UPnP是否是安全风险?

image

默认情况下,UPnP在许多新路由器上启用。 有一点,联邦调查局和其他安全专家建议出于安全原因禁用UPnP。 但是UPnP如何安全? 在使用UPnP时,我们是否为了方便交易安全?

UPnP的全称是“通用即插即用”使用UPnP,应用程序可以自动转发您的路由器端口,节省您的麻烦手动转发端口 我们将查看人们建议禁用UPnP的原因,以便我们能够清楚地了解安全风险。

图片来源: Flickr上comedy_nose

您的网络上的恶意软件可以使用UPnP

设法感染本地网络上的计算机的病毒,特洛伊木马,蠕虫或其他恶意程序可以使用UPnP,就像合法程序一样。 虽然路由器通常阻塞传入连接,防止一些恶意访问,但UPnP可能允许恶意程序完全绕过防火墙。 例如,一个木马可以在你的计算机上安装一个远程控制程序,并在您打开一个洞路由器的防火墙 ,允许从互联网24/7访问您的计算机。 如果UPnP被禁用,程序无法打开端口 - 虽然它可以绕过防火墙在其他方式和电话回家。

这是一个问题? 是。 没有绕过这一个 - UPnP假定本地程序是可信的,并允许他们转发端口。 如果恶意软件无法转发端口对您很重要,您需要禁用UPnP。

FBI告诉人们禁用UPnP

接近2001年年底,联邦调查局的国家基础设施保护中心建议所有用户禁用UPnP,因为Windows XP中的缓冲区溢出。 这个bug是由一个安全补丁修复的。 NIPC后来发现这个建议的修正,他们意识到问题不在UPnP本身。 来源

这是一个问题? 否。虽然有些人可能还记得NIPC的咨询,并有UPnP的负面看法,这个建议在当时被误导和具体问题是由Windows XP的补丁十多年前固定。

image

图片来源: 卡斯滕·洛伦岑在Flickr

Flash UPnP攻击

UPnP不需要用户的任何种类的认证。 在您的计算机上运行的任何应用程序可以要求路由器通过UPnP转发端口,这就是为什么上面的恶意软件可以滥用UPnP。 你可以假定你是安全的,只要没有恶意软件在任何本地设备上运行 - 但你可能是错的。

闪存的UPnP攻击是在2008年发现了一个特制的Flash小程序,您的浏览器内的Web页面上运行,可以发送一个请求的UPnP到路由器,并要求它转发端口。 例如,小程序可以要求路由器将端口1-65535转发到您的计算机,有效地将其暴露于整个互联网。 攻击者必须利用在这样做,虽然后您的计算机上运行的网络服务漏洞-使用防火墙的计算机上会帮助保护你。

不幸的是,它变得更糟 - 在一些路由器,Flash小程序可以更改主要DNS服务器与UPnP请求。 端口转发是您的最小的担心 - 恶意DNS服务器可能将流量重定向到其他网站。 例如,它可以将Facebook.com完全指向另一个IP地址 - 您的网络浏览器的地址栏会显示Facebook.com,但您使用的是由恶意组织设置的网站。

这是一个问题? 是。 我找不到任何迹象表明这是固定的。 即使它是固定的(这将是困难的,因为这是UPnP协议本身的问题),仍然使用的许多老的路由器将是脆弱的。

路由器上的错误UPnP实现

UPnP的黑客网站包含的安全问题在不同的路由器的UPnP实现方式的详细列表。 这些不一定是UPnP本身的问题; 他们经常是UPnP实现的问题。 例如,许多路由器的UPnP实现不正确地检查输入。 恶意应用程序可能会要求路由器将网络重定向到Internet上的远程IP地址(而不是本地IP地址),路由器将遵守。 在一些基于Linux的路由器上,可以利用UPnP在路由器上运行命令。 来源 )该网站列出了许多其他这样的问题。

这是一个问题? 是! 百万路由器在野外是脆弱的。 许多路由器制造商没有做好保护他们的UPnP实现的工作。

image

图片来源: 本·梅森在Flickr

应该禁用UPnP吗?

当我开始写这篇文章时,我希望得出结论,UPnP的缺陷是相当小,一个交易一点点安全的一个简单的事情为了一些方便。 不幸的是,似乎UPnP有很多问题。 如果您不使用需要端口转发的应用程序,如对等应用程序,游戏服务器和许多VoIP程序,您可能更好地完全禁用UPnP。 这些应用程序的大量用户将想要考虑他们是否准备放弃一些安全性为方便。 您仍然可以转发没有UPnP的端口; 它只是一个更多的工作。 看看我们的指南,端口转发

另一方面,这些路由器缺陷没有积极地在野外使用,所以你会遇到的恶意软件利用路由器的UPnP实现中的缺陷的实际机会是相当低的。 一些恶意软件确实使用UPnP转发端口(例如Conficker蠕虫),但我没有遇到一个恶意软件利用这些路由器缺陷的例子。

如何禁用它? 如果您的路由器支持UPnP,您会发现一个选项,在其Web界面中禁用它。 有关详细信息,请参阅路由器手册。

image


你对UPnP的安全性不同意吗? 发表评论!

赞 (0)
分享到:更多 ()