פרסומת

מיליוני מתגים, נתבים וחומות אש עלולים להיות פגיעים לחטיפה ויירוט, לאחר חברת אבטחה אמריקאית Rapid7 גילה בעיה רצינית עם האופן שבו התקנים אלה מוגדרים.

הבעיה - המשפיעה על משתמשים ביתיים ועסקיים כאחד - נמצאת בהגדרות NAT-PMP המשמשות לאפשר לרשתות חיצוניות לתקשר עם מכשירים הפועלים ברשת מקומית.

בייעוץ בנושא פגיעות, Rapid7 מצא 1.2 מיליון מכשירים הסובלים מהגדרות NAT-PMP שגויות, כאשר 2.5% פגיעים לתוקף. יירוט תעבורה פנימית, 88% לתוקף שיירט תעבורה יוצאת, ו-88% להתקפת מניעת שירות כתוצאה מכך פגיעות.

סקרן לגבי מה זה NAT-PMP ואיך אתה יכול להגן על עצמך? המשך לקרוא למידע נוסף.

מהו NAT-PMP ומדוע הוא שימושי?

ישנם שני סוגים של כתובות IP בעולם. הראשון הוא כתובות IP פנימיות. אלה מזהים באופן ייחודי התקנים ברשת ומאפשרים להתקנים בתוך LAN לתקשר זה עם זה. אלה גם פרטיים, ורק אנשים ברשת הפנימית שלך יכולים לראות ולהתחבר אליהם.

ואז יש לנו כתובות IP ציבוריות. אלו הם חלק מרכזי באופן פעולת האינטרנט, ומאפשרים לרשתות שונות לזהות זו את זו ולהתחבר זו לזו. הבעיה היא, שם לא מספיק IPv4 כתובות (מערכת כתובת ה-IP הדומיננטית - IPv6 עדיין לא החליף אותו

instagram viewer
IPv6 לעומת IPv4: האם אכפת לך (או לעשות משהו) כמשתמש? [MakeUseOf מסביר]לאחרונה דובר רבות על מעבר ל-IPv6 וכיצד זה יביא הרבה יתרונות לאינטרנט. אבל, ה"חדשות" הללו חוזרות על עצמן כל הזמן, מכיוון שתמיד יש מדי פעם... קרא עוד ) ללכת מסביב. במיוחד כשאנחנו לוקחים בחשבון את מאות מיליוני המחשבים, הטאבלטים, הטלפונים ו האינטרנט של הדברים מהו האינטרנט של הדברים?מהו האינטרנט של הדברים? הנה כל מה שאתה צריך לדעת על זה, למה זה כל כך מרגש וכמה מהסיכונים. קרא עוד מכשירי חשמל צפים.

אז, אנחנו צריכים להשתמש במשהו שנקרא תרגום כתובות רשת (NAT). זה גורם לכל כתובת ציבורית ללכת הרבה יותר רחוק, מכיוון שניתן לשייך אותה למספר מכשירים ברשת פרטית.

אבל מה אם יש לנו שירות - כמו א שרת אינטרנט כיצד להגדיר שרת אינטרנט של Apache ב-3 שלבים פשוטיםתהיה הסיבה אשר תהיה, ייתכן שבשלב מסוים תרצה להפעיל שרת אינטרנט. בין אם אתה רוצה לתת לעצמך גישה מרחוק לדפים או שירותים מסוימים, אתה רוצה לקבל קהילה... קרא עוד או א שרת קבצים כיצד להגדיר את שרת FreeNAS שלך כדי לגשת לקבצים שלך מכל מקוםFreeNAS היא מערכת הפעלה חינמית מבוססת קוד פתוח BSD שיכולה להפוך כל מחשב לשרת קבצים איתן. היום אני הולך להדריך אותך דרך התקנה בסיסית, הגדרת שיתוף קבצים פשוט,... קרא עוד - פועל על רשת שנרצה לחשוף לאינטרנט רב יותר? לשם כך, נצטרך להשתמש במשהו שנקרא תרגום כתובות רשת - פרוטוקול מיפוי יציאות (NAT-PMP).

דוגמה לנתב

התקן הפתוח הזה נוצר בסביבות 2005 על ידי אפל, ותוכנן להקל בהרבה על תהליך מיפוי היציאות. ניתן למצוא את NAT-PNP במגוון מכשירים, כולל כאלה שלא בהכרח מיוצרים על ידי אפל, כגון אלו המיוצרים על ידי ZyXEL, Linksys ו-Netgear. חלק מהנתבים שאינם תומכים בו באופן מקורי יכולים גם לקבל גישה ל-NAT-PMP דרך קושחה של צד שלישי, כגון DD-WRT מהו DD-WRT וכיצד הוא יכול להפוך את הנתב שלך לסופר-ראוטרבמאמר זה, אני הולך להראות לכם כמה מהתכונות המגניבות ביותר של DD-WRT, שאם תחליטו לעשות בהן שימוש, יאפשרו לכם להפוך את הנתב שלכם לנתב-על של... קרא עוד , עגבנייה ו-OpenWRT.

אז אנחנו מבינים ש-NAT-PMP חשוב. אבל איך זה יכול להיות פגיע?

כיצד פועלת הפגיעות

ה RFC המגדיר כיצד NAT-PMP עובד אומר את זה:

אסור לשער NAT לקבל בקשות מיפוי המיועדות לכתובת ה-IP החיצונית של שער ה-NAT או שהתקבלו בממשק הרשת החיצוני שלו. יש לאפשר רק מנות שהתקבלו בממשק(ים) הפנימיים עם כתובת יעד התואמת לכתובת(ות) הפנימית של שער ה-NAT.

אז מה זה אומר? בקיצור, זה אומר שמכשירים שאינם ברשת המקומית לא צריכים להיות מסוגלים ליצור כללים עבור הנתב. נראה הגיוני, נכון?

הבעיה מתעוררת כאשר נתבים מתעלמים מהכלל בעל הערך הזה. מה שלכאורה 1.2 מיליון מהם עושים.

ההשלכות יכולות להיות קשות. כפי שהוזכר קודם, ניתן ליירט תעבורה שנשלחת מנתבים שנפגעו, מה שעלול להוביל לדליפת נתונים וגניבת זהות. אז איך מתקנים את זה?

אילו מכשירים מושפעים?

זו שאלה שקשה לענות עליה. Rapid7 לא הצליחו כדי להוכיח באופן סופי אילו נתבים הושפעו. מתוך הערכת הפגיעות:

במהלך הגילוי הראשוני של פגיעות זו וכחלק מתהליך החשיפה, Rapid7 Labs ניסתה לבצע לזהות אילו מוצרים ספציפיים התומכים ב-NAT-PMP היו פגיעים, אולם המאמץ הזה לא הניב שימושי במיוחד תוצאות.... בגלל המורכבות הטכנית והמשפטית הכרוכה בגילוי הזהות האמיתית של מכשירים באינטרנט הציבורי, אפשרי לחלוטין, אולי אפילו סביר, שפגיעויות אלה קיימות במוצרים פופולריים כברירת מחדל או נתמכת תצורות.

אז אתה צריך קצת לחפור בעצמך. הנה מה שאתה צריך לעשות.

איך אני יכול לגלות שאני מושפע?

ראשית, עליך להיכנס לנתב שלך ולהסתכל על הגדרות התצורה שלך דרך ממשק האינטרנט שלו. בהתחשב בכך שישנם מאות נתבים שונים, שלכל אחד מהם ממשקי אינטרנט שונים בתכלית, מתן עצות ספציפיות למכשירים כאן הוא כמעט בלתי אפשרי.

עם זאת, העיקר הוא כמעט זהה ברוב מכשירי הרשת הביתית. ראשית, עליך להיכנס ללוח הניהול של המכשיר שלך דרך דפדפן האינטרנט שלך. בדוק את מדריך המשתמש שלך, אבל בדרך כלל ניתן להגיע אל נתבי Linksys מ-192.168.1.1, שהיא כתובת ה-IP המוגדרת כברירת מחדל. באופן דומה, D-Link ו-Netgear משתמשים ב-192.168.0.1, ובלקין משתמש ב-192.168.2.1.

אם אתה עדיין לא בטוח, אתה יכול למצוא אותו דרך שורת הפקודה שלך. ב-OS X, הפעל:

route -n קבל ברירת מחדל

נתב-שער
ה'שער' הוא הנתב שלך. אם אתה משתמש בהפצה מודרנית של לינוקס, נסה להריץ:

מופע מסלול ip

נתב-ip
ב-Windows, פתח את ה שורת פקודה שורת הפקודה של Windows: פשוט ושימושי יותר ממה שאתה חושבהפקודות לא תמיד נשארו זהות, למעשה חלקן הושלכו לאשפה בעוד פקודות חדשות יותר הגיעו, אפילו עם Windows 7 למעשה. אז למה שמישהו ירצה לטרוח ללחוץ על ההתחלה... קרא עוד והזן:

ipconfig

שוב, כתובת ה-IP של 'שער' היא זו שאתה רוצה.

לאחר שקיבלת גישה לפאנל הניהול של הנתב שלך, חפש בהגדרות שלך עד שתמצא את אלו הקשורות לתרגום כתובות רשת. אם אתה רואה משהו שאומר משהו כמו 'אפשר NAT-PMP בממשקי רשת לא מהימנים', כבה אותו.

Rapid7 גם קיבלה את מרכז התיאום של צוות חירום ממוחשב (CERT/CC) להתחיל לצמצם למטה ברשימת המכשירים הפגיעים, במטרה לעבוד עם יצרני המכשירים כדי להנפיק א לתקן.

אפילו נתבים יכולים להיות פרצות אבטחה

לעתים קרובות אנו לוקחים את האבטחה של ציוד הרשת שלנו כמובן מאליו. ועדיין, הפגיעות הזו מראה שהאבטחה של המכשירים שבהם אנו משתמשים כדי להתחבר לאינטרנט אינה ודאית.

כמו תמיד, אשמח לשמוע את דעתך בנושא זה. ספר לי מה אתה חושב בתיבת ההערות למטה.

מתיו יוז הוא מפתח תוכנה וכותב מליברפול, אנגליה. לעתים רחוקות הוא נמצא ללא כוס קפה שחור חזק בידו ומעריץ לחלוטין את ה-Macbook Pro שלו ואת המצלמה שלו. אתה יכול לקרוא את הבלוג שלו ב http://www.matthewhughes.co.uk ועקוב אחריו בטוויטר ב-@matthewhughes.