Trong quá trình thiết kế các sản phẩm hoặc giao thức công nghệ, chúng ta thường xuyên phải đối mặt với sự đánh đổi giữa tiện lợi và bảo mật. Đôi khi, sự tiện lợi được ưu tiên hơn, điển hình như chức năng ghép nối WPS trên các thiết bị Wi-Fi hay UPnP – giao thức cho phép thiết bị tự động mở cổng kết nối ra Internet thông qua tường lửa. Tuy nhiên, liệu bạn có biết rằng còn một giao thức mạng khác có phạm vi tương tự UPnP mà bạn cũng nên cân nhắc tắt trên router của mình?
Giao thức đó được gọi là NAT-PMP, viết tắt của Network Address Translation Port Mapping Protocol. Đây là giao thức cho phép một thiết bị trong mạng nội bộ của bạn yêu cầu router chuyển tiếp lưu lượng NAT từ một nguồn bên ngoài đến chính nó. Khác với UPnP, NAT-PMP yêu cầu một chút cấu hình để hoạt động chính xác và an toàn, nhưng ngay cả khi đã cấu hình, nó vẫn tiềm ẩn rủi ro bảo mật đáng kể. Nếu không có thiết bị nào trong mạng của bạn sử dụng NAT-PMP, việc tắt nó trên router là một quyết định sáng suốt. Hoặc bạn có thể vô hiệu hóa NAT-PMP cho từng thiết bị cụ thể nếu có một số ít thiết bị cần đến nó. Thông thường, các thiết bị của Apple hoặc ứng dụng sử dụng dịch vụ Bonjour của Apple là những tác nhân chính sử dụng NAT-PMP, đây có thể là điểm khởi đầu tốt để bạn kiểm tra.
Router Apple AirPort trên nền màu xanh, minh họa sự phổ biến của thiết bị Apple trong việc sử dụng giao thức NAT-PMP.
1. NAT-PMP: Giao Thức Mạng Tiện Lợi Nhưng Thiếu Bảo Mật Nghiêm Trọng
Bản chất và cơ chế hoạt động của NAT-PMP
NAT-PMP được thiết kế để đơn giản hóa việc chuyển tiếp cổng (port forwarding) cho các thiết bị trong mạng gia đình. Nó cho phép các ứng dụng yêu cầu router mở một cổng cụ thể và ánh xạ đến địa chỉ IP nội bộ của thiết bị đó, giúp các dịch vụ bên trong mạng có thể truy cập được từ bên ngoài Internet. Mục đích ban đầu là tạo sự thuận tiện tối đa cho người dùng cuối khi thiết lập các ứng dụng cần truy cập mạng từ xa, chẳng hạn như trò chơi trực tuyến, truyền phát đa phương tiện hay chia sẻ file.
Điểm yếu cốt lõi: Thiết kế không có bảo mật
Giống như UPnP, NAT-PMP được thiết kế để hoạt động nhẹ nhàng, đơn giản và được sử dụng trong môi trường mà các máy khách trên mạng được tin cậy ở mức độ hợp lý. Đây chính là điểm yếu chết người của giao thức này. NAT-PMP không được tích hợp bất kỳ khả năng bảo mật có ý nghĩa nào ngay từ đầu. Tài liệu RFC của giao thức khuyến nghị sử dụng IPsec để mã hóa tất cả lưu lượng mạng nếu người dùng quan tâm đến bảo mật, điều này ngụ ý rằng bản thân NAT-PMP đã được coi là không an toàn. Mặc dù có thể triển khai NAT-PMP theo cách hạn chế các mạng, giao diện hoặc máy khách cụ thể sử dụng giao thức, điều này không làm cho nó an toàn hơn mà chỉ thu hẹp phạm vi tìm kiếm khi có sự cố xảy ra.
Những lỗ hổng nghiêm trọng khi NAT-PMP bị cấu hình sai
Nếu thiết bị gateway (router) chạy NAT-PMP bị cấu hình sai, nó có thể dẫn đến một số vấn đề bảo mật nghiêm trọng, bao gồm:
- Thao túng ánh xạ NAT-PMP độc hại: Nếu không có danh sách kiểm soát truy cập (ACL) giới hạn những máy khách nào được phép chuyển tiếp, kẻ tấn công có thể chặn lưu lượng TCP và UDP từ các máy khách nội bộ gửi đến thiết bị NAT-PMP, hoặc chặn lưu lượng TCP và UDP bên ngoài, truy cập vào các dịch vụ phía sau thiết bị NAT, hoặc thực hiện các cuộc tấn công DDoS nhằm vào router.
- Đánh chặn lưu lượng mạng nội bộ: Vượt xa việc chỉ chặn lưu lượng nội bộ đến thiết bị NAT-PMP, kẻ tấn công còn có thể kích hoạt các cuộc tấn công dựa trên DNS chống lại các thiết bị nội bộ và chuyển hướng các yêu cầu HTTP hoặc HTTPS của chúng đến các máy chủ độc hại bên ngoài.
- Đánh chặn lưu lượng mạng bên ngoài: Trong một số trường hợp, kẻ tấn công bên ngoài có thể chặn dữ liệu đến từ Internet tới thiết bị NAT-PMP.
- Truy cập vào các máy khách NAT nội bộ: Kẻ tấn công có thể khai thác NAT-PMP để truy cập trái phép vào các thiết bị nằm sâu trong mạng nội bộ.
- Tấn công từ chối dịch vụ (DDoS) vào thiết bị NAT-PMP: Router của bạn có thể trở thành mục tiêu của các cuộc tấn công DDoS thông qua lỗ hổng của NAT-PMP.
- Tiết lộ thông tin kiến trúc mạng: Việc này cung cấp cho kẻ tấn công một “bản đồ” để điều hướng và phát hiện các thiết bị dễ bị tấn công khác trong mạng của bạn.
Mặc dù nhiều vấn đề trong số này đã được gây ra do các sự cố với phần mềm miniupnp (hiện đã thực hiện các bước để giảm thiểu), chúng vẫn là những nguy cơ tiềm tàng đối với bất kỳ ai sử dụng NAT-PMP.
Thực trạng đáng báo động về các thiết bị dễ bị tấn công
Vào năm 2014, Rapid7 đã quét Internet công cộng và phát hiện khoảng 1.2 triệu thiết bị được kết nối Internet có bật NAT-PMP và dễ bị tấn công bởi các lỗ hổng đã được đề cập. Điều này cho thấy quy mô của vấn đề bảo mật mà NAT-PMP có thể gây ra.
Hình ảnh router gaming Reyee E6 AX6000, minh họa một thiết bị mạng có thể cần điều chỉnh cài đặt bảo mật.
2. Đã Lỗi Thời: Lý Do NAT-PMP Không Còn Phù Hợp Với Mạng Hiện Đại
Từ NAT-PMP đến PCP: Sự tiến hóa của giao thức điều khiển cổng
Mặc dù NAT-PMP được coi là an toàn hơn về mặt thiết kế so với UPnP, nhưng trên thực tế, nó không còn cần thiết trong thời đại ngày nay. NAT-PMP đã được thay thế bởi PCP (Port Control Protocol) vào năm 2013. PCP mang đến nhiều cải tiến đáng kể, bao gồm hỗ trợ IPv6, các ràng buộc chặt chẽ hơn về cách tạo ánh xạ cổng, và một cơ chế mở rộng giao thức để tích hợp các phương pháp xác thực và kiểm soát truy cập mà các giao thức tiền nhiệm còn thiếu.
Tại sao các thiết bị ngày nay hiếm khi cần NAT-PMP
Hiện tại, không nhiều thiết bị hoặc ứng dụng phổ biến sử dụng PCP, ngoài các thiết bị mạng cấp doanh nghiệp. Tuy nhiên, ngay cả khi PCP được sử dụng, nó cũng sẽ được chạy với các phương pháp xác thực mạnh mẽ, làm giảm đáng kể bề mặt tấn công. Với sự phát triển của công nghệ mạng và các giải pháp bảo mật tiên tiến hơn, nhu cầu sử dụng NAT-PMP để đơn giản hóa việc mở cổng đã giảm đi đáng kể. Hầu hết các ứng dụng và dịch vụ hiện đại đã chuyển sang các phương thức khác an toàn và hiệu quả hơn để xử lý việc chuyển tiếp cổng.
Cảnh tượng hỗn độn của các dây cáp mạng tại gia, tượng trưng cho sự phức tạp trong quản lý kết nối và cổng mạng.
3. Kiểm Soát Thủ Công: Chìa Khóa Bảo Mật Cho Mạng Gia Đình Của Bạn
Nguyên tắc “zero-trust” và quyền kiểm soát cổng mạng
Mặc dù NAT-PMP có thể là một công cụ tiện lợi, nhiều người dùng Internet không muốn bất kỳ thứ gì tự động mở cổng vào mạng gia đình của họ mà không có sự cho phép hay kiểm soát. Cá nhân tôi cũng thuộc nhóm này và thích việc sử dụng Internet của mình tuân theo nguyên tắc “zero-trust” (không tin cậy bất kỳ điều gì mặc định) càng nhiều càng tốt. Tôi muốn biết chính xác chương trình và thiết bị nào đang mở cổng ra bên ngoài, và có toàn quyền kiểm soát những gì chúng đang làm. NAT-PMP lại bỏ qua nguyên tắc này, và các router cấp độ người tiêu dùng thường không đủ khả năng áp dụng các quy tắc tường lửa mạnh mẽ cần thiết để chỉ cho phép một số thiết bị nhất định sử dụng giao thức.
Nâng cao bảo mật với router chuyên nghiệp và cấu hình tường lửa
Tình hình sẽ thay đổi đáng kể nếu bạn đang sử dụng một router chuyên nghiệp (prosumer) hoặc một hệ thống router tự xây dựng chạy các phần mềm như pfSense hoặc OPNsense. Những loại router này có thể thiết lập quy tắc từ chối mặc định (default deny rule) và danh sách trắng (whitelisting) bổ sung, đảm bảo rằng chỉ các thiết bị được ủy quyền mới có thể sử dụng giao thức NAT-PMP. Bằng cách này, bạn có thể định nghĩa rõ ràng các chuyển tiếp cổng (port forward) cho hầu hết các thiết bị, và chỉ cho phép một vài thiết bị đáng tin cậy sử dụng NAT-PMP nếu cần. Tuy nhiên, tốt nhất vẫn là tắt hoàn toàn NAT-PMP và quan sát xem có thiết bị nào gặp sự cố hay không. Rất có thể, bạn sẽ không nhận thấy bất kỳ vấn đề gì khi nó không hoạt động.
Router GL.iNet Slat AX1800 chạy OpenWrt, một ví dụ về router prosumer cho phép kiểm soát port forwarding nâng cao và bảo mật.
4. Mối Đe Dọa Từ Phần Mềm Độc Hại và Botnet: Không Gian Mạng Gia Đình Bạn Có An Toàn?
NAT-PMP và UPnP: Con đường cho các cuộc tấn công mạng
Bất kỳ dịch vụ nào có thể tạo kết nối ra Internet từ mạng nội bộ của bạn mà không cần xác thực hoặc phê duyệt đều là mối nguy hiểm lớn cho bảo mật, ngay cả khi nó không bao giờ được sử dụng cho mục đích xấu. Bạn sẽ không để cửa trước, cửa sau và vài cửa sổ nhà mình mở toang nếu một người lạ yêu cầu, vậy tại sao bạn lại làm điều tương tự với mạng lưới của mình? UPnP và NAT-PMP đã và đang bị lợi dụng hết lần này đến lần khác để phân phối phần mềm độc hại, tạo botnet, thực hiện các cuộc tấn công DDoS và nhiều loại tấn công kỹ thuật số khác.
Bài học đắt giá từ vụ tấn công DDoS lịch sử năm 2016
Cuộc tấn công DNS quy mô lớn vào năm 2016 đã làm gián đoạn phần lớn Internet tại Mỹ trong nửa ngày là một ví dụ điển hình. Vụ tấn công này đã sử dụng các cơ sở dữ liệu mật khẩu mặc định và các lỗ hổng dễ khai thác trong các giao thức như UPnP và NAT-PMP để chiếm quyền điều khiển các thiết bị IoT và các thiết bị khác trong mạng gia đình. Từ đó, chúng tạo thành một mạng botnet khổng lồ để thực hiện cuộc tấn công DDoS vào nhà cung cấp DNS, Dyn. Sự tiện lợi trong thiết lập của các giao thức này phải trả giá bằng các mạng lưới không an toàn, và sự đánh đổi này thực sự không xứng đáng.
Màn hình MacBook Air hiển thị ứng dụng NotchNook, minh họa nguy cơ phần mềm độc hại có thể khai thác các lỗ hổng mạng để tấn công thiết bị.
Bạn có lẽ không cần NAT-PMP hoạt động nữa, vậy nên tắt nó đi là an toàn nhất
Mặc dù nhiều router vẫn cung cấp NAT-PMP như một tùy chọn, danh sách các thiết bị sử dụng nó ngày nay khá ngắn. Dịch vụ Bonjour của Apple vẫn sử dụng NAT-PMP để phát hiện và thiết lập dễ dàng giữa các sản phẩm Apple, nhưng việc tắt NAT-PMP trong router sẽ không ảnh hưởng đến các dịch vụ multicast mà Bonjour sử dụng khi hoạt động trong mạng nội bộ của bạn.
Nếu bạn gặp vấn đề với một số thiết bị sau khi tắt NAT-PMP, hãy thử liên hệ với bộ phận hỗ trợ khách hàng tương ứng để xem liệu họ có tùy chọn cấu hình thủ công nào không. Nếu không, hãy cân nhắc xem bạn có muốn bật NAT-PMP cho những thiết bị đó hay muốn thay thế chúng bằng các lựa chọn an toàn hơn. Rất có thể, router phổ thông của bạn thậm chí không có tùy chọn NAT-PMP, trong trường hợp đó, bạn đã đi trước một bước trong việc bảo vệ mạng của mình. Hãy kiểm tra cài đặt router của bạn ngay hôm nay để đảm bảo an toàn tối đa cho mạng gia đình!