UPnP означает «Universal Plug and Play». Используя UPnP, приложение может автоматически перенаправлять порт на вашем маршрутизаторе, сохраняя при этом проблемы с пересылкой портов вручную. Мы рассмотрим причины, по которым люди рекомендуют отключать UPnP, поэтому мы можем получить четкое представление о рисках безопасности.
Изображение: comedy_nose на Flickr
Вредоносные программы могут использовать UPnP
Вирус, троянский конь, червь или другая вредоносная программа, которая может заразить компьютер в локальной сети, может использовать UPnP, как и законные программы. Хотя маршрутизатор обычно блокирует входящие соединения, предотвращая некоторый вредоносный доступ, UPnP может позволить вредоносной программе полностью обойти брандмауэр. Например, троянский конь может установить на ваш компьютер программу дистанционного управления и открыть отверстие для нее в брандмауэре вашего маршрутизатора, обеспечивая 24/7 доступ к вашему компьютеру из Интернета. Если UPnP отключен, программа не может открыть порт - хотя она может обойти брандмауэр другими способами и по телефону домой.
Это проблема? Да. В этом нет никакого способа - UPnP предполагает, что местные программы заслуживают доверия и позволяют им пересылать порты. Если вредоносное ПО, которое не может пересылать порты, важно для вас, вам нужно отключить UPnP.
ФБР заявила, что люди должны отключить UPnP
В конце 2001 года Национальный центр защиты инфраструктуры ФБР рекомендовал всем пользователям отключить UPnP из-за переполнения буфера в Windows XP. Эта ошибка была исправлена исправлением безопасности. NIPC фактически выпустил исправление для этого совета позже, после того как они поняли, что проблема не в самом UPnP. (Источник)
Это проблема? Нет. Хотя некоторые люди могут помнить консультацию NIPC и иметь отрицательное представление об UPnP, этот совет был ошибочным в то время, и конкретная проблема была исправлена патчем для Windows XP более десяти лет назад.
Атака Flash UPnP
UPnP не требует от пользователя никакой аутентификации. Любое приложение, запущенное на вашем компьютере, может попросить маршрутизатора перенаправить порт поверх UPnP, поэтому вредоносное ПО выше может злоупотреблять UPnP. Вы можете предположить, что вы защищены до тех пор, пока никакие вредоносные программы не запускаются на каких-либо локальных устройствах, но вы, вероятно, ошибаетесь.
Атака Flash UPnP была обнаружена в 2008 году. Специально созданный апплет Flash, работающий на веб-странице внутри вашего веб-браузера, может отправить запрос UPnP вашему маршрутизатору и попросить его переслать порты. Например, апплет может попросить маршрутизатора перенаправить порты 1-65535 на ваш компьютер, эффективно разоблачая его для всего Интернета. После этого злоумышленник должен будет использовать уязвимость в сетевой службе, запущенной на вашем компьютере, однако - использование брандмауэра на вашем компьютере поможет вам защитить вас.
К сожалению, ухудшается - на некоторых маршрутизаторах апплет Flash может изменить основной DNS-сервер с запросом UPnP. Перенаправление портов будет наименьшей из ваших проблем - вредоносный DNS-сервер может перенаправить трафик на другие веб-сайты. Например, он может указывать Facebook.com на другой IP-адрес полностью - адресная строка вашего веб-браузера скажет Facebook.com, но вы будете использовать веб-сайт, созданный вредоносной организацией.
Это проблема? Да. Я не могу найти никаких признаков того, что это когда-либо фиксировалось. Даже если он был исправлен (это будет сложно, так как это проблема с самим протоколом UPnP), многие старые маршрутизаторы, все еще используемые, будут уязвимы.
Плохая реализация UPnP на маршрутизаторах
Веб-сайт UPnP Hacks содержит подробный список проблем безопасности в том, как различные маршрутизаторы реализуют UPnP. Это не обязательно проблемы с самим UPnP; часто возникают проблемы с реализациями UPnP. Например, многие реализации маршрутизаторов UPnP не проверяют ввод правильно. Вредоносная программа может попросить маршрутизатора перенаправить сеть на удаленные IP-адреса в Интернете (вместо локальных IP-адресов), и маршрутизатор будет соответствовать. На некоторых Linux-маршрутизаторах можно использовать UPnP для запуска команд на маршрутизаторе. (Источник) На веб-сайте перечислены многие другие подобные проблемы.
Это проблема? Да! Миллионы маршрутизаторов в дикой природе уязвимы. Многие производители маршрутизаторов не сделали хорошей работы по обеспечению их реализации UPnP.
Если вы отключите UPnP?
Когда я начал писать этот пост, я ожидал сделать вывод о том, что недостатки UPnP были довольно незначительными, и это просто вопрос торговли с некоторыми преимуществами для удобства. К сожалению, похоже, что UPnP имеет много проблем. Если вы не используете приложения, которым требуется переадресация портов, например одноранговые приложения, игровые серверы и многие VoIP-программы, вам может быть лучше отключить UPnP полностью. Тяжелые пользователи этих приложений захотят рассмотреть вопрос о том, готовы ли они отказаться от некоторой безопасности для удобства. Вы можете пересылать порты без UPnP; это немного больше работы. Ознакомьтесь с нашим руководством по перенаправлению портов.
С другой стороны, эти недостатки маршрутизатора активно не используются в дикой природе, поэтому реальная вероятность того, что вы столкнетесь с вредоносным программным обеспечением, которое использует недостатки в реализации UPnP вашего маршрутизатора, довольно низкое. Некоторые вредоносные программы используют UPnP для пересылки портов (например, червь Conficker), но я не сталкивался с примером вредоносного ПО, использующего эти ошибки маршрутизатора.
Как отключить его? Если ваш маршрутизатор поддерживает UPnP, вы можете отключить его в своем веб-интерфейсе. Для получения дополнительной информации обратитесь к руководству вашего маршрутизатора.
Вы не согласны с безопасностью UPnP? Оставить комментарий!