При проектировании продуктов или протоколов часто предназначен компромисс. Часто это за удобство вместо безопасности, например, при сочетании WPS для устройств Wi-Fi или UPNP, что позволяет устройствам открывать свои собственные порты в Интернет через брандмауэр. Но знаете ли вы, что есть еще один сетевой протокол, который похож на UPNP в сфере, который вы, вероятно, должны выключить в своем маршрутизаторе?

Это называется NAT-PMP или протокол сопоставления портов перевода сетевого адреса, который позволяет устройству в вашей домашней сети попросить маршрутизатор перенаправить трафик NAT из внешнего источника на него. В отличие от UPNP, NAT-PMP требует некоторой конфигурации, чтобы работать правильно и надежно, но даже тогда это все еще является потенциальным риском безопасности. Если ни один из ваших устройств не использует NAT-PMP, вам, вероятно, следует выключить его в своем роутере, или вы можете отключить его на основе каждого устройства, если у вас есть несколько устройств, которые его используют. Часто устройства Apple или приложения используют сервис Apple Bonjour, которые используют NAT-PMP, так что это хорошее место для начала искать.

4

Это неуверенно

Это может облегчить жизнь вашего производителя маршрутизатора, но это кошмар для вас

Как и UPNP, NAT-PMP был разработан, чтобы быть легким, простым и использованным там, где клиентам в сети достаточно доверяют. Если вы видите, куда это происходит, вы будете встревожены, обнаружив, что вы правы, потому что это означает, что он не имеет значимых возможностей безопасности, встроенных в протокол. RFC для протокола говорит использовать IPSEC для шифрования всего вашего сетевого трафика, если вы заботитесь о безопасности, поэтому предполагается, что он небезопасен с самого начала. Вы можете реализовать NAT-PMP таким образом, чтобы ограничить, какие сети, интерфейсы или клиенты могут использовать протокол, что не делает его более безопасным, но сужает поиск, если и или когда что-то идет не так.

Если устройство Gateway, работающее NAT-PMP, неверно настроено, оно может позволить несколько серьезных проблем безопасности, в том числе:

• Злоугодные манипуляции с картированием NAT-PMP: Если нет списков контроля доступа, то, что клиенты могут пересылать, злоумышленники могут перехватить трафик TCP и UDP от внутренних клиентов, отправленных на устройство NAT-PMP, или внешний трафик TCP и UDP, доступ к услугам за устройством NAT или атаки DDOS на маршрутизатор.
• Перехват внутреннего сетевого трафика: Это идет дальше, чем просто перехват внутреннего трафика, связанный с устройством NAT-PMP, поскольку оно также может включить атаки на основе DNS на внутренние устройства и перенаправить их запросы HTTP или HTTPS на внешние злонамеренные хосты.
• Перехват внешнего трафика: В некоторых случаях внешние злоумышленники могут перехватывать данные, поступающие из Интернета в устройство NAT-PMP.
• Доступ к внутренним клиентам NAT
• DDO против устройства NAT-PMP
• Раскрытие информации о сетевой архитектуре: Это дает злоумышленникам дорожную карту для навигации и увидеть другие уязвимые устройства.

Хотя многие из этих проблем были вызваны из-за проблем с MiniupNP, которые предприняли шаги, чтобы смягчить их, они все еще потенциальные проблемы для всех, кто использует NAT-PMP. В 2014 году к Интернету было прикреплено около 1,2 миллиона устройств, прикрепленных к Интернету, которое сканировало общедоступный Интернет, чтобы увидеть, сколько устройств включено NAT-PMP, и были уязвимы для различных недостатков, которые мы только что упомянули.

3

Это больше не нужно

Современные устройства перешли на другие способы обработки портов

Nat-PMP более безопасен по дизайну, чем UPNP, но в наши дни он все еще не нужен. Он был заменен PCP (протокол управления портом) в 2013 году, который добавил поддержку IPv6, больше ограничений на то, как можно создавать сопоставления, и способ расширить протокол PCP, чтобы включить аутентификацию и методы доступа, отсутствующие из предыдущих протоколов, выполняющих аналогичную функцию. Я не совсем уверен, что использует PCP, кроме корпоративных сетевых приборов, но в любом случае вы будете запускать его с помощью методов аутентификации, поэтому поверхность атаки значительно уменьшена.

2

Безопаснее контролировать, какие устройства могут открывать порты

Пора узнать немного о пересылке портов, чтобы сохранить домашнюю сеть от проблем

В то время как NAT-PMP может быть полезным инструментом для удобства, многим пользователям интернета не нравится мысль о чем-либо открытии портов в свою домашнюю сеть, не зная об этом. Я также твердо в том же лагере и предпочитаю, чтобы мое использование в Интернете было как можно более нулевым достопримечательностью. Мне нравится знать, какие программы и устройства открывают порты снаружи, и контролировать то, что они делают. NAT-PMP обоходит это, а маршрутизаторы на уровне потребителей часто не могут использовать сильные правила брандмауэра, необходимые для того, чтобы позволить только определенным устройствам использовать протокол.

Эта ситуация несколько меняется, если вы используете маршрутизатор ProSumer или тот, который вы создали, работая PfSense или Opnsense. Все эти маршрутизаторы могут установить правило отказа по умолчанию и дополнительную белую листингу, так что только авторизованные устройства могут использовать протокол NAT-PMP. Таким образом, вы можете иметь явно определенные направления портов для большинства устройств, и несколько устройств, которые используют NAT-PMP и доверяют, могут использовать протокол. По -прежнему лучше полностью отключить его и посмотреть, сколько ваших устройств показывают, что они испытывают проблемы. Вы можете даже не заметить, что он не работает.

1

Улвнативное ПО может использовать его для изготовления ботнеров

Да, нам тоже не нравится, как наша домашняя сеть также используется для преступления

Любая услуга, которая может создавать подключения к Интернету из вашей внутренней сети без аутентификации или одобрения, вредна для безопасности, даже если она никогда не используется для гнусных целей. У вас не будет чего -то в вашем доме, что откроет входную дверь, заднюю дверь и несколько окон, если бы незнакомец спросил, так зачем вам делать то же самое для своей сети? UPNP и NAT-PMP снова и снова использовались для распределения вредоносных программ, ботнетов, DDOS и других типов цифровых атак.

Огромная атака DNS в 2016 году, которая в значительной степени забрала весь американский в автономном режиме в течение полудня, использовали базы данных паролей по умолчанию и легко эксплуатируемые ошибки в протоколах, таких как UPNP и NAT-PMP для командования IoT и других устройств внутри домашних сетей, чтобы провести огромную атаку DDOS против DNS, DYN. Удобство настройки этих протоколов оплачивается небезопасными сетями, и компромисс не стоит.

Вам, вероятно, больше не нужно, чтобы NAT-PMP включена, поэтому безопаснее отключить его

В то время как множество маршрутизаторов по-прежнему используют NAT-PMP в качестве опции, список устройств, которые используют его в настоящее время, довольно короткий. Он используется Apple Bonjour Service для обнаружения и легкой настройки между продуктами Apple, но отключение NAT-PMP в вашем маршрутизаторе не повлияет на многоадресные услуги, которые Bonjour использует при вашей домашней сети. Если у вас есть проблемы с некоторыми устройствами после выключения NAT-PMP, попробуйте связаться с соответствующими командами по обслуживанию клиентов, чтобы узнать, есть ли у них ручный вариант. Если нет, решите, хотите ли вы включить NAT-PMP для этих устройств или если вы хотите заменить их более безопасными вариантами. И, скорее всего, у вашего потребительского маршрутизатора даже нет NAT-PMP в качестве варианта, и в этом случае вы уже впереди игры.