Да ли је УПнП сигурносни ризик?

УПнП се подразумевано укључује на многим новим рутерима. У једном тренутку, ФБИ и други сигурносни стручњаци препоручили су да се онемогући УПнП из сигурносних разлога. Али колико је данас УПнП сигуран? Да ли трговину обезбеђујемо због удобности при коришћењу УПнП-а?

УПнП је скраћеница за “Универсал Плуг анд Плаи”. Користећи УПнП, апликација може аутоматски проследити порт на рутеру, штедећи вам гњаважу за прослеђивање портова ручно. Размотрићемо разлоге због којих људи препоручују онемогућавање УПнП-а, тако да можемо добити јасну слику о сигурносним ризицима.

Кредит за слике: цомеди_носе на Флицкр-у

Малваре на вашој мрежи може користити УПнП

Вирус, тројански коњ, црв или други злонамерни програм који успе да зарази рачунар на вашој локалној мрежи може да користи УПнП, као што легитимни програми могу. Док рутер обично блокира долазне везе, спречавајући неки злонамерни приступ, УПнП може дозволити да злонамерни програм у потпуности заобиђе заштитни зид. На пример, тројански коњ може инсталирати програм за даљинско управљање на вашем рачунару и отворити рупу за њега у фиревалл-у вашег рутера, омогућавајући 24/7 приступ вашем рачунару са Интернета. Ако је УПнП онемогућен, програм не може да отвори порт - иако би могао да заобиђе заштитни зид на друге начине и телефонира кући.

Да ли је ово проблем? да. О томе се не може заобићи - УПнП претпоставља да су локални програми поуздани и дозвољавају им да прослеђују портове. Ако вам малваре није у могућности да проследи портове, важно је да онемогућите УПнП.

ФБИ је рекао људима да онемогуће УПнП

Крајем 2001. године, Национални центар за заштиту инфраструктуре ФБИ-а савјетовао је све кориснике да онемогуће УПнП због прекорачења бафера у Виндовс КСП-у. Ова грешка је поправљена сигурносном закрпом. НИПЦ је заправо издао исправку за овај савјет касније, након што су схватили да проблем није у самом УПнП-у. (Извор)

Да ли је ово проблем? Не. Док се неки људи могу сјетити савјетовања НИПЦ-а и имају негативан став према УПнП-у, овај савјет је у то вријеме био погрешан, а специфични проблем је ријешен закрпом за Виндовс КСП прије десет година.

Имаге: Царстен Лорентзен на Флицкр-у

Фласх УПнП Аттацк

УПнП не захтева никакву аутентификацију од корисника. Свака апликација која се покреће на рачунару може затражити од рутера да проследи порт преко УПнП-а, због чега горе наведени малвер може да злоупотреби УПнП. Могли бисте претпоставити да сте сигурни све док на малим уређајима не постоји злонамјерни софтвер - али вјеројатно нисте у праву.

Фласх УПнП напад је откривен 2008. године. Посебно направљен Фласх апплет, који се покреће на веб страници унутар вашег веб прегледника, може послати УПнП захтјев вашем рутеру и затражити да прослиједи портове. На пример, аплет може да захтева од рутера да проследи портове 1-65535 на ваш рачунар, ефикасно га излажући читавом Интернету. Нападач би морао да искористи рањивост у мрежној услузи која је покренута на вашем рачунару након тога, међутим - коришћење заштитног зида на рачунару ће вас заштитити.

Нажалост, погоршава се - на неким рутерима, Фласх апплет може промијенити примарни ДНС послужитељ с УПнП захтјевом. Прослеђивање портова би било најмање брига - злонамерни ДНС сервер могао би да преусмери саобраћај на друге веб сајтове. На пример, може да упути Фацебоок.цом на другу ИП адресу у потпуности - адресна трака вашег веб прегледача ће рећи Фацебоок.цом, али бисте користили веб-сајт који је успоставила злонамерна организација.

Да ли је ово проблем? да. Не могу да нађем никакву индикацију да је ово икада поправљено. Чак и да је фиксиран (то би било тешко, јер је то проблем са самим УПнП протоколом), многи старији рутери који су још у употреби били би рањиви.

Лоша УПнП имплементација на рутерима

Веб страница УПнП Хацкс садржи детаљну листу сигурносних питања на начин на који различити рутери имплементирају УПнП. Ово нису нужно проблеми са самим УПнП-ом; они су често проблеми са УПнП имплементацијама. На пример, многе УПнП имплементације рутера не проверавају исправно улаз. Злонамерна апликација може да захтева од рутера да преусмери мрежу на удаљене ИП адресе на Интернету (уместо локалних ИП адреса), а рутер ће се придржавати. На неким рутерима заснованим на Линуку, могуће је искористити УПнП за покретање наредби на рутеру. (Извор) Веб страница наводи многе друге такве проблеме.

Да ли је ово проблем? да! Милиони роутера у дивљини су рањиви. Многи произвођачи рутера нису добро обавили посао на обезбеђивању својих УПнП имплементација.

Кредит за слике: Бен Масон на Флицкр-у

Ако сте онемогућили УПнП?

Када сам почео да пишем овај пост, очекивао сам да закључим да су мане УПнП-а биле прилично мале, једноставна ствар трговања са мало сигурности за неку погодност. Нажалост, чини се да УПнП има много проблема. Ако не користите апликације које захтевају прослеђивање портова, као што су пеер-то-пеер апликације, сервери за игре и многи ВоИП програми, боље је да потпуно онемогућите УПнП. Велики корисници ових апликација ће желети да размотре да ли су спремни да се одрекну сигурности за погодност. Још увек можете проследити портове без УПнП; то је само мало више посла. Погледајте наш водич за прослеђивање портова.

С друге стране, ове грешке рутера се не користе активно у дивљини, тако да је стварна шанса да наиђете на злонамерни софтвер који користи пропусте у УПнП имплементацији вашег рутера прилично ниски. Неки малвер користи УПнП за прослеђивање портова (на пример, Цонфицкер црв), али нисам наишао на пример малициозног софтвера који користи ове недостатке рутера.

Како то онемогућити? Ако ваш рутер подржава УПнП, наћи ћете опцију да га онемогућите у свом веб интерфејсу. Више информација потражите у приручнику вашег рутера.

Да ли се слажете са сигурношћу УПнП-а? Оставите коментар!