UPnP ist auf vielen neuen Routern standardmäßig aktiviert. Zu einem bestimmten Zeitpunkt empfahlen das FBI und andere Sicherheitsexperten, UPnP aus Sicherheitsgründen zu deaktivieren. Aber wie sicher ist UPnP heute? Handeln wir Sicherheit aus Bequemlichkeitsgründen bei der Verwendung von UPnP?
UPnP steht für "Universal Plug and Play". Mit UPnP kann eine Anwendung automatisch einen Port auf Ihrem Router weiterleiten, wodurch Sie den Aufwand ersparen Ports manuell weiterleiten . Wir werden uns die Gründe ansehen, aus denen empfohlen wird, UPnP zu deaktivieren, damit wir uns ein klares Bild über die Sicherheitsrisiken machen können.
Bildnachweis: Comedy_Nose auf Flickr
Malware in Ihrem Netzwerk kann UPnP verwenden
Ein Virus, ein Trojanisches Pferd, ein Wurm oder ein anderes Schadprogramm, das es schafft, einen Computer in Ihrem lokalen Netzwerk zu infizieren, kann UPnP verwenden, genau wie legitime Programme. Während ein Router normalerweise eingehende Verbindungen blockiert und so einen böswilligen Zugriff verhindert, kann UPnP einem Schadprogramm ermöglichen, die Firewall vollständig zu umgehen. Zum Beispiel könnte ein Trojanisches Pferd ein Fernbedienungsprogramm auf Ihrem Computer installieren und ein Loch dafür in Ihrem Computer öffnen Firewall des Routers So können Sie rund um die Uhr über das Internet auf Ihren Computer zugreifen. Wenn UPnP deaktiviert wäre, könnte das Programm den Port nicht öffnen - obwohl es die Firewall auf andere Weise umgehen und nach Hause telefonieren könnte.
Ist das ein Problem? Ja. Daran führt kein Weg vorbei - UPnP geht davon aus, dass lokale Programme vertrauenswürdig sind, und ermöglicht es ihnen, Ports weiterzuleiten. Wenn es für Sie wichtig ist, dass Malware keine Ports weiterleiten kann, möchten Sie UPnP deaktivieren.
Das FBI forderte die Leute auf, UPnP zu deaktivieren
Gegen Ende des Jahres 2001 empfahl das National Infrastructure Protection Center des FBI allen Benutzern, UPnP aufgrund eines Pufferüberlaufs in Windows XP zu deaktivieren. Dieser Fehler wurde durch einen Sicherheitspatch behoben. Das NIPC gab später tatsächlich eine Korrektur für diesen Rat heraus, nachdem es feststellte, dass das Problem nicht in UPnP selbst lag. ( Quelle )
Ist das ein Problem? Nein. Während sich einige Leute an die Empfehlungen des NIPC erinnern und UPnP negativ beurteilen, war dieser Rat zu dieser Zeit falsch und das spezifische Problem wurde vor über zehn Jahren durch einen Patch für Windows XP behoben.
Bildnachweis: Carsten Lorentzen on Flickr
Der Flash UPnP Angriff
UPnP erfordert keine Authentifizierung vom Benutzer. Jede Anwendung, die auf Ihrem Computer ausgeführt wird, kann den Router auffordern, einen Port über UPnP weiterzuleiten. Aus diesem Grund kann die oben genannte Malware UPnP missbrauchen. Sie können davon ausgehen, dass Sie sicher sind, solange auf lokalen Geräten keine Malware ausgeführt wird - aber Sie liegen wahrscheinlich falsch.
Das Flash UPnP Attack wurde im Jahr 2008 entdeckt. Ein speziell gestaltetes Flash-Applet, das auf einer Webseite in Ihrem Webbrowser ausgeführt wird, kann eine UPnP-Anfrage an Ihren Router senden und ihn auffordern, Ports weiterzuleiten. Beispielsweise könnte das Applet den Router auffordern, die Ports 1-65535 an Ihren Computer weiterzuleiten, um ihn effektiv dem gesamten Internet auszusetzen. Der Angreifer müsste danach jedoch eine Sicherheitsanfälligkeit in einem Netzwerkdienst ausnutzen, der auf Ihrem Computer ausgeführt wird - mithilfe von a firewall auf Ihrem Computer hilft Ihnen, sich zu schützen.
Leider wird es schlimmer - auf einigen Routern könnte ein Flash-Applet den primären DNS-Server mit einer UPnP-Anfrage ändern. Die Portweiterleitung ist die geringste Sorge - ein böswilliger DNS-Server kann den Datenverkehr auf andere Websites umleiten. Beispielsweise könnte Facebook.com vollständig auf eine andere IP-Adresse verweisen. In der Adressleiste Ihres Webbrowsers wird Facebook.com angezeigt, Sie verwenden jedoch eine Website, die von einer böswilligen Organisation eingerichtet wurde.
Ist das ein Problem? Ja. Ich kann keinen Hinweis darauf finden, dass dies jemals behoben wurde. Selbst wenn dies behoben wäre (dies wäre schwierig, da dies ein Problem mit dem UPnP-Protokoll selbst darstellt), wären viele ältere Router, die noch verwendet werden, anfällig.
Schlechte UPnP-Implementierungen auf Routern
Das UPnP Hacks Die Website enthält eine detaillierte Liste von Sicherheitsproblemen bei der Implementierung von UPnP durch verschiedene Router. Dies sind nicht unbedingt Probleme mit UPnP selbst. Sie haben häufig Probleme mit UPnP-Implementierungen. Beispielsweise überprüfen die UPnP-Implementierungen vieler Router die Eingabe nicht ordnungsgemäß. Eine böswillige Anwendung fordert einen Router möglicherweise auf, den Netzwerkverkehr an Remote-IP-Adressen im Internet (anstelle lokaler IP-Adressen) umzuleiten, und der Router erfüllt die Anforderungen. Auf einigen Linux-basierten Routern ist es möglich, UPnP zu nutzen, um Befehle auf dem Router auszuführen. ( Quelle ) Die Website listet viele andere solche Probleme auf.
Ist das ein Problem? Ja! Millionen von Routern in freier Wildbahn sind anfällig. Viele Routerhersteller haben ihre UPnP-Implementierungen nicht gut gesichert.
Bildnachweis: Ben Mason auf Flickr
Sollten Sie UPnP deaktivieren?
Als ich anfing, diesen Beitrag zu schreiben, erwartete ich, dass die Mängel von UPnP eher geringfügig waren. Es war einfach, ein wenig Sicherheit gegen Bequemlichkeit einzutauschen. Leider scheint UPnP viele Probleme zu haben. Wenn Sie keine Anwendungen verwenden, für die eine Portweiterleitung erforderlich ist, z. B. Peer-to-Peer-Anwendungen, Spieleserver und viele VoIP-Programme, ist es möglicherweise besser, UPnP vollständig zu deaktivieren. Starke Benutzer dieser Anwendungen sollten überlegen, ob sie bereit sind, aus Bequemlichkeitsgründen auf Sicherheit zu verzichten. Sie können weiterhin Ports ohne UPnP weiterleiten. Es ist nur ein bisschen mehr Arbeit. Auschecken unser Leitfaden zur Portweiterleitung .
Auf der anderen Seite werden diese Routerfehler nicht aktiv in freier Wildbahn verwendet, sodass die tatsächliche Wahrscheinlichkeit, dass Sie auf schädliche Software stoßen, die Fehler in der UPnP-Implementierung Ihres Routers ausnutzt, relativ gering ist. Einige Malware verwendet UPnP zum Weiterleiten von Ports (z. B. der Conficker-Wurm), aber ich habe kein Beispiel für eine Malware gefunden, die diese Routerfehler ausnutzt.
Wie deaktiviere ich es? Wenn Ihr Router UPnP unterstützt, finden Sie in seiner Weboberfläche eine Option zum Deaktivieren. Weitere Informationen finden Sie im Handbuch Ihres Routers.
Sind Sie mit der Sicherheit von UPnP nicht einverstanden? Hinterlasse einen Kommentar!
