क्या UPnP एक सुरक्षा जोखिम है?
UPnP कई नए राउटर पर डिफ़ॉल्ट रूप से सक्षम हो जाता है। एक बिंदु पर, एफबीआई और अन्य सुरक्षा विशेषज्ञों ने सुरक्षा कारणों से UPnP को अक्षम करने की सिफारिश की। लेकिन आज UPnP कितना सुरक्षित है? क्या हम UPnP का उपयोग करते समय सुविधा के लिए सुरक्षा कर रहे हैं?
UPnP का अर्थ है "यूनिवर्सल प्लग एंड प्ले।" UPnP का उपयोग करके, एक एप्लिकेशन स्वचालित रूप से आपके राउटर पर एक पोर्ट को अग्रेषित कर सकता है, जिससे आप मैन्युअल रूप से पोर्ट को अग्रेषित करने की परेशानी से बच सकते हैं। हम उन कारणों को देख रहे हैं जो लोग UPnP को अक्षम करने की अनुशंसा करते हैं, इसलिए हम सुरक्षा जोखिमों की स्पष्ट तस्वीर प्राप्त कर सकते हैं.
छवि क्रेडिट: फ़्लिकर पर comedy_nose
अपने नेटवर्क पर मैलवेयर UPnP का उपयोग कर सकते हैं
एक वायरस, ट्रोजन हॉर्स, वर्म या अन्य दुर्भावनापूर्ण प्रोग्राम जो आपके स्थानीय नेटवर्क पर एक कंप्यूटर को संक्रमित करने का प्रबंधन करता है, यूपीएनपी का उपयोग कर सकता है, ठीक उसी तरह जैसे वैध प्रोग्राम कर सकते हैं। जबकि एक राउटर सामान्य रूप से आने वाले कनेक्शन को रोकता है, कुछ दुर्भावनापूर्ण पहुंच को रोकते हुए, UPnP एक दुर्भावनापूर्ण प्रोग्राम को पूरी तरह से फ़ायरवॉल को बायपास करने की अनुमति दे सकता है। उदाहरण के लिए, एक ट्रोजन हॉर्स आपके कंप्यूटर पर एक रिमोट कंट्रोल प्रोग्राम स्थापित कर सकता है और आपके राउटर के फ़ायरवॉल में इसके लिए एक छेद खोल सकता है, जिससे इंटरनेट से आपके कंप्यूटर तक 24/7 पहुंच हो सकती है। यदि UPnP को अक्षम कर दिया गया था, तो प्रोग्राम पोर्ट को खोल नहीं सकता था - हालांकि यह फ़ायरवॉल को अन्य तरीकों से बाईपास कर सकता है और फोन होम कर सकता है.
क्या ये एक दिक्कत है? हाँ. इसके आसपास कोई नहीं मिल रहा है - UPnP मानती है कि स्थानीय कार्यक्रम भरोसेमंद हैं और उन्हें आगे के बंदरगाहों के लिए अनुमति देता है। यदि मालवेयर फॉरवर्ड पोर्ट नहीं कर पा रहा है तो आपके लिए महत्वपूर्ण है, आप UPnP को निष्क्रिय करना चाहते हैं.
एफबीआई ने यूपीएनपी को अक्षम करने के लिए लोगों को बताया
2001 के अंत के करीब, एफबीआई के नेशनल इन्फ्रास्ट्रक्चर प्रोटेक्शन सेंटर ने सभी उपयोगकर्ताओं को यूपीएनपी को विंडोज एक्सपी में बफर अतिप्रवाह के कारण अक्षम करने की सलाह दी। यह बग एक सुरक्षा पैच द्वारा तय किया गया था। एनआईपीसी ने वास्तव में इस सलाह के लिए बाद में एक सुधार जारी किया, क्योंकि उन्हें एहसास हुआ कि समस्या यूपीएनपी में ही नहीं थी। (स्रोत)
क्या ये एक दिक्कत है? नहीं. हालांकि कुछ लोग एनआईपीसी की सलाह को याद कर सकते हैं और यूपीएनपी के बारे में नकारात्मक दृष्टिकोण रखते हैं, यह सलाह उस समय गुमराह की गई थी और दस साल पहले विंडोज एक्सपी के लिए एक पैच द्वारा विशिष्ट समस्या तय की गई थी।.
छवि क्रेडिट: फ़्लिकर पर कार्स्टन लोरेंटज़ेन
फ्लैश UPnP हमला
UPnP को उपयोगकर्ता से किसी भी प्रकार के प्रमाणीकरण की आवश्यकता नहीं होती है। आपके कंप्यूटर पर चल रहा कोई भी एप्लिकेशन राउटर को UPnP पर एक पोर्ट को फॉरवर्ड करने के लिए कह सकता है, यही वजह है कि ऊपर दिया गया मैलवेयर UPnP का दुरुपयोग कर सकता है। आप मान सकते हैं कि आप तब तक सुरक्षित हैं जब तक कोई भी मैलवेयर किसी भी स्थानीय डिवाइस पर नहीं चल रहा है - लेकिन आप शायद गलत हैं.
फ्लैश यूपीएनपी अटैक 2008 में खोजा गया था। आपके वेब ब्राउजर के अंदर एक वेब पेज पर चलने वाला एक विशेष रूप से तैयार किया गया फ्लैश एप्लेट, आपके राउटर को UPnP रिक्वेस्ट भेज सकता है और इसे फॉरवर्ड पोर्ट्स से पूछ सकता है। उदाहरण के लिए, एप्लेट राउटर को आपके कंप्यूटर पर 1-65535 फॉरवर्ड पोर्ट से पूछ सकता है, प्रभावी रूप से इसे पूरे इंटरनेट पर उजागर कर सकता है। हमलावर को ऐसा करने के बाद आपके कंप्यूटर पर चल रही नेटवर्क सेवा में भेद्यता का दोहन करना होगा, हालांकि - आपके कंप्यूटर पर फ़ायरवॉल का उपयोग करने से आपकी सुरक्षा में मदद मिलेगी.
दुर्भाग्य से, यह खराब हो जाता है - कुछ राउटर पर, एक फ्लैश एप्लेट प्राथमिक DNS सर्वर को UPnP अनुरोध के साथ बदल सकता है। पोर्ट अग्रेषण आपकी चिंताओं में से कम से कम होगा - एक दुर्भावनापूर्ण DNS सर्वर अन्य वेबसाइटों पर ट्रैफ़िक को पुनर्निर्देशित कर सकता है। उदाहरण के लिए, यह पूरी तरह से एक और आईपी पते पर Facebook.com को इंगित कर सकता है - आपके वेब ब्राउज़र का पता बार Facebook.com कहेगा, लेकिन आप एक दुर्भावनापूर्ण संगठन द्वारा स्थापित वेबसाइट का उपयोग करेंगे.
क्या ये एक दिक्कत है? हाँ. मुझे ऐसा कोई संकेत नहीं मिल रहा है कि यह कभी तय किया गया था। यहां तक कि अगर यह तय किया गया था (यह मुश्किल होगा, क्योंकि यह स्वयं UPnP प्रोटोकॉल के साथ एक समस्या है), कई पुराने राउटर अभी भी उपयोग में कमजोर होंगे.
राउटर पर खराब यूपीएनपी कार्यान्वयन
UPnP Hacks वेबसाइट में विभिन्न प्रकार के रूटर्स UPnP को लागू करने के तरीके में सुरक्षा मुद्दों की एक विस्तृत सूची है। ये जरूरी नहीं कि UPnP के साथ ही समस्याएं हों; वे अक्सर UPnP कार्यान्वयन के साथ समस्याएँ हैं। उदाहरण के लिए, कई राउटर की UPnP कार्यान्वयन इनपुट की ठीक से जाँच नहीं करते हैं। दुर्भावनापूर्ण एप्लिकेशन राउटर को इंटरनेट पर दूरस्थ आईपी पते पर नेटवर्क को पुनर्निर्देशित करने के लिए कह सकता है (स्थानीय आईपी पते के बजाय), और राउटर अनुपालन करेगा। कुछ लिनक्स-आधारित राउटर पर, राउटर पर कमांड चलाने के लिए UPnP का दोहन करना संभव है। (स्रोत) वेबसाइट ऐसी कई अन्य समस्याओं को सूचीबद्ध करती है.
क्या ये एक दिक्कत है? हाँ! जंगली में लाखों राउटर असुरक्षित हैं। कई रूटर निर्माताओं ने अपने UPnP कार्यान्वयन को सुरक्षित करने का अच्छा काम नहीं किया है.
छवि क्रेडिट: फ़्लिकर पर बेन मेसन
क्या आपको यूपीएनपी को अक्षम करना चाहिए?
जब मैंने इस पोस्ट को लिखना शुरू किया, तो मुझे यह निष्कर्ष निकालने की उम्मीद थी कि UPnP की खामियां काफी मामूली थीं, कुछ सुविधा के लिए थोड़ा सा व्यापार करने का एक साधारण मामला। दुर्भाग्य से, ऐसा लगता है कि UPnP में बहुत सारी समस्याएं हैं। यदि आप उन अनुप्रयोगों का उपयोग नहीं करते हैं, जिन्हें पोर्ट फ़ॉरवर्डिंग की आवश्यकता होती है, जैसे पीयर-टू-पीयर एप्लिकेशन, गेम सर्वर और कई वीओआईपी प्रोग्राम, तो आप पूरी तरह से UPnP को अक्षम करने से बेहतर हो सकते हैं। इन अनुप्रयोगों के भारी उपयोगकर्ता इस बात पर विचार करना चाहेंगे कि क्या वे सुविधा के लिए कुछ सुरक्षा देने के लिए तैयार हैं। आप अभी भी UPnP के बिना बंदरगाहों को आगे कर सकते हैं; यह अभी थोड़ा और काम है। पोर्ट अग्रेषण के लिए हमारी मार्गदर्शिका देखें.
दूसरी ओर, इन राउटर खामियों का सक्रिय रूप से जंगली में उपयोग नहीं किया जा रहा है, इसलिए आप अपने राउटर के यूपीएनपी कार्यान्वयन में खामियों का फायदा उठाने वाले दुर्भावनापूर्ण सॉफ़्टवेयर को लेकर आएंगे। कुछ मैलवेयर यूपीएनपी का उपयोग आगे के बंदरगाहों (उदाहरण के लिए कन्फर्म वर्म) के लिए करते हैं, लेकिन मैं इन राउटर खामियों का फायदा उठाने वाले मैलवेयर के एक टुकड़े के उदाहरण में नहीं आया हूं.
मैं इसे कैसे अक्षम कर सकता हूं? यदि आपका राउटर UPnP का समर्थन करता है, तो आपको इसे अपने वेब इंटरफ़ेस में अक्षम करने का विकल्प मिलेगा। अधिक जानकारी के लिए अपने राउटर के मैनुअल से परामर्श करें.
क्या आप UPnP की सुरक्षा से असहमत हैं? एक टिप्पणी छोड़ें!