Miljoenen switches, routers en firewalls zijn mogelijk kwetsbaar voor kaping en onderschepping, nadat het Amerikaanse beveiligingsbedrijf Rapid7 een serieus probleem ontdekte met de configuratie van deze apparaten.
Het probleem - dat zowel thuis- als zakelijke gebruikers treft - is te vinden in de NAT-PMP-instellingen die worden gebruikt om externe netwerken te laten communiceren met apparaten die op een lokaal netwerk werken.
In een kwetsbaarheidsadvies vond Rapid7 1, 2 miljoen apparaten die last hadden van verkeerd geconfigureerde NAT-PMP-instellingen, met 2, 5% kwetsbaar voor een aanvaller die intern verkeer onderschepte, 88% voor een aanvaller die uitgaand verkeer onderschepte, en 88% voor een denial-of-service-aanval als een gevolg van dit beveiligingslek.
Benieuwd wat NAT-PMP is en hoe u uzelf kunt beschermen? Lees verder voor meer informatie.
Wat is NAT-PMP en waarom is het nuttig?
Er zijn twee soorten IP-adressen in de wereld. De eerste is interne IP-adressen. Deze apparaten identificeren op unieke wijze een netwerk en zorgen ervoor dat apparaten binnen een LAN met elkaar kunnen communiceren. Deze zijn ook privé en alleen mensen op uw interne netwerk kunnen deze zien en ermee verbinding maken.
En dan hebben we openbare IP-adressen. Dit zijn een kernonderdeel van hoe het internet werkt en laten toe dat verschillende netwerken elkaar identificeren en met elkaar verbinden. Het probleem is dat er niet genoeg IPv4-adressen zijn (het dominante IP-adresseringssysteem - IPv6 heeft IPv6 nog niet vervangen IPv4: moet u om iets anders geven dan als gebruiker? [MakeUseOf Explains] IPv6 vs. IPv4 : Zou u als gebruiker iets moeten geven (of doen)? [MakeUseOf Explains] Meer recentelijk is er veel gesproken over overschakelen naar IPv6 en hoe dit veel voordelen zal brengen op het internet. Maar dit "nieuws" blijft zichzelf herhalen, want er is altijd wel een ... Lees meer) om rond te gaan. Vooral als we kijken naar de honderden miljoenen computers, tablets, telefoons en Internet Of Things Wat is het internet der dingen en hoe zal het onze toekomst beïnvloeden [MakeUseOf Explains] Wat is het internet der dingen en hoe zal het onze toekomst beïnvloeden [MakeUseOf Legt uit] Het lijkt erop dat er elke dag nieuwe buzzwords opduiken en uitsterven met elke dag die voorbijgaat, en "the Internet of Things" is toevallig een van de meer recente ideeën die ... Read More appliances floating about.
We moeten dus iets gebruiken dat Network Address Translation (NAT) wordt genoemd. Hierdoor gaat elk openbaar adres veel verder, omdat er een kan worden gekoppeld aan meerdere apparaten op een particulier netwerk.
Maar wat als we een dienst hebben - zoals een webserver Hoe kan ik een Apache-webserver opzetten in 3 eenvoudige stappen Hoe installeer ik een Apache-webserver in 3 eenvoudige stappen Wat de reden ook is, op een gegeven moment wilt u misschien een webserver gaan. Of u nu afstand op afstand wilt geven aan bepaalde pagina's of services, u wilt een community ... Lees meer of een bestandsserver Hoe u uw FreeNAS-server kunt instellen om overal toegang te krijgen tot uw bestanden Hoe u uw FreeNAS-server kunt instellen Overal toegang tot uw bestanden FreeNAS is een gratis, open source op BSD gebaseerd besturingssysteem dat van elke pc een keiharde bestandsserver maakt. Vandaag ga ik je door een eenvoudige installatie heen leiden, een eenvoudige bestandsshare opzetten, ... Lees meer - draaien op een netwerk dat we willen blootstellen aan het grotere internet? Daarvoor zouden we iets moeten gebruiken dat Network Address Translation - Port Mapping Protocol (NAT-PMP) wordt genoemd.
Deze open standaard werd rond 2005 door Apple gemaakt en was ontworpen om het proces van poortmapping veel eenvoudiger te maken. NAT-PNP is te vinden op een reeks apparaten, waaronder apparaten die niet noodzakelijkerwijs door Apple zijn gemaakt, zoals die geproduceerd door ZyXEL, Linksys en Netgear. Sommige routers die het niet native ondersteunen, kunnen ook toegang krijgen tot NAT-PMP via externe firmwares, zoals DD-WRT Wat is DD-WRT en hoe het uw router in een Super-Router kan maken Wat is DD-WRT En hoe het uw router in een super-router kan krijgen In dit artikel laat ik u enkele van de coolste functies van DD-WRT zien die, als u besluit om er gebruik van te maken, u in staat zullen stellen om uw eigen router te transformeren in de super-router van ... Read More, Tomato and OpenWRT.
Dus we snappen dat NAT-PMP belangrijk is. Maar hoe kan het kwetsbaar zijn?
Hoe de kwetsbaarheid werkt
De RFC die definieert hoe NAT-PMP werkt zegt dit:
De NAT-gateway MOET GEEN toewijzingsverzoeken accepteren die bestemd zijn voor het externe IP-adres van de NAT-gateway of worden ontvangen op de externe netwerkinterface. Alleen pakketten die worden ontvangen op de interne interface (s) met een bestemmingsadres dat overeenkomt met het interne adres (sen) van de NAT-gateway, moeten worden toegestaan.
Dus wat betekent dat? Kort gezegd betekent dit dat apparaten die zich niet op het lokale netwerk bevinden, geen regels voor de router mogen maken. Lijkt redelijk, toch?
Het probleem ontstaat wanneer routers deze waardevolle regel negeren. Die, naar het schijnt, 1, 2 miljoen van hen doen.
De gevolgen kunnen ernstig zijn. Zoals eerder vermeld, kan verkeer dat wordt verzonden van gecompromitteerde routers worden onderschept, wat mogelijk kan leiden tot gegevenslekken en identiteitsdiefstal. Dus, hoe repareer je het?
Welke apparaten worden getroffen?
Dit is een moeilijke vraag om te beantwoorden. Rapid7 heeft niet kunnen bewijzen welke routers zijn getroffen. Uit de kwetsbaarheidsbeoordeling:
Tijdens de eerste ontdekking van dit beveiligingslek en als onderdeel van het openbaarmakingsproces, probeerde Rapid7 Labs vast te stellen welke specifieke producten die NAT-PMP ondersteunen kwetsbaar waren, maar deze inspanning leverde geen bijzonder nuttige resultaten op. ... vanwege de technische en juridische complexiteit die gepaard gaat met het blootleggen van de ware identiteit van apparaten op het openbare internet, is het heel goed mogelijk, misschien zelfs waarschijnlijk, dat deze kwetsbaarheden aanwezig zijn in populaire producten in standaard of ondersteunde configuraties.
Dus je moet zelf een beetje graven. Dit is wat je moet doen.
Hoe kom ik erachter of ik er last van heb?
Eerst moet u zich aanmelden bij uw router en naar uw configuratie-instellingen kijken via de webinterface. Aangezien er honderden verschillende routers zijn, elk met radicaal verschillende webinterfaces, is het geven van apparaatspecifieke adviezen hier bijna onmogelijk.
De essentie is echter vrijwel hetzelfde op de meeste apparaten voor thuisnetwerken. Allereerst moet u via uw webbrowser inloggen op het administratiepaneel van uw apparaat. Raadpleeg uw gebruikershandleiding, maar Linksys-routers kunnen meestal worden bereikt vanaf 192.168.1.1, wat hun standaard IP-adres is. Op dezelfde manier gebruiken D-Link en Netgear 192.168.0.1 en Belkin gebruikt 192.168.2.1.
Als je het nog steeds niet zeker weet, kun je het vinden via je opdrachtregel. Voer in OS X:
route -n wordt standaard
De 'Gateway' is uw router. Als je een moderne Linux-distro gebruikt, probeer dan het volgende:
ip route show
Open in Windows de opdrachtprompt De Windows-opdrachtprompt: eenvoudiger en beter bruikbaar dan u denkt De Windows-opdrachtprompt: eenvoudiger en beter bruikbaar dan u denkt De opdrachten zijn niet altijd hetzelfde gebleven, sommige zijn zelfs vernield terwijl andere nieuwere commando's kwamen langs, zelfs met Windows 7 in feite. Dus waarom zou iemand de moeite nemen om op de start te klikken ... Lees meer en voer in:
ipconfig
Nogmaals, het IP-adres voor de 'Gateway' is degene die u zoekt.
Zodra je toegang hebt gekregen tot het administratiepaneel van je router, kun je een kijkje nemen in je instellingen totdat je de instellingen vindt die te maken hebben met Network Address Translation. Als u iets ziet dat iets zegt als 'NAT-PMP toestaan op niet-vertrouwde netwerkinterfaces', schakelt u het uit.
Rapid7 heeft ook het Computer Emergency Response Team Cordination Center (CERT / CC) gekregen om de lijst met kwetsbare apparaten te verkleinen, met als doel samen te werken met apparaatfabrikanten om een oplossing te geven.
Zelfs routers kunnen beveiligingslekken zijn
We nemen de beveiliging van onze netwerkuitrusting vaak als vanzelfsprekend. En toch laat dit beveiligingslek zien dat de beveiliging van de apparaten die we gebruiken om verbinding met internet te maken geen zekerheid is.
Zoals altijd, zou ik graag uw mening horen over dit onderwerp. Laat me weten wat je denkt in het opmerkingenveld hieronder.