web-dev-qa-db-fra.com

Quelles sont les implications sur la sécurité de l'activation de UPnP dans mon routeur domestique?

J'ai trouvé des entrées de redirection de port dans le routeur domestique que je n'ai pas configurées manuellement. Est-ce à cause de l'UPnP?

Les applications peuvent-elles simplement dire au routeur de rediriger les ports par elles-mêmes? Y a-t-il des implications de sécurité avec l'activation de UPnP?

36
Kvass

De nombreux routeurs domestiques modernes sont généralement livrés avec une fonctionnalité appelée niversal Plug and Play (UPnP) pour permettre NAT traversal en utilisant IGD Protocol . Cela signifie qu'une application peut demander au routeur "Hé, pourriez-vous s'il vous plaît laisser des ordinateurs externes me parler sur le port xxxx", puis le routeur crée un carte de port pour le port demandé.

UPnP a une variété de problèmes de sécurité, dont le principal est qu'il n'a pas d'authentification intégrée. Un exemple est PoC par Petko D. Petkov où il a montré comment Flash peut être utilisé pour envoyer des commandes UPnP à un routeur local lors de la visite d'une page malveillante. UPnP permet également aux logiciels malveillants de votre ordinateur d'ouvrir les ports et d'écouter les commandes d'un C&C Sever .

Malgré son absence depuis longtemps, l'UPnP a une longue liste de problèmes de sécurité principalement dus à une mauvaise mise en œuvre. Les chercheurs de Rapid7 ont montré que près de 81 millions d'adresses IP ont répondu à leurs demandes UPnP (rappelez-vous, ces demandes proviennent de réseaux externes), et bon nombre de ces appareils présentaient des vulnérabilités qui peuvent conduire à terminer prendre le contrôle.

Donc, mon conseil est le suivant : Si vous voulez la redirection de port, vous le voulez probablement pour une raison pour un programme spécifique, alors désactivez UPnP et mappez les ports toi même. Ce n'est pas quelque chose que vous ferez tous les jours.

44
Adi

Très probablement niversal Plug and Play est activé dans votre routeur, ce qui permet aux appareils de demander des ports redirigés sans avoir besoin d'une configuration de routeur supplémentaire.

Évidemment, cela implique également certains risques de sécurité.

10
mkl