UPnP означава "Универсален Plug and Play". С помощта на UPnP приложението автоматично може да препраща порт на вашия маршрутизатор, като ви спестява ръката на пренасочващите портове ръчно. Ще разгледаме причините, поради които хората препоръчват да се деактивира UPnP, за да можем да получим ясна представа за рисковете за сигурността.
Image Credit: comedy_nose на Flickr
Malware в мрежата ви може да използва UPnP
Вирус, троянски кон, червей или друга злонамерена програма, която успее да зарази компютър в локалната ви мрежа, може да използва UPnP, също както и законните програми. Докато маршрутизаторът нормално блокира входящите връзки, предотвратявайки злонамерен достъп, UPnP може да позволи злонамерена програма да заобиколи напълно защитната стена. Например, троянски кон може да инсталира програма за дистанционно управление на компютъра ви и да отвори дупка за него в защитната стена на маршрутизатора ви, като ви позволява да влизате 24 часа на ден в компютъра си от Интернет. Ако UPnP са били деактивирани, програмата не може да отвори порта - макар че може да заобиколи защитната стена по друг начин и телефонът да е вкъщи.
Това е проблем? Да. Не може да се получи около това - UPnP приема, че локалните програми са надеждни и им позволява да препращат пристанища. Ако злонамереният софтуер не може да препраща портове, е важно за вас, вие ще искате да деактивирате UPnP.
ФБР каза на хората да деактивират UPnP
В края на 2001 г. Националният център за защита на инфраструктурата на ФБР съветва всички потребители да изключат UPnP поради препълване на буфер в Windows XP. Този програмен проблем е отстранен от защитен пакет. NIPC всъщност издаде поправка за този съвет по-късно, след като разбраха, че проблемът не е в самия UPnP. (Източник)
Това е проблем? Не. Докато някои хора могат да помнят консултациите на NIPC и да имат отрицателен поглед върху UPnP, този съвет е бил заблуден по това време и конкретният проблем е бил коригиран от кръпка за Windows XP преди повече от десет години.
Флаш UPnP атака
UPnP не изисква никакъв вид удостоверяване от потребителя. Всяко приложение, работещо на вашия компютър, може да поиска от рутера да препрати порт през UPnP, поради което горният злонамерен софтуер може да злоупотреби с UPnP. Може да приемете, че сте сигурни, докато не се изпълнява злонамерен софтуер на никое локално устройство - но вероятно сте погрешни.
Флашът UPnP Attack бе открит през 2008 г. Специално изработеният аплет Flash, който се изпълнява от уеб страница в уеб браузъра ви, може да изпрати UPnP заявка до вашия рутер и да го помоли да препрати портове. Например, аплета може да поиска от рутера да препрати портове 1-65535 на компютъра ви, като го изложи ефективно на целия интернет. Нападателят ще трябва да използва уязвимост в мрежова услуга, която се изпълнява на компютъра ви, след като го направите, въпреки че - използването на защитна стена на компютъра ви ще ви помогне да ви защитим.
За съжаление, това се влошава - при някои рутери аплета на Flash може да промени основния DNS сървър с искане за UPnP. Препращането на портове би било най-малкото от вашите притеснения - злонамерен DNS сървър може да пренасочи трафика към други уебсайтове. Например, тя може да посочи изцяло Facebook.com на друг IP адрес - адресното поле на вашия уеб браузър би казало Facebook.com, но ще използвате уеб сайт, създаден от злонамерена организация.
Това е проблем? Да. Не мога да намеря никаква индикация, че това някога е било отстранено. Дори и да е било фиксирано (това би било трудно, тъй като това е проблем със самия протокол UPnP), много по-стари рутери, които все още се използват, биха били уязвими.
Лошо изпълнение UPnP на рутери
Уеб сайтът UPnP Hacks съдържа подробен списък на проблемите със сигурността в начините, по които различните маршрутизатори изпълняват UPnP. Това не са непременно проблеми със самия UPnP; те често са проблеми с внедряването на UPnP. Например много UPnP реализации на рутери не проверяват правилно входа. Злонамереното приложение може да поиска маршрутизаторът да пренасочва мрежа към отдалечени IP адреси в Интернет (вместо локални IP адреси) и маршрутизаторът ще се съобрази. На някои маршрутизатори, базирани на Linux, е възможно да се използва UPnP, за да се изпълняват команди на маршрутизатора. (Източник) Уебсайтът изброява много други подобни проблеми.
Това е проблем? Да! Милиони маршрутизатори в дивата природа са уязвими. Много производители на рутери не са свършили добра работа за осигуряване на техните UPnP реализации.
Трябва ли да деактивирате UPnP?
Когато започнах да пиша тази публикация, очаквах да заключа, че недостатъците на UPnP са доста малки, просто въпрос на търговия с малко сигурност за малко удобство. За съжаление изглежда, че UPnP има много проблеми. Ако не използвате приложения, които се нуждаят от пренасочване на портове, като например приложения от тип peer-to-peer, игрални сървъри и много VoIP програми, може да е по-добре да изключите изцяло UPnP. Тежките потребители на тези приложения ще искат да преценят дали са готови да се откажат от сигурността за удобство. Все още можете да препращате портове без UPnP; това е просто нещо повече работа. Разгледайте нашето ръководство за препращане на портове.
От друга страна, тези рутерни недостатъци не се използват активно в дивата природа, така че реалният шанс, че ще срещнете злонамерен софтуер, който използва недостатъци в изпълнението на UPnP на рутера, е доста нисък. Някои злонамерени програми използват UPnP за препращане на портове (червеят на Conficker например), но не видях пример за зловреден софтуер, който използва тези рутерни недостатъци.
Как да го изключа? Ако маршрутизаторът ви поддържа UPnP, ще намерите опция да го деактивирате в уеб интерфейса му. Обърнете се към ръководството на рутера за повече информация.
Смятате ли, че не сте съгласни със сигурността на UPnP? Оставете коментар!
