Millioner av switchar, routrar och brandväggar är potentiellt utsatta för kapning och avlyssning, efter det amerikanska säkerhetsföretaget Rapid7 upptäckte en allvarlig fråga om hur dessa enheter konfigureras.
Problemet - som påverkar både hem- och företagsanvändare - finns i NAT-PMP-inställningarna som används för att tillåta externa nätverk att kommunicera med enheter som fungerar i ett lokalt nätverk.
I en sårbarhetsrådgivning hittade Rapid7 1, 2 miljoner enheter som drabbats av felkonfigurerade NAT-PMP-inställningar, med 2, 5% sårbar för en angripare som avlyssnar intern trafik, 88% till en angripare som avbryter utgående trafik och 88% till ett angrepp på tjänst som ett resultatet av denna sårbarhet.
Nyfiken om vad NAT-PMP är, och hur kan du skydda dig själv? Läs vidare för mer information.
Vad är NAT-PMP, och varför är det användbart?
Det finns två typer av IP-adresser i världen. Den första är interna IP-adresser. Dessa identifierar unikt enheter på ett nätverk och tillåter enheter i ett LAN att kommunicera med varandra. Dessa är också privata, och endast personer i ditt interna nätverk kan se och ansluta till dem.
Och då har vi offentliga IP-adresser. Dessa är en viktig del av hur Internet fungerar, och låter olika nätverk identifiera varandra och att ansluta till varandra. Problemet är att det inte finns tillräckligt med IPv4-adresser (det dominerande IP-adresssystemet - IPv6 har ännu inte ersatt det IPv6 vs IPv4: Skulle du bry dig om (eller gör något) som användare? [MakeUseOf Förklarar] IPv6 vs IPv4 : Skulle du bry dig om (eller gör något) som användare? [MakeUseOf Explains] Mer nyligen har det varit mycket prat om att byta till IPv6 och hur det kommer att ge många fördelar till Internet. Men denna "nyheter" håller upprepa sig själv, eftersom det alltid finns enstaka ... Läs mer) att gå runt. Speciellt när vi överväger hundratals miljoner datorer, tabletter, telefoner och Internet av saker Vad är internet av saker och hur kommer det att påverka vår framtid? MakeUseOf Förklarar Vad är internet av saker och hur kommer det att påverka vår framtid [MakeUseOf Förklarar] Det verkar som om det finns nya buzzwords som dyker upp och dör ut med varje dag som passerar oss och "Internet of Things" händer bara att vara en av de senaste idéerna som ... Läs mer apparater som rör sig om.
Så, vi måste använda något som heter Network Address Translation (NAT). Detta gör att varje offentlig adress går mycket längre, eftersom man kan kopplas till flera enheter på ett privat nätverk.
Men om vi har en tjänst - som en webbserver Så här konfigurerar du en Apache-webbserver på tre enkla steg Så här ställer du upp en Apache-webbserver i tre enkla steg Oavsett orsaken kan du vid något tillfälle få en webbserver går. Oavsett om du vill ge dig själv fjärråtkomst till vissa sidor eller tjänster, vill du få ett samhälle ... Läs mer eller en filserver Så här ställer du in din FreeNAS-server för att komma åt dina filer var som helst Så här ställer du in din FreeNAS-server till Få tillgång till dina filer var som helst FreeNAS är ett gratis, BSD-baserat operativsystem med öppen källkod som kan vända vilken dator som helst till en bergsäker filserver. Idag ska jag gå igenom en grundläggande installation, skapa en enkel fildelning, ... Läs mer - kör på ett nätverk som vi skulle vilja exponera för det större Internet? För det skulle vi behöva använda något som kallas Network Address Translation - Port Mapping Protocol (NAT-PMP).
Den här öppna standarden skapades runt om i år av Apple, och utformades för att göra processen med portmappning mycket enklare. NAT-PNP kan hittas på en rad olika enheter, inklusive sådana som inte nödvändigtvis tillverkas av Apple, till exempel de som produceras av ZyXEL, Linksys och Netgear. Vissa routrar som inte stöder det nationella kan också få tillgång till NAT-PMP genom tredje parts firmware, som DD-WRT Vad är DD-WRT och hur det kan göra routern till en super-router Vad är DD-WRT? Och hur det kan göra routern till en super-router I den här artikeln kommer jag att visa dig några av de coolaste funktionerna i DD-WRT som, om du bestämmer dig för att använda dig av, tillåter dig att omvandla din egen router in i super-router av ... Läs mer, Tomat och OpenWRT.
Så vi får det NAT-PMP är viktigt. Men hur kan det vara sårbart?
Hur Sårbarheten fungerar
Den RFC som definierar hur NAT-PMP fungerar säger följande:
NAT-gatewayen får INTE acceptera kartläggningsförfrågningar som är avsedda för NAT-gatewayens externa IP-adress eller mottagen på det externa nätverksgränssnittet. Endast paket som mottas på det interna gränssnittet (erna) med en destinationsadress som matchar NAT-gatewayens interna adress (er) ska tillåtas.
Så vad betyder det? Kort sagt betyder det att enheter som inte finns på det lokala nätverket inte borde kunna skapa regler för routern. Verkar rimligt, eller hur?
Problemet uppstår när routrar ignorerar denna värdefulla regel. Vilket som synes 1, 2 miljoner av dem gör.
Konsekvenserna kan vara svåra. Som tidigare nämnts kan trafik som skickas från komprometterade routrar avlyssas, vilket potentiellt leder till dataläckage och identitetsstöld. Så, hur fixar du det?
Vilka enheter påverkas?
Det här är en svår fråga att svara på. Rapid7 har inte kunnat slutgiltigt bevisa vilka routrar som har påverkats. Från sårbarhetsbedömningen:
Under den första upptäckten av denna sårbarhet och som en del av informationsprocessen försökte Rapid7 Labs identifiera vilka specifika produkter som stödde NAT-PMP sårbara, men den ansträngningen gav inte särskilt användbara resultat. ... på grund av de tekniska och juridiska komplexiteterna som är inblandade i att avslöja den sanna identiteten hos enheter på det offentliga Internet är det helt möjligt, kanske till och med troligt att dessa sårbarheter är närvarande i populära produkter som standard eller stödda konfigurationer.
Så måste du göra en del av att gräva dig själv. Här är vad du behöver göra.
Hur kan jag ta reda på att jag påverkas?
Först måste du logga in på din router och titta på dina konfigurationsinställningar via sitt webbgränssnitt. Med tanke på att det finns hundratals olika routrar, var och en med radikalt olika webbgränssnitt, vilket ger enhetsspecifik rådgivning här, är nästan omöjligt.
Emellertid är kärnan ungefär samma över de flesta hemnätverksenheter. För det första måste du logga in på administratörspanelen på din enhet via din webbläsare. Kontrollera din användarhandledning, men Linksys routrar kan vanligtvis nås från 192.168.1.1, vilket är deras standard IP-adress. På samma sätt använder D-Link och Netgear 192.168.0.1 och Belkin använder 192.168.2.1.
Om du fortfarande inte är säker kan du hitta den via din kommandorad. På OS X kör:
rutt -n blir standard
"Gateway" är din router. Om du använder en modern Linux distro, försök att köra:
ip ruttshow
I Windows öppnar du kommandotolken Windows Command Prompt: enklare och mer användbar än du tror Windows Command Prompt: enklare och mer användbar än du tror Kommandon har inte alltid varit densamma, i själva verket har vissa blivit sopade medan andra nyare Kommandon kom med, även med Windows 7. Så, varför skulle någon vilja bry sig om att klicka på början ... Läs mer och skriv in:
ipconfig
Återigen är IP-adressen för "Gateway" den du vill ha.
När du har fått tillgång till routerns administratörspanel, ta en poke runt i dina inställningar tills du hittar de som hänför sig till Network Address Translation. Om du ser något som säger något som "Tillåt NAT-PMP på otillförlitliga nätverksgränssnitt", stäng av det.
Rapid7 har också fått CERT / CC (Computer Emergency Response Team Coordination Center) CERT / CC för att starta en minskning av listan över enheter som är sårbara, i syfte att arbeta med enhetsprodusenter för att utföra en åtgärd.
Även routrar kan vara säkerhetsproblem
Vi tar ofta säkerheten för vårt nätverksutrustning för givet. Och ändå visar denna sårbarhet att säkerheten hos de enheter som vi använder för att ansluta till Internet inte är en säkerhet.
Som alltid skulle jag gärna höra dina tankar om det här ämnet. Låt mig veta vad du tycker i kommentarfältet nedan.