ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

تکنولوژی

1.2 میلیون روتر در برابر نفوذ آسیب پذیر هستند

میلیون ها سوئیچ و روتر و دیواره آتش به احتمال زیاد در برابر نفوذ (Hijack و Interception) آسیب پذیر هستند. این موضوع بعد از آن آشکار شد که شرکت امنیتی Rapid7 ایرادی جدی را در ...

احمد شریف پور
نوشته شده توسط احمد شریف پور | ۱۴ آبان ۱۳۹۳ | ۲۱:۰۰

در دیجیاتو ثبت‌نام کنید

جهت بهره‌مندی و دسترسی به امکانات ویژه و بخش‌های مختلف در دیجیاتو عضو ویژه دیجیاتو شوید.

عضویت در دیجیاتو
تازه‌های تکنولوژی
ویدئوی مرتبط
سیستم نظارت تصویر ابری مبینیو
ویدیو معرفی سرویس نظارت تصویری ابری مبینیو: مدیریت هوشمند دوربین مداربسته

میلیون ها سوئیچ و روتر و دیواره آتش به احتمال زیاد در برابر نفوذ (Hijack و Interception) آسیب پذیر هستند. این موضوع بعد از آن آشکار شد که شرکت امنیتی Rapid7 ایرادی جدی را در نحوه تنظیم این ابزارها کشف کرد.

این مشکل (که هم کاربران خانگی و هم کاربران تجاری را تحت تاثیر قرار می دهد) در تنظیمات NAT-PMP مشاهده شده است. این تنظیمات به شبکه های بیرونی امکان می دهد با دستگاه هایی که در یک شبکه محلی قرار دارند ارتباط برقرار کنند.

در یک بررسی امنیتی Rapid7 به این نتیجه رسیده است که حدود ۱.۲ میلیون دستگاه بواسطه تنظیمات اشتباه NAT-PMP آسیب پذیر هستند. ۲.۵ درصد این موارد به نفوذگر اجازه می دهند ترافیک درونی را دستکاری کند، ۸۸ درصد امکان دستکاری ترافیک خروجی را فراهم می کنند و ۸۸ درصد هم ممکن است در نتیجه این مشکل در معرض حمله DoS (سرنام Denial of Service) قرار بگیرند.

اگر شما هم کنجکاو شده‌اید که NAT-PMP‌ چیست و چه ربطی به امنیت دارد یا می خواهید از سیستم خودتان محافظت کنید در ادامه با دیجیاتو همراه باشید.

NAT-PMP چیست و به چه دردی می خورد؟

در دنیا دو نوع آدرس IP وجود دارد. نوع اول IP داخلی یا internal است. این آدرس ها دستگاه های مختلف موجود در یک شبکه را از هم مجزا کرده و به آن ها امکان می دهند که با یکدیگر ارتباط برقرار کنند. این آدرس ها غالبا خصوصی هستند و تنها افرادی که در شبکه محلی شما باشند می توانند به آن ها دسترسی داشته و آن ها را ببینند.

در مقابل ما آدرس های IP عمومی را داریم. این آدرس ها یکی از اجزای اصلی سیستمی هستند که اینترنت بر اساس آن کار می کند. این آدرس ها این امکان را فراهم می کنند که شبکه های مختلف یکدیگر را شناخته و با هم ارتباط برقرار کنند. مشکل این است که آدرس IP نسخه ۴ به اندازه کافی برای همه دستگاه های متصل به اینترنت وجود ندارد. IPv4 یا نسخه چهارم IP نسخه غالب و فراگیر این پروتکل است و IPv6 هنوز نتوانسته است جایگزین آن شود. به خصوص زمانی که ما صدها میلیون کامپیوتر، تبلت، تلفن و تمام ابزارهای اینترنت چیزها (Internet of Thingd) را در نظر بیاوریم، موضوع آشکارتر می شود.

[videojs mp4="http://cdn.digiato.com/How-Network-Address-Translation-Works.mp4"]

به همین دلیل ما باید از چیزی به نام NAT (سرنام Network Address Translation) استفاده کنیم. این ابزار با نسبت دادن یک آدرس IP عمومی به دستگاه های متعددی که در یک شبکه محلی قرار دارند، دامنه نفوذ و قدرت آدرس های عمومی را افزایش می دهد. به عبارت دیگر این پروتکل کمک می کند که تمام دستگاه های متصل به یک شبکه محلی با وجود آدرس های محلی متفاوت بتوانند با استفاده از تنها یک آدرس IP عمومی که به روتر اختصاص یافته است، با اینترنت ارتباط برقرار کنند.

اما اگر ما سرویسی (مانند یک سرور وب یا فایل سرور) روی شبکه محلی داشته باشیم که بخواهیم از آن در شبکه بزرگتر اینترنت هم استفاده کنیم چه راه حلی داریم؟ برای این کار ما به چیزی به نام NAT-PMP (سرنام Network Address Translation - Port Mapping Protocol) نیاز خواهیم داشت.

router-example

این استاندارد باز حدود سال ۲۰۰۵ توسط اپل و به منظور ساده تر کردن فرآیند Port Mapping طراحی شده است. NAT-PMP را می توانید روی طیف وسیعی از دستگاه ها ببینید که حتی دستگاه هایی که توسط خود اپل تولید نشده اند (مثلا محصولات ZyXEL، Linksys و Netgear) را هم شامل می شود. برخی از روترهایی هم که در حالت عادی به این پروتکل دسترسی ندارند می توانند از طریق firmwareهای مختلف (مانند DD-WRT، Tomato و OpenWRT) از این امکان برخوردار شوند.

اکنون احتمالا اهمیت NAT-PMP‌ را می دانید. اما آسیب پذیری آن از کجا ناشی می شود؟

این آسیب پذیری چگونه کار می کند؟

در سند RFC که نحوه کار NAT-PMP را توضیح می دهد آمده است:

گیت وی NAT نباید تقاضاهای mapping که مقصد آن ها آدرس های IP بیرونی هستند یا از طریق رابط شبکه بیرونی واصل شده اند را بپذیرد. تنها packetهایی که از طریق رابط (های) درونی به آدرس مقصدی منطبق بر آدرس های درونی گیت وی NAT دریافت می شوند باید اجازه عبور داشته باشند.

خب این به چه معناست؟ به صورت خلاصه معنای این عبارت این است که دستگاه هایی که در شبکه محلی نیستند نباید بتوانند قوانین یا ruleهای روتر را دستکاری کنند. منطقی به نظر می رسد نه؟

مشکل زمانی ظاهر می شود که روترها این قانون حیاتی را نادیده می گیرند. که البته به نظر می رسد 1.2 میلیون روتر این کار را می کنند.

نتیجه چنین اتفاقی می تواند بسیار مهلک باشد. همان طور که قبلا هم اشاره کردیم، ترافیکی که از جانب روترهای آسیب پذیر یا آلوده ارسال می شود، می تواند دستکاری شود. این اتفاق می تواند موجب نشت داده ها (Data Leakage) یا سرقت هویت شود. اما چطور این مشکل را حل کنیم؟

کدام دستگاه ها مشکل دارند؟

پاسخ به این سوال به نسبت سخت است. Rapid7 نتوانسته است که تعیین کند کدام روترها دارای این آسیب پذیری هستند. در تشریح این آسیب پذیری Rapid7 گفته است:

«در حین کشف این آسیب پذیری و به عنوان بخشی از فرآیند آشکارسازی آن، لابراتوارهای Rapid7 تلاش کردند با دقت مدل دستگاه هایی که از NAT-PMP پشیبانی کرده و دارای این آسیب پذیری هستند را مشخص کنند. اما این تلاش نتایج مفیدی در پی نداشته است. . . . بواسطه پیچیدگی های فنی و قانونی که در مسیر تشخیص دقیق هویت و مدل دستگاه ها در اینترنت عمومی وجود دارد، کاملا ممکن و حتی محتمل است که این آسیب پذیری ها در بسیاری مدل های معمول و مشهور در حالت های پیش فرض یا پشتیبانی شده وجود داشته باشند.»

به همین دلیل شما باید خودتان دست به کار شده و کمی کندوکاو کنید.

غالب ما فکر می کنیم امنیت چیزی ذاتی در تمام ابزارهای شبکه است. اما این آسیب پذیری نشان می دهد که امنیت دستگاه هایی که ما برای اتصال به اینترنت از آن ها استفاده می کنیم، چیزی قطعی نیست.

چطور می توانم بفهمم که در معرض این مشکل قرار دارم یا نه؟

در مرحله نخست باید در روترتان لاگین کرده و از طریق رابط تحت وب آن سری به بخش تنظیمات بزنید. با توجه به این که صدها مدل مختلف روتر با رابط های وبی متفاوت در بازار موجود است، ارایه توضیحات دقیق در این مقاله عملا ناممکن است.

هرچند روند کلی کار در تمام دستگاه های خانگی معمول کم و بیش یکسان است. در مرحله اول باید از طریق یک مرورگر وارد پنل مدیریت دستگاه تان شوید. سری به اسناد و راهنماهای کاربری دستگاه تان بزنید ولی معمولا می توانید از آدرس پیش فرض یعنی 192.168.1.1 وارد روترهای Linksys شوید. روترهای D-Link و Netgear از آدرس 192.168.0.1 و محصولات Belkin از آدرس 192.168.2.1 استفاده می کنند.

اگر هنوز هم مطمئن نیستید یا این آدرس ها برای شما کار نمی کنند باید به خط فرمان متوسل شوید. در OS X این دستور را وارد کنید:

route -n get default

router-gateway

مقدار Gateway آدرس روتر شماست. اگر از یک توزیع مدرن لینوکس استفاده می کنید این دستور را امتحان کنید:

ip route show

router-ip

در ویندوز هم پنجره فرمان را باز کرده و دستور زیر را وارد کنید:

ipconfig

آدرس IP مربوط به Gateway همان چیزی است که شما به دنبالش می گردید.

زمانی که به پنل مدیریت روترتان دست پیدا کردید، به قسمت های مختلف تنظیمات سرک بکشید و به دنبال آن هایی بگردید که به نحوی به Network Address Translation مربوط باشند. اگر در این قسمت ها به چیزی شبیه

Allow NAT-PMP on Untrusted Network Interfaces

برخورد کردید، آن را خاموش کنید.

Rapid7 همچنین مرکز راهبری تیم واکنش سریع کامپیوتر (CERT/CC یا Computer Emergency Response Team Cordination Center) را وادار کرده است که تهیه لیست دقیق دستگاه های آسیب پذیر را شروع کند. هدف نهایی همکاری با سازندگان دستگاه ها برای ایجاد وصله امنیتی و رفع مشکل است.

حتی روترها هم می توانند نقاط آسیب پذیر امنیتی باشند

غالب ما فکر می کنیم امنیت چیزی ذاتی در تمام ابزارهای شبکه است. اما این آسیب پذیری نشان می دهد که امنیت دستگاه هایی که ما برای اتصال به اینترنت از آن ها استفاده می کنیم، چیزی قطعی نیست.

مانند همیشه دوست داریم که شما هم نظرات تان را درباره این موضوع در کامنت ها با ما در میان بگذارید.

makeuseof
آسیب پذیری امنیت روتر شبکه وب
مقالات و اخبار مرتبط
دیدگاه‌ها و نظرات خود را بنویسید
مجموع نظرات ثبت شده (27 مورد)
  • takpardaz
    takpardaz | ۱۴ خرداد ۱۳۹۴

    مطلب جالبی بودد
    با تشکر

  • mkh
    mkh | ۱۶ آبان ۱۳۹۳

    سلام
    من تو مودم گزینه ای مربوط به این نیست فقط ی nat هست . همینه؟

  • TROOL
    TROOL | ۱۵ آبان ۱۳۹۳

    مطلب خوبی بود تشکر.

نمایش سایر نظرات و دیدگاه‌ها
مطالب پیشنهادی

پیشنهادهای دیجیاتو