UPnP включается по умолчанию на многих новых маршрутизаторах. В какой-то момент ФБР и другие эксперты по безопасности рекомендовали отключить UPnP по соображениям безопасности. Но насколько безопасен UPnP сегодня? Мы торгуем безопасностью для удобства при использовании UPnP?
UPnP означает «Универсальный Plug and Play». Используя UPnP, приложение может автоматически переадресовывать порт на вашем маршрутизаторе, избавляя вас от хлопот переадресации портов вручную . Мы рассмотрим причины, по которым люди рекомендуют отключать UPnP, чтобы мы могли получить четкое представление о рисках безопасности.
Изображение предоставлено: comedy_nose на Flickr
Вредоносные программы в вашей сети могут использовать UPnP
Вирус, троянский конь, червь или другая вредоносная программа, которой удается заразить компьютер в локальной сети, может использовать UPnP, как и легальные программы. Хотя маршрутизатор обычно блокирует входящие соединения, предотвращая некоторый злонамеренный доступ, UPnP может позволить вредоносной программе полностью обойти брандмауэр. Например, троянский конь может установить программу удаленного управления на вашем компьютере и открыть для нее дыру в брандмауэре вашего маршрутизатора , обеспечивая круглосуточный доступ к вашему компьютеру из Интернета. Если UPnP был отключен, программа не смогла бы открыть порт — хотя она могла обойти брандмауэр другими способами и позвонить домой.
Это проблема? Да. Обойти это невозможно — UPnP предполагает, что локальные программы заслуживают доверия, и позволяет им перенаправлять порты. Если для вас важно, что вредоносное ПО не может переадресовывать порты, вам нужно отключить UPnP.
ФБР приказало людям отключить UPnP
В конце 2001 года Национальный центр защиты инфраструктуры ФБР рекомендовал всем пользователям отключать UPnP из-за переполнения буфера в Windows XP. Эта ошибка была исправлена патчем безопасности. NIPC фактически выпустил исправление для этого совета позже, после того, как они поняли, что проблема не в самой UPnP. ( Источник )
Это проблема? Нет. Хотя некоторые люди могут помнить рекомендации NIPC и негативно относиться к UPnP, в то время этот совет был ошибочным, и конкретная проблема была исправлена патчем для Windows XP более десяти лет назад.
Изображение предоставлено: Carsten Lorentzen на Flickr
Вспышка UPnP Атака
UPnP не требует какой-либо аутентификации от пользователя. Любое приложение, работающее на вашем компьютере, может попросить маршрутизатор перенаправить порт через UPnP, поэтому вредоносная программа, описанная выше, может злоупотреблять UPnP. Вы можете предположить, что вы в безопасности, если на локальных устройствах не запущено вредоносное ПО, но вы, вероятно, ошибаетесь.
Атака Flash UPnP была обнаружена в 2008 году. Специально созданный апплет Flash, работающий на веб-странице в вашем веб-браузере, может отправлять запрос UPnP на ваш маршрутизатор и запрашивать переадресацию портов. Например, апплет может попросить маршрутизатор перенаправить порты 1-65535 на ваш компьютер, эффективно открывая его всему Интернету. После этого злоумышленнику придется использовать уязвимость в сетевой службе, работающей на вашем компьютере, — использование брандмауэра на вашем компьютере защитит вас.
К сожалению, это ухудшается — на некоторых маршрутизаторах апплет Flash может изменить основной DNS-сервер с помощью запроса UPnP. Переадресация портов будет наименьшим количеством ваших забот — злонамеренный DNS-сервер может перенаправлять трафик на другие сайты. Например, он может указать Facebook.com на другой IP-адрес целиком — в адресной строке вашего веб-браузера будет указано Facebook.com, но вы будете использовать веб-сайт, созданный вредоносной организацией.
Это проблема? Да. Я не могу найти никаких признаков того, что это когда-либо было исправлено. Даже если бы это было исправлено (это было бы трудно, так как это проблема с самим протоколом UPnP), многие старые маршрутизаторы, которые все еще используются, были бы уязвимы.
Плохие реализации UPnP на маршрутизаторах
Веб-сайт UPnP Hacks содержит подробный список проблем безопасности в том, как различные маршрутизаторы реализуют UPnP. Это не обязательно проблемы с самим UPnP; часто возникают проблемы с реализациями UPnP. Например, реализации UPnP многих маршрутизаторов не проверяют ввод правильно. Вредоносное приложение может попросить маршрутизатор перенаправить сетевой трафик на удаленные IP-адреса в Интернете (вместо локальных IP-адресов), и маршрутизатор будет соответствовать. На некоторых Linux-маршрутизаторах можно использовать UPnP для запуска команд на маршрутизаторе. ( Источник ) На сайте перечислено много других подобных проблем.
Это проблема? Да! Миллионы маршрутизаторов в дикой природе уязвимы. Многие производители маршрутизаторов не очень хорошо защитили свои реализации UPnP.
Изображение предоставлено: Бен Мейсон на Flickr
Вы должны отключить UPnP?
Когда я начал писать этот пост, я ожидал заключить, что недостатки UPnP были довольно незначительными, простой вопрос торговли небольшим количеством безопасности для некоторого удобства. К сожалению, кажется, что у UPnP много проблем. Если вы не используете приложения, для которых требуется переадресация портов, например одноранговые приложения, игровые серверы и многие программы VoIP, возможно, лучше отключить UPnP полностью. Тяжелые пользователи этих приложений захотят подумать, готовы ли они отказаться от некоторой безопасности для удобства. Вы все еще можете пересылать порты без UPnP; это просто немного больше работы. Ознакомьтесь с нашим руководством по переадресации портов .
С другой стороны, эти недостатки маршрутизатора активно не используются в дикой природе, поэтому реальная вероятность того, что вы столкнетесь с вредоносным программным обеспечением, использующим недостатки в реализации UPnP вашего маршрутизатора, довольно низка. Некоторые вредоносные программы используют UPnP для переадресации портов (например, червь Conficker), но я не сталкивался с примером вредоносного ПО, использующего эти недостатки маршрутизатора.
Как мне это отключить? Если ваш маршрутизатор поддерживает UPnP, вы найдете возможность отключить его в своем веб-интерфейсе. Обратитесь к руководству вашего маршрутизатора для получения дополнительной информации.
Вы не согласны с безопасностью UPnP? Оставить комментарий!