1,2 miljoen routers kunnen worden gekaapt. Is de jouwe er een van?

Advertentie

Miljoenen switches, routers en firewalls zijn mogelijk kwetsbaar voor kaping en onderschepping, na een Amerikaans beveiligingsbedrijf Rapid7 ontdekte een ernstig probleem met hoe deze apparaten zijn geconfigureerd.

Het probleem - dat zowel thuis- als zakelijke gebruikers treft - ligt in de NAT-PMP-instellingen die worden gebruikt om externe netwerken te laten communiceren met apparaten die op een lokaal netwerk werken.

In een advies over kwetsbaarheden vond Rapid7 1,2 miljoen apparaten die lijden aan verkeerd geconfigureerde NAT-PMP-instellingen, met 2,5% kwetsbaar voor een aanvaller intern verkeer onderscheppen, 88% naar een aanvaller die uitgaand verkeer onderschept, en 88% naar een denial of service-aanval als gevolg hiervan kwetsbaarheid.

Benieuwd naar wat NAT-PMP is en hoe u uzelf kunt beschermen? Lees verder voor meer informatie.

Wat is NAT-PMP en waarom is het nuttig?

Er zijn twee soorten IP-adressen in de wereld. De eerste zijn interne IP-adressen. Hiermee worden apparaten op een unieke manier geïdentificeerd in een netwerk en kunnen apparaten binnen een LAN met elkaar communiceren. Deze zijn ook privé en alleen mensen in uw interne netwerk kunnen ze zien en er verbinding mee maken.

En dan hebben we openbare IP-adressen. Deze vormen een kernonderdeel van hoe internet werkt en zorgen ervoor dat verschillende netwerken elkaar kunnen identificeren en met elkaar kunnen verbinden. Het probleem is daar zijn niet genoeg IPv4 adressen (het dominante IP-adressysteem - IPv6 heeft het nog niet vervangen IPv6 vs. IPv4: moet u zich zorgen maken (of iets doen) als gebruiker? [MakeUseOf Explains]Meer recentelijk is er veel gepraat over het overschakelen naar IPv6 en hoe dit veel voordelen voor internet zal opleveren. Maar dit 'nieuws' blijft zich herhalen, omdat er altijd af en toe een ... Lees verder ) rondgaan. Zeker als we kijken naar de honderden miljoenen computers, tablets, telefoons en Internet van dingen Wat is het internet der dingen?Wat is het internet der dingen? Hier is alles wat u moet weten, waarom het zo spannend is, en enkele risico's. Lees verder apparaten zweven rond.

Dus we moeten iets gebruiken dat heet Network Address Translation (NAT). Hierdoor gaat elk openbaar adres veel verder, omdat het kan worden gekoppeld aan meerdere apparaten op een particulier netwerk.

Maar wat als we een dienst hebben - zoals een web Server Hoe u een Apache-webserver instelt in 3 eenvoudige stappenWat de reden ook is, misschien wilt u op een gegeven moment een webserver aan de gang krijgen. Of je jezelf nu op afstand toegang wilt geven tot bepaalde pagina's of services, je wilt een community krijgen ... Lees verder of een bestanden server Hoe u uw FreeNAS-server kunt instellen om overal toegang tot uw bestanden te krijgenFreeNAS is een gratis, open source op BSD gebaseerd besturingssysteem dat van elke pc een solide bestandsserver kan maken. Vandaag ga ik je door een basisinstallatie leiden, een eenvoudige bestandsshare opzetten, ... Lees verder - draait op een netwerk dat we willen blootstellen aan het grotere internet? Daarvoor hebben we iets nodig dat heet Network Address Translation - Port Mapping Protocol (NAT-PMP).

Deze open standaard is rond 2005 door Apple gemaakt en is ontworpen om het proces van poorttoewijzing veel gemakkelijker te maken. NAT-PNP is te vinden op een reeks apparaten, waaronder apparaten die niet noodzakelijkerwijs door Apple zijn gemaakt, zoals apparaten geproduceerd door ZyXEL, Linksys en Netgear. Sommige routers die het systeem niet standaard ondersteunen, kunnen ook toegang krijgen tot NAT-PMP via firmwares van derden, zoals DD-WRT Wat is DD-WRT en hoe kan het van uw router een superrouter maken?In dit artikel laat ik je enkele van de coolste functies van DD-WRT zien waarmee je, als je besluit er gebruik van te maken, je eigen router kunt transformeren in de superrouter van ... Lees verder , Tomaat en OpenWRT.

We begrijpen dus dat NAT-PMP belangrijk is. Maar hoe kan het kwetsbaar zijn?

Hoe het beveiligingslek werkt

De RFC die bepaalt hoe NAT-PMP werkt zegt dit:

De NAT-gateway MAG GEEN toewijzingsverzoeken accepteren die bestemd zijn voor het externe IP-adres van de NAT-gateway of worden ontvangen op de externe netwerkinterface. Alleen pakketten die zijn ontvangen op de interne interface (s) met een bestemmingsadres dat overeenkomt met de interne adressen van de NAT-gateway, moeten worden toegestaan.

Dus wat betekent dat? Kort gezegd betekent dit dat apparaten die zich niet op het lokale netwerk bevinden, geen regels voor de router mogen maken. Lijkt redelijk, toch?

Het probleem doet zich voor wanneer routers deze waardevolle regel negeren. Wat blijkbaar 1,2 miljoen van hen zijn.

De gevolgen kunnen ernstig zijn. Zoals eerder vermeld, kan verkeer dat afkomstig is van gecompromitteerde routers worden onderschept, wat mogelijk kan leiden tot datalekken en identiteitsdiefstal. Dus, hoe repareer je het?

Welke apparaten worden getroffen?

Dit is een moeilijke vraag om te beantwoorden. Rapid7 is niet in staat geweest om definitief te bewijzen welke routers zijn getroffen. Uit de kwetsbaarheidsbeoordeling:

Tijdens de eerste ontdekking van dit beveiligingslek en als onderdeel van het openbaarmakingsproces, probeerde Rapid7 Labs dit te doen vaststellen welke specifieke producten die NAT-PMP ondersteunen kwetsbaar waren, maar die inspanning leverde niet bijzonder veel op resultaten.... vanwege de technische en juridische complexiteit die betrokken is bij het achterhalen van de ware identiteit van apparaten op het openbare internet, is dat zo heel goed mogelijk, misschien zelfs waarschijnlijk, dat deze kwetsbaarheden standaard aanwezig of ondersteund zijn in populaire producten configuraties.

Dus je moet zelf een beetje graven. Dit is wat je moet doen.

Hoe kom ik erachter dat ik getroffen ben?

Eerst moet u inloggen op uw router en uw configuratie-instellingen bekijken via de webinterface. Aangezien er honderden verschillende routers zijn, elk met radicaal verschillende webinterfaces, is het geven van apparaatspecifiek advies hier bijna onmogelijk.

De essentie is echter vrijwel hetzelfde op de meeste apparaten voor thuisnetwerken. Ten eerste moet u zich via uw webbrowser aanmelden bij het beheerpaneel van uw apparaat. Controleer uw gebruikershandleiding, maar Linksys-routers zijn meestal bereikbaar vanaf 192.168.1.1, wat hun standaard IP-adres is. Evenzo gebruiken D-Link en Netgear 192.168.0.1 en Belkin gebruikt 192.168.2.1.

Als je het nog steeds niet zeker weet, kun je het vinden via je opdrachtregel. Voer op OS X uit:

route -n krijg standaard

De ‘Gateway’ is uw router. Als je een moderne Linux-distro gebruikt, probeer dan:

ip route tonen

Open in Windows de Opdrachtprompt De Windows-opdrachtprompt: eenvoudiger en nuttiger dan u denktDe commando's zijn niet altijd hetzelfde gebleven, sommige zijn zelfs weggegooid terwijl andere nieuwere commando's kwamen, zelfs met Windows 7 in feite. Dus waarom zou iemand de moeite willen nemen om op de start te klikken ... Lees verder en voer in:

ipconfig

Nogmaals, het IP-adres voor de ‘Gateway’ is het adres dat u zoekt.

Zodra je toegang hebt gekregen tot het beheerderspaneel van je router, kun je in je instellingen rondneuzen totdat je degene vindt die betrekking hebben op Network Address Translation. Als je iets ziet dat zoiets zegt als ‘NAT-PMP toestaan ​​op niet-vertrouwde netwerkinterfaces’, schakel het dan uit.

Rapid7 heeft ook het Computer Emergency Response Team Cordination Center (CERT / CC) zover gekregen dat het zich gaat versmallen onderaan de lijst met apparaten die kwetsbaar zijn, met als doel om samen te werken met apparaatfabrikanten om een repareren.

Zelfs routers kunnen beveiligingsproblemen zijn

We nemen de beveiliging van onze netwerkapparatuur vaak als vanzelfsprekend aan. En toch laat dit beveiligingslek zien dat de beveiliging van de apparaten die we gebruiken om verbinding te maken met internet geen zekerheid is.

Zoals altijd hoor ik graag uw mening over dit onderwerp. Laat me weten wat je denkt in het opmerkingenveld hieronder.