Trang chủ » làm thế nào để » UPnP có phải là một rủi ro bảo mật?

    UPnP có phải là một rủi ro bảo mật?

    UPnP được bật theo mặc định trên nhiều bộ định tuyến mới. Tại một thời điểm, FBI và các chuyên gia bảo mật khác đã khuyến nghị vô hiệu hóa UPnP vì lý do bảo mật. Nhưng làm thế nào an toàn là UPnP ngày hôm nay? Chúng tôi có giao dịch bảo mật để thuận tiện khi sử dụng UPnP không?

    UPnP là viết tắt của từ Universal Universal Plug and Play. Sử dụng UPnP, một ứng dụng có thể tự động chuyển tiếp một cổng trên bộ định tuyến của bạn, giúp bạn tiết kiệm rắc rối khi chuyển tiếp các cổng theo cách thủ công. Chúng tôi sẽ xem xét lý do mọi người khuyên bạn nên vô hiệu hóa UPnP, vì vậy chúng tôi có thể có được một bức tranh rõ ràng về các rủi ro bảo mật.

    Tín dụng hình ảnh: comedy_nose trên Flickr

    Phần mềm độc hại trên mạng của bạn có thể sử dụng UPnP

    Virus, ngựa Trojan, sâu hoặc chương trình độc hại khác có thể lây nhiễm máy tính trên mạng cục bộ của bạn có thể sử dụng UPnP, giống như các chương trình hợp pháp có thể. Mặc dù bộ định tuyến thường chặn các kết nối đến, ngăn chặn một số truy cập độc hại, UPnP có thể cho phép một chương trình độc hại vượt qua tường lửa hoàn toàn. Ví dụ, một con ngựa thành Troia có thể cài đặt chương trình điều khiển từ xa trên máy tính của bạn và mở một lỗ hổng cho nó trong tường lửa của bộ định tuyến, cho phép truy cập 24/7 vào máy tính của bạn từ Internet. Nếu UPnP bị vô hiệu hóa, chương trình không thể mở cổng - mặc dù nó có thể vượt qua tường lửa theo những cách khác và gọi điện về nhà.

    Đây co phải vân đê? Vâng. Không có xung quanh cái này - UPnP giả định rằng các chương trình địa phương là đáng tin cậy và cho phép họ chuyển tiếp các cổng. Nếu phần mềm độc hại không thể chuyển tiếp cổng là quan trọng đối với bạn, bạn sẽ muốn tắt UPnP.

    FBI đã nói với mọi người về việc vô hiệu hóa UPnP

    Gần cuối năm 2001, Trung tâm bảo vệ cơ sở hạ tầng quốc gia của FBI đã khuyên tất cả người dùng vô hiệu hóa UPnP vì lỗi tràn bộ đệm trong Windows XP. Lỗi này đã được sửa bởi một bản vá bảo mật. NIPC thực sự đã đưa ra một sự điều chỉnh cho lời khuyên này sau đó, sau khi họ nhận ra rằng vấn đề không nằm ở chính UPnP. (Nguồn)

    Đây co phải vân đê? Không. Mặc dù một số người có thể nhớ lời khuyên của NIPC và có cái nhìn tiêu cực về UPnP, nhưng lời khuyên này đã bị hiểu sai vào thời điểm đó và vấn đề cụ thể đã được khắc phục bằng một bản vá cho Windows XP hơn mười năm trước.

    Tín dụng hình ảnh: Carsten Lorentzen trên Flickr

    Cuộc tấn công Flash UPnP

    UPnP không yêu cầu bất kỳ loại xác thực nào từ người dùng. Bất kỳ ứng dụng nào chạy trên máy tính của bạn đều có thể yêu cầu bộ định tuyến chuyển tiếp cổng qua UPnP, đó là lý do tại sao phần mềm độc hại ở trên có thể lạm dụng UPnP. Bạn có thể cho rằng bạn an toàn miễn là không có phần mềm độc hại nào đang chạy trên bất kỳ thiết bị cục bộ nào - nhưng có lẽ bạn đã nhầm.

    Flash UPnP Attack được phát hiện vào năm 2008. Một applet Flash được chế tạo đặc biệt, chạy trên một trang web bên trong trình duyệt web của bạn, có thể gửi yêu cầu UPnP đến bộ định tuyến của bạn và yêu cầu nó chuyển tiếp các cổng. Ví dụ, applet có thể yêu cầu bộ định tuyến chuyển tiếp các cổng 1-65535 sang máy tính của bạn, phơi bày nó ra toàn bộ Internet một cách hiệu quả. Kẻ tấn công sẽ phải khai thác lỗ hổng trong dịch vụ mạng chạy trên máy tính của bạn sau khi thực hiện việc này - mặc dù vậy, sử dụng tường lửa trên máy tính của bạn sẽ giúp bảo vệ bạn.

    Thật không may, nó trở nên tồi tệ hơn - trên một số bộ định tuyến, một applet Flash có thể thay đổi máy chủ DNS chính bằng yêu cầu UPnP. Chuyển tiếp cổng sẽ là điều ít lo lắng nhất của bạn - một máy chủ DNS độc hại có thể chuyển hướng lưu lượng truy cập đến các trang web khác. Ví dụ: nó có thể trỏ Facebook.com hoàn toàn vào một địa chỉ IP khác - thanh địa chỉ của trình duyệt web của bạn sẽ nói Facebook.com, nhưng bạn đang sử dụng một trang web được thiết lập bởi một tổ chức độc hại.

    Đây co phải vân đê? Vâng. Tôi không thể tìm thấy bất kỳ loại dấu hiệu nào cho thấy điều này đã từng được sửa. Ngay cả khi nó đã được sửa (điều này sẽ khó khăn, vì đây là vấn đề với chính giao thức UPnP), nhiều bộ định tuyến cũ vẫn đang sử dụng sẽ dễ bị tấn công.

    Triển khai UPnP không tốt trên bộ định tuyến

    Trang web UPnP Hacks chứa một danh sách chi tiết các vấn đề bảo mật theo cách các bộ định tuyến khác nhau thực hiện UPnP. Đây không nhất thiết là vấn đề với chính UPnP; họ thường gặp vấn đề với việc triển khai UPnP. Ví dụ: việc triển khai UPnP của nhiều bộ định tuyến không kiểm tra đầu vào đúng cách. Một ứng dụng độc hại có thể yêu cầu bộ định tuyến chuyển hướng mạng đến các địa chỉ IP từ xa trên Internet (thay vì địa chỉ IP cục bộ) và bộ định tuyến sẽ tuân thủ. Trên một số bộ định tuyến dựa trên Linux, có thể khai thác UPnP để chạy các lệnh trên bộ định tuyến. (Nguồn) Trang web liệt kê nhiều vấn đề khác như vậy.

    Đây co phải vân đê? Vâng! Hàng triệu bộ định tuyến trong tự nhiên dễ bị tổn thương. Nhiều nhà sản xuất bộ định tuyến đã không làm tốt công việc bảo mật các triển khai UPnP của họ.

    Tín dụng hình ảnh: Ben Mason trên Flickr

    Bạn nên vô hiệu hóa UPnP?

    Khi tôi bắt đầu viết bài đăng này, tôi dự kiến ​​sẽ kết luận rằng lỗ hổng của UPnP là khá nhỏ, một vấn đề đơn giản là giao dịch một chút bảo mật để thuận tiện. Thật không may, có vẻ như UPnP có rất nhiều vấn đề. Nếu bạn không sử dụng các ứng dụng cần chuyển tiếp cổng, chẳng hạn như ứng dụng ngang hàng, máy chủ trò chơi và nhiều chương trình VoIP, bạn có thể nên tắt hoàn toàn UPnP. Những người dùng nặng các ứng dụng này sẽ muốn xem xét liệu họ có sẵn sàng từ bỏ một số bảo mật để thuận tiện hay không. Bạn vẫn có thể chuyển tiếp các cổng mà không cần UPnP; nó chỉ là một công việc nhiều hơn một chút. Kiểm tra hướng dẫn của chúng tôi để chuyển tiếp cổng.

    Mặt khác, các lỗ hổng bộ định tuyến này không được sử dụng tích cực trong tự nhiên, vì vậy khả năng thực tế là bạn sẽ gặp phải phần mềm độc hại khai thác lỗ hổng trong quá trình triển khai UPnP của bộ định tuyến của bạn là khá thấp. Một số phần mềm độc hại sử dụng UPnP để chuyển tiếp các cổng (ví dụ như sâu Conficker), nhưng tôi không bắt gặp một ví dụ về một phần mềm độc hại khai thác các lỗ hổng bộ định tuyến này.

    Làm thế nào để tôi vô hiệu hóa nó? Nếu bộ định tuyến của bạn hỗ trợ UPnP, bạn sẽ tìm thấy một tùy chọn để vô hiệu hóa nó trong giao diện web của nó. Tham khảo hướng dẫn sử dụng bộ định tuyến của bạn để biết thêm thông tin.


    Bạn có không đồng ý về bảo mật của UPnP không? Để lại một bình luận!