Annons

Miljontals switchar, routrar och brandväggar är potentiellt sårbara för kapning och avlyssning, efter amerikansk säkerhetsfirma Rapid7 upptäckte ett allvarligt problem med hur dessa enheter är konfigurerade.

Problemet – som påverkar både hem- och företagsanvändare – finns i NAT-PMP-inställningarna som används för att tillåta externa nätverk att kommunicera med enheter som fungerar på ett lokalt nätverk.

I en sårbarhetsrådgivning hittade Rapid7 1,2 miljoner enheter som lider av felkonfigurerade NAT-PMP-inställningar, med 2,5 % sårbara för en angripare avlyssning av intern trafik, 88 % till en angripare som avlyssnar utgående trafik och 88 % till en överbelastningsattack som ett resultat av detta sårbarhet.

Nyfiken på vad NAT-PMP är och hur du kan skydda dig? Läs vidare för mer information.

Vad är NAT-PMP och varför är det användbart?

Det finns två typer av IP-adresser i världen. Den första är interna IP-adresser. Dessa identifierar unikt enheter i ett nätverk och tillåter enheter inom ett LAN att kommunicera med varandra. Dessa är också privata, och endast personer på ditt interna nätverk kan se och ansluta till dem.

instagram viewer

Och så har vi offentliga IP-adresser. Dessa är en central del av hur Internet fungerar och gör att olika nätverk kan identifiera varandra och ansluta till varandra. Problemet är där är inte tillräckligt med IPv4 adresser (det dominerande IP-adresseringssystemet – IPv6 har ännu inte ersatt det IPv6 vs. IPv4: Ska du bry dig (eller göra något) som användare? [MakeUseOf förklarar]På senare tid har det pratats mycket om att byta till IPv6 och hur det kommer att medföra många fördelar för Internet. Men den här "nyheten" upprepar sig hela tiden, eftersom det alltid finns en och annan... Läs mer ) att gå runt. Speciellt när vi tänker på de hundratals miljoner datorer, surfplattor, telefoner och Internet Of Things Vad är Internet of Things?Vad är Internet of Things? Här är allt du behöver veta om det, varför det är så spännande och några av riskerna. Läs mer apparater som flyter omkring.

Så vi måste använda något som heter Nätverksadressöversättning (NAT). Detta gör att varje publik adress går mycket längre, eftersom man kan kopplas till flera enheter i ett privat nätverk.

Men tänk om vi har en tjänst – som en webbserver Hur man ställer in en Apache-webbserver i 3 enkla stegOavsett orsaken kan du någon gång vilja få igång en webbserver. Oavsett om du vill ge dig själv fjärråtkomst till vissa sidor eller tjänster, vill du skaffa en gemenskap... Läs mer eller a fil server Hur du ställer in din FreeNAS-server för att komma åt dina filer var som helstFreeNAS är ett gratis BSD-baserat operativsystem med öppen källkod som kan förvandla vilken dator som helst till en stensäker filserver. Idag ska jag gå igenom en grundläggande installation, ställa in en enkel fildelning,... Läs mer – körs på ett nätverk som vi skulle vilja exponera för det större Internet? För det skulle vi behöva använda något som heter Nätverksadressöversättning – Port Mapping Protocol (NAT-PMP).

router-exempel

Denna öppna standard skapades runt 2005 av Apple och designades för att göra processen med portkartläggning mycket enklare. NAT-PNP kan hittas på en rad enheter, inklusive sådana som inte nödvändigtvis är tillverkade av Apple, som de som produceras av ZyXEL, Linksys och Netgear. Vissa routrar som inte stöder det inbyggt kan också få tillgång till NAT-PMP genom tredjepartsfirmware, som t.ex. DD-WRT Vad är DD-WRT och hur det kan göra din router till en superrouterI den här artikeln kommer jag att visa dig några av de coolaste funktionerna i DD-WRT som, om du bestämmer dig för att använda, låter dig förvandla din egen router till superroutern av... Läs mer , Tomat och OpenWRT.

Så vi förstår att NAT-PMP är viktigt. Men hur kan det vara sårbart?

Hur sårbarheten fungerar

De RFC som definierar hur NAT-PMP fungerar säger så här:

NAT-gatewayen FÅR INTE acceptera mappningsförfrågningar som är destinerade till NAT-gatewayens externa IP-adress eller tas emot på dess externa nätverksgränssnitt. Endast paket som tas emot på det interna gränssnittet (s) med en destinationsadress som matchar den interna adressen (erna) för NAT-gatewayen bör tillåtas.

Så vad betyder det? Kort sagt betyder det att enheter som inte finns i det lokala nätverket inte ska kunna skapa regler för routern. Verkar rimligt, eller hur?

Problemet uppstår när routrar ignorerar denna värdefulla regel. Vilket till synes 1,2 miljoner av dem gör.

Konsekvenserna kan bli allvarliga. Som tidigare nämnts kan trafik som skickas från komprometterade routrar avlyssnas, vilket kan leda till dataläckage och identitetsstöld. Så, hur fixar du det?

Vilka enheter påverkas?

Detta är en svår fråga att svara på. Rapid7 har inte kunnat för att definitivt bevisa vilka routrar som har påverkats. Från sårbarhetsbedömningen:

Under den första upptäckten av denna sårbarhet och som en del av avslöjandeprocessen, försökte Rapid7 Labs identifiera vilka specifika produkter som stöder NAT-PMP som var sårbara, men den ansträngningen gav inte särskilt värde resultat. … på grund av den tekniska och juridiska komplexiteten som är involverad i att avslöja den sanna identiteten för enheter på det offentliga Internet, är det fullt möjligt, kanske till och med troligt, att dessa sårbarheter finns i populära produkter som standard eller stöds konfigurationer.

Så du måste gräva lite själv. Här är vad du behöver göra.

Hur kan jag ta reda på att jag är drabbad?

Först måste du logga in på din router och titta på dina konfigurationsinställningar via dess webbgränssnitt. Med tanke på att det finns hundratals olika routrar, var och en med radikalt olika webbgränssnitt, är det nästan omöjligt att ge enhetsspecifika råd här.

Men kärnan är i stort sett densamma för de flesta hemnätverksenheter. Först måste du logga in på administrationspanelen på din enhet via din webbläsare. Kontrollera din användarmanual, men Linksys-routrar kan vanligtvis nås från 192.168.1.1, vilket är deras standard-IP-adress. På samma sätt använder D-Link och Netgear 192.168.0.1 och Belkin använder 192.168.2.1.

Om du fortfarande inte är säker kan du hitta den via din kommandorad. På OS X, kör:

route -n få standard

router-gateway
"Gateway" är din router. Om du använder en modern Linux-distro, försök att köra:

ip-ruttshow

router-ip
I Windows öppnar du Kommandotolken Windows-kommandotolken: enklare och mer användbar än du trorKommandona har inte alltid förblivit desamma, i själva verket har vissa blivit kasserade medan andra nyare kommandon kom, även med Windows 7 faktiskt. Så varför skulle någon vilja bry sig om att klicka på start... Läs mer och skriv in:

ipconfig

Återigen, IP-adressen för "Gateway" är den du vill ha.

När du har fått tillgång till din routers administrationspanel, leta runt i dina inställningar tills du hittar de som relaterar till Network Address Translation. Om du ser något som säger något som "Tillåt NAT-PMP på otillförlitliga nätverksgränssnitt", stäng av det.

Rapid7 har också fått Computer Emergency Response Team Coordination Center (CERT/CC) att börja minska ner i listan över enheter som är sårbara, i syfte att arbeta med enhetstillverkare för att utfärda en fixera.

Även routrar kan vara säkerhetssårbarheter

Vi tar ofta säkerheten i vår nätverksutrustning för given. Och ändå visar denna sårbarhet att säkerheten för de enheter vi använder för att ansluta till Internet inte är en viss säkerhet.

Som alltid skulle jag gärna höra dina tankar om detta ämne. Låt mig veta vad du tycker i kommentarsfältet nedan.

Matthew Hughes är en mjukvaruutvecklare och författare från Liverpool, England. Han hittas sällan utan en kopp starkt svart kaffe i handen och fullkomligt avgudar sin Macbook Pro och sin kamera. Du kan läsa hans blogg på http://www.matthewhughes.co.uk och följ honom på twitter på @matthewhughes.