Az UPnP az "Univerzális Plug and Play" kifejezés alatt áll. Az UPnP használatával az alkalmazás automatikusan átirányíthatja a portot az útválasztón, így Ön manuálisan továbbíthatja a portok továbbítását. Megnézzük azokat az okokat, amelyek miatt az emberek javasolják az UPnP letiltását, így egyértelmű képet kaphatunk a biztonsági kockázatokról.
Képhitel: comedy_nose a Flickr-en
A hálózaton található kártékony programok az UPnP-t használhatják
Egy vírus, trójai, féreg vagy más rosszindulatú program, amely képes megfertőzni egy számítógépet a helyi hálózaton, használhatja az UPnP-ot, akárcsak a legitim programok. Miközben a router általában blokkolja a bejövő kapcsolatokat, megakadályozva valamilyen rosszindulatú hozzáférést, az UPnP lehetővé teheti egy rosszindulatú program számára, hogy teljes egészében megkerülje a tűzfalat. Például egy trójai program telepíthet távvezérlő programot a számítógépére, és megnyithat egy lyukat az útválasztó tűzfalába, így 24/7-es hozzáférést biztosít a számítógépéhez az internetről. Ha az UPnP le van tiltva, akkor a program nem tudta megnyitni a portot - bár más módon megkerülheti a tűzfalat és telefonálhat otthon.
Ez probléma? Igen. Nincs ilyen megoldás - az UPnP feltételezi, hogy a helyi programok megbízhatóak és lehetővé teszik számukra a kikötők továbbítását. Ha az olyan portálok, amelyek nem képesek továbbítani a portokat, fontos az UPnP letiltása.
Az FBI tájékoztatta az embereket az UPnP letiltásáról
2001 vége felé az FBI Nemzeti Infrastruktúra Védelmi Központja tájékoztatta a felhasználókat az UPnP letiltásáról a Windows XP puffertúlcsordulása miatt. Ezt a hibát egy biztonsági javítás rögzítette. A NIPC később kijavította ezt a tanácsot, miután rájöttek, hogy a probléma nem az UPnP-ben volt. (Forrás)
Ez probléma? Nem. Míg egyesek emlékeznek a NIPC tanácsadójára, és negatív képet kaptak az UPnP-ről, ez a tanács tévedés volt az időben, és a konkrét problémát a Windows XP javításával tíz évvel ezelőtt javították.
A Flash UPnP támadás
Az UPnP nem igényel hitelesítést a felhasználótól. A számítógépen futó alkalmazások megkérhetik az útválasztótól, hogy továbbítson egy portot az UPnP felett, ezért a fenti rosszindulatú szoftverek a UPnP-et is visszaélhetnek. Feltételezheti, hogy biztonságban van, amennyiben nincsenek rosszindulatú programok bármely helyi eszközön - de valószínűleg hibás vagy.
A Flash UPnP Attack 2008-ban került felfedezésre. A webes böngészőn megjelenő weblapon futó, speciálisan kialakított Flash applet UPnP kérést küldhet az útválasztónak, és kérheti a portok továbbítását. Például az applet felkérheti az útválasztót, hogy továbbítsa az 1-65535 portokat a számítógépére, és hatékonyan tegye ki az egész internetre. A támadónak ezt követően kihasználnia kell a számítógépen futó hálózati szolgáltatás sérülékenységét, azonban - a számítógépén lévő tűzfal használata segít megvédeni Önt.
Sajnos rosszabbá válik - egyes útválasztókon a Flash-applet megváltoztathatja az elsődleges DNS-kiszolgálót UPnP-kéréssel. A port továbbítás a legkevésbé aggódna - a rosszindulatú DNS-kiszolgáló átirányíthatja a forgalmat más webhelyekre. Például a Facebook.com-ot egy másik IP-címre irányíthatja - a böngésző címsávja a Facebook.com-ot mondja, de egy rosszindulatú szervezet által létrehozott webhelyet használ.
Ez probléma? Igen. Nem találok semmiféle jelzést arra, hogy ezt valaha is rögzítették. Még akkor is, ha rögzített (ez nehéz lenne, mivel ez az UPnP protokoll problémája), sok régebbi útválasztó még mindig használatban lenne sebezhető.
Rossz UPnP implementációk routereken
Az UPnP Hacks weboldal részletes listát tartalmaz a biztonsági problémákról a különböző útválasztók UPnP implementálásának módjairól. Ezek nem feltétlenül problémák az UPnP-vel; ők gyakran problémákat okoznak az UPnP implementációkban. Például sok forgalomirányító UPnP implementációja nem ellenőrzi megfelelően a bemenetet. A rosszindulatú alkalmazás megkövetelheti egy útválasztótól, hogy átirányítsa a hálózatot a távoli IP-címekre az interneten (a helyi IP-címek helyett), és az útválasztó eleget tesz. Néhány Linux-alapú forgalomirányítónál lehetséges az UPnP kihasználása a routeren belüli parancsok futtatására. (Forrás) A weboldal sok más hasonló problémát sorol fel.
Ez probléma? Igen! A vadon élő útválasztók milliói veszélyeztetettek. Sok router gyártója nem tett jó munkát az UPnP implementációinak biztosításában.
Le kell tiltani az UPnP-t?
Amikor elkezdtem írni ezt a bejegyzést, arra számítottam, hogy az UPnP hibái meglehetősen kicsiek, egy egyszerű kérdés, hogy egy kis biztonságot kereskednek valamilyen kényelemért. Sajnos, úgy tűnik, hogy az UPnP-nek sok problémája van. Ha nem használ olyan alkalmazásokat, amelyek port továbbítást igényelnek, mint például a peer-to-peer alkalmazások, a játékszerverek és számos VoIP-program, előfordulhat, hogy teljesen kikapcsolja az UPnP szolgáltatást. Az ilyen alkalmazások nehezebb felhasználóinak meg kell fontolniuk, hogy készek-e arra, hogy feladják bizonyos biztonságot a kényelemért. Továbbra is továbbíthat portokat UPnP nélkül; ez csak egy kicsit több munka. Tekintse meg a port továbbítás útmutatóját.
Másrészt ezek a router hibák nem aktívan használják a vadonban, így a tényleges esélye, hogy találkozik a rosszindulatú szoftverek, amelyek kihasználják hibák az útválasztó UPnP végrehajtása meglehetősen alacsony. Néhány rosszindulatú program UPnP-t használ a portok továbbítására (pl. A Conficker féreg), de nem találtam példát egy olyan rosszindulatú programról, amely kihasználja ezeket a routerhibákat.
Hogyan lehet letiltani? Ha az útválasztó támogatja az UPnP-t, megtalálja azt a lehetőséget, hogy letiltja a webes felületen. További információkért forduljon az útválasztó kézikönyvéhez.
Nem ért egyet az UPnP biztonságával kapcsolatban? Szólj hozzá!