Millionen von Switches, Routern und Firewalls sind potenziell anfällig für Hijacking und Interception, nachdem das amerikanische Sicherheitsunternehmen Rapid7 ein schwerwiegendes Problem bei der Konfiguration dieser Geräte entdeckt hat.
Das Problem - das sowohl private als auch geschäftliche Benutzer betrifft - ist in den NAT-PMP-Einstellungen zu finden, mit denen externe Netzwerke mit Geräten kommunizieren können, die in einem lokalen Netzwerk arbeiten.
Rapid7 fand in einer Schwachstellen-Advisory 1, 2 Millionen Geräte, die unter falsch konfigurierten NAT-PMP-Einstellungen leiden. 2, 5 Prozent sind anfällig dafür, dass ein Angreifer internen Verkehr abfängt, 88 Prozent einen Angreifer, der abgehenden Datenverkehr abfängt, und 88 Prozent einen Denial-of-Service-Angriff Ergebnis dieser Sicherheitsanfälligkeit.
Neugierig, was NAT-PMP ist und wie Sie sich schützen können? Lesen Sie weiter für weitere Informationen.
Was ist NAT-PMP, und warum ist es nützlich?
Es gibt zwei Arten von IP-Adressen auf der Welt. Die erste ist interne IP-Adressen. Sie identifizieren Geräte in einem Netzwerk eindeutig und ermöglichen es Geräten innerhalb eines LAN, miteinander zu kommunizieren. Diese sind auch privat und nur Personen in Ihrem internen Netzwerk können sie sehen und mit ihnen verbinden.
Und dann haben wir öffentliche IP-Adressen. Diese sind ein wesentlicher Teil der Funktionsweise des Internets und ermöglichen es verschiedenen Netzwerken, sich gegenseitig zu identifizieren und miteinander zu verbinden. Das Problem ist, gibt es nicht genug IPv4-Adressen (das dominierende IP-Adressierungssystem - IPv6 hat es noch nicht IPv6 vs. IPv4 ersetzt: Sollten Sie als Benutzer sorgen (oder alles tun)? [MakeUseOf Explains] IPv6 vs. IPv4 : Sollten Sie sich als Benutzer darum kümmern (oder irgendetwas tun) [MakeUseOf Explains] In letzter Zeit wurde viel über den Wechsel zu IPv6 geredet und darüber, wie dies dem Internet viele Vorteile bringen wird, aber diese "Neuigkeiten" bleiben erhalten sich selbst wiederholend, da es immer wieder gelegentlich ... mehr) gibt. Besonders, wenn wir die Hunderte von Millionen von Computern, Tablets, Telefonen und Internet der Dinge betrachten, was ist das Internet der Dinge und wie wird es unsere Zukunft beeinflussen [MakeUseOf Explains] Was ist das Internet der Dinge und wie wird es unsere Zukunft beeinflussen [MakeUseOf Erklärt] Es scheint, als ob neue Schlagworte auftauchen und mit jedem Tag, der an uns vorbeigeht, absterben, und "das Internet der Dinge" ist zufällig nur eine der neueren Ideen, die ... Read More Appliances schweben über.
Also müssen wir etwas namens Network Address Translation (NAT) verwenden. Dies führt dazu, dass jede öffentliche Adresse viel weiter geht, da sie mehreren Geräten in einem privaten Netzwerk zugeordnet werden kann.
Aber was ist, wenn wir einen Service haben - wie einen Webserver Wie man einen Apache Web Server in 3 einfachen Schritten einrichtet Wie man einen Apache Web Server in 3 einfachen Schritten einrichtet Was auch immer der Grund ist, möchten Sie vielleicht irgendwann einen Webserver gehen. Unabhängig davon, ob Sie sich einen Remotezugriff auf bestimmte Seiten oder Dienste verschaffen möchten, möchten Sie eine Community erhalten ... Mehr lesen oder einen Dateiserver einrichten So richten Sie Ihren FreeNAS Server ein, um von überall auf Ihre Dateien zugreifen So richten Sie Ihren FreeNAS Server ein Greifen Sie von überall auf Ihre Dateien zu FreeNAS ist ein kostenloses, Open-Source-BSD-basiertes Betriebssystem, das jeden PC in einen stabilen Dateiserver verwandeln kann. Heute werde ich Sie durch eine grundlegende Installation führen, eine einfache Dateifreigabe einrichten, ... Read More - in einem Netzwerk laufen, das wir dem größeren Internet zugänglich machen möchten? Dafür müssten wir etwas namens Network Address Translation - Port Mapping Protocol (NAT-PMP) verwenden.
Dieser offene Standard wurde um 2005 von Apple entwickelt und sollte den Prozess des Port Mappings vereinfachen. NAT-PNP kann auf einer Reihe von Geräten gefunden werden, einschließlich solchen, die nicht unbedingt von Apple hergestellt werden, wie sie von ZyXEL, Linksys und Netgear hergestellt werden. Einige Router, die es nativ unterstützen, können auch Zugriff auf NAT-PMP durch Drittanbieter-Firmwares erhalten, wie DD-WRT Was ist DD-WRT und wie es Ihren Router zu einem Super-Router machen kann Was ist DD-WRT Und wie es Ihren Router zu einem Super-Router machen kann In diesem Artikel werde ich Ihnen einige der coolsten Funktionen von DD-WRT zeigen, die es Ihnen ermöglichen, Ihren eigenen Router zu transformieren, wenn Sie sich dafür entscheiden in den Super-Router von ... Lesen Sie mehr, Tomato und OpenWRT.
So bekommen wir, dass NAT-PMP wichtig ist. Aber wie kann es verletzlich sein?
Wie die Vulnerabilität funktioniert
Der RFC, der definiert, wie NAT-PMP funktioniert, sagt dies:
Das NAT-Gateway darf keine Zuordnungsanforderungen akzeptieren, die an die externe IP-Adresse des NAT-Gateways oder an dessen externe Netzwerkschnittstelle gerichtet sind. Es sollten nur Pakete zugelassen werden, die auf den internen Schnittstellen mit einer Zieladresse empfangen werden, die mit der internen Adresse des NAT-Gateways übereinstimmt.
Was bedeutet das? Kurz gesagt bedeutet dies, dass Geräte, die sich nicht im lokalen Netzwerk befinden, keine Regeln für den Router erstellen dürfen. Scheint vernünftig, oder?
Das Problem tritt auf, wenn Router diese wertvolle Regel ignorieren. Was scheinbar 1, 2 Millionen tun.
Die Folgen können schwerwiegend sein. Wie zuvor erwähnt, kann der von kompromittierten Routern gesendete Verkehr abgefangen werden, was möglicherweise zu Datenverlust und Identitätsdiebstahl führt. Also, wie reparierst du es?
Welche Geräte sind betroffen?
Dies ist eine schwierige Frage zu beantworten. Rapid7 konnte nicht definitiv nachweisen, welche Router betroffen waren. Aus der Schwachstellenbewertung:
Bei der ersten Erkennung dieser Sicherheitsanfälligkeit und im Rahmen des Offenlegungsprozesses versuchte Rapid7 Labs festzustellen, welche spezifischen Produkte, die NAT-PMP unterstützten, angreifbar waren. Dieser Aufwand brachte jedoch keine besonders nützlichen Ergebnisse. ... wegen der technischen und rechtlichen Komplexität, die mit der Aufdeckung der wahren Identität von Geräten im öffentlichen Internet verbunden sind, ist es durchaus möglich, vielleicht sogar wahrscheinlich, dass diese Schwachstellen in beliebten Produkten in Standardkonfigurationen oder unterstützten Konfigurationen vorhanden sind.
Also musst du ein bisschen graben. Hier ist, was Sie tun müssen.
Wie kann ich herausfinden, dass ich betroffen bin?
Zuerst müssen Sie sich bei Ihrem Router anmelden und Ihre Konfigurationseinstellungen über die Web-Oberfläche betrachten. Angesichts der Tatsache, dass es Hunderte von verschiedenen Routern gibt, von denen jeder über radikal verschiedene Web-Schnittstellen verfügt, ist eine gerätespezifische Beratung hier nahezu unmöglich.
Der Kern ist jedoch in den meisten Heimnetzwerkgeräten ziemlich identisch. Zunächst müssen Sie sich über Ihren Webbrowser beim Administrationsbereich Ihres Geräts anmelden. Überprüfen Sie Ihr Benutzerhandbuch, aber Linksys-Router können normalerweise von 192.168.1.1 aus erreicht werden. Dies ist ihre Standard-IP-Adresse. Ebenso verwenden D-Link und Netgear 192.168.0.1, und Belkin verwendet 192.168.2.1.
Wenn Sie immer noch nicht sicher sind, können Sie es über Ihre Befehlszeile finden. Führen Sie unter OS X Folgendes aus:
route -n erhält den Standardwert
Das "Gateway" ist dein Router. Wenn Sie eine moderne Linux-Distribution verwenden, versuchen Sie Folgendes auszuführen:
IP-Route zeigen
Öffnen Sie unter Windows die Eingabeaufforderung. Die Windows-Eingabeaufforderung: Einfacher und nützlicher als Sie denken. Die Windows-Eingabeaufforderung: einfacher und nützlicher als Sie denken Die Befehle sind nicht immer gleich geblieben, einige wurden tatsächlich gelöscht, andere neuere Befehle kamen, sogar mit Windows 7 in der Tat. Also, warum sollte jemand die Mühe haben, den Start zu klicken ... Lesen Sie mehr und geben Sie ein:
ipconfig
Auch hier ist die IP-Adresse für das 'Gateway' die gewünschte.
Sobald Sie Zugriff auf das Administrationsfenster Ihres Routers haben, müssen Sie in Ihren Einstellungen herumstochern, bis Sie diejenigen finden, die sich auf die Netzwerkadressübersetzung beziehen. Wenn Sie etwas sehen, das etwa "NAT-PMP auf nicht vertrauenswürdigen Netzwerkschnittstellen zulassen" anzeigt, deaktivieren Sie es.
Rapid7 hat auch das Computer Emergency Response Team Cordination Centre (CERT / CC) dazu gebracht, die Liste der gefährdeten Geräte zu verkleinern, um mit den Geräteherstellern zusammenzuarbeiten, um eine Lösung zu finden.
Sogar Router können Sicherheitslücken darstellen
Wir halten die Sicherheit unserer Netzwerkgeräte oft für selbstverständlich. Diese Sicherheitsanfälligkeit zeigt jedoch, dass die Sicherheit der Geräte, mit denen wir eine Verbindung zum Internet herstellen, nicht sicher ist.
Wie immer würde ich gerne Ihre Gedanken zu diesem Thema hören. Lassen Sie mich wissen, was Sie in dem Kommentarfeld unten denken.