Millones de conmutadores, enrutadores y cortafuegos son potencialmente vulnerables al secuestro y la interceptación, después de que la empresa estadounidense de seguridad Rapid7 descubriera un grave problema con la configuración de estos dispositivos.
El problema, que afecta tanto a los usuarios domésticos como a los comerciales, se encuentra en la configuración de NAT-PMP utilizada para permitir que las redes externas se comuniquen con los dispositivos que operan en una red local.
En un aviso de vulnerabilidad, Rapid7 encontró 1.2 millones de dispositivos que tienen configuraciones NAT-PMP mal configuradas, con 2.5% vulnerable a un atacante que intercepta tráfico interno, 88% a un atacante interceptando tráfico saliente y 88% a un ataque de denegación de servicio como resultado de esta vulnerabilidad
¿Tiene curiosidad por saber qué es NAT-PMP y cómo puede protegerse? Siga leyendo para obtener más información.
¿Qué es NAT-PMP, y por qué es útil?
Hay dos tipos de direcciones IP en el mundo. El primero son las direcciones IP internas. Estos identifican de manera única los dispositivos en una red y permiten que los dispositivos dentro de una LAN se comuniquen entre sí. Estos también son privados, y solo las personas en su red interna pueden verlos y conectarse a ellos.
Y luego tenemos direcciones de IP públicas. Estas son una parte fundamental de cómo funciona Internet, y permiten que diferentes redes se identifiquen entre sí y se conecten entre sí. El problema es que no hay suficientes direcciones IPv4 (el sistema de direccionamiento IP dominante - IPv6 aún no lo ha reemplazado IPv6 vs. IPv4: ¿Debería importar (o hacer cualquier cosa) como usuario? [MakeUseOf Explains] IPv6 vs. IPv4 : ¿Debería importar (o hacer cualquier cosa) como usuario? [MakeUseOf Explains] Más recientemente, se ha hablado mucho sobre cambiar a IPv6 y cómo traerá muchos beneficios a Internet. Sin embargo, esta "noticia" se mantiene. repitiéndose, ya que siempre hay un ocasional ... Leer más) para recorrer. Especialmente cuando consideramos los cientos de millones de computadoras, tabletas, teléfonos e Internet de las cosas. Qué es Internet de las cosas y cómo afectará nuestro futuro. [Explicaciones de MakeUseOf] Qué es Internet de las cosas y cómo afectará nuestro futuro [MakeUseOf Explica] Parece que hay nuevas palabras de moda apareciendo y desapareciendo con cada día que pasa, y "el Internet de las cosas" simplemente pasa a ser una de las ideas más recientes que ... Leer más dispositivos que flotan.
Entonces, tenemos que usar algo llamado Network Address Translation (NAT). Esto hace que cada dirección pública vaya mucho más lejos, ya que uno puede asociarse con múltiples dispositivos en una red privada.
Pero, ¿y si tenemos un servicio, como un servidor web? ¿Cómo configurar un servidor web Apache en 3 sencillos pasos? ¿Cómo configurar un servidor web Apache en 3 sencillos pasos? Cualquiera sea la razón, en algún momento puede querer obtener un servidor web funcionando. Si desea obtener acceso remoto a ciertas páginas o servicios, desea obtener una comunidad ... Leer más o un servidor de archivos Cómo configurar su servidor FreeNAS para acceder a sus archivos desde cualquier lugar Cómo configurar su servidor FreeNAS para Acceda a sus archivos desde cualquier lugar FreeNAS es un sistema operativo basado en BSD gratuito y de código abierto que puede convertir cualquier PC en un servidor de archivos sólido como una roca. Hoy voy a guiarlo a través de una instalación básica, configurar un simple recurso compartido de archivos, ... Leer más: ¿ejecutarse en una red que nos gustaría exponer a una gran Internet? Para eso, necesitaríamos usar algo llamado Traducción de direcciones de red - Protocolo de mapeo de puertos (NAT-PMP).
Este estándar abierto fue creado alrededor del año 2005 por Apple, y fue diseñado para hacer que el proceso de asignación de puertos sea mucho más fácil. NAT-PNP se puede encontrar en una gama de dispositivos, incluidos los que no son necesariamente hechos por Apple, como los producidos por ZyXEL, Linksys y Netgear. Algunos enrutadores que no lo admiten de forma nativa también pueden tener acceso a NAT-PMP a través de firmwares de terceros, como DD-WRT. ¿Qué es DD-WRT y cómo puede hacer que su enrutador sea un superrutador? ¿Qué es DD-WRT? Y cómo puede hacer que su enrutador sea un superrutador En este artículo, le mostraré algunas de las mejores características de DD-WRT que, si decide utilizarlas, le permitirán transformar su propio enrutador en el superrutador de ... Leer más, Tomate y OpenWRT.
Entonces, sabemos que NAT-PMP es importante. Pero, ¿cómo puede ser vulnerable?
Cómo funciona la vulnerabilidad
El RFC que define cómo funciona NAT-PMP dice esto:
La puerta de enlace NAT NO DEBE aceptar solicitudes de mapeo destinadas a la dirección IP externa de la puerta de enlace NAT o recibidas en su interfaz de red externa. Solo deben permitirse los paquetes recibidos en la (s) interfaz (es) interna (s) con una dirección de destino que coincida con la (s) dirección (es) interna (s) de la puerta de enlace NAT.
¿Entonces que significa eso? En resumen, significa que los dispositivos que no están en la red local no deberían poder crear reglas para el enrutador. Parece razonable, ¿verdad?
El problema surge cuando los enrutadores ignoran esta valiosa regla. Que, aparentemente, 1.2 millones de ellos lo hacen.
Las consecuencias pueden ser severas. Como se mencionó anteriormente, el tráfico enviado desde los enrutadores comprometidos puede ser interceptado, lo que puede conducir a la fuga de datos y el robo de identidad. ¿Entonces, cómo lo arreglas?
¿Qué dispositivos se ven afectados?
Esta es una pregunta difícil de responder. Rapid7 no ha podido demostrar definitivamente qué enrutadores se han visto afectados. De la evaluación de vulnerabilidad:
Durante el descubrimiento inicial de esta vulnerabilidad y como parte del proceso de divulgación, Rapid7 Labs intentó identificar qué productos específicos que soportaban NAT-PMP eran vulnerables, sin embargo, ese esfuerzo no arrojó resultados especialmente útiles. ... debido a las complejidades técnicas y legales involucradas en el descubrimiento de la verdadera identidad de los dispositivos en la Internet pública, es completamente posible, quizás incluso probable, que estas vulnerabilidades estén presentes en productos populares en configuraciones predeterminadas o compatibles.
Entonces, tienes que hacer un poco de excavación tú mismo. Esto es lo que debes hacer.
¿Cómo puedo saber que estoy afectado?
En primer lugar, debe iniciar sesión en su enrutador y ver su configuración a través de su interfaz web. Dado que hay cientos de enrutadores diferentes, cada uno con interfaces web radicalmente diferentes, dar consejos específicos de dispositivos aquí es casi imposible.
Sin embargo, la esencia es prácticamente la misma en la mayoría de los dispositivos de redes domésticas. En primer lugar, debe iniciar sesión en el panel de administración de su dispositivo a través de su navegador web. Consulte su manual de usuario, pero los enrutadores Linksys generalmente se pueden acceder desde 192.168.1.1, que es su dirección IP predeterminada. Del mismo modo, D-Link y Netgear usan 192.168.0.1, y Belkin usa 192.168.2.1.
Si aún no está seguro, puede encontrarlo a través de su línea de comando. En OS X, ejecuta:
ruta -n obtiene predeterminado
El 'Gateway' es tu enrutador. Si está utilizando una distribución moderna de Linux, intente ejecutar:
show de ruta ip
En Windows, abra el símbolo del sistema El indicador de comandos de Windows: más simple y más útil de lo que cree El símbolo del sistema de Windows: más simple y más útil de lo que piensa Los comandos no siempre han sido iguales, de hecho algunos han sido destruidos y otros más nuevos llegaron los comandos, incluso con Windows 7, de hecho. Entonces, ¿por qué alguien querría molestarse al hacer clic en el inicio ... Lea más e ingrese:
ipconfig
De nuevo, la dirección IP para la 'Puerta de enlace' es la que desea.
Una vez que hayas accedido al panel de administración de tu enrutador, revisa tu configuración hasta que encuentres los que están relacionados con la traducción de direcciones de red. Si ve algo que diga algo como 'Permitir NAT-PMP en interfaces de red que no sean de confianza', desactívelo.
Rapid7 también obtuvo el Centro de coordinación del equipo de respuesta ante emergencias informáticas (CERT / CC) para comenzar a reducir la lista de dispositivos que son vulnerables, con el objetivo de trabajar con los fabricantes de dispositivos para emitir una solución.
Incluso los enrutadores pueden ser vulnerabilidades de seguridad
A menudo damos por hecho la seguridad de nuestro equipo de red. Y, sin embargo, esta vulnerabilidad muestra que la seguridad de los dispositivos que usamos para conectarnos a Internet no es una certeza.
Como siempre, me encantaría escuchar sus pensamientos sobre este tema. Déjame saber lo que piensas en el cuadro de comentarios a continuación.