Az UPnP biztonsági kockázat?

Az UPnP alapértelmezés szerint sok új útválasztón engedélyezett. Az FBI és más biztonsági szakértők egy ponton az UPnP letiltását ajánlották biztonsági okokból. De mennyire biztonságos ma az UPnP? Kereskedünk a biztonság kedvéért az UPnP használatakor?

Az UPnP az „Universal Plug and Play” rövidítést jelenti. Az UPnP használatával egy alkalmazás automatikusan továbbíthat egy portot az útválasztón, ezzel megtakarítva a portok továbbításának manuális gondját. Megvizsgáljuk, hogy az emberek miért javasolják az UPnP letiltását, így világos képet kaphatunk a biztonsági kockázatokról.

Kép jóváírás: comedy_nose a Flickr-en

A hálózaton lévő rosszindulatú programok használhatják az UPnP-t

Egy vírus, trójai faló, féreg vagy más rosszindulatú program, amely képes megfertőzni a számítógépet a helyi hálózaton, ugyanúgy használhatja az UPnP-t, mint a törvényes programok. Míg egy útválasztó általában blokkolja a bejövő kapcsolatokat, megakadályozva bizonyos rosszindulatú hozzáféréseket, az UPnP lehetővé teheti egy rosszindulatú program számára a tűzfal teljes megkerülését. Például egy trójai faló telepíthet egy távvezérlő programot a számítógépére, és lyukat nyithat számára az útválasztó tűzfala között, lehetővé téve a nap 24 órájában, az internetről a számítógéphez való hozzáférést. Ha az UPnP-t letiltották, a program nem tudta megnyitni a portot - bár más módon megkerülhette a tűzfalat, és telefonon hazament.

Ez probléma? Igen. Ezt nem lehet megkerülni - az UPnP feltételezi, hogy a helyi programok megbízhatóak, és lehetővé teszi számukra a portok továbbítását. Ha fontos, hogy a rosszindulatú program nem tud portokat továbbítani, akkor le kell tiltania az UPnP-t.

Az FBI arra szólította az embereket, hogy kapcsolják ki az UPnP-t

2001 végén az FBI Nemzeti Infrastruktúra Védelmi Központja azt tanácsolta az összes felhasználónak, hogy tiltsa le az UPnP-t a Windows XP puffertúlcsordulása miatt. Ezt a hibát egy biztonsági javítás javította. A NIPC később később korrekciót adott ki erre a tanácsra, miután rájöttek, hogy a probléma nem magában az UPnP-ben van. (Forrás)

Ez probléma? Nem. Bár egyesek talán emlékeznek a NIPC tanácsadására és negatívan vélekednek az UPnP-ről, ez a tanács akkor téves volt, és a konkrét problémát több mint tíz évvel ezelőtt javította a Windows XP javítása.

Kép hitel: Carsten Lorentzen a Flickr-en

A Flash UPnP támadás

Az UPnP nem igényel semmiféle hitelesítést a felhasználótól. A számítógépén futó bármely alkalmazás megkérheti az útválasztót, hogy továbbítson egy portot az UPnP-n keresztül, ezért a fenti rosszindulatú programok visszaélhetnek az UPnP-vel. Feltételezheti, hogy biztonságban van, amíg egyetlen rosszindulatú program sem fut egyetlen helyi eszközön sem - de valószínűleg téved.

A Flash UPnP Attack-et 2008-ban fedezték fel. Egy speciálisan kialakított Flash-kisalkalmazás, amely egy weblapon fut a böngészőjében, UPnP-kérést küldhet az útválasztójának, és portok továbbítására kérheti. Például az applet megkérheti az útválasztót, hogy továbbítsa az 1-65535-ös portot a számítógépére, és így az egész internetnek kitegye. A támadónak azonban ezt követően ki kell használnia a számítógépén futó hálózati szolgáltatás sebezhetőségét - a tűzfal használata a számítógépén segít megvédeni Önt.

Sajnos egyre rosszabbá válik - egyes útválasztókon a Flash kisalkalmazások UPnP kéréssel megváltoztathatják az elsődleges DNS-kiszolgálót. A legkevesebb aggodalomra ad okot a porttovábbítás - egy rosszindulatú DNS-szerver átirányíthatja a forgalmat más webhelyekre. Például a Facebook.com-ot teljesen egy másik IP-címre irányíthatja - a webböngésző címsora azt mondaná, hogy a Facebook.com, de Ön egy rosszindulatú szervezet által létrehozott webhelyet használna.

Ez probléma? Igen. Nem találok semmiféle utalást arra, hogy ez valaha is javult volna. Még ha javítva is lenne (ez nehéz lenne, mivel ez maga az UPnP protokoll problémája), sok régebbi, még mindig használt router sebezhető.

Rossz UPnP implementációk az útválasztókon

Az UPnP Hacks webhely részletes listát tartalmaz a biztonsági problémákról abban, ahogyan a különböző útválasztók megvalósítják az UPnP-t. Ezek nem feltétlenül magával az UPnP-vel kapcsolatos problémák; gyakran az UPnP megvalósításával kapcsolatos problémák. Például sok router UPnP implementációja nem ellenőrzi megfelelően a bemenetet. Egy rosszindulatú alkalmazás megkérheti az útválasztót, hogy irányítsa át a hálózati forgalmat az internet távoli IP-címeire (a helyi IP-címek helyett), és az útválasztó megfelel. Néhány Linux-alapú útválasztón az UPnP kihasználható parancsok futtatására az útválasztón. (Forrás) A webhely sok más ilyen problémát sorol fel.

Ez probléma? Igen! A vadonban élő routerek milliói sebezhetőek. Számos útválasztó-gyártó nem végzett jó munkát az UPnP-implementációk biztosításában.

Kép jóváírása: Ben Mason a Flickr-en

Letiltja az UPnP-t?

Amikor elkezdtem írni ezt a bejegyzést, arra számítottam, hogy az UPnP hibái meglehetősen csekélyek, egyszerű kérdés, hogy bizonyos kényelem érdekében kereskedjünk egy kis biztonsággal. Sajnos úgy tűnik, hogy az UPnP-nek sok problémája van. Ha nem használ port átirányítást igénylő alkalmazásokat, mint például peer-to-peer alkalmazások, játékkiszolgálók és sok VoIP-program, akkor jobb, ha teljesen letiltja az UPnP-t. Ezen alkalmazások nagy felhasználói meg akarják fontolni, hogy készek-e lemondani a biztonságról a kényelem érdekében. A portokat továbbra is továbbíthatja UPnP nélkül; ez csak egy kicsit több munka. Nézze meg a kikötői továbbítás útmutatót.

Másrészt ezeket az útválasztó hibákat nem használják aktívan a vadonban, ezért a tényleges esély, hogy rosszindulatú szoftverekkel találkozik, amelyek kihasználják az útválasztó UPnP megvalósításának hibáit, meglehetősen alacsony. Egyes rosszindulatú programok az UPnP-t használják portok továbbítására (például a Conficker féreg), de még nem találkoztam példával arra, hogy egy rosszindulatú program kihasználná ezeket az útválasztó hibáit.

Hogyan tilthatom le? Ha az útválasztó támogatja az UPnP-t, a webes felületén talál egy lehetőséget a letiltására. További információt az útválasztó kézikönyvében talál.

Nem ért egyet az UPnP biztonságával kapcsolatban? Szólj hozzá!