UPnP nozīmē "Universal Plug and Play". Izmantojot UPnP, lietojumprogramma var automātiski pārsūtīt portu maršrutētājā, saglabājot jums pāradresācijas portālu problēmu manuāli. Mēs aplūkosim iemeslus, kāpēc cilvēki ieteiktu atspējot UPnP, lai mēs varētu iegūt skaidru priekšstatu par drošības riskiem.
Attēlu kredīts: comedy_nose par Flickr
Malware jūsu tīklā var izmantot UPnP
Vīruss, Trojas zirgs, tārps vai cita ļaunprogramma, kas spēj inficēt datoru jūsu vietējā tīklā, var izmantot UPnP tāpat kā likumīgās programmas. Kamēr maršrutētājs parasti bloķē ienākošos savienojumus, novēršot ļaunprātīgu piekļuvi, UPnP var Ĝaut Ĝaunprātīgai programmai pilnībā apiet ugunsmūri. Piemēram, Trojas zirgs savā datorā var instalēt tālvadības programmu un atvērt tam routera ugunsmūrī caurumu, ļaujot 24 stundu diennaktī piekļūt jūsu datoram no interneta. Ja UPnP tika atspējota, programma nevarēja atvērt portu - lai gan tā var apiet ugunsmūri citos veidos un tālruni mājās.
Vai tā ir problēma? Jā. Neviens par to nevar paļauties - UPnP pieņem, ka vietējās programmas ir uzticamas un ļauj tām pārsūtīt ostas. Ja jums ir svarīga ļaunprātīga programmatūra, kas nevar pārsūtīt ostas, jūs vēlaties atspējot UPnP.
FBI sacīja cilvēkiem, ka UPnP atspējot
Līdz 2001. gada beigām FIB Nacionālais infrastruktūras aizsardzības centrs ieteica visiem lietotājiem atspējot UPnP bufera pārpildes dēļ sistēmā Windows XP. Šo kļūdu noteica drošības plāksteris. NIPC šo ieteikumu vēlāk laboja, pēc tam, kad saprata, ka problēma nav UPnP. (Avots)
Vai tā ir problēma? Nē. Lai gan daži cilvēki var atcerēties NIPC padomu un negatīvi uztvert UPnP, šis ieteikums tajā laikā tika uzlauzts, un konkrētā problēma tika novērsta ar Windows XP patch vairāk nekā desmit gadus atpakaļ.
Flash UPnP uzbrukums
UPnP neprasa nekādu lietotāja autentifikāciju. Jebkura lietojumprogramma, kas darbojas jūsu datorā, var pieprasīt maršrutētājam pārsūtīt UPnP portu, tāpēc iepriekš aprakstītā ļaunprogramma var ļaunprātīgi izmantot UPnP. Varat pieņemt, ka esat drošs, kamēr neviena vietējā ierīcē netiek aktivizēta ļaunprogramma, taču jūs, iespējams, esat nepareizi.
Flash UPnP uzbrukums tika atklāts 2008. gadā. Speciāli izstrādāts Flash aplets, kas darbojas tīmekļa pārlūkprogrammas iekšpusē, var nosūtīt UPnP pieprasījumu savam maršrutētājam un lūgt to pārsūtīt ostas. Piemēram, sīklietotne var lūgt maršrutētāju pārsūtīt ostas 1-65535 uz datoru, efektīvi pakļaujot to visam internetam. Pēc tam, kad to izdarītu, uzbrucējam vajadzētu izmantot tīkla pakalpojumu, kas darbojas datorā, ievainojamību, lai gan - izmantojot datora ugunsmūri, jūs aizsargāsit.
Diemžēl tas pasliktinās - dažos maršrutētājos Flash sīklietotne var mainīt galveno DNS serveri ar UPnP pieprasījumu. Portfeļu nosūtīšana būtu vismazākā no jūsu rūpes - ļaunprātīgs DNS serveris varētu novirzīt datplūsmu uz citām vietnēm. Piemēram, tas varētu norādīt Facebook.com citā IP adresē - jūsu tīmekļa pārlūkprogrammas adrešu joslā varētu norādīt Facebook.com, bet jūs izmantojat vietni, kuru izveidojusi ļaunprātīga organizācija.
Vai tā ir problēma? Jā. Es nevaru atrast nekādas norādes, ka tas kādreiz tika noteikts. Pat ja tas būtu fiksēts (tas būtu grūti, jo tā ir problēma ar UPnP protokolu), daudzi vecāki maršrutētāji, kurus joprojām izmanto, būtu neaizsargāti.
Slikti UPNP ieejas maršrutētājiem
UPnP Hacks vietnē ir detalizēts drošības problēmu saraksts, kā dažādi maršrutētāji izmanto UPnP. Tie nav obligāti ar UPnP problēmām; viņiem bieži vien ir problēmas ar UPnP ieviešanu. Piemēram, daudzi maršrutētāju UPnP implementāti nepareizi pārbauda ievadi. Ļaunprātīga lietojumprogramma var pieprasīt, lai maršrutētājs novirzītu tīklu uz attālinātām IP adresēm internetā (nevis vietējām IP adresēm), un maršrutētājs atbilstu. Uz dažiem Linux maršrutētājiem, ir iespējams izmantot UPnP, lai palaistu komandas maršrutētājā. (Avots) Tīmekļa vietnē ir uzskaitītas daudzas citas šādas problēmas.
Vai tā ir problēma? Jā! Miljoniem maršrutētāju savvaļā ir neaizsargāti. Daudzi maršrutētāju ražotāji nav izdarījuši labu darbu, lai nodrošinātu UPnP ieviešanu.
Vai jums ir jāatspējo UPnP?
Kad es sāku rakstīt šo rakstu, es gaidīju secināt, ka UPnP trūkumi ir diezgan mazi, vienkāršs jautājums, ka tirdzniecības nolūkos dažas ērtības ir mazliet drošas. Diemžēl šķiet, ka UPnP ir daudz problēmu. Ja neizmantojat programmas, kurām nepieciešama pāradresācija, piemēram, peer-to-peer lietojumprogrammas, spēļu serveri un daudzas VoIP programmas, jums vislabāk ir pilnībā atspējot UPnP. Šo lietotņu smagie lietotāji vēlēsies apsvērt, vai viņi ir gatavi atteikties no drošības, lai tie būtu ērtāki. Jūs joprojām varat pārsūtīt ostas bez UPnP; tas ir tikai nedaudz vairāk darbs. Pārbaudiet mūsu ceļvedi par ostas pāradresēšanu.
No otras puses, šie router defekti netiek aktīvi izmantoti savvaļā, tāpēc faktiskā iespēja, ka jūs saskaraties ar ļaunprātīgu programmatūru, kas izmanto kļūdas jūsu maršrutētāja UPnP īstenošana ir diezgan zema. Daži ļaunprogrammas izmanto UPnP, lai pārsūtītu ostas (piemēram, Conficker worm), taču es neesmu saskāries ar kādu ļaunprātīgas programmatūras daļu, kurā tiek izmantoti šie router defekti.
Kā es varu to atspējot? Ja jūsu maršrutētājs atbalsta UPnP, jūs atradīsiet iespēju to atspējot savā tīmekļa saskarnē. Lai iegūtu plašāku informāciju, apskatiet maršrutētāja rokasgrāmatu.
Vai jūs nepiekrītu UPnP drošībai? Atstājiet savu komentāru!
