o que é secure_mode (miniupnpd.conf)

1

Eu estou tentando configurar o miniupnpd (servidor UPnP), mas por favor, indique se você entende miniupnpd.conf secure_mode.

Quando definido como secure_mode = yes, o miniupnpd atribuirá o endereço IP da rede local ao cliente.

tudo bem?

secure_mode

Existe um comentário no miniupnpd.conf da seguinte forma:

link

# Secure Mode, UPnP clients can only add mappings to their own IP
#secure_mode=yes
secure_mode=no

Eu entendi que secure_mode é aquele que atribui o endereço IP local ao cliente.

plano de fundo

Por que fiz uma pergunta como essa, a pesquisa do Google por secure_mode atingiu informações sobre vulnerabilidade.

CVE-2016-10185

An issue was discovered on the D-Link DWR-932B router. A secure_mode=no line exists in /var/miniupnpd.conf.

Embora pareça ser uma vulnerabilidade de roteador limitado da D-Link, a configuração secure_mode = no é a configuração padrão no miniupnpd.conf.

Eu li o código de reprodução . esta vulnerabilidade parece ser "restrição de acesso por endereço IP não está terminado e secure_mode = não".

As restrições de acesso são as seguintes.

allow 1024-65535 192.168.0.0/24 1024-65535
deny 0-65535 0.0.0.0/0 0-65535

pergunta

CVE-2016-10185 é escrito apenas como "Não escreva secure_mode = no", mas não é assim, pois não está restringindo o acesso.

Ou seja, se secure_mode = yes, o miniupnpd atribuirá o endereço IP da rede local ao cliente. Portanto, eu entendo que você pode restringir o acesso, mesmo se secure_mode = no estiver definido. tudo bem?

    
por miwarin 09.10.2018 / 07:47

1 resposta

3

miniupnpd will assign the IP address of the local network to the client.

Não, o UPnP não atribui endereços IP (o DHCP faz isso). O UPnP neste contexto adiciona mapeamentos , regras de firewall que permitem conexões através do NAT. Isso em geral é uma ideia perigosa, seja em secure_mode ou não:

# Secure Mode, UPnP clients can only add mappings to their own IP

Embora as restrições de acesso não permitam conexões a portas baixas (portas conhecidas ou de sistema, < 1024) na rede local, elas não protegem nada que esteja escutando em outras portas. O secure_mode = yes verifica se o cliente está solicitando uma regra de firewall para si mesmo.

Cenário com secure_mode = no :

  1. Alguém encomenda um Smart Dishwasher da China, incorporado com um malware. Ele está conectado à rede da sua empresa usando Wi-Fi e possui endereço IP atribuído por DHCP 192.168.0.196 .
  2. Você tem um servidor da Web interno na porta HTTP alternativa 8080, http://192.168.0.20:8080/ .
  3. A lava-louças solicita que seu miniupnpd permita o acesso a 192.168.0.20:8080 .
  4. Todos têm acesso ao seu servidor da web interno.

Com secure_mode = yes , o diswasher tem que fazer algo mais ativo, por exemplo, executar como um proxy reverso ou realmente roubar os dados e enviá-lo embora. A máquina de lavar louça também pode ser qualquer dispositivo BYOD!

    
por 09.10.2018 / 09:17