BEZPEČNOST Z TŘETÍ STRANY - DÍL 16. UPnP

UPnP – písmena, označující sadu síťových protokolů, představují slova Universal Plug and Play. Kromě toho ale také skrývají nebezpečí pro vaši síť, pokud máte zapnutou podporu UPnP na vašem routeru.

Problémy s UPnP

UPnP protokol neimplementuje žádnou autentizaci, takže UPnP zařízení musí implementovat jejich vlastní autentizační mechanismy, nebo implementovat Device Security Service. Hodně UPnP zařízení však postrádá autentizační mechanismy a standardně předpokládá, že lokální systémy a jejich uživatelé jsou plně důvěryhodní. Routery a firewally na kterých běží UPnP IGD protokol, jsou napadnutelné, protože kostra IGD implementace opomíjí standardní autentizační metodu. Například programy vytvořené v Adobe Flash jsou schopné generování specifických HTTP dotazů. Router s implementací UPnP IGD protokolu pak může být pomocí těchto dotazů kontrolován škodlivými stránkami, stačí, aby uživatel s routerem, na kterém je povoleno UPnP, tyto stránky pouze navštívil. Kód vložený do Flashového objektu na stránce pak může bez vědomí uživatele provést následující akce:

  • přesměrování interních služeb (portů) na internetovou stranu routeru (např. vystavení počítače za Firewallem akcím z Internetu, například útokům)
  • přesměrování webového administračního rozhraní zařízení (např. routeru) na internetovou stranu routeru
  • přesměrování na jakýkoliv server na Internetu, umožňující útočníkovi napadnout daný server bez odhalení útočníkovy IP adresy
  • změnit nastavení DNS, umožňující oklamání oběti (např. místo stránky internetové banky je oběti zobrazena podvodná stránka)
  • změnit přihlašovací údaje k routeru/firewallu
  • změnit nastavení PPP
  • změnit IP adresu pro webové rozhraní zařízení
  • změnit nastavení Wi-Fi

Tyto problémy se vztahují pouze k UPnP vlastnosti Firewall-hole-punching. Nevztahují se k routerům nepodporujícím UPnP, či k routerům s vypnutou podporou UPnP. Také ne všechny routery mají věci jako nastavení DNS řešeno přes UPnP, protože implementace mnoha vlastností specifikace pro routery s podporou UPnP je volitelná.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *