Trong thế giới công nghệ, tiện lợi và bảo mật thường là hai yếu tố đối lập mà các nhà thiết kế sản phẩm hay giao thức phải cân nhắc. Nhiều khi, sự tiện lợi được ưu tiên hơn, dẫn đến những lỗ hổng tiềm tàng. Chúng ta đã thấy điều này với WPS cho thiết bị Wi-Fi hay UPnP, cho phép các thiết bị tự mở cổng ra internet thông qua tường lửa. Nhưng bạn có biết, có một giao thức mạng khác tương tự UPnP về phạm vi hoạt động mà bạn cũng nên tắt trên router của mình không?
Đó chính là NAT-PMP, viết tắt của Network Address Translation Port Mapping Protocol. Giao thức này cho phép một thiết bị trong mạng nội bộ của bạn yêu cầu router chuyển tiếp lưu lượng truy cập từ một nguồn bên ngoài đến chính nó. Không giống UPnP, NAT-PMP đòi hỏi một số cấu hình để hoạt động chính xác và an toàn, nhưng ngay cả khi đó, nó vẫn tiềm ẩn rủi ro bảo mật đáng kể. Nếu không có thiết bị nào của bạn sử dụng NAT-PMP, bạn nên tắt nó trên router. Hoặc, bạn có thể vô hiệu hóa nó trên từng thiết bị cụ thể nếu có một vài thiết bị cần dùng. Các thiết bị hoặc ứng dụng của Apple sử dụng dịch vụ Bonjour thường là những đối tượng chính tận dụng NAT-PMP, vì vậy đây là nơi tốt để bắt đầu kiểm tra.
Apple AirPort Extreme trên nền xanh, biểu tượng cho router Apple và giao thức mạng
4 Lý Do Hàng Đầu Bạn Nên Tắt NAT-PMP Trên Router Ngay Lập Tức
1. NAT-PMP Thiếu Bảo Mật Nghiêm Trọng
Giống như UPnP, NAT-PMP được thiết kế để trở nên gọn nhẹ, đơn giản và được sử dụng trong các mạng mà các máy khách (client) được coi là đáng tin cậy. Nếu bạn đã lường trước được điều này, bạn sẽ thất vọng khi biết rằng nhận định của mình là đúng, bởi vì nó có nghĩa là giao thức này không hề có bất kỳ khả năng bảo mật có ý nghĩa nào được tích hợp sẵn. Tài liệu RFC cho giao thức này thậm chí còn khuyên bạn nên sử dụng IPsec để mã hóa tất cả lưu lượng mạng nếu bạn quan tâm đến bảo mật, điều này ngụ ý rằng nó vốn dĩ không an toàn ngay từ đầu. Mặc dù bạn có thể triển khai NAT-PMP theo cách hạn chế các mạng, giao diện hoặc máy khách cụ thể sử dụng giao thức này, nhưng điều đó không làm tăng tính bảo mật mà chỉ thu hẹp phạm vi tìm kiếm nếu có sự cố xảy ra.
Nếu thiết bị gateway đang chạy NAT-PMP bị cấu hình sai, nó có thể dẫn đến một số vấn đề bảo mật nghiêm trọng, bao gồm:
- Thao túng ánh xạ NAT-PMP độc hại: Nếu không có danh sách kiểm soát truy cập (ACL) giới hạn những máy khách nào có thể chuyển tiếp, kẻ tấn công có thể chặn lưu lượng TCP và UDP từ máy khách nội bộ gửi đến thiết bị NAT-PMP, hoặc lưu lượng TCP và UDP bên ngoài, truy cập vào các dịch vụ phía sau thiết bị NAT, hoặc tấn công DDoS chống lại router.
- Chặn lưu lượng mạng nội bộ: Điều này không chỉ đơn thuần là chặn lưu lượng nội bộ đến thiết bị NAT-PMP, mà còn có thể cho phép các cuộc tấn công dựa trên DNS chống lại các thiết bị nội bộ và chuyển hướng các yêu cầu HTTP hoặc HTTPS của chúng đến các máy chủ độc hại bên ngoài.
- Chặn lưu lượng bên ngoài: Trong một số trường hợp, kẻ tấn công bên ngoài có thể chặn dữ liệu từ internet đến thiết bị NAT-PMP.
- Truy cập máy khách NAT nội bộ: Kẻ tấn công có thể xâm nhập vào các thiết bị bên trong mạng.
- Tấn công DDoS chống lại thiết bị NAT-PMP: Khiến router hoặc thiết bị gặp sự cố.
- Tiết lộ thông tin về kiến trúc mạng: Cung cấp cho kẻ tấn công một lộ trình để điều hướng và tìm thấy các thiết bị dễ bị tổn thương khác.
Mặc dù nhiều vấn đề này đã được gây ra bởi các lỗ hổng trong miniupnp (hiện đã có các bước khắc phục), nhưng chúng vẫn là những rủi ro tiềm tàng cho bất kỳ ai sử dụng NAT-PMP. Theo Rapid7, vào năm 2014, có khoảng 1.2 triệu thiết bị kết nối internet bị ảnh hưởng và dễ bị tổn thương bởi các lỗi NAT-PMP đã được đề cập.
Router chơi game Reyee E6 AX6000 với đèn LED RGB, minh họa thiết bị mạng hiện đại
2. Giao Thức Này Không Còn Cần Thiết Trong Mạng Hiện Đại
NAT-PMP an toàn hơn về mặt thiết kế so với UPnP, nhưng nó không còn cần thiết trong thời đại ngày nay. Nó đã được thay thế bởi PCP (Port Control Protocol) vào năm 2013. PCP bổ sung hỗ trợ IPv6, nhiều ràng buộc hơn về cách tạo ánh xạ và một cách để mở rộng giao thức PCP để bao gồm các phương thức xác thực và truy cập còn thiếu trong các giao thức trước đó có chức năng tương tự. Mặc dù không rõ thiết bị nào hiện đang sử dụng PCP ngoài các thiết bị mạng doanh nghiệp, nhưng trong mọi trường hợp, PCP thường được chạy với các phương thức xác thực, do đó bề mặt tấn công được giảm đáng kể. Điều này có nghĩa là các thiết bị hiện đại hầu như đều đã chuyển sang các phương pháp xử lý chuyển tiếp cổng an toàn và hiệu quả hơn.
Một mớ hỗn độn dây cáp mạng trong thiết lập mạng gia đình, thể hiện sự phức tạp của hệ thống
3. Tự Kiểm Soát Cổng Mở Giúp Mạng An Toàn Hơn
Mặc dù NAT-PMP có thể là một công cụ hữu ích cho sự tiện lợi, nhưng nhiều người dùng internet không thích việc có bất kỳ thứ gì tự động mở cổng vào mạng gia đình của họ mà không hề hay biết. Congnghemoi.net cũng đồng quan điểm này và ưu tiên việc sử dụng internet theo nguyên tắc “zero-trust” (không tin tưởng bất kỳ ai). Chúng tôi muốn biết chương trình và thiết bị nào đang mở cổng ra bên ngoài và có toàn quyền kiểm soát những gì chúng đang làm. NAT-PMP bỏ qua sự kiểm soát này, và các router cấp độ người tiêu dùng thường không có khả năng sử dụng các quy tắc tường lửa đủ mạnh để chỉ cho phép một số thiết bị nhất định sử dụng giao thức này.
Tình hình sẽ khác đi nếu bạn đang sử dụng một router bán chuyên nghiệp hoặc một router tự xây dựng chạy pfSense hoặc OPNsense. Các router này đều có thể đặt quy tắc “deny by default” (mặc định từ chối) và danh sách trắng (whitelisting) bổ sung, để chỉ các thiết bị được ủy quyền mới có thể sử dụng giao thức NAT-PMP. Bằng cách đó, bạn có thể có các quy tắc chuyển tiếp cổng được xác định rõ ràng cho hầu hết các thiết bị, và một số ít thiết bị sử dụng NAT-PMP được tin cậy có thể sử dụng giao thức này. Tuy nhiên, tốt nhất vẫn là tắt hoàn toàn NAT-PMP và xem có bao nhiêu thiết bị của bạn gặp sự cố hay không. Rất có thể bạn sẽ không nhận thấy bất kỳ vấn đề gì khi nó không chạy.
Router GL.iNET Slat AX1800 chạy OpenWRT, minh họa router tùy chỉnh và tính năng nâng cao
4. Mã Độc Có Thể Lợi Dụng NAT-PMP Để Tạo Botnet Và Tấn Công DDoS
Bất kỳ dịch vụ nào có thể tạo kết nối ra Internet từ mạng nội bộ của bạn mà không cần xác thực hoặc phê duyệt đều gây hại cho bảo mật, ngay cả khi nó không bao giờ được sử dụng cho mục đích xấu. Bạn sẽ không để ai đó mở cửa trước, cửa sau và nhiều cửa sổ trong nhà mình nếu một người lạ yêu cầu, vậy tại sao bạn lại làm điều tương tự với mạng của mình? UPnP và NAT-PMP đã nhiều lần bị lợi dụng để phát tán phần mềm độc hại, tạo botnet, tấn công DDoS và các loại tấn công kỹ thuật số khác.
Cuộc tấn công DNS lớn vào năm 2016, gần như khiến toàn bộ Hoa Kỳ bị ngoại tuyến trong nửa ngày, đã sử dụng cơ sở dữ liệu về mật khẩu mặc định và các lỗi dễ khai thác trong các giao thức như UPnP và NAT-PMP để chiếm quyền điều khiển các thiết bị IoT và các thiết bị khác trong mạng gia đình. Mục đích là để thực hiện một cuộc tấn công DDoS khổng lồ chống lại nhà cung cấp DNS, Dyn. Sự tiện lợi trong việc thiết lập của các giao thức này phải trả giá bằng các mạng không an toàn, và sự đánh đổi đó hoàn toàn không xứng đáng.
Giao diện NotchNook trên MacBook Air, biểu tượng cho việc bảo mật dữ liệu và thiết bị macOS
Kết Luận: An Toàn Hơn Khi Tắt NAT-PMP Cho Mạng Gia Đình
Mặc dù nhiều router vẫn cung cấp NAT-PMP như một tùy chọn, danh sách các thiết bị sử dụng nó ngày nay khá ngắn. Giao thức này được dịch vụ Bonjour của Apple sử dụng để giúp các sản phẩm Apple dễ dàng khám phá và thiết lập lẫn nhau. Tuy nhiên, việc tắt NAT-PMP trong router sẽ không ảnh hưởng đến các dịch vụ multicast mà Bonjour sử dụng trong mạng nội bộ của bạn.
Nếu bạn gặp sự cố với một số thiết bị sau khi tắt NAT-PMP, hãy thử liên hệ với bộ phận hỗ trợ khách hàng của nhà sản xuất để xem họ có tùy chọn cấu hình thủ công nào không. Nếu không, hãy cân nhắc xem bạn có muốn kích hoạt lại NAT-PMP cho những thiết bị đó hay bạn muốn thay thế chúng bằng các tùy chọn an toàn hơn. Rất có thể router tiêu dùng của bạn thậm chí không có tùy chọn NAT-PMP, trong trường hợp đó, bạn đã đi trước một bước trong việc bảo vệ mạng gia đình của mình.
Bạn đã từng trải nghiệm những rủi ro bảo mật nào liên quan đến các giao thức mạng như NAT-PMP hay UPnP? Hãy chia sẻ kinh nghiệm và ý kiến của bạn trong phần bình luận bên dưới, hoặc tìm hiểu thêm các bài viết về bảo mật mạng khác trên congnghemoi.net để giữ cho mạng gia đình bạn luôn an toàn và tối ưu nhất!
