UPnP увімкнено за замовчуванням на багатьох нових маршрутизаторах. Одного разу ФБР та інші експерти з питань безпеки рекомендували відключити UPnP з міркувань безпеки. Але наскільки безпечним є UPnP сьогодні? Чи ми торгуємо безпекою для зручності при використанні UPnP?
UPnP розшифровується як “Universal Plug and Play”. Використовуючи UPnP, програма може автоматично перенаправляти порт на маршрутизаторі, позбавляючи вас від клопоту переадресація портів вручну . Ми розглянемо причини, за якими люди рекомендують відключити UPnP, щоб отримати чітке уявлення про ризики безпеки.
Кредит зображення: comedy_nose на Flickr
Шкідливе програмне забезпечення у вашій мережі може використовувати UPnP
Вірус, троянський кінь, хробак або інша шкідлива програма, якій вдається заразити комп’ютер у вашій локальній мережі, може використовувати UPnP, як і законні програми. Хоча маршрутизатор зазвичай блокує вхідні з'єднання, запобігаючи зловмисному доступу, UPnP може дозволити шкідливій програмі повністю обходити брандмауер. Наприклад, троянський кінь може встановити програму дистанційного керування на ваш комп'ютер і відкрити для неї отвір у вашому брандмауер маршрутизатора , дозволяючи цілодобовий доступ до комп’ютера з Інтернету. Якщо UPnP було вимкнено, програма не могла відкрити порт, хоча вона могла обійти брандмауер іншими способами та зателефонувати додому.
Це проблема? Так. З цим не обійтись - UPnP припускає, що місцеві програми надійні та дозволяють їм переадресовувати порти. Якщо шкідливе програмне забезпечення не може переадресувати порти для вас важливо, ви захочете вимкнути UPnP.
ФБР наказало людям вимкнути UPnP
Ближче до кінця 2001 року Національний центр захисту інфраструктури ФБР порадив усім користувачам вимкнути UPnP через переповнення буфера в Windows XP. Ця помилка була виправлена за допомогою виправлення безпеки. NIPC фактично виправив цю пораду пізніше, після того, як вони зрозуміли, що проблема не в самому UPnP. ( Джерело )
Це проблема? Ні. Хоча деякі люди, можливо, пам’ятають рекомендації NIPC і негативно ставляться до UPnP, тоді ця порада була помилковою, і конкретна проблема була виправлена виправленням для Windows XP понад десять років тому.
Кредит зображення: Карстен Лоренцен на Flickr
Атака Flash UPnP
UPnP не вимагає будь-якої автентифікації від користувача. Будь-яка програма, що працює на вашому комп’ютері, може попросити маршрутизатор перенаправити порт через UPnP, саме тому зловмисне програмне забезпечення може зловживати UPnP. Ви можете припустити, що ви в безпеці, поки на будь-яких локальних пристроях не працює зловмисне програмне забезпечення, але ви, мабуть, помиляєтесь.
Flash UPnP Attack був виявлений у 2008 році. Спеціально розроблений аплет Flash, що працює на веб-сторінці у вашому веб-браузері, може відправити UPnP-запит на ваш маршрутизатор і попросити його переадресувати порти. Наприклад, аплет може попросити маршрутизатор переадресувати порти 1-65535 на ваш комп'ютер, ефективно піддаючи його всьому Інтернету. Після цього зловмисникові доведеться використати вразливість в мережевій службі, що працює на вашому комп'ютері, однак - за допомогою брандмауер на вашому комп’ютері допоможе захистити вас.
На жаль, це погіршується - на деяких маршрутизаторах Flash-аплет може змінити основний DNS-сервер із запитом UPnP. Переадресація портів буде найменшим з ваших турбот - шкідливий DNS-сервер може перенаправляти трафік на інші веб-сайти. Наприклад, це може повністю вказати Facebook.com на іншу IP-адресу - в адресному рядку веб-браузера буде вказано Facebook.com, але ви використовуєте веб-сайт, створений шкідливою організацією.
Це проблема? Так. Я не можу знайти жодних ознак того, що це колись було виправлено. Навіть якби це було виправлено (це було б складно, оскільки це проблема з самим протоколом UPnP), багато старих маршрутизаторів, які все ще використовуються, були б уразливими.
Погані реалізації UPnP на маршрутизаторах
UPnP Хакі Веб-сайт містить докладний перелік проблем безпеки, як різні маршрутизатори впроваджують UPnP. Це не обов'язково проблеми з самим UPnP; вони часто мають проблеми з реалізацією UPnP. Наприклад, реалізації UPnP багатьох маршрутизаторів не перевіряють введення належним чином. Шкідлива програма може попросити маршрутизатор перенаправити мережевий трафік на віддалені IP-адреси в Інтернеті (замість локальних IP-адрес), і маршрутизатор буде відповідати цим правилам. На деяких маршрутизаторах на базі Linux можна використовувати UPnP для запуску команд на маршрутизаторі. ( Джерело ) На веб-сайті перелічено багато інших подібних проблем.
Це проблема? Так! Мільйони маршрутизаторів у дикій природі вразливі. Багато виробників маршрутизаторів не зробили належної роботи із забезпечення своїх реалізацій UPnP.
Кредит зображення: Бен Мейсон на Flickr
Чи слід вимикати UPnP?
Коли я почав писати цю публікацію, я розраховував зробити висновок, що недоліки UPnP були незначними - це просто торгувати трохи безпеки для деякої зручності. На жаль, видається, що UPnP має багато проблем. Якщо ви не використовуєте додатки, які потребують переадресації портів, такі як однорангові додатки, ігрові сервери та багато програм VoIP, можливо, вам краще повністю відключити UPnP. Важкі користувачі цих додатків захочуть подумати, чи готові вони відмовитися від певної безпеки для зручності. Ви все ще можете пересилати порти без UPnP; це лише трохи більше роботи. Перевіряти наш посібник з переадресації портів .
З іншого боку, ці недоліки маршрутизатора не використовуються активно в дикій природі, тому реальна ймовірність того, що ви зіткнетеся зі зловмисним програмним забезпеченням, яке використовує недоліки в реалізації UPnP вашого маршрутизатора, досить низька. Деякі шкідливі програми використовують UPnP для переадресації портів (наприклад, хробак Conficker), але я не стикався з прикладом того, як шматок шкідливого програмного забезпечення використовував ці недоліки маршрутизатора.
Як це вимкнути? Якщо ваш маршрутизатор підтримує UPnP, ви знайдете можливість вимкнути його у своєму веб-інтерфейсі. Докладнішу інформацію див. У посібнику до маршрутизатора.
Ви не погоджуєтесь із безпекою UPnP? Залишити коментар!
