Чи є UPnP ризиком безпеки?

UPnP запускається за умовчанням у багатьох нових маршрутизаторах. В один момент ФБР та інші експерти з безпеки рекомендували відключити UPnP з міркувань безпеки. Але наскільки безпечно сьогодні UPnP? Ми торгуємо безпекою для зручності при використанні UPnP?

UPnP означає "Universal Plug and Play". За допомогою UPnP програма може автоматично перенаправляти порт на маршрутизаторі, заощаджуючи вручну перенаправлення портів. Ми розглянемо причини, чому люди рекомендують відключити UPnP, щоб ми могли отримати чітку картину ризиків безпеки.

Кредит зображення: comedy_nose на Flickr

Зловмисне програмне забезпечення на вашій мережі може використовувати UPnP

Вірус, троянський кінь, черв'як або інша шкідлива програма, яка вдається заразити комп'ютер у вашій локальній мережі, може використовувати UPnP, як і законні програми. Хоча маршрутизатор зазвичай блокує вхідні з'єднання, запобігаючи деяким зловмисним доступом, UPnP може дозволити зловмисній програмі повністю обійти брандмауер. Наприклад, троянський кінь може встановити на вашому комп'ютері програму дистанційного керування і відкрити для неї отвір у брандмауері маршрутизатора, дозволяючи 24/7 доступ до вашого комп'ютера з Інтернету. Якщо UPnP було вимкнено, програма не могла відкрити порт - хоча він міг би обходити брандмауер іншими способами і телефонувати додому.

Це проблема? Так. У цьому немає ніяких змін - UPnP припускає, що локальні програми є надійними і дозволяють їм переадресовувати порти. Якщо зловмисне програмне забезпечення не в змозі перенаправити порти, то для вас важливо вимкнути UPnP.

ФБР сказав людям відключити UPnP

Наприкінці 2001 року Національний центр захисту інфраструктури ФБР порадив всім користувачам вимкнути UPnP через переповнення буфера в Windows XP. Цю помилку виправлено патчем безпеки. NIPC фактично видав виправлення для цієї поради пізніше, після того як вони зрозуміли, що проблема не в самому UPnP. (Джерело)

Це проблема? Ні. Хоча деякі люди пам'ятають рекомендації NIPC і мають негативний погляд на UPnP, ця порада була помилковою, і конкретна проблема була виправлена ​​патчем для Windows XP більше десяти років тому.

Зображення: Карстен Лоренцен на Flickr

Атака Flash UPnP

UPnP не вимагає автентифікації користувача. Будь-яка програма, запущена на вашому комп'ютері, може попросити маршрутизатор переслати порт через UPnP, тому зловмисне програмне забезпечення вище може зловживати UPnP. Можна припустити, що ви захищені, поки жодна з шкідливих програм не працює на локальних пристроях - але ви, мабуть, помиляєтеся.

Атака Flash UPnP була виявлена ​​в 2008 році. Спеціально створений Flash-аплет, запущений на веб-сторінці у вашому веб-браузері, може надіслати запит UPnP вашому маршрутизатору і попросити його перенаправити порти. Наприклад, аплет може попросити маршрутизатор перенаправити порти 1-65535 на ваш комп'ютер, ефективно піддаючи його всім Інтернетом. Зловмисник повинен скористатися цією вразливістю в мережній службі, яка працює на вашому комп'ютері, хоча - використання брандмауера на вашому комп'ютері допоможе захистити вас.

На жаль, все гірше - на деяких маршрутизаторах Flash-аплет міг змінити основний DNS-сервер за допомогою UPnP-запиту. Переадресація портів буде найменшою з ваших турбот - шкідливий DNS-сервер може перенаправляти трафік на інші веб-сайти. Наприклад, це може вказувати Facebook.com на іншу IP-адресу цілком - адресний рядок веб-переглядача скаже Facebook.com, але ви використовуєте веб-сайт, створений шкідливою організацією.

Це проблема? Так. Я не можу знайти жодних ознак того, що це коли-небудь було виправлено. Навіть якщо це було виправлено (це було б важко, оскільки це проблема з протоколом UPnP), багато старих маршрутизаторів, які ще використовуються, були б уразливими.

Погана реалізація UPnP на маршрутизаторах

Веб-сайт UPnP Hacks містить докладний перелік проблем безпеки, як різні маршрутизатори виконують UPnP. Це не обов'язково проблеми з самим UPnP; вони часто мають проблеми з реалізаціями UPnP. Наприклад, багато реалізацій UPnP маршрутизаторів не перевіряють вхід належним чином. Зловмисне додаток може попросити маршрутизатор перенаправити мережу на віддалені IP-адреси в Інтернеті (замість локальних IP-адрес), і маршрутизатор буде відповідати. На деяких Linux-маршрутизаторах можна використовувати UPnP для запуску команд на маршрутизаторі. (Джерело) На веб-сайті наведено багато інших таких проблем.

Це проблема? Так! Мільйони маршрутизаторів в дикій природі є вразливими. Багато виробників маршрутизаторів не виконали хорошу роботу із забезпечення своїх реалізацій UPnP.

Кредит на зображення: Бен Мейсон на Flickr

Якщо вимкнути UPnP?

Коли я почав писати цю посаду, я очікував, що я зможу зробити висновок, що недоліки UPnP були досить незначними, простим питанням торгівлі трохи безпеки для зручності. На жаль, UPnP має багато проблем. Якщо ви не використовуєте програми, які потребують переадресації портів, такі як peer-to-peer програми, ігрові сервери та багато VoIP-програм, краще вимкнути UPnP повністю. Важкі користувачі цих програм хочуть розглянути, чи готові вони відмовитися від певної безпеки для зручності. Ви можете переадресовувати порти без UPnP; це трохи більше роботи. Перегляньте наш посібник з перенаправлення портів.

З іншого боку, ці недоліки маршрутизатора не використовуються активно в дикій природі, тому фактична ймовірність того, що ви зіткнетеся з шкідливим програмним забезпеченням, яке використовує недоліки в реалізації UPnP вашого маршрутизатора, досить низькі. Деякі зловмисні програми використовують UPnP для пересилання портів (наприклад, черв'як Conficker), але я не стикався з прикладом зловмисного програмного забезпечення, яке б використовувало ці вади маршрутизатора.

Як вимкнути його? Якщо ваш маршрутизатор підтримує UPnP, ви знайдете можливість вимкнути його у своєму веб-інтерфейсі. Для отримання додаткової інформації зверніться до посібника вашого маршрутизатора.

Ви не згодні з безпекою UPnP? Залишити коментар!