The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от opennews (ok) on 24-Окт-14, 20:23 
Многие реализации протокола NAT-PMP (http://en.wikipedia.org/wiki/NAT_Port_Mapping_Protocol) в SOHO-маршрутизаторах различных производителей оказались (https://community.rapid7.com/community/metasploit/blog/2014/...) подвержены уязвимости (http://www.kb.cert.org/vuls/id/184540), позволяющей удалённому неаутентифицированному атакующему изменить параметры переадресации портов, получить доступ к внутренним сетевым службам на стороне клиента и организовать перехват приватного и публичного трафика путём его перенаправление на внешний хост.


Причиной возникновения уязвимости является некорректная настройка работы NAT-PMP, применяемая во многих моделях  SOHO-маршрутизаторов и разных потребильских сетевых устройствах. RFC 6886 (https://tools.ietf.org/html/rfc6886), определяющий требования к реализациям NAT-PMP, запрещает принимать запросы на переадресацию портов, приходящие на внешний IP-адрес шлюза или через внешний сетевой интерфейс. Допускается только отправка запросов из внутренней (intranet) сети и их обработка на внутреннем IP (192.168.x.x, 172.16.x.x, 10.x.x.x). Многие производители устройств проигнорировали данное требование и обеспечили приём запросов на внешних сетевых интерфейсах, что в ситу простоты протокола NAT-PMP, подразумевающего, что запросы приходят только из intranet-сети, позволило любому внешнему злоумышленнику отправлять управляющие запросы на перенаправление сетевых портов.


Проблеме подвержены некоторые модели устройств от компаний ZyXEL, Netgear, ZTE, MikroTik, Ubiquiti, Technicolor, Speedifi, Radinet и Grandstream, в котрых, как правило, используется код свободного  UPnP/NAT-PMP-сервера miniupnp (http://miniupnp.free.fr/). В результате сканирования глобальной сети было выявлено около 1.2 млн проблемных устройств, из которых 133 тысячи находятся в России. Из данных устройств 2.5% позволяют перехватить внутренний трафик,  86% - перехватить внешний трафик, 88% - получить доступ к сетевым службам в локальной сети, 88% - вызвать отказ в обслуживании, 100% - получить информацию об устройстве (например, сведения об IP-адресах и сетевых портах).


В качестве временного решения проблемы рекомендуется отключить в настройках поддержку NAT-PMP или ограничить на межсетевом экране доступ к UDP-порту 5351. Разработчики miniupnp уже представили несколько (https://github.com/miniupnp/miniupnp/commit/16389fda3c5313bf...) изменений (https://github.com/miniupnp/miniupnp/commit/82604ec5d0a12e87...), направленных на принудительный запрет приема запросов на WAN-интерфейсе и добавление в пример файла конфигурации miniupnpd.conf (https://github.com/miniupnp/miniupnp/blob/master/miniupnpd/m...) примечания с советами о правильной настройке доступа (изначально, в примере запросы принимались и через интерфейс WAN, но блокировались через ACL).

URL: https://community.rapid7.com/community/metasploit/blog/2014/...
Новость: http://www.opennet.dev/opennews/art.shtml?num=40922

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +3 +/
Сообщение от Famman (ok) on 24-Окт-14, 20:23 
Когда я вижу подобные новости, у меня возникает один вопрос, они вообще мозги включают (писатели, внедрятели, использователи), когда что-то делают. Это какая-то уникальная способность в наши дни - думать на пару шагов вперед??? Сам по себе NAT-PMP не защищен by design, так вы еще и открываете возможность использовать его снаружи.

У Зюха железки не самые дешевые, что за быдло-кодо-сборщики там сидят...

Хотя чего я о Зюхеле, если у них, перейдя на Кинетиках с прошивки 1.Х на 2.Х, у меня сложилось впечатление, что меня за полного дауна держат, судя по интерфейсу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +3 +/
Сообщение от byu on 24-Окт-14, 21:19 
> Когда я вижу подобные новости, у меня возникает один вопрос, они вообще
> мозги включают (писатели, внедрятели, использователи), когда что-то делают.

Нет, за это не платят.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

20. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +1 +/
Сообщение от Сергей (??) on 24-Окт-14, 22:34 
> меня за полного дауна держат

За это им и платят дауны.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +1 +/
Сообщение от Аноним (??) on 25-Окт-14, 02:02 
> за полного дауна держат, судя по интерфейсу.

Не нравится? Посмотрите на openwrt, там есть печеньки. И морда где не держат за дауна. И даже конфигурационный и-фейс UCI, которым довольно удобно наруливать все из командлайна.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

27. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 25-Окт-14, 02:06 
Ну фаервол то обычно на внешнем интерфейсе все блокирует. Не знаю где они столько уязвимых устройств нашли.
Этот протокол вообще не нужен. Зачем везде пихают, да еще и включают по дефолту?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

34. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +3 +/
Сообщение от DFX (ok) on 25-Окт-14, 04:31 
Тем, кто только разглядывает весёлых котиков и слушает пережатую ворованую музычку в социалках - может быть...
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +1 +/
Сообщение от Аноним (??) on 25-Окт-14, 11:34 
> Тем, кто только разглядывает весёлых котиков и слушает пережатую ворованую музычку в
> социалках - может быть...

Зиксели и длинки как раз для таких людей, но upnp там зачем-то вкючен

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

32. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от YetAnotherOnanym (ok) on 25-Окт-14, 03:07 
> NAT-PMP не защищен by design

А как его защитить? Если юзер может прописать пароль в роутере и в ПО, использующем NAT-PMP, то ему NAT-PMP просто не нужен, ибо он с теми же усилиями может прописать на этом роутере port-forwarding, а в настройках ПО - прибить номер порта гвоздями (дать такую возможность в конфиге не сложнее, чем впихнуть NAT-PMP с паролем). Этот протокол придуман как раз для тех, у кого на это мозгов не хватает.
Можно, правда, сделать workaround - использовать тот же пароль, что и для доступа к устройству. Но тогда катастрофически повышается вероятность его спалить.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

36. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 25-Окт-14, 06:21 
купил роутер. Подключил. Все работает.
Не ожидал что его надо сканером портов мучать (к тому же не очень это умею)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

70. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 26-Окт-14, 00:03 
Наивные хомяки тоже думали что по стройке можно ходить в галстуке и без каски. А тут обана - какой-то лох с дватцатого этажа болт уронил...
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

68. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от robux (ok) on 25-Окт-14, 21:47 
Это не баг. Это фича (для АНБ).
А безопасность быдла никого не интересует.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

78. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +1 +/
Сообщение от edwin3d email(ok) on 27-Окт-14, 12:56 
Добрый день.
Знаете, Вы задали правильный вопрос. Когда-то я также задал его, когда работал в очень большой компании и видел очевидные проблемы ...знаете что мне ответил большой дядя с MBA ?: "Как мы это отразим в отчетах ? Никак. Потому - пользователи не жалуются, проблемы не существует".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +1 +/
Сообщение от Нимо Ан on 24-Окт-14, 20:25 
От MikroTik не ожидал, это всё-таки не то же самое, что SOHO-классика...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 24-Окт-14, 20:45 
Хаха, какая приятная досада владельцев [s]хипстероского[/s] распиаренного г, а также им сочувствющих.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Нимо Ан on 24-Окт-14, 20:55 
А что Вы предлагаете? Какие есть альтернативы за человеческие деньги?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Andrew (??) on 24-Окт-14, 21:02 
Вот, кстати, да, хороший вопрос.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +2 +/
Сообщение от dimqua (ok) on 24-Окт-14, 21:10 
На хороший вопрос -- хороший ответ:

> There is no "best hardware", so stop asking. Purchase something that meets your requirements.

http://wiki.openwrt.org/toh/buyerguide

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

29. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +2 +/
Сообщение от Аноним (??) on 25-Окт-14, 02:16 
> На хороший вопрос -- хороший ответ:
>> There is no "best hardware", so stop asking. Purchase something that meets your requirements.
> http://wiki.openwrt.org/toh/buyerguide

Сравнивать лего, даже создатели которого неспособны назвать хотя бы 5 100% рабочих устройств, с искоробочным устройством по цене этого лего некорректно.
И все нормально там в микртике. По дефолту служба остановлена, а в службе по дефолту внешний интерфейс блокируется, + дефолтные же правила фаервола все блокируют из интернета.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

65. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от dimqua (ok) on 25-Окт-14, 14:45 
> даже создатели которого неспособны назвать хотя бы 5 100% рабочих устройств

Наверное, это потому что их куда больше пяти. А так же потому что OpenWRT можно запустить хоть на чайнике, в отличии от.

> с искоробочным устройством по цене этого лего некорректно

Пффф. MikroTik'и -- это как раз то, что по ссылке называют "overhyped, overpriced products".

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

74. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Игнат on 26-Окт-14, 13:56 
> overpriced

O RLY?

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

26. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от bOOster email on 25-Окт-14, 02:02 
Mikrotik+FreeBSD :)))
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

71. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 26-Окт-14, 00:05 
> Mikrotik+FreeBSD :)))

А оно хотя-бы  загружается? А то на RouterStation уже портировали. Так портировали что девайс аж с конвеера снять успели быстрее чем появился внятный порт. Как обычно, в общем :).

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

6. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +5 +/
Сообщение от Andrew (??) on 24-Окт-14, 21:00 
В RouterOS, в общем случае, все инртерфейсы равноправны. Какой из интерфейсов WAN- решает администратор, а не ОС. В настройках UPnP есть возможность выбрать активные интерфейсы. По-умолчанию служба UPnP вообще отключена. Если криворукий админ включил ее на всех интерфейсах, не разбираясь, что и зачем он делает, это НЕ проблема вендора.

Вывод: Микротик в данном конкретном случае не виноват, и мне не понятно, зачем авторы этого исследования на него бочку катят.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  –2 +/
Сообщение от Аноним (??) on 24-Окт-14, 22:00 
> В RouterOS, в общем случае, все инртерфейсы равноправны. Какой из интерфейсов WAN-
> решает администратор, а не ОС.

В openwrt тоже. Это правда еще от устройства железяки зависит. Скажем железку с 5-портовым свичом можно хоть там как пилить VLANами на независимые группы, трафф между которыми - только через проц. А если у кого WAN выделенным портом - ну он выделенный порт, это на уровне подключения к процу так. Хотя свич при этом опять же можно порезать на дополнительные группы, это не совсем эквивалентно по скорости. В том плане что выделенный хардварный и-фейс - быстрее чем свич распиленый вланами, где трафф в проц пхается.

> делает, это НЕ проблема вендора.

Прикольное выгораживание микротика.

> зачем авторы этого исследования на него бочку катят.

Если находятся такие девайсы - значит и их касается.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

28. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  –1 +/
Сообщение от bOOster email on 25-Окт-14, 02:13 

> группы, трафф между которыми - только через проц. А если у
> кого WAN выделенным портом - ну он выделенный порт, это на
> уровне подключения к процу так. Хотя свич при этом опять же
> можно порезать на дополнительные группы, это не совсем эквивалентно по скорости.

Да?
> В том плане что выделенный хардварный и-фейс - быстрее чем свич

Хыхы. То есть ты нам тут задвигаешь что  Routing Layer 3 оказывается быстрее Layer 2/ARP по модели OSI? :)))
> распиленый вланами, где трафф в проц пхается.

То есть в хардварном варианте походу "Святой Дух" свитчеванием занимается, а в случае VLAN проц?? :)))))))

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

31. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  –1 +/
Сообщение от Аноним (??) on 25-Окт-14, 02:24 
Вообще, там есть 1 или несколько свичей, которые могут что-то делать без отправки в ядро (в т ч маршрутизировать между своими портами, маркировать вланы или блокировать какой-то трафик (до 30 правил фаерфола)) Это все хардварно и естественно быстрее чем программно. Они там используют термин fibre speed вроде, т е скорость ограничена только каналом.
Между свичами связь уже через ядро. ееще можно 1 свчи разбить на сколько угодно поменьше со связью через ядро, т к вланы в обычном случае и не требуются.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

38. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от bOOster email on 25-Окт-14, 11:36 
switch и там работают только на уровне Layer2 (VLAN тоже на этом уровне крутиться). Layer3 всегда идет через центральный проц.  Выделенные интерфейсы в системе ethX (Linux) или (argeX) FreeBSD - это чисто виртуальные интерфейсы, работающие внутри switch кристалла на том-же VLAN принципе.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

72. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  –1 +/
Сообщение от Аноним (??) on 26-Окт-14, 00:16 
>> можно порезать на дополнительные группы, это не совсем эквивалентно по скорости.
> Да?

Да. Если к процу от свича идет такой же гигабитный линк как остальные порты - подумайте о том что если например мы гоняем трафф между гигабитным wan и гигабитным lan - в одну сторону гигабит (потенциально дуплексный) и в другую - гигабит (дуплексный). То-есть в сумме - четыре гигабитных потока.

А проц по гигабитному может разрулить только два - на вход и выход. Так что если интерфейсы сделаны как разбивка свича вланами и и-фейс к процу с той же скоростью что и прочие - все упрется в и-фейс проца. И на дуплексном потоке проц даже чисто теоретически может лишь половинку от гигабита (в данном примере).

> Хыхы. То есть ты нам тут задвигаешь что  Routing Layer 3
> оказывается быстрее Layer 2/ARP по модели OSI? :)))

То-есть, я задвигаю что если к процу от свича идет такой же по скорости линк как остальные порты - упрется в скорость этого линка. В допущении что проц вообще выдюжит, например крупными пакетами и без крутых правил.

> То есть в хардварном варианте походу "Святой Дух" свитчеванием занимается, а в
> случае VLAN проц?? :)))))))

Пойнт VLAN обычно в получении нескольких изолированных зон - "локалок" с пропуском траффика через проц, то-бишь, L3 роутинг + потенциально фаер и нат.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

41. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  –1 +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 11:40 
>В RouterOS, в общем случае, все инртерфейсы равноправны. Какой из интерфейсов WAN- решает администратор, а не ОС. В настройках UPnP есть возможность выбрать активные интерфейсы. По-умолчанию служба UPnP вообще отключена. Если криворукий админ включил ее на всех интерфейсах, не разбираясь, что и зачем он делает, это НЕ проблема вендора.

Наглое циничное враньё человека не разбирающегося в сабже. Там применяется обыкновенный soft switch, но при этом wan идёт отдельным чипом.

>Вывод: Микротик в данном конкретном случае не виноват, и мне не понятно, зачем авторы этого исследования на него бочку катят.

Микротик это такой же форк древнего wrt как и зюксель. Только микротик еще и наглые воры.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

46. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от zelfix on 25-Окт-14, 12:44 
микротик микротику рознь. В ccr ты точно выделенного wan порта не найдешь
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

48. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 13:04 
В новости нет железок аналогичных CCR.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

52. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Andrew (??) on 25-Окт-14, 13:13 
В новости вообще не упоминаются конкретный железки, только вендоры. Операционка (RouterOS) на всех устройствах от Микротик одинаковая, только собрана для разных аппаратных платформ (каковых в настоящее время поддерживается пять). Различия в интерфейсе конфигурации и настройках по-умолчанию от железки к железке минимальны.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

55. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 13:26 
Ты же однозначно написал про равноправность портов, а на том же 951-м микротике это не так. А то что вечно недоделанная поделка под названием routeros везде одинаковая это я знаю.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

57. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Andrew (??) on 25-Окт-14, 13:31 
Вы про какой именно 951й? Их три разных есть.
В любом случае, в любом из этих трёх, все 5 портов включены в один чип коммутатора, и преимуществ друг перед другом не имеют.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

60. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 13:41 
> Вы про какой именно 951й? Их три разных есть.
> В любом случае, в любом из этих трёх, все 5 портов включены
> в один чип коммутатора, и преимуществ друг перед другом не имеют.

951ui-2hnd два разных чипа, врать не надо, это даже на их сайте написано, что там только WAN.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

62. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Andrew (??) on 25-Окт-14, 14:21 
Я такой информации не нашел, дайте ссылку, пожалуйста.
Только прошу учесть, что то, что там первый порт поддерживает PoE-in, а пятый- PoE-out не может быть индикатором того, что эти порты как-то по-особому подключены к чипу коммутатора или к CPU. Тем более, что там не настоящий PoE, а примитивный вариант ни с чем, кроме самого Микротика не совместимый.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

64. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +1 +/
Сообщение от Andrew (??) on 25-Окт-14, 14:31 
> Я такой информации не нашел, дайте ссылку, пожалуйста.

Нашел, не нужно ссылок. Я был прав, Вы- нет.
Читать здесь: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#In...
В табличке находим:

RouterBoard: RB951Ui-2HnD
Switch-chip description: Atheros8227 (ether1-ether5)

То есть 5 из 5 портов подключены к switch-chip-у, даже модель указана.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

47. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +2 +/
Сообщение от Andrew (??) on 25-Окт-14, 12:58 
> Наглое циничное враньё человека не разбирающегося в сабже. Там применяется обыкновенный soft switch, но при этом wan идёт отдельным чипом.

Зато Вы, видимо, эксперт.

Начнем с того, что "soft switch"- это устоявшийся термин из области VoIP. Что такое "soft switch" применительно к сетям передачи данных мне не ведомо.

Во-вторых, вы о какой конкретно железке?

Во всех без исключения ныне выпускаемых SOHO-моделях все порты физически включены в один коммутатор, и в общем случае равноправны (исключение- серия 2011, в которой установлено сразу 2 коммутатора, но и здесь все порты, включая SFP, физически подключены к одному из них). Снаружи порты просто пронумерованы, ни один из них даже цветом не выделен, как WAN. В настройках по-умолчанию, как правило, первый порт не входит ни в одну из "switch-group", и по-факту используется как WAN, но это легко можно изменить, что очень часто и происходит на практике (несколько напримеров, когда это необходимо: (1) Mlti-WAN; (2) на 2011 с SFP иногда именно SFP используется как WAN; (3) на том же 2011 зачастую есть смысл использоваться для WAN 100-мегабитный порт [один из 6 по 10], а не гигабитный [гигабитные- с 1 по 5]).

В серии CCR аппаратный коммутатор вообще отсутствует, и все порты имеют непосредственную связь в CPU (учитывая, что самое дешевое устройство из этой серии имеет на борту 9-ядерный CPU, программный бридж работает достаточно быстро, чтобы в отдельном аппаратном коммутаторе не было необходимости).

Серия CRS- это вообще в первую очередь управляемый коммутатор. Здесь также все 8 или 24 порта (в зависимости от модели) не имеют прямой связи с CPU, и в общем случае равноправны.

Также есть модели, в которых всего от 1 до 3 портов, и коммутатор отсутствует.

Единственная модель, в которой один порт как-то сильно отличается от всех остальных- это 450G, в которой первый порт гибридный, и в зависимости от настроек ПО, подключен либо к коммутатору, либо непосредственно к CPU. Вот только 450G уж точно не для SOHO-рынка предназначен.

Так же еще раз повторюсь, что UPnP по-умолчанию отключен, через QuickSet (админка для даунов) не включается, и требует явного указания активных портов в настройках.

> Микротик это такой же форк древнего wrt как и зюксель.

Эм... Я ничего не знаю про "зюксель", однако... Первый коммит в репозитории OpenWRT датирован 28 марта 2004 года. Первая версия RouterOS была выпущена в 1997 году, а в 2002 году Микротик начал выпускать железо под собственным брэндом.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

50. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  –1 +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 13:10 
>Начнем с того, что "soft switch"- это устоявшийся термин из области VoIP. Что такое "soft switch" применительно к сетям передачи данных мне не ведомо.

Коммутатор на одном чипе, порты разделены вланами. А вот wan там как раз отдельным чипом.

>CCR, CRS

Вообще-то в новостях написано про soho железки, если вы не заметили.

>Эм... Я ничего не знаю про "зюксель", однако... Первый коммит в репозитории OpenWRT датирован 28 марта 2004 года. Первая версия RouterOS была выпущена в 1997 году, а в 2002 году Микротик начал выпускать железо под собственным брэндом.

unpacknpk.py вам в руки. И любуйтесь украденным. Но что характерно бизибокс они не положили, предпочли bash, наглые и трусливые воришки.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

53. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Andrew (??) on 25-Окт-14, 13:17 
> Вообще-то в новостях написано про soho железки, если вы не заметили.

Повторюсь.

В новости вообще не упоминаются конкретный железки, только вендоры. Операционка (RouterOS) на всех устройствах от Микротик одинаковая, только собрана для разных аппаратных платформ (каковых в настоящее время поддерживается пять). Различия в интерфейсе конфигурации и настройках по-умолчанию от железки к железке минимальны.

> unpacknpk.py вам в руки. И любуйтесь украденным. Но что характерно бизибокс они не положили, предпочли bash, наглые и трусливые воришки.

В 6.20 именно BusyBox. Bash-ем там "и не пахнет". Лично проверял несколько недель назад (в процессе вот этого обсуждения: http://forum.mikrotik.com/viewtopic.php?f=2&t=89528).

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

58. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  –1 +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 13:36 
> В 6.20 именно BusyBox. Bash-ем там "и не пахнет". Лично проверял несколько
> недель назад (в процессе вот этого обсуждения: http://forum.mikrotik.com/viewtopic.php?f=2&t=89528).

А ну да пардон, ash это бизибокс. Что еще упоротей с их стороны.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

82. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Бомбануло on 29-Окт-14, 14:05 
Не надоело позориться? Поучи матчасть, а потом уже лезь в разговор к умным людям.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

80. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от edv on 28-Окт-14, 20:02 
Спасибо за подборку информации, а то уж глаза округляться начали от этого троля.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

16. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +2 +/
Сообщение от Аноним (??) on 24-Окт-14, 21:56 
> не то же самое, что SOHO-классика...

Это обычное хомяковое железо, чаще всего атерос, на котором запустили опаскуженный вариант дебиана. Почему опаскуженный? А потому что сделать дебиан какой-то полупроприетарной системой на которую сорц получить гемор - редкое паскудство.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

45. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 11:45 
>полупроприетарной

100% проприентарной. С невозможностью делать сторонними модулями и подписями прошивок. Благо там tftp есть и устройства прошиваются в нужный тебе девайс.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

73. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 26-Окт-14, 00:21 
> 100% проприентарной.

Ну там вроде можно сорц запросить. Но без бинарных компонентов и максимально геморно. Уродская фирмочка, скажем прямо. В том плане что пересобрать их мегакостылище малой кровью не получится. Что впрочем к лучшему.

> Благо там tftp есть и устройства прошиваются в нужный тебе девайс.

Да бэкдорнутая система по сути. Какими-то лицензиями еще барыжат, куча фаготов. И кстати там проприетарный бутлоадер. Вообще-то с таким не поздравляют - а ты его код проверял? А то мало ли что он окромя tftp умеет...


Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

49. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Andrew (??) on 25-Окт-14, 13:06 
> Это обычное хомяковое железо, чаще всего атерос, на котором запустили опаскуженный вариант дебиана.

Очень разное железо (в том числе и "обычное хомяковое").
И что дает Вам основания утверждать, что RouterOS- это вариант Debian?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

51. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 13:13 
> Очень разное железо (в том числе и "обычное хомяковое").
> И что дает Вам основания утверждать, что RouterOS- это вариант Debian?

Вы абсолютно не понимаете откуда идут корни wrt, routeros и emdebian. Это наглые циничные воришки, которые еще умудряются утверждать, что routeros их разработка.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

54. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Andrew (??) on 25-Окт-14, 13:24 
> Вы абсолютно не понимаете откуда идут корни wrt, routeros и emdebian.

Проверяйте источники, уважаемый. История Embedian началась в 200 году (пруф: http://www.emdebian.org/about/history.html), а первая версия RouterOS, как я уже писал, увидела свет в 1997.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

56. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Andrew (??) on 25-Окт-14, 13:26 
> История Embedian началась в 200 году

Пардон, опечатался. Имелось в виду в 2000 (двухтысячном), конечно же.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

59. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 13:40 
>> Вы абсолютно не понимаете откуда идут корни wrt, routeros и emdebian.
> Проверяйте источники, уважаемый. История Embedian началась в 200 году (пруф: http://www.emdebian.org/about/history.html),
> а первая версия RouterOS, как я уже писал, увидела свет в
> 1997.

Ага, и uclibc случайно 2010 года там оказался? Только сейчас вы скажете "вы всё врети"! Ведь роутерос возникла раньше чем uclibc!

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

10. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +1 +/
Сообщение от Нанобот (ok) on 24-Окт-14, 21:10 
Таким образом мы в очередной раз убеждаемся, что роутеры д-линк защищены лучше, чем какой-то непонятный мокротык
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +1 +/
Сообщение от Аноним (??) on 25-Окт-14, 01:55 
> Таким образом мы в очередной раз убеждаемся, что роутеры д-линк защищены лучше,
> чем какой-то непонятный мокротык

Сравнили, блин, одно - навоз, другое - гуано. Разница, панимаишь!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

35. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от DFX (ok) on 25-Окт-14, 04:34 
Ну так, любит народ разбираться в сортах ;]
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

81. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от anonymus on 29-Окт-14, 03:14 
> Таким образом мы в очередной раз убеждаемся,
> что роутеры д-линк защищены лучше,
> чем какой-то непонятный мокротык

Ну да, у микротик защиты от дурака нет, он вообще не для них рассчитан. Напоминает новости о "взломах" линукс-прошивок, когда просканили сеть и нашли десятки тысяч роутеров с дефолтными паролями.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

84. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Андрей (??) on 06-Ноя-14, 23:42 
MikroTik проблеме не подвержен!!! читайте внимательно оригинал!

"MikroTik Not affected"

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

14. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 24-Окт-14, 21:38 
Онлайн сканер портов пишет, что 5351 закрыт. Значит у меня всё нормуль?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 24-Окт-14, 21:46 
nmap -sU -p5351 127.0.0.1
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 24-Окт-14, 22:01 
> nmap -sU -p5351 127.0.0.1

Сканить нмапом локалхост - это конечно очень показательно :).

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 24-Окт-14, 22:58 
а ты хотел что бы я тебе свой айпи оставил?
я надеялся на твою смекалку, что ты сам удаленно просканишь сам себя
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

75. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от XoRe (ok) on 26-Окт-14, 19:42 
> nmap -sU -p5351 127.0.0.1

Мусье сидит с роутера?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

30. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от bOOster email on 25-Окт-14, 02:22 
> Онлайн сканер портов пишет, что 5351 закрыт. Значит у меня всё нормуль?

UPnP отключать сразу и навсегда. Тянет это за собой, правда проблемы с NAT Traversal, особенно для SIP девайсов, достаточно потом гимморно заставить их работать - но думаю безопасность дороже.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

33. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от YetAnotherOnanym (ok) on 25-Окт-14, 03:11 
> UPnP отключать сразу и навсегда. Тянет это за собой, правда проблемы с
> NAT Traversal, особенно для SIP девайсов, достаточно потом гимморно заставить их
> работать - но думаю безопасность дороже.

В Linphone, емнип, номер порта для голоса можно задать руками, а на роутере - статичнвый форвардинг.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

39. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от bOOster email on 25-Окт-14, 11:39 
>> UPnP отключать сразу и навсегда. Тянет это за собой, правда проблемы с
>> NAT Traversal, особенно для SIP девайсов, достаточно потом гимморно заставить их
>> работать - но думаю безопасность дороже.
> В Linphone, емнип, номер порта для голоса можно задать руками, а на
> роутере - статичнвый форвардинг.

Ну ты не мне это объясняй, а домохозяйке какой-нибудь :)

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

19. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 24-Окт-14, 22:15 
openwrt данная проблема не затрагивает )))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  –1 +/
Сообщение от Аноним (??) on 25-Окт-14, 11:40 
> openwrt данная проблема не затрагивает )))

Поди его и не проверяли т к неуловимый.
Лезть со своими перешитыми длинками и говорить, что у вас надежное устройство корп класса... Утомили уже...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

43. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  –1 +/
Сообщение от bOOster email on 25-Окт-14, 11:42 
>> openwrt данная проблема не затрагивает )))
> Поди его и не проверяли т к неуловимый.
> Лезть со своими перешитыми длинками и говорить, что у вас надежное устройство
> корп класса... Утомили уже...

кастомные прошивки, собранные с "любовью" под себя каким нибудь спецом НА 10 ПОРЯДКОВ надежнее рядовых поделок от производителей оборудования.
Или ты щас будешь говорить что спец, собирая под себя прошивку, гадить туда чтоли будет???

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

44. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 11:43 
>> openwrt данная проблема не затрагивает )))
> Поди его и не проверяли т к неуловимый.
> Лезть со своими перешитыми длинками и говорить, что у вас надежное устройство
> корп класса... Утомили уже...

Да тут в сабже вообще ни одного устройства корп класса нет. Зачем ты его приплел?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от bOOster email on 25-Окт-14, 11:40 
> openwrt данная проблема не затрагивает )))

Всех затрагивает. И openWrt с включенным  UPnP

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

61. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 13:47 
Неа :) Там оно по умолчанию только в lan светится.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

63. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Andrew (??) on 25-Окт-14, 14:25 
В RouterOS оно по-умолчанию вообще нигде не светится, тем не менее это не помешало Вам развести полемику на пару десятков сообщений о том, что кривые руки админов- это проблема вендора. Двойные стандарты, не находите?
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

67. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от commiethebeastie (ok) on 25-Окт-14, 16:37 
А теперь ссылку мой дорогой друк.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

69. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Andrew (??) on 25-Окт-14, 22:56 
Прошу: http://wiki.mikrotik.com/wiki/Manual:IP/UPnP

Sub-menu: /ip upnp
...
enabled (yes | no ; Default: no)

По-умолчанию выключено. Это раз.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

76. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от commiethebeastie (ok) on 26-Окт-14, 22:13 
Ссылку про то что я устроил полемику по upnp.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

21. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +1 +/
Сообщение от Ivan_83 email on 24-Окт-14, 22:36 
Ещё часто вешают на 49152

Проброс портов добавляется так:

POST /upnp/control/WANIPConn1 HTTP/1.1
HOST: 192.168.1.254:49152
CONTENT-LENGTH: 610
CONTENT-TYPE: text/xml; charset="utf-8"
SOAPACTION: "urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping"

<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1">
<NewPortMappingDescription>DESCR</NewPortMappingDescription>
<NewLeaseDuration>0</NewLeaseDuration>
<NewInternalClient>192.168.1.18</NewInternalClient>
<NewEnabled>1</NewEnabled>
<NewExternalPort>20003</NewExternalPort>
<NewRemoteHost></NewRemoteHost>
<NewProtocol>TCP</NewProtocol>
<NewInternalPort>3389</NewInternalPort>
</u:AddPortMapping>
</s:Body>
</s:Envelope>

Там ещё есть xml файл со всякой инфой о девайсе.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от ABATAPA email(ok) on 25-Окт-14, 01:09 
В логах:
Oct 25 01:04:36 miniupnpd[236]: SSDP packet sender 198.23.193.50:43272 not from a LAN, ignoring
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Xaionaro email(ok) on 27-Окт-14, 09:56 
Никто не подскажет ссылочку на список подверженных устройств? Конкретно меня интересуют Grandstream-ы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

83. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от Аноним (??) on 04-Ноя-14, 12:49 
Такая дыра, явно заказного характера.
Раз зделали значит комуто сильно надо было сию фичу...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "Уязвимость в настройке NAT-PMP позволяет управлять трафиком ..."  +/
Сообщение от GITHUB on 06-Апр-15, 23:20 
Дыру запатчили раньше чем статью успели перевести )) https://github.com/miniupnp/miniupnp/commit/16389fda3c5313bf...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру