1,2 Milhões de routers são vulneráveis a ser sequestrado. É seu um deles?
Video: "Não gosto de ser sequestrado! -- Pinheiro de Azevedo " - Depois do Adeus
Conteúdo
- Video: "não gosto de ser sequestrado! -- pinheiro de azevedo " - depois do adeus
- O que é nat-pmp, e por que é útil?
- Como funciona a vulnerabilidade
- Que dispositivos são afetados?
- Como posso descobrir que eu sou afetado?
- Video: declarações de pinheiro de azevedo
- Video: o almirante sem medo (pinheiro de azevedo no porto em outubro 1975)
- Mesmo roteadores podem ser vulnerabilidades de segurança
Milhões de switches, roteadores e firewalls são potencialmente vulneráveis ao sequestro e intercepção, depois de a empresa de segurança americana Rapid7 descobriu um problema sério com a forma como estes dispositivos são configurados.
O problema - que afeta tanto domésticos e empresariais usuários - é encontrado nas configurações de NAT-PMP usados para permitir que redes externas para se comunicar com dispositivos que operam em uma rede local.
Em um alerta de vulnerabilidade, Rapid7 encontrado 1,2 milhões de dispositivos que sofrem de configurações NAT-PMP misconfigured, com 2,5% vulneráveis a um intruso interceptar tráfego interno, 88% para um intruso interceptar o tráfego de saída, e 88% de um ataque de negação de serviço como uma resultado dessa vulnerabilidade.
Curioso sobre o que NAT-PMP é, e como você pode se proteger? Leia sobre para obter mais informações.
O que é NAT-PMP, e por que é útil?
Existem dois tipos de endereços IP no mundo. O primeiro é endereços IP internos. Estes identificar com exclusividade os dispositivos em uma rede e permitir que os dispositivos dentro de uma LAN para se comunicar uns com os outros. Estes também são privados, e apenas as pessoas em sua rede interna pode ver e ligar para eles.
E então nós temos endereços IP públicos. Estes são uma parte essencial de como funciona a Internet, e permitir rede diferente para identificar o outro, e se conectar com o outro. O problema é, não não são suficientes IPv4 endereços (O sistema de endereçamento IP dominante - IPv6 ainda não tenha substituído) Para ir ao redor. Especialmente quando consideramos as centenas de milhões de computadores, tablets, telefones e Internet das Coisas aparelhos flutuando.IPv6 vs. IPv4: você deve se importar (ou fazer qualquer coisa) como um usuário? [MakeUseOf Explica]IPv6 vs. IPv4: você deve se importar (ou fazer qualquer coisa) como um usuário? [MakeUseOf Explica]Mais recentemente, tem havido muita conversa sobre a mudança para IPv6 e como ele vai trazer uma série de benefícios para a Internet. Mas isso "notícia" continua se repetindo, como há sempre um ocasional ...consulte Mais informação
Então, nós temos que usar algo chamado Network Address Translation (NAT). Isso faz com que cada endereço público ir muito mais longe, como se pode ser associado a vários dispositivos em uma rede privada.
Mas e se nós temos um serviço - como um servidor web ou um servidor de arquivos - rodando em uma rede que gostaríamos de expor ao maior Internet? Para isso, precisaríamos usar algo chamado Network Address Translation - Port Mapping Protocol (NAT-PMP).Como configurar um servidor Web Apache em 3 etapas fáceisComo configurar um servidor Web Apache em 3 etapas fáceisSeja qual for o motivo, você pode em algum momento deseja obter um servidor web vai. Se você quiser dar-se o acesso remoto a determinadas páginas ou serviços, você quer começar uma comunidade ...consulte Mais informação
Este padrão aberto foi criado por volta de 2005 pela Apple, e foi projetado para tornar o processo de mapeamento de portas muito mais fácil. NAT-PNP podem ser encontrados em uma variedade de dispositivos, incluindo aqueles que não são necessariamente feitos pela Apple, como os produzidos pela ZyXEL, Linksys e Netgear. Alguns roteadores que não suportam nativamente também pode ter acesso a NAT-PMP através de firmwares de terceiros, tais como DD-WRT, Tomate e OpenWRT.
Então, temos que NAT-PMP é importante. Mas como pode ser vulnerável?
Como funciona a vulnerabilidade
O RFC que define como NAT-PMP funciona diz o seguinte:
O gateway NAT não devem aceitar solicitações de mapeamento destinados para o endereço IP externo do gateway NAT ou recebidos em sua interface de rede externa. Apenas os pacotes recebidos na interface interna (s) com um endereço de destino correspondentes a endereço interno (es) da porta de ligação de NAT deve ser permitido.
Então, o que isso significa? Em suma, isso significa que os dispositivos que não estão na rede local não deve ser capaz de criar regras para o roteador. Parece razoável, certo?
O problema surge quando routers ignorar esta regra valioso. Que, aparentemente, 1,2 milhões deles fazem.
As consequências podem ser graves. Como mencionado anteriormente, o tráfego enviado a partir de routers comprometidos pode ser interceptado, potencialmente conduzindo a perda de dados e o roubo de identidade. Então, como você corrigir isso?
Que dispositivos são afetados?
Esta é uma pergunta difícil de responder. Rapid7 não têm sido capazes de provar definitivamente que roteadores foram afetados. A partir da avaliação de vulnerabilidade:
Durante a descoberta inicial de esta vulnerabilidade e como parte do processo de revelação, Rapid7 Labs tentativa para identificar quais os produtos específicos de apoio NAT-PMP foram vulnerável, no entanto, que o esforço não deu resultados especialmente úteis. ... por causa das complexidades técnicas e jurídicas envolvidas em descobrir a verdadeira identidade de dispositivos na Internet pública, é inteiramente possível, talvez até provável, que estas vulnerabilidades estão presentes em produtos populares em padrão ou configurações suportadas.
Então, você tem que fazer um pouco de cavar-se. Aqui está o que você precisa fazer.
Como posso descobrir que eu sou afetado?
Primeiro, você precisa se logar em seu roteador e olhar para as suas definições de configuração por meio de sua interface web. Tendo em conta que existem centenas de roteadores diferentes, cada um com radicalmente diferentes interfaces web, dando conselhos de dispositivo específico aqui é quase impossível.
Video: Declarações de Pinheiro de Azevedo
No entanto, a essência é praticamente o mesmo do outro lado a maioria dos dispositivos de rede doméstica. Em primeiro lugar, você precisa entrar no painel de administração do seu dispositivo através de seu navegador web. Consulte o manual do usuário, mas roteadores Linksys geralmente pode ser alcançado a partir de 192.168.1.1, que é o seu endereço IP padrão. Do mesmo modo, a D-Link e Netgear uso 192.168.0.1, e Belkin utilizar 192.168.2.1.
Se você ainda não tiver certeza, você pode encontrá-lo através de sua linha de comando. No OS X, execute:
route -n get padrão
O ‘Gateway` é o seu router. Se você estiver usando uma distro Linux moderno, tente executar:
show ip route
No Windows, abra o Prompt de comando e digite:O Prompt de Comando do Windows: mais simples e mais útil do que você pensaO Prompt de Comando do Windows: mais simples e mais útil do que você pensaOs comandos nem sempre permaneceu o mesmo, na verdade, alguns foram lixeira enquanto outros comandos mais recentes veio junto, mesmo com Windows 7 na verdade. Então, por que alguém iria querer incomodar clicando no começo ...consulte Mais informação
ipconfig
Mais uma vez, o endereço IP para o ‘gateway` é o que deseja.
Video: O Almirante Sem Medo (Pinheiro de Azevedo no Porto em Outubro 1975)
Uma vez que você ganhou o acesso ao painel de administração do seu roteador, têm um puxão ao redor em suas configurações até encontrar os que se relacionam com Network Address Translation. Se você ver qualquer coisa que diz algo como ‘Permitir NAT-PMP Em Untrusted Interfaces de rede, desligá-lo.
Rapid7 também tem tido o Computer Emergency Response Equipe Coordenação Center (CERT / CC) para começar a reduzir a lista de dispositivos que são vulneráveis, com o objetivo de trabalhar com fabricantes de dispositivos para emitir uma correção.
Mesmo roteadores podem ser Vulnerabilidades de Segurança
Nós muitas vezes assumem a segurança do nosso equipamento de rede para concedido. E, no entanto, esta vulnerabilidade mostra que a segurança dos dispositivos que usamos para se conectar à Internet não é uma certeza.
Como sempre, eu adoraria ouvir seus pensamentos sobre este assunto. Deixe-me saber o que você pensa na caixa de comentários abaixo.