% užpuolikas, perimantis išeinantį srautą, ir 88% - paslaugų atsisakymo ataka dėl to pažeidžiamumas.
Norite sužinoti, kas yra NAT-PMP ir kaip galite apsisaugoti? Norėdami gauti daugiau informacijos, skaitykite toliau.
Kas yra NAT-PMP ir kodėl tai naudinga?
Pasaulyje yra dviejų tipų IP adresai. Pirmasis yra vidiniai IP adresai. Jie unikaliai identifikuoja tinklo įrenginius ir leidžia LAN įrenginiams bendrauti tarpusavyje. Jie taip pat yra privatūs, juos matyti ir prie jų prisijungti gali tik jūsų vidinio tinklo žmonės.
Ir tada mes turime viešus IP adresus. Tai yra pagrindinė interneto veikimo dalis ir leidžia skirtingiems tinklams identifikuoti vieni kitus ir prisijungti. Problema yra, ten Nepakanka IPv4 adresus (dominuojanti IP adresų sistema – IPv6 jo dar nepakeitė IPv6 vs. IPv4: ar jums turėtų rūpėti (ar ką nors daryti) kaip vartotojui? [MakeUseOf paaiškina]Visai neseniai buvo daug kalbama apie perėjimą prie IPv6 ir apie tai, kaip tai atneš daug naudos internetui. Tačiau šios „naujienos“ nuolat kartojasi, nes kartais pasitaiko... Skaityti daugiau ) apeiti. Ypač kai atsižvelgiame į šimtus milijonų kompiuterių, planšetinių kompiuterių, telefonų ir Daiktų internetas Kas yra daiktų internetas?Kas yra daiktų internetas? Štai viskas, ką reikia žinoti apie tai, kodėl tai taip įdomu, ir kai kuriuos pavojus. Skaityti daugiau aplink plūduriuojančius prietaisus.
Taigi, turime naudoti kažką vadinamo Tinklo adresų vertimas (NAT). Dėl to kiekvienas viešasis adresas yra daug didesnis, nes jį galima susieti su keliais įrenginiais privačiame tinkle.
Bet ką daryti, jei turime paslaugą – pavyzdžiui, a Tinklapio serveris Kaip 3 paprastais veiksmais nustatyti „Apache“ žiniatinklio serverįKad ir kokia būtų priežastis, galbūt kada nors norėsite paleisti žiniatinklio serverį. Nesvarbu, ar norite suteikti sau nuotolinę prieigą prie tam tikrų puslapių ar paslaugų, norite turėti bendruomenę... Skaityti daugiau arba a failų serveris Kaip nustatyti „FreeNAS“ serverį, kad galėtumėte pasiekti failus iš bet kurFreeNAS yra nemokama atvirojo kodo BSD pagrindu veikianti operacinė sistema, kuri bet kurį kompiuterį gali paversti tvirtu failų serveriu. Šiandien aš jums paaiškinsiu pagrindinį diegimą, paprastą failų bendrinimo nustatymą,... Skaityti daugiau – veikia tinkle, kurį norėtume atskleisti didesniam internetui? Tam turėtume naudoti kažką vadinamo Tinklo adresų vertimas – prievado atvaizdavimo protokolas (NAT-PMP).
Šį atvirąjį standartą apie 2005 m. sukūrė „Apple“ ir jis buvo sukurtas taip, kad būtų daug lengviau sudaryti prievadų sudarymo procesą. NAT-PNP galima rasti įvairiuose įrenginiuose, įskaitant tuos, kurie nebūtinai pagaminti Apple, pvz., ZyXEL, Linksys ir Netgear. Kai kurie maršrutizatoriai, kurie jo nepalaiko iš esmės, taip pat gali gauti prieigą prie NAT-PMP per trečiųjų šalių programinę-aparatinę įrangą, pvz., DD-WRT Kas yra DD-WRT ir kaip jis gali paversti jūsų maršrutizatorių super maršrutizatoriumiŠiame straipsnyje parodysiu keletą šauniausių DD-WRT funkcijų, kuriomis, jei nuspręsite pasinaudoti, galėsite paversti savo maršruto parinktuvą supermaršrutizatoriumi... Skaityti daugiau , Pomidoras ir OpenWRT.
Taigi, mes suprantame, kad NAT-PMP yra svarbus. Bet kaip jis gali būti pažeidžiamas?
Kaip veikia pažeidžiamumas
The RFC, kuris apibrėžia, kaip NAT-PMP darbai sako taip:
NAT šliuzas NETURI priimti susiejimo užklausų, skirtų NAT šliuzo išoriniam IP adresui arba gautų per išorinę tinklo sąsają. Turėtų būti leidžiami tik paketai, gauti per vidinę (-es) sąsają (-es), kurių paskirties adresas atitinka vidinį (-ius) NAT šliuzo adresą (-us).
Taigi, ką tai reiškia? Trumpai tariant, tai reiškia, kad įrenginiai, kurie nėra vietiniame tinkle, neturėtų galėti kurti maršrutizatoriaus taisyklių. Atrodo pagrįsta, tiesa?
Problema kyla, kai maršrutizatoriai nepaiso šios vertingos taisyklės. Ką, regis, iš jų daro 1,2 mln.
Pasekmės gali būti sunkios. Kaip minėta anksčiau, srautas, siunčiamas iš pažeistų maršrutizatorių, gali būti perimtas, o tai gali sukelti duomenų nutekėjimą ir tapatybės vagystę. Taigi, kaip tai ištaisyti?
Kokie įrenginiai yra paveikti?
Į šį klausimą sunku atsakyti. Rapid7 nepavyko galutinai įrodyti, kokie maršrutizatoriai buvo paveikti. Iš pažeidžiamumo vertinimo:
Iš pradžių aptikdama šį pažeidžiamumą ir vykdydama atskleidimo procesą, „Rapid7 Labs“ bandė nustatyti, kurie konkretūs produktai, palaikantys NAT-PMP, buvo pažeidžiami, tačiau šios pastangos nebuvo ypač naudingos rezultatus. … dėl techninio ir teisinio sudėtingumo, susijusio su tikrosios įrenginių tapatybės atskleidimu viešajame internete, taip yra visiškai įmanoma, o gal net tikėtina, kad šios spragos yra populiariuose produktuose pagal numatytuosius nustatymus arba palaikomus konfigūracijos.
Taigi, jūs turite šiek tiek pasikapstyti patys. Štai ką reikia padaryti.
Kaip sužinoti, kad esu paveiktas?
Pirmiausia turite prisijungti prie maršrutizatoriaus ir per žiniatinklio sąsają peržiūrėti konfigūracijos nustatymus. Atsižvelgiant į tai, kad yra šimtai skirtingų maršrutizatorių, kurių kiekvienas turi radikaliai skirtingas žiniatinklio sąsajas, duoti konkrečių įrenginių patarimų čia beveik neįmanoma.
Tačiau esmė yra beveik tokia pati daugelyje namų tinklo įrenginių. Pirmiausia turite prisijungti prie savo įrenginio administravimo skydelio naudodami žiniatinklio naršyklę. Patikrinkite savo vartotojo vadovą, bet „Linksys“ maršruto parinktuvai paprastai pasiekiami naudojant 192.168.1.1, kuris yra jų numatytasis IP adresas. Taip pat D-Link ir Netgear naudoja 192.168.0.1, o Belkin – 192.168.2.1.
Jei vis dar nesate tikri, galite jį rasti naudodami komandinę eilutę. OS X paleiskite:
maršrutas -n gauti numatytąjį
„Vartai“ yra jūsų maršrutizatorius. Jei naudojate modernią Linux platinimo versiją, pabandykite paleisti:
ip maršruto šou
Sistemoje Windows atidarykite Komandinė eilutė „Windows“ komandų eilutė: paprastesnė ir naudingesnė, nei manoteKomandos ne visada išliko tokios pačios, iš tikrųjų kai kurios buvo išmestos, o atsirado kitų naujesnių komandų, net naudojant „Windows 7“. Taigi, kodėl kas nors norėtų vargti spustelėdamas pradžią... Skaityti daugiau ir įveskite:
ipconfig
Vėlgi, „Gateway“ IP adresas yra tas, kurio norite.
Kai gausite prieigą prie maršrutizatoriaus administravimo skydelio, naršykite nustatymus, kol rasite tuos, kurie susiję su tinklo adresų vertimu. Jei matote ką nors, pavyzdžiui, „Leisti NAT-PMP nepatikimose tinklo sąsajose“, išjunkite.
„Rapid7“ taip pat privertė susiaurinti kompiuterinių avarijų reagavimo komandos koordinavimo centrą (CERT/CC). sumažinti pažeidžiamų įrenginių sąrašą, siekiant bendradarbiauti su įrenginių gamintojais ir išduoti a pataisyti.
Net maršrutizatoriai gali būti saugumo spraga
Mes dažnai savo tinklo įrangos saugumą laikome savaime suprantamu dalyku. Tačiau šis pažeidžiamumas rodo, kad įrenginių, kuriuos naudojame prisijungdami prie interneto, saugumas nėra tikras.
Kaip visada, norėčiau išgirsti jūsų mintis šia tema. Praneškite man, ką manote toliau pateiktame komentarų laukelyje.
Matthew Hughesas yra programinės įrangos kūrėjas ir rašytojas iš Liverpulio, Anglijos. Jis retai sutinkamas be puodelio stiprios juodos kavos rankoje ir be galo dievina savo Macbook Pro ir fotoaparatą. Galite perskaityti jo tinklaraštį adresu http://www.matthewhughes.co.uk ir sekite jį „Twitter“ adresu @matthewhughes.
