1,2 милиона рутера је рањиво на отмицу. Да ли је ваш један од њих?

Реклама

Милиони прекидача, рутера и заштитних зидова потенцијално су рањиви на отмицу и пресретање, након што је америчка безбедносна фирма Рапид7 је открио озбиљан проблем како су ови уређаји конфигурисани.

Проблем – који погађа и кућне и пословне кориснике – налази се у НАТ-ПМП поставкама које се користе да би се омогућило спољним мрежама да комуницирају са уређајима који раде на локалној мрежи.

У упозорењу о рањивости, Рапид7 је пронашао 1,2 милиона уређаја који пате од погрешно конфигурисаних НАТ-ПМП подешавања, од којих је 2,5% рањиво на нападача пресретање унутрашњег саобраћаја, 88% нападачу који пресреће одлазни саобраћај и 88% напада ускраћивањем услуге као резултат овога рањивост.

Занима вас шта је НАТ-ПМП и како се можете заштитити? Читајте даље за више информација.

Шта је НАТ-ПМП и зашто је користан?

У свету постоје две врсте ИП адреса. Први су интерне ИП адресе. Они јединствено идентификују уређаје на мрежи и омогућавају уређајима унутар ЛАН мреже да међусобно комуницирају. Они су такође приватни и само људи на вашој интерној мрежи могу да их виде и да се повежу са њима.

И онда имамо јавне ИП адресе. Ово су кључни део начина на који Интернет функционише и омогућавају различитим мрежама да се међусобно идентификују и повежу једна са другом. Проблем је у томе нису довољни ИПв4 адресе (доминантни систем ИП адресирања – ИПв6 га још увек није заменио ИПв6 вс. ИПв4: Треба ли вам бити стало (или било шта) као кориснику? [МакеУсеОф објашњава]Недавно се много причало о преласку на ИПв6 и о томе како ће то донети много предности Интернету. Али, ова "вест" се стално понавља, јер увек има понеког... Опширније ) обићи. Поготово када узмемо у обзир стотине милиона рачунара, таблета, телефона и Интернет Ствари Шта је Интернет ствари?Шта је Интернет ствари? Ево свега што треба да знате о томе, зашто је тако узбудљиво и неких ризика. Опширније апарати који лебде.

Дакле, морамо да користимо нешто што се зове Превођење мрежне адресе (НАТ). Ово чини да свака јавна адреса иде много даље, јер се може повезати са више уређаја на приватној мрежи.

Али шта ако имамо услугу – као а веб сервер Како да подесите Апацхе веб сервер у 3 једноставна коракаШта год да је разлог, можда ћете у неком тренутку пожелети да покренете веб сервер. Без обзира да ли желите да себи омогућите даљински приступ одређеним страницама или услугама, желите да добијете заједницу... Опширније или а сервер датотека Како да подесите свој ФрееНАС сервер да приступи вашим датотекама са било ког местаФрееНАС је бесплатни оперативни систем отвореног кода заснован на БСД-у који може претворити било који рачунар у солидан фајл сервер. Данас ћу вас провести кроз основну инсталацију, подешавање једноставног дељења датотека,... Опширније – ради на мрежи коју желимо да изложимо ширем Интернету? За то бисмо морали да користимо нешто што се зове Превођење мрежне адресе – протокол мапирања портова (НАТ-ПМП).

Овај отворени стандард креирао је Аппле око 2005. године и дизајниран је да учини процес мапирања портова много лакшим. НАТ-ПНП се може наћи на низу уређаја, укључујући и оне које није нужно направио Аппле, као што су они које производе ЗиКСЕЛ, Линксис и Нетгеар. Неки рутери који га изворно не подржавају такође могу добити приступ НАТ-ПМП-у преко фирмвера треће стране, као што је ДД-ВРТ Шта је ДД-ВРТ и како може да претвори ваш рутер у супер рутерУ овом чланку ћу вам показати неке од најбољих карактеристика ДД-ВРТ-а које ће вам, ако одлучите да их искористите, омогућити да трансформишете сопствени рутер у супер рутер... Опширније , Томато и ОпенВРТ.

Дакле, схватамо да је НАТ-ПМП важан. Али како то може бити рањиво?

Како функционише рањивост

Тхе РФЦ који дефинише како НАТ-ПМП дела каже ово:

НАТ мрежни пролаз НЕ СМЕ да прихвата захтеве за мапирање намењене спољној ИП адреси НАТ мрежног пролаза или примљене на његовом спољном мрежном интерфејсу. Треба да буду дозвољени само пакети примљени на интерном(их) интерфејсу(има) са одредишном адресом која одговара интерној адреси(ама) НАТ мрежног пролаза.

Дакле, шта то значи? Укратко, то значи да уређаји који нису на локалној мрежи не би требало да могу да креирају правила за рутер. Изгледа разумно, зар не?

Проблем настаје када рутери игноришу ово вредно правило. Што чини, наизглед, њих 1,2 милиона.

Последице могу бити тешке. Као што је раније поменуто, саобраћај који се шаље са компромитованих рутера може бити пресретнут, што потенцијално доводи до цурења података и крађе идентитета. Па, како то поправити?

Који уређаји су погођени?

На ово је тешко одговорити. Рапид7 није успео да се дефинитивно докаже на које рутере је то утицало. Из процене рањивости:

Током почетног откривања ове рањивости и као део процеса откривања, Рапид7 Лабс је покушао да идентификују који су специфични производи који подржавају НАТ-ПМП били рањиви, међутим тај напор није био посебно користан резултате. … због техничке и правне сложености у откривању правог идентитета уређаја на јавном Интернету, потпуно могуће, можда чак и вероватно, да су ове рањивости присутне у популарним производима који су подразумевани или подржани конфигурације.

Дакле, морате мало да копате сами. Ево шта треба да урадите.

Како могу да сазнам да сам погођен?

Прво, потребно је да се пријавите на свој рутер и погледате подешавања конфигурације преко његовог веб интерфејса. С обзиром да постоје стотине различитих рутера, од којих сваки има радикално различите веб интерфејсе, давање савета специфичних за уређај овде је скоро немогуће.

Међутим, суштина је прилично иста на већини уређаја за кућно умрежавање. Прво, потребно је да се пријавите на административну таблу свог уређаја преко веб претраживача. Проверите своје упутство за употребу, али Линксис рутерима се обично може доћи са 192.168.1.1, што је њихова подразумевана ИП адреса. Слично, Д-Линк и Нетгеар користе 192.168.0.1, а Белкин 192.168.2.1.

Ако још увек нисте сигурни, можете га пронаћи преко командне линије. На ОС Кс покрените:

роуте -н добити подразумевано

„Гатеваи“ је ваш рутер. Ако користите модерну Линук дистрибуцију, покушајте да покренете:

ип роуте схов

У Виндовс-у отворите Командна линија Виндовс командни редак: једноставнији и кориснији него што мислитеКоманде нису увек остале исте, у ствари, неке су одбачене док су се појавиле друге новије команде, чак и са Виндовс 7 у ствари. Па, зашто би се неко трудио да кликне на почетак... Опширније и унесите:

ипцонфиг

Опет, ИП адреса за „Гатеваи“ је она коју желите.

Када добијете приступ административној табли рутера, прођите кроз подешавања док не пронађете она која се односе на превођење мрежних адреса. Ако видите нешто што каже нешто попут „Дозволи НАТ-ПМП на непоузданим мрежним интерфејсима“, искључите то.

Рапид7 је такође добио Кординациони центар за компјутерске хитне случајеве (ЦЕРТ/ЦЦ) да почне да се сужава доле на листу уређаја који су рањиви, у циљу сарадње са произвођачима уређаја на издавању а поправити.

Чак и рутери могу бити безбедносна рањивост

Сигурност наше мрежне опреме често узимамо здраво за готово. Па ипак, ова рањивост показује да сигурност уређаја које користимо за повезивање на Интернет није сигурна.

Као и увек, волео бих да чујем ваше мишљење о овој теми. Јавите ми шта мислите у пољу за коментаре испод.