1.2 میلیون روتر در برابر نفوذ آسیب پذیر هستند
میلیون ها سوئیچ و روتر و دیواره آتش به احتمال زیاد در برابر نفوذ (Hijack و Interception) آسیب پذیر هستند. این موضوع بعد از آن آشکار شد که شرکت امنیتی Rapid7 ایرادی جدی را در ...
میلیون ها سوئیچ و روتر و دیواره آتش به احتمال زیاد در برابر نفوذ (Hijack و Interception) آسیب پذیر هستند. این موضوع بعد از آن آشکار شد که شرکت امنیتی Rapid7 ایرادی جدی را در نحوه تنظیم این ابزارها کشف کرد.
این مشکل (که هم کاربران خانگی و هم کاربران تجاری را تحت تاثیر قرار می دهد) در تنظیمات NAT-PMP مشاهده شده است. این تنظیمات به شبکه های بیرونی امکان می دهد با دستگاه هایی که در یک شبکه محلی قرار دارند ارتباط برقرار کنند.
در یک بررسی امنیتی Rapid7 به این نتیجه رسیده است که حدود ۱.۲ میلیون دستگاه بواسطه تنظیمات اشتباه NAT-PMP آسیب پذیر هستند. ۲.۵ درصد این موارد به نفوذگر اجازه می دهند ترافیک درونی را دستکاری کند، ۸۸ درصد امکان دستکاری ترافیک خروجی را فراهم می کنند و ۸۸ درصد هم ممکن است در نتیجه این مشکل در معرض حمله DoS (سرنام Denial of Service) قرار بگیرند.
اگر شما هم کنجکاو شدهاید که NAT-PMP چیست و چه ربطی به امنیت دارد یا می خواهید از سیستم خودتان محافظت کنید در ادامه با دیجیاتو همراه باشید.
NAT-PMP چیست و به چه دردی می خورد؟
در دنیا دو نوع آدرس IP وجود دارد. نوع اول IP داخلی یا internal است. این آدرس ها دستگاه های مختلف موجود در یک شبکه را از هم مجزا کرده و به آن ها امکان می دهند که با یکدیگر ارتباط برقرار کنند. این آدرس ها غالبا خصوصی هستند و تنها افرادی که در شبکه محلی شما باشند می توانند به آن ها دسترسی داشته و آن ها را ببینند.
در مقابل ما آدرس های IP عمومی را داریم. این آدرس ها یکی از اجزای اصلی سیستمی هستند که اینترنت بر اساس آن کار می کند. این آدرس ها این امکان را فراهم می کنند که شبکه های مختلف یکدیگر را شناخته و با هم ارتباط برقرار کنند. مشکل این است که آدرس IP نسخه ۴ به اندازه کافی برای همه دستگاه های متصل به اینترنت وجود ندارد. IPv4 یا نسخه چهارم IP نسخه غالب و فراگیر این پروتکل است و IPv6 هنوز نتوانسته است جایگزین آن شود. به خصوص زمانی که ما صدها میلیون کامپیوتر، تبلت، تلفن و تمام ابزارهای اینترنت چیزها (Internet of Thingd) را در نظر بیاوریم، موضوع آشکارتر می شود.
[videojs mp4="http://cdn.digiato.com/How-Network-Address-Translation-Works.mp4"]
به همین دلیل ما باید از چیزی به نام NAT (سرنام Network Address Translation) استفاده کنیم. این ابزار با نسبت دادن یک آدرس IP عمومی به دستگاه های متعددی که در یک شبکه محلی قرار دارند، دامنه نفوذ و قدرت آدرس های عمومی را افزایش می دهد. به عبارت دیگر این پروتکل کمک می کند که تمام دستگاه های متصل به یک شبکه محلی با وجود آدرس های محلی متفاوت بتوانند با استفاده از تنها یک آدرس IP عمومی که به روتر اختصاص یافته است، با اینترنت ارتباط برقرار کنند.
اما اگر ما سرویسی (مانند یک سرور وب یا فایل سرور) روی شبکه محلی داشته باشیم که بخواهیم از آن در شبکه بزرگتر اینترنت هم استفاده کنیم چه راه حلی داریم؟ برای این کار ما به چیزی به نام NAT-PMP (سرنام Network Address Translation - Port Mapping Protocol) نیاز خواهیم داشت.
این استاندارد باز حدود سال ۲۰۰۵ توسط اپل و به منظور ساده تر کردن فرآیند Port Mapping طراحی شده است. NAT-PMP را می توانید روی طیف وسیعی از دستگاه ها ببینید که حتی دستگاه هایی که توسط خود اپل تولید نشده اند (مثلا محصولات ZyXEL، Linksys و Netgear) را هم شامل می شود. برخی از روترهایی هم که در حالت عادی به این پروتکل دسترسی ندارند می توانند از طریق firmwareهای مختلف (مانند DD-WRT، Tomato و OpenWRT) از این امکان برخوردار شوند.
اکنون احتمالا اهمیت NAT-PMP را می دانید. اما آسیب پذیری آن از کجا ناشی می شود؟
این آسیب پذیری چگونه کار می کند؟
در سند RFC که نحوه کار NAT-PMP را توضیح می دهد آمده است:
گیت وی NAT نباید تقاضاهای mapping که مقصد آن ها آدرس های IP بیرونی هستند یا از طریق رابط شبکه بیرونی واصل شده اند را بپذیرد. تنها packetهایی که از طریق رابط (های) درونی به آدرس مقصدی منطبق بر آدرس های درونی گیت وی NAT دریافت می شوند باید اجازه عبور داشته باشند.
خب این به چه معناست؟ به صورت خلاصه معنای این عبارت این است که دستگاه هایی که در شبکه محلی نیستند نباید بتوانند قوانین یا ruleهای روتر را دستکاری کنند. منطقی به نظر می رسد نه؟
مشکل زمانی ظاهر می شود که روترها این قانون حیاتی را نادیده می گیرند. که البته به نظر می رسد 1.2 میلیون روتر این کار را می کنند.
نتیجه چنین اتفاقی می تواند بسیار مهلک باشد. همان طور که قبلا هم اشاره کردیم، ترافیکی که از جانب روترهای آسیب پذیر یا آلوده ارسال می شود، می تواند دستکاری شود. این اتفاق می تواند موجب نشت داده ها (Data Leakage) یا سرقت هویت شود. اما چطور این مشکل را حل کنیم؟
کدام دستگاه ها مشکل دارند؟
پاسخ به این سوال به نسبت سخت است. Rapid7 نتوانسته است که تعیین کند کدام روترها دارای این آسیب پذیری هستند. در تشریح این آسیب پذیری Rapid7 گفته است:
«در حین کشف این آسیب پذیری و به عنوان بخشی از فرآیند آشکارسازی آن، لابراتوارهای Rapid7 تلاش کردند با دقت مدل دستگاه هایی که از NAT-PMP پشیبانی کرده و دارای این آسیب پذیری هستند را مشخص کنند. اما این تلاش نتایج مفیدی در پی نداشته است. . . . بواسطه پیچیدگی های فنی و قانونی که در مسیر تشخیص دقیق هویت و مدل دستگاه ها در اینترنت عمومی وجود دارد، کاملا ممکن و حتی محتمل است که این آسیب پذیری ها در بسیاری مدل های معمول و مشهور در حالت های پیش فرض یا پشتیبانی شده وجود داشته باشند.»
به همین دلیل شما باید خودتان دست به کار شده و کمی کندوکاو کنید.
غالب ما فکر می کنیم امنیت چیزی ذاتی در تمام ابزارهای شبکه است. اما این آسیب پذیری نشان می دهد که امنیت دستگاه هایی که ما برای اتصال به اینترنت از آن ها استفاده می کنیم، چیزی قطعی نیست.
چطور می توانم بفهمم که در معرض این مشکل قرار دارم یا نه؟
در مرحله نخست باید در روترتان لاگین کرده و از طریق رابط تحت وب آن سری به بخش تنظیمات بزنید. با توجه به این که صدها مدل مختلف روتر با رابط های وبی متفاوت در بازار موجود است، ارایه توضیحات دقیق در این مقاله عملا ناممکن است.
هرچند روند کلی کار در تمام دستگاه های خانگی معمول کم و بیش یکسان است. در مرحله اول باید از طریق یک مرورگر وارد پنل مدیریت دستگاه تان شوید. سری به اسناد و راهنماهای کاربری دستگاه تان بزنید ولی معمولا می توانید از آدرس پیش فرض یعنی 192.168.1.1 وارد روترهای Linksys شوید. روترهای D-Link و Netgear از آدرس 192.168.0.1 و محصولات Belkin از آدرس 192.168.2.1 استفاده می کنند.
اگر هنوز هم مطمئن نیستید یا این آدرس ها برای شما کار نمی کنند باید به خط فرمان متوسل شوید. در OS X این دستور را وارد کنید:
route -n get default
مقدار Gateway آدرس روتر شماست. اگر از یک توزیع مدرن لینوکس استفاده می کنید این دستور را امتحان کنید:
ip route show
در ویندوز هم پنجره فرمان را باز کرده و دستور زیر را وارد کنید:
ipconfig
آدرس IP مربوط به Gateway همان چیزی است که شما به دنبالش می گردید.
زمانی که به پنل مدیریت روترتان دست پیدا کردید، به قسمت های مختلف تنظیمات سرک بکشید و به دنبال آن هایی بگردید که به نحوی به Network Address Translation مربوط باشند. اگر در این قسمت ها به چیزی شبیه
Allow NAT-PMP on Untrusted Network Interfaces
برخورد کردید، آن را خاموش کنید.
Rapid7 همچنین مرکز راهبری تیم واکنش سریع کامپیوتر (CERT/CC یا Computer Emergency Response Team Cordination Center) را وادار کرده است که تهیه لیست دقیق دستگاه های آسیب پذیر را شروع کند. هدف نهایی همکاری با سازندگان دستگاه ها برای ایجاد وصله امنیتی و رفع مشکل است.
حتی روترها هم می توانند نقاط آسیب پذیر امنیتی باشند
غالب ما فکر می کنیم امنیت چیزی ذاتی در تمام ابزارهای شبکه است. اما این آسیب پذیری نشان می دهد که امنیت دستگاه هایی که ما برای اتصال به اینترنت از آن ها استفاده می کنیم، چیزی قطعی نیست.
مانند همیشه دوست داریم که شما هم نظرات تان را درباره این موضوع در کامنت ها با ما در میان بگذارید.
دیدگاهها و نظرات خود را بنویسید
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.
مطلب جالبی بودد
با تشکر
سلام
من تو مودم گزینه ای مربوط به این نیست فقط ی nat هست . همینه؟
مطلب خوبی بود تشکر.