Trong quá trình thiết kế các sản phẩm hoặc giao thức công nghệ, nhà phát triển thường phải đối mặt với một sự đánh đổi lớn: tiện lợi hay bảo mật? Đôi khi, sự tiện lợi được ưu tiên hơn, dẫn đến các giao thức như WPS cho thiết bị Wi-Fi hay UPnP, cho phép thiết bị tự động mở cổng kết nối internet qua tường lửa. Tuy nhiên, ít người biết rằng có một giao thức mạng khác có phạm vi tương tự UPnP mà bạn cũng nên tắt trên router của mình, đó chính là NAT-PMP.
NAT-PMP, viết tắt của Network Address Translation Port Mapping Protocol, là một giao thức cho phép các thiết bị trong mạng cục bộ của bạn yêu cầu router chuyển tiếp lưu lượng NAT từ một nguồn bên ngoài đến chính nó. Mặc dù có phần phức tạp hơn UPnP về cấu hình để hoạt động đúng và an toàn, NAT-PMP vẫn tiềm ẩn nhiều rủi ro bảo mật đáng kể. Nếu các thiết bị trong nhà bạn không sử dụng NAT-PMP, bạn nên vô hiệu hóa nó trên router. Hoặc, nếu một vài thiết bị cần dùng, bạn có thể tắt theo từng thiết bị riêng lẻ. Các thiết bị Apple hoặc ứng dụng sử dụng dịch vụ Bonjour của Apple thường là những đối tượng chính sử dụng NAT-PMP, vì vậy đây là nơi tốt để bạn bắt đầu kiểm tra.
NAT-PMP Là Gì? So Sánh Với UPnP
NAT-PMP được thiết kế để đơn giản hóa việc kết nối các thiết bị trong mạng gia đình với internet, đặc biệt là trong các tình huống mà các ứng dụng cần truy cập trực tiếp từ bên ngoài mạng cục bộ. Giao thức này cho phép thiết bị gửi yêu cầu tới router để ánh xạ một cổng công cộng (public port) tới một cổng riêng (private port) trên thiết bị của bạn, giúp dữ liệu từ internet có thể đi thẳng đến ứng dụng mong muốn.
Khác với UPnP (Universal Plug and Play) – một giao thức thường được kích hoạt mặc định và tự động mở cổng mà không cần người dùng can thiệp nhiều – NAT-PMP yêu cầu một chút cấu hình để hoạt động hiệu quả. Mặc dù điều này nghe có vẻ an toàn hơn, nhưng chính bản chất hoạt động của nó vẫn tiềm ẩn nhiều lỗ hổng. NAT-PMP thường được tìm thấy trên các thiết bị của Apple, đặc biệt là các sản phẩm sử dụng dịch vụ Bonjour để khám phá và thiết lập mạng dễ dàng.
Tại Sao NAT-PMP Là Một Lỗ Hổng Bảo Mật Nghiêm Trọng?
NAT-PMP mang đến sự tiện lợi, nhưng đi kèm với đó là những rủi ro bảo mật không thể bỏ qua.
Thiết Kế Thiếu An Toàn Từ Gốc
Giống như UPnP, NAT-PMP được thiết kế để nhẹ nhàng, đơn giản và hoạt động trong môi trường mà các máy khách trên mạng được tin cậy một cách hợp lý. Điều này đồng nghĩa với việc giao thức này không có các khả năng bảo mật mạnh mẽ được tích hợp sẵn. Tài liệu RFC (Request for Comments) của giao thức thậm chí còn khuyến nghị sử dụng IPsec để mã hóa tất cả lưu lượng mạng nếu người dùng quan tâm đến bảo mật, ngụ ý rằng bản thân NAT-PMP đã không an toàn ngay từ đầu. Mặc dù bạn có thể triển khai NAT-PMP theo cách hạn chế các mạng, giao diện hoặc máy khách có thể sử dụng giao thức, điều này không làm cho nó an toàn hơn mà chỉ thu hẹp phạm vi tìm kiếm khi có sự cố xảy ra.
Các Rủi Ro Khi Cấu Hình Sai hoặc Bị Khai Thác
Nếu thiết bị cổng (gateway device) chạy NAT-PMP bị cấu hình sai, nó có thể dẫn đến một số vấn đề bảo mật nghiêm trọng:
- Thao túng ánh xạ NAT-PMP độc hại: Nếu không có danh sách kiểm soát truy cập (ACL) giới hạn những máy khách nào có thể chuyển tiếp, kẻ tấn công có thể chặn lưu lượng TCP và UDP từ máy khách nội bộ gửi đến thiết bị NAT-PMP, hoặc lưu lượng TCP và UDP bên ngoài, truy cập vào các dịch vụ phía sau thiết bị NAT, hoặc thực hiện tấn công DDoS vào router.
- Chặn lưu lượng mạng nội bộ: Vấn đề này không chỉ dừng lại ở việc chặn lưu lượng nội bộ đến thiết bị NAT-PMP mà còn có thể kích hoạt các cuộc tấn công dựa trên DNS nhắm vào các thiết bị nội bộ, chuyển hướng các yêu cầu HTTP hoặc HTTPS của chúng đến các máy chủ độc hại bên ngoài.
- Chặn lưu lượng mạng bên ngoài: Trong một số trường hợp, kẻ tấn công bên ngoài có thể chặn dữ liệu từ internet đến thiết bị NAT-PMP.
- Truy cập client NAT nội bộ: Cho phép truy cập trái phép vào các thiết bị trong mạng cục bộ.
- Tấn công DDoS vào thiết bị NAT-PMP: Khiến router của bạn bị quá tải và ngừng hoạt động.
- Lộ thông tin kiến trúc mạng: Cung cấp cho kẻ tấn công một “bản đồ” để điều hướng và phát hiện các thiết bị dễ bị tổn thương khác.
Router gaming Reyee E6 AX6000 với đèn LED, đại diện cho thiết bị mạng hiện đại
Mặc dù nhiều vấn đề trong số này đã được giải quyết một phần nhờ các bước khắc phục của miniupnp (một triển khai NAT-PMP phổ biến), chúng vẫn là những nguy cơ tiềm ẩn đối với bất kỳ ai sử dụng NAT-PMP. Năm 2014, theo báo cáo của Rapid7, có khoảng 1.2 triệu thiết bị kết nối internet bị ảnh hưởng và dễ bị tổn thương trước các lỗ hổng của NAT-PMP đã được đề cập.
Lý Do Khác Bạn Nên Vô Hiệu Hóa NAT-PMP Ngay Hôm Nay
Ngoài những rủi ro bảo mật cố hữu, NAT-PMP còn có nhiều lý do khác khiến nó trở nên không cần thiết và thậm chí nguy hiểm trong môi trường mạng hiện đại.
Giao Thức Đã Lỗi Thời và Không Còn Cần Thiết
NAT-PMP, mặc dù an toàn hơn về mặt thiết kế so với UPnP, nhưng ngày nay nó không còn cần thiết nữa. Giao thức này đã được thay thế bởi PCP (Port Control Protocol) vào năm 2013. PCP bổ sung hỗ trợ IPv6, nhiều ràng buộc hơn về cách tạo ánh xạ, và một cách để mở rộng giao thức PCP để bao gồm các phương thức xác thực và kiểm soát truy cập mà các giao thức trước đó còn thiếu. Hầu hết các thiết bị hiện đại đã chuyển sang sử dụng các phương pháp khác để xử lý việc chuyển tiếp cổng, hoặc nếu có sử dụng PCP, thì cũng sẽ đi kèm với các phương thức xác thực mạnh mẽ hơn, giúp giảm đáng kể bề mặt tấn công.
Mạng gia đình lộn xộn với nhiều dây cáp, minh họa sự phức tạp của việc quản lý kết nối
Kiểm Soát Toàn Diện Các Cổng Mở Của Bạn
Nhiều người dùng internet không thích việc có bất kỳ thứ gì tự động mở cổng vào mạng gia đình mà họ không hề hay biết. NAT-PMP đi ngược lại nguyên tắc “zero-trust” (không tin cậy bất kỳ ai/thứ gì theo mặc định), nơi bạn muốn biết chính xác chương trình và thiết bị nào đang mở cổng ra bên ngoài và có quyền kiểm soát những gì chúng đang làm. Các router cấp độ tiêu dùng thường không có khả năng sử dụng các quy tắc tường lửa mạnh mẽ cần thiết để chỉ cho phép các thiết bị nhất định sử dụng giao thức này.
Router GL.iNet Slat AX1800 chạy OpenWrt, biểu tượng của khả năng kiểm soát mạng nâng cao
Tình hình có thể khác một chút nếu bạn đang sử dụng router chuyên nghiệp hơn (prosumer) hoặc một router tự xây dựng chạy pfSense hoặc OPNsense. Những router này cho phép bạn đặt quy tắc từ chối mặc định (default deny rule) và thêm các quy tắc cho phép (whitelisting) để chỉ các thiết bị được ủy quyền mới có thể sử dụng giao thức NAT-PMP. Bằng cách đó, bạn có thể định nghĩa rõ ràng các chuyển tiếp cổng cho hầu hết các thiết bị, và chỉ một vài thiết bị đáng tin cậy sử dụng NAT-PMP. Tuy nhiên, tốt nhất vẫn là tắt hoàn toàn nó và xem có thiết bị nào gặp sự cố hay không. Rất có thể, bạn sẽ không nhận thấy bất kỳ sự khác biệt nào.
Nguy Cơ Bị Phần Mềm Độc Hại Khai Thác Thành Botnet
Bất kỳ dịch vụ nào có thể tạo kết nối đến Internet từ mạng nội bộ của bạn mà không cần xác thực hoặc phê duyệt đều gây hại cho bảo mật, ngay cả khi nó không bao giờ bị sử dụng cho mục đích xấu. Bạn sẽ không để ai đó mở cửa trước, cửa sau và nhiều cửa sổ trong nhà chỉ vì một người lạ yêu cầu, vậy tại sao lại làm điều tương tự với mạng của mình? Cả UPnP và NAT-PMP đều đã nhiều lần bị lạm dụng để phân phối phần mềm độc hại, tạo botnet, tấn công DDoS và các loại tấn công kỹ thuật số khác.
Router Apple Airport trên nền xanh tượng trưng cho kết nối mạng
Minh chứng điển hình là cuộc tấn công DNS quy mô lớn vào năm 2016, đã khiến phần lớn Hoa Kỳ bị gián đoạn internet trong nửa ngày. Cuộc tấn công này đã sử dụng cơ sở dữ liệu mật khẩu mặc định và các lỗ hổng dễ khai thác trong các giao thức như UPnP và NAT-PMP để chiếm đoạt các thiết bị IoT và các thiết bị khác trong mạng gia đình, nhằm thực hiện cuộc tấn công DDoS khổng lồ chống lại nhà cung cấp DNS Dyn. Sự tiện lợi trong việc thiết lập của các giao thức này phải trả giá bằng các mạng kém bảo mật, và sự đánh đổi này thực sự không đáng.
Giao diện phần mềm NotchNook trên MacBook Air, minh họa nguy cơ phần mềm độc hại trên thiết bị Apple
Kết Luận: An Toàn Hơn Khi Tắt NAT-PMP
Mặc dù nhiều router vẫn cung cấp NAT-PMP như một tùy chọn, danh sách các thiết bị thực sự sử dụng nó ngày nay khá ngắn. Dịch vụ Bonjour của Apple vẫn dùng NAT-PMP để khám phá và thiết lập dễ dàng giữa các sản phẩm của Apple, nhưng việc vô hiệu hóa NAT-PMP trên router sẽ không ảnh hưởng đến các dịch vụ multicast mà Bonjour sử dụng trong mạng cục bộ của bạn.
Nếu bạn gặp vấn đề với một số thiết bị sau khi tắt NAT-PMP, hãy thử liên hệ với bộ phận hỗ trợ khách hàng của nhà sản xuất để xem họ có tùy chọn cấu hình thủ công nào không. Nếu không, bạn cần cân nhắc xem có nên bật lại NAT-PMP cho những thiết bị đó hay thay thế chúng bằng các tùy chọn an toàn hơn. Rất có thể, router tiêu dùng của bạn thậm chí không có tùy chọn NAT-PMP, và trong trường hợp đó, bạn đã đi trước một bước trong việc bảo vệ mạng gia đình của mình. Đừng đánh đổi sự tiện lợi nhỏ lấy nguy cơ bảo mật lớn – hãy kiểm tra và vô hiệu hóa NAT-PMP ngay hôm nay để có một mạng internet an toàn hơn!