就像照明开关或ON按钮,通用随插即用(Universal Plug and Play,UPnP)和谈是终端用户在收集设备平常利用中最常常利用的,但也是常常被忽视的。与广义的即插即用不合,UPnP承诺收集设备经由过程IP彼此连接,而不需要终端用户的任何建设。例如,当用户插进一台计较机到以太网LAN,UPnP是最有可能用于设备发现的和谈。
简单地把设备插进,不需要终端用户进行任何建设便可让它正常运作,这能给终端用户带来更好的体验。但是,UPnP和谈最大年夜的优势可能也是其最大年夜的弱点。缝隙治理供给商Rapid7的研究人员发现,数百万终端用户设备会响应来自互联网的UPnP发现要求,这个简单而深切的发现进步了人们对UPnP安然风险的熟谙。所以对企业来讲,UPnP安然吗?
UPnP安然风险
凡是环境下,UPnP是连络动态主机建设和谈(DHCP)办事器利用,当然它其实不必然需要这个办事器。在DHCP为中间的架构中,终端用户可能经由过程任何收集承诺的媒介插进设备,假定该终端设备启用了DHCP,该设备将会当即广播简单办事发现和谈动静,以定位DHCP办事器。
假定DHCP办事器被找到,将会进行信息互换,终端设备将分派一个IP地址。假定DHCP没有被找到,终端设备凡是会被建设为承诺它主动建设IP地址,但不克不及与收集上一样也是主动建设IP地址的其他设备相冲突。
当来自互联网的合法利用法度试图进进某个的收集时,UPnP供给端口映照功能,承诺这些设备在防火墙穿过收集地址转换机制。这凡是在简单对象拜候和谈(SOAP)呵护下进行,UPnP这个基于 XML 的和谈与HTTP动静连络利用毫无标题问题。之前人们觉得UPnP带来良多便当,而不是缝隙, 但是Rapid7对该功能进行了研究,其研究成果引发安然专业人士的发急。这类发急首要环绕两个首要标题问题。
起首, HTTP动静几近都是经由过程TCP端口80来互换。在企业级的防火墙凡是会承诺端口80的收集流量,启事在于大年夜大都连接互联网的企业收集都有某种Web办事器可供公家拜候,所以TCP端口80凡是是开放的。
其次,UPnP不是特定供给商的和谈,所以,任何修复法度、减缓或更新不是来自某个集中存储库而随后推送到终端用户处。这些修复法度将由不合供给商发布,但在向后兼容性、跨平台功能和整体功能等标题问题上,很少有人往解决。
这看起来很毒手。从企业的角度来看,明智的收集治理员应当在可行的环境下,禁用所有UPnP功能。除非治理员的收集要利用收集德律风(VoIP )或其他需要端口转发的办事(例如收集地址转换、SSH通道等),不然都应当禁用UPnP来避免不需要的风险,直到在收集和IT安然行业的巨擘合作提出可行解决编制。