我正在尝试设置 miniupnpd(UPnP 服务器),但如果您理解 miniupnpd.conf secure_mode,请指出。
当设置为secure_mode = yes时,miniupnpd会将本地网络的IP地址分配给客户端。
没关系?
安全模式
miniupnpd.conf中有一条注释如下:
https://github.com/miniupnp/miniupnp/blob/master/miniupnpd/miniupnpd.conf
# Secure Mode, UPnP clients can only add mappings to their own IP
#secure_mode=yes
secure_mode=no
我理解 secure_mode 是将本地 IP 地址分配给客户端的模式。
背景
我为什么会问这样的问题,Google搜索secure_mode命中了有关漏洞的信息。
D-Link DWR-932B 路由器上发现一个问题。/var/miniupnpd.conf 中存在 secure_mode=no 行。
虽然这似乎是 D-Link 有限的路由器漏洞,但设置 secure_mode = no 是 miniupnpd.conf 中的默认设置。
我读复制代码.此漏洞似乎是“未通过IP地址进行访问限制并且secure_mode = no”。
访问限制如下。
allow 1024-65535 192.168.0.0/24 1024-65535
deny 0-65535 0.0.0.0/0 0-65535
问题
CVE-2016-10185 只写为“不要写 secure_mode = no”,但事实并非如此,因为它没有限制访问。
也就是说,如果 secure_mode = yes,miniupnpd 会将本地网络的 IP 地址分配给客户端。因此,我的理解是,即使设置了 secure_mode = no,您也可以限制访问。这样可以吗?
答案1
miniupnpd 将为客户端分配本地网络的 IP 地址。
不,UPnP 不分配 IP 地址(DHCP 负责)。在此上下文中,UPnP 添加了映射,允许通过 NAT 连接的防火墙规则。这通常是一个危险的想法,无论它secure_mode
是否合法:
- 克里斯·霍夫曼,UPnP 是否存在安全风险?
- 安迪·格林,什么是 UPnP 以及它为何如此危险?
# Secure Mode, UPnP clients can only add mappings to their own IP
虽然访问限制不允许连接到低端口(系统或知名端口,<1024)在本地网络上,它不保护监听其他端口的任何内容。secure_mode = yes
检查客户端是否正在为自己请求防火墙规则。
场景secure_mode = no
:
- 有人订购智能洗碗机来自中国,内嵌恶意软件。它使用 WiFi 连接到您的公司网络,并具有 DHCP 分配的 IP 地址
192.168.0.196
。 - 您在备用 HTTP 端口 8080 上有一个内部 Web 服务器
http://192.168.0.20:8080/
。 - 洗碗机请求您的 miniupnpd 允许访问
192.168.0.20:8080
。 - 每个人都可以访问您的内部网络服务器。
洗碗机secure_mode = yes
必须采取更主动的行动,例如充当反向代理或实际窃取数据并将其发送出去。洗碗机也可以是任何 BYOD 设备!