安全模式

安全模式

我正在尝试设置 miniupnpd(UPnP 服务器),但如果您理解 miniupnpd.conf secure_mode,请指出。

当设置为secure_mode = yes时,miniupnpd会将本地网络的IP地址分配给客户端。

没关系?

安全模式

miniupnpd.conf中有一条注释如下:

https://github.com/miniupnp/miniupnp/blob/master/miniupnpd/miniupnpd.conf

# Secure Mode, UPnP clients can only add mappings to their own IP
#secure_mode=yes
secure_mode=no

我理解 secure_mode 是将本地 IP 地址分配给客户端的模式。

背景

我为什么会问这样的问题,Google搜索secure_mode命中了有关漏洞的信息。

CVE-2016-10185

D-Link DWR-932B 路由器上发现一个问题。/var/miniupnpd.conf 中存在 secure_mode=no 行。

虽然这似乎是 D-Link 有限的路由器漏洞,但设置 secure_mode = no 是 miniupnpd.conf 中的默认设置。

我读复制代码.此漏洞似乎是“未通过IP地址进行访问限制并且secure_mode = no”。

访问限制如下。

allow 1024-65535 192.168.0.0/24 1024-65535
deny 0-65535 0.0.0.0/0 0-65535

问题

CVE-2016-10185 只写为“不要写 secure_mode = no”,但事实并非如此,因为它没有限制访问。

也就是说,如果 secure_mode = yes,miniupnpd 会将本地网络的 IP 地址分配给客户端。因此,我的理解是,即使设置了 secure_mode = no,您也可以限制访问。这样可以吗?

答案1

miniupnpd 将为客户端分配本地网络的 IP 地址。

不,UPnP 不分配 IP 地址(DHCP 负责)。在此上下文中,UPnP 添加了映射,允许通过 NAT 连接的防火墙规则。这通常是一个危险的想法,无论它secure_mode是否合法:

# Secure Mode, UPnP clients can only add mappings to their own IP

虽然访问限制不允许连接到低端口(系统或知名端口,<1024)在本地网络上,它不保护监听其他端口的任何内容。secure_mode = yes检查客户端是否正在为自己请求防火墙规则。

场景secure_mode = no

  1. 有人订购智能洗碗机来自中国,内嵌恶意软件。它使用 WiFi 连接到您的公司网络,并具有 DHCP 分配的 IP 地址192.168.0.196
  2. 您在备用 HTTP 端口 8080 上有一个内部 Web 服务器http://192.168.0.20:8080/
  3. 洗碗机请求您的 miniupnpd 允许访问192.168.0.20:8080
  4. 每个人都可以访问您的内部网络服务器。

洗碗机secure_mode = yes必须采取更主动的行动,例如充当反向代理或实际窃取数据并将其发送出去。洗碗机也可以是任何 BYOD 设备!

相关内容