UPnP, pordid, tulemüürid, võib olla üsna keeruline midagi oma võrgus kättesaadavaks teha, nii et selleni jõuaks ka välistes kohtades. Sageli on ruuterit keeruline konfigureerida nii, et see edastaks teie liiklusvõrgus õigesse seadmesse õiget liiklust. Töötame selle kallal UPnP ja pordiedastusega.
Kas soovite, et jõuaksite koduvõrgust seadme juurde, näiteks oma NAS-i juurde, isegi kui te pole kodus? Vaikimisi on teie koduvõrk turvatud nii, et see pole võimalik, sest muidu võivad pahatahtlikud osapooled jõuda ka teie võrguseadmetesse. Nii et peate seadeid ise reguleerima. On oluline, et teaksite, mida teete, et mitte nõrgendada oma teadmata oma võrgu turvalisust. Loe ka: Kas teie NAS saab täis? Sa suudad seda.
01 Interneti-kihid
Kui soovite midagi Interneti kaudu punktist A punkti B saata, saadetakse need andmed mitmete "kihtide" kaudu. Iga kiht pakub alati andmete saatmiseks lisafunktsionaalsust.
Kõige alumises osas on teil füüsiline kiht, kus andmeid signaalidena edastatakse kaabli kaudu või traadita ühenduse kaudu WiFi kaudu. Ühe kihina sellest kõrgemal on teil kiht, mis saadab andmeid kaabli või WiFi kaudu üksuste ja nullidena ning kontrollib ka vigu ja vajadusel saadab andmeid uuesti. Teises kihis kõrgemal on teil võimalus andmeid saata kahe võrguseadme vahel, mis toimub MAC-aadressi kaudu. Iga kiht on natuke abstraktsem, allosas töötate füüsiliste ja nullidega, üle selle seadmete ja aadresside vahel olevate pakettidega. Nii et teil on mitu kihti, kus iga kiht kasutab alati allpool asuva kihi funktsioone ja abstraktsioone.
Oletame nüüd, et tahame saata teksti "Tere, maailm!" Oma kodus asuvasse serverisse. Võrgukiht pakendab teksti ja otsib ruuterit, mis võtab paketi vastu ja saab selle edasi saata meie serverisse. Pakett läheb ühe kihi võrra sügavamale, kuni see muundatakse füüsilisteks signaalideks ja liigub läbi kaabli. Lõppkokkuvõttes jõuab see meie serverisse, mis loeb andmed ette. Oletame, et server vastab ka paketiga, mis ütleb "Tere, arvuti!". See pakett läbib ka kõik kihid, teel meie arvutisse. Siiski on üks probleem. Pakett on meie arvutisse jõudnud, aga kuidas operatsioonisüsteem teab, millise programmi jaoks pakett on? Selleks on väravad. Port pole midagi muud kui programmi postkast; kus Windows, Linux või macOS saavad andmeid edastada, nii et programm, millele andmed on mõeldud, saaks neid vastu võtta.
02 Edastusportid
Kui teil pole tulemüüri, on juurdepääs kõigile teie pordidele avatud. See on okei, sest seni, kuni ükski programm porti ei ava, ei saa midagi juhtuda. Lisaks on Windowsil oma sisseehitatud tulemüür. Kui mõni programm kasutab porti ja tulemüür seda lubab, saab iga arvuti igal pool selle pordiga teie IP-aadressile helistada ja sinna andmeid saata.
Vähemalt nii on teoreetiliselt ... praktikas on teil ruuter, millega on ühendatud mitu arvutit, sülearvutit ja tahvelarvutit. Oletame, et soovite andmeid arvutisse saata kuskile väljaspool oma võrku, siis on probleem. Teie ruuter teeb midagi, mida nimetatakse NATiks või võrguaadressi tõlkeks. See on vajalik, kuna teie Interneti-teenuse pakkuja annab teile Interneti-ühenduse kohta ainult ühe IP-aadressi, nii et saate selle ühe IP-aadressiga ühendada Internetiga täpselt ühe seadme. Ruuter lahendab selle probleemi, olles ainus, kes on otse teie teenusepakkujaga ühendatud, omaks võttes selle IP-aadressi ja levitades seejärel IP-aadresse oma seadmetele.
Oletame, et soovite kohvikurulilt sõnumi oma koduarvutisse saata, siis pole mõtet kasutada ruuteri määratud kohalikku IP-aadressi, kuna sellel IP-aadressil on tähendus ainult teie võrgus. Väljaspool ei osuta see millelegi. Selle asemel võite kasutada oma välist IP-aadressi koos oma pordiga. Probleem on selles, et teie ruuter peab seejärel teadma, kuhu andmed saata. Ainult välise IP-aadressi ja pordi korral ei tea ruuter ikkagi, millisele arvutile, tahvelarvutile või nutitelefonile pakett on mõeldud. Sellepärast toimub pordi edastamine: sellega märkite ruuteris, et kui selle pordi andmed on varsti tulemas, tuleb need andmed edastada konkreetsele seadmele.
Võite mõelda, kuidas Internet teie võrgus üldse töötab. Veebisaidi külastamisel saadetakse ka andmeid edasi-tagasi ning need andmed saabuvad lihtsalt teie arvutisse, ilma et oleksite pordiedastust seadistanud. See töötab, kuna teie ruuter ise rakendab juba seestpoolt seadistatud ühenduste jaoks pordiedastust, nii et kõik paketid saabuvad õigesti sinna, kuhu nad peavad olema. Sadama edastamine ise ei ole turvarisk. See oht tuleneb rakenduse kuulamisest selles sadamas. Oletame, et edastate pordi X arvutisse, mida te kunagi ei värskenda, mis on teadaolevate turvaaukude tõttu suur risk. Seetõttu on porti edastamisel oluline alati seadet ajakohastada.
03 UPnP
UPnP tähistab universaalset pistikprogrammi. See võimaldab võrgus olevatel seadmetel üksteist "näha". Iga seade saab endast teada anda võrgus, muutes seadmetel üksteisega suhtlemise ja koostöö lihtsaks. Üks UPnP funktsioonidest on lubada seadmel porte edastada, nii et te ei pea seda käsitsi tegema.
Oletame, et teie Xbox soovib saada liiklust porti 32400, siis saab seade seda automaatselt ruuterilt taotleda, mis loob seejärel asjakohase reegli ja edastab seetõttu kogu selle pordi liikluse teie Xboxile IP või MAC-aadressi abil . Kuid UPnP on turvarisk. Probleem on selles, et UPnP ei kasuta ühtegi autentimisvormi. Pahavara võib porte hõlpsalt avada. Probleem on selles, et UPnP-d saab kasutada kaugjuhtimisega. Paljud ruuteri tootjate UPnP-rakendused on ebaturvalised. 2013. aastal kontrollis ettevõte kuus kuud Internetti, et näha, millised seadmed reageerisid UPnP-le. Vastanud ei olnud vähem kui 6900 seadet, millest 80 protsenti hõlmas koduseadet, näiteks printerit, veebikaamerat või IP-kaamerat. Seetõttu soovitame UPnP oma ruuteris keelata. Uurimistöö olulisemad järeldused leiate kontekstist "UPnP ohutu?"
UPnP ohutu?
Rapid7 poolt läbi viidud UPnP ohutusuuringu peamised järeldused.
- 2,2 protsenti kõigist avalikest IPv4-aadressidest vastas Interneti kaudu UPnP-liiklusele ehk 81 miljonit unikaalset IP-aadressi.
- 20 protsenti nendest IP-aadressidest mitte ainult ei reageerinud Interneti-liiklusele, vaid pakkusid ka UPnP-seadme seadistamiseks kaugjuurdepääsetavat API-d!
23 miljonit seadet kasutab haavatavat versiooni libupnp-st, mis on laialt kasutatav tarkvarakogu, mis rakendab UPnP-protokolli. Selles versioonis olevaid lekkeid saab kasutada kaugjuhtimise teel, selleks on vaja ainult ühte UDP-paketti.
