Daudziem jauniem maršrutētājiem UPnP pēc noklusējuma ir iespējots. Vienā brīdī FBI un citi drošības eksperti drošības apsvērumu dēļ ieteica atspējot UPnP. Bet cik droša šodien ir UPnP? Vai, izmantojot UPnP, mēs tirgojamies ar drošību?
UPnP nozīmē “Universal Plug and Play.Izmantojot UPnP, lietojumprogramma var automātiski pārsūtīt portu uz jūsu maršrutētāja, ietaupot liekas grūtības ar manuālu portu pārsūtīšanu. Mēs apskatīsim iemeslus, kādēļ cilvēki iesaka atspējot UPnP, lai mēs iegūtu skaidru priekšstatu par drošības riskiem.
Attēla kredīts: komēdijas_noza vietnē Flickr
Ļaunprātīga programmatūra jūsu tīklā var izmantot UPnP
Vīruss, Trojas zirgs, tārps vai cits ļaundarisprogramma, kurai izdodas inficēt datoru jūsu lokālajā tīklā, var izmantot UPnP, tāpat kā likumīgās programmas to var. Kaut arī maršrutētājs parasti bloķē ienākošos savienojumus, novēršot ļaunprātīgu piekļuvi, UPnP varētu ļaut ļaunprātīgai programmai pilnībā apiet ugunsmūri. Piemēram, Trojas zirgs varētu datorā instalēt tālvadības programmu un maršrutētāja ugunsmūrī tam atvērtu caurumu, kas 24 stundas diennaktī ļautu datoram piekļūt no interneta. Ja UPnP tiktu atspējots, programma nevarētu atvērt portu, kaut arī citos veidos tā varētu apiet ugunsmūri un tālruni mājās.
Vai tā ir problēma? Jā. Tas nenotiek apkārt - pieņem UPnPvietējās programmas ir uzticamas un ļauj tām pārsūtīt ostas. Ja jums ir svarīga ļaunprātīga programmatūra, kas nespēj pārsūtīt portus, ieteicams atspējot UPnP.
FBI cilvēkiem lika atspējot UPnP
Gandrīz 2001. gada beigās FBI's NationalInfrastruktūras aizsardzības centrs visiem lietotājiem ieteica atspējot UPnP bufera pārpildes dēļ Windows XP. Šī kļūda tika labota ar drošības ielāpu. NIPC vēlāk laboja šo padomu pēc tam, kad viņi saprata, ka problēma neatrodas pašā UPnP. (Avots)
Vai tā ir problēma? Nē. Kaut arī daži cilvēki, iespējams, atceras NIPCPadomi un tiem ir negatīvs viedoklis par UPnP, šajā laikā šis padoms tika maldināts, un īpašā problēma tika labota ar Windows XP plāksteri pirms vairāk nekā desmit gadiem.
Attēla kredīts: Karstens Lorentzens vietnē Flickr
Flash UPnP uzbrukums
UPnP neprasa nekādu autentifikācijuno lietotāja. Jebkura lietojumprogramma, kas darbojas jūsu datorā, var lūgt maršrutētājam pārsūtīt portu, izmantojot UPnP, tāpēc iepriekš minētā ļaunprogrammatūra var ļaunprātīgi izmantot UPnP. Varētu pieņemt, ka esat drošs, kamēr nevienā vietējā ierīcē nedarbojas ļaunprātīga programmatūra, taču jūs droši vien maldāties.
Flash UPnP Attack tika atklāts 2008. gadā. Īpaši izveidots Flash sīklietotne, kas darbojas tīmekļa lapā jūsu tīmekļa pārlūkprogrammā, var nosūtīt UPnP pieprasījumu maršrutētājam un lūgt to pārsūtīt ostas. Piemēram, sīklietotne varētu lūgt maršrutētājam pārsūtīt portus 1-65535 uz datoru, efektīvi pakļaujot to visam internetam. Pēc tam uzbrucējam būs jāizmanto sava datora darbināmā tīkla pakalpojuma ievainojamība, tomēr - datora ugunsmūra izmantošana palīdzēs jums aizsargāt.
Diemžēl tas pasliktinās - dažos maršrutētājos, aFlash sīklietotne varētu mainīt primāro DNS serveri ar UPnP pieprasījumu. Ostas pāradresācija sagādā vismazākās raizes - ļaunprātīgs DNS serveris var novirzīt trafiku uz citām vietnēm. Piemēram, tas var pilnībā norādīt vietni Facebook.com uz citu IP adresi - jūsu tīmekļa pārlūkprogrammas adreses joslā būtu teikts: Facebook.com, bet jūs izmantojat vietni, kuru izveidojusi ļaunprātīga organizācija.
Vai tā ir problēma? Jā. Es nevaru atrast nekādas norādes, ka tas tā būtujebkad fiksēts. Pat ja tas būtu fiksēts (tas būtu grūti, jo tā ir paša UPnP protokola problēma), daudzi vecāki maršrutētāji, kas joprojām tiek izmantoti, būtu neaizsargāti.
Sliktas UPnP ieviešanas maršrutētājos
UPnP Hacks vietnē ir detalizēts sarakstsdrošības problēmu risināšana, kā dažādi maršrutētāji ievieš UPnP. Šīs ne vienmēr ir problēmas ar pašu UPnP; viņiem bieži ir problēmas ar UPnP ieviešanu. Piemēram, daudzu maršrutētāju UPnP ieviešana nepārbauda ievadi pareizi. Ļaunprātīga lietojumprogramma var lūgt maršrutētāju novirzīt tīklu uz attālām IP adresēm internetā (nevis vietējām IP adresēm), un maršrutētājs to ievēro. Dažos maršrutētājos, kuru pamatā ir Linux, UPnP ir iespējams izmantot, lai palaistu komandas maršrutētājā. (Avots) Vietnē ir uzskaitītas daudzas citas šādas problēmas.
Vai tā ir problēma? Jā! Miljoniem maršrutētāju savvaļā ir neaizsargāti. Daudzi maršrutētāju ražotāji nav paveikuši labu darbu, lai nodrošinātu UPnP ieviešanu.
Attēla kredīts: Bens Masons vietnē Flickr
Vai jums vajadzētu atspējot UPnP?
Kad sāku rakstīt šo ziņu, es gaidījujāsecina, ka UPnP trūkumi bija samērā nelieli - tas bija vienkāršs jautājums par nelielu drošību, lai veiktu dažas ērtības. Diemžēl šķiet, ka UPnP ir daudz problēmu. Ja jūs neizmantojat programmas, kurām nepieciešama portu pāradresācija, piemēram, vienādranga lietojumprogrammas, spēļu serverus un daudzas VoIP programmas, iespējams, jums būs labāk pilnībā atspējot UPnP. Smagi šo lietojumprogrammu lietotāji vēlēsies apsvērt, vai viņi ir gatavi atteikties no zināmas drošības ērtības. Jūs joprojām varat pārsūtīt ostas bez UPnP; tas ir tikai nedaudz vairāk darba. Iepazīstieties ar mūsu ostas pāradresācijas rokasgrāmatu.
No otras puses, šie maršrutētāja trūkumi navtiek aktīvi izmantoti savvaļā, tāpēc reālā iespēja, ka jūs saskaraties ar ļaunprātīgu programmatūru, kas izmanto trūkumus maršrutētāja UPnP ieviešanā, ir diezgan zema. Daļa ļaunprātīgas programmatūras izmanto UPnP, lai pārsūtītu ostas (piemēram, Conficker tārps), taču es neesmu saskāries ar kādu ļaunprātīgas programmatūras piemēru, kas izmanto šos maršrutētāja trūkumus.
Kā es to atspējoju? Ja maršrutētājs atbalsta UPnP, tā tīmekļa saskarnē atradīsit iespēju to atspējot. Plašāku informāciju skatiet maršrutētāja rokasgrāmatā.
Vai nepiekrītat UPnP drošībai? Atstājiet savu komentāru!
