UPnP, porty, brány firewall, môže byť dosť ťažké sprístupniť niečo z vnútra vašej siete tak, aby to bolo dostupné aj na externých miestach. Je často ťažké nakonfigurovať smerovač tak, aby odosielal správny prenos do správneho zariadenia v sieti. Budeme na tom pracovať s UPnP a presmerovaním portov.
Chcete mať prístup k zariadeniu z domácej siete, napríklad NAS, aj keď nie ste doma? Štandardne je vaša domáca sieť zabezpečená takým spôsobom, že to nie je možné, pretože inak by sa k vašim sieťovým zariadeniam mohli dostať aj škodlivé osoby. Musíte si teda upraviť nastavenie sami. Je nevyhnutné, aby ste vedeli, čo robíte, aby ste nevedomky neoslabili zabezpečenie svojej siete. Prečítajte si tiež: Plní sa váš NAS? Dokážeš to.
01 internetových vrstiev
Ak chcete niečo poslať cez internet z bodu A do bodu B, tieto údaje sa odosielajú cez niekoľko „vrstiev“. Každá vrstva vždy ponúka nejaké ďalšie funkcie na odosielanie údajov.
Úplne dole máte fyzickú vrstvu, kde sú dáta vo forme signálov posielané cez kábel alebo bezdrôtovo cez WiFi. O jednu vrstvu vyššie máte vrstvu, ktorá odosiela dáta cez kábel alebo WiFi vo forme jednotiek a núl a ktorá tiež kontroluje chyby a v prípade potreby odosiela dáta znova. O ďalšiu vrstvu vyššie máte možnosť odosielať údaje medzi dvoma sieťovými zariadeniami, čo sa deje prostredníctvom adresy MAC. Každá vrstva je trochu abstraktnejšia, v dolnej časti pracujete s fyzickými a nulami, nad tým s paketmi medzi zariadeniami a adresami. Máte teda niekoľko vrstiev, kde každá vrstva vždy využíva funkcie a abstrakcie vrstvy nižšie.
Teraz predpokladajme, že chceme poslať text „Dobrý deň, svet!“ Na náš server doma. Sieťová vrstva zabalí text a vyhľadá smerovač, ktorý balíček prijme, a ktorý ho môže cestou na náš server preposlať. Paket ide o vrstvu hlbšie, kým sa nepremení na fyzické signály a neprejde káblom. Nakoniec sa dostane na náš server, ktorý načíta údaje. Teraz predpokladajme, že server odpovie aj balíkom s textom „Ahoj, PC!“. Tento balík tiež prechádza všetkými vrstvami na ceste k nášmu počítaču. Je tu však jeden problém. Balík dorazil na náš počítač, ale ako operačný systém vie, pre ktorý program je balík určený? Sú na to brány. Port nie je nič iné ako poštová schránka programu; kde Windows, Linux alebo macOS môžu dodávať údaje tak, aby ich mohol prijímať program, pre ktorý sú údaje určené.
02 Porty na preposielanie
Ak nemáte bránu firewall, prístup ku všetkým vašim portom je otvorený. To je v poriadku, pretože pokiaľ žiadny program neotvorí port, nemôže sa nič stať. Windows má navyše svoj vlastný zabudovaný firewall. Ak program používa port a brána firewall to umožňuje, môže ľubovoľný počítač kdekoľvek volať na vašu adresu IP s týmto portom a odosielať na ňu údaje.
Prinajmenšom to je prípad teoreticky ... v praxi máte router, ku ktorému je pripojených niekoľko počítačov, notebookov a tabletov. Teraz predpokladajme, že chcete odoslať údaje do počítača niekde mimo vlastnej siete, potom nastal problém. Váš smerovač vykonáva niečo, čo sa nazýva NAT alebo preklad sieťových adries. Je to nevyhnutné, pretože váš poskytovateľ internetu poskytuje na jedno pripojenie na internet iba jednu adresu IP, takže s touto jednou adresou IP môžete k internetu pripojiť presne jedno zariadenie. Smerovač tento problém rieši tak, že je jediný priamo pripojený k vášmu poskytovateľovi, a tak prijme túto adresu IP a potom distribuuje adresy IP do vašich vlastných zariadení.
Predpokladajme teda, že chcete poslať správu z kaviarne do domáceho počítača, potom nemá zmysel používať miestnu adresu IP pridelenú smerovačom, pretože táto adresa IP má význam iba vo vašej sieti. Mimo nej to o ničom neodkazuje. Namiesto toho môžete použiť svoju externú adresu IP v kombinácii s portom. Problém je v tom, že váš smerovač potom musí vedieť, kam poslať údaje. Iba s externou IP adresou a portom router stále nevie, pre ktorý počítač, tablet alebo smartphone je balíček určený. Preto existuje presmerovanie portov: pomocou tohto v smerovači naznačíte, že ak budú dáta na tomto porte čoskoro k dispozícii, musia sa tieto dáta presmerovať na konkrétne zariadenie.
Možno by vás zaujímalo, ako vôbec vo vašej sieti funguje internet. Keď navštívite webovú stránku, dáta sa tiež odošlú tam a späť a tieto dáta sa práve dostanú do vášho počítača bez nutnosti nastavenia presmerovania portov. Funguje to, pretože váš smerovač sám už používa presmerovanie portov pre pripojenia, ktoré ste nastavili zvnútra, aby všetky pakety dorazili správne tam, kam majú byť. Samotné zasielanie portov nepredstavuje bezpečnostné riziko. Toto riziko pochádza z aplikácie počúvajúcej na danom porte. Predpokladajme, že postúpite port X na počítač, ktorý nikdy neaktualizujete, čo je veľké riziko kvôli známym chybám zabezpečenia. Preto je dôležité, aby ste zariadenie neustále prepájali, keď doň presmerujete port.
03 UPnP
UPnP znamená Universal Plug and Play. Umožňuje zariadeniam v sieti „navzájom sa vidieť“. Každé zariadenie sa môže v sieti hlásiť, čo uľahčuje vzájomnú komunikáciu a spoluprácu. Jednou z funkcií UPnP je umožniť zariadeniu presmerovať porty, takže to nemusíte robiť ručne.
Predpokladajme, že váš Xbox chce prijímať prenos na porte 32400, potom to zariadenie môže automaticky vyžadovať od smerovača, ktorý potom vytvorí príslušné pravidlo a preto presmeruje všetok prenos na danom porte na váš Xbox pomocou adresy IP alebo MAC. . UPnP je však bezpečnostné riziko. Problém je v tom, že UPnP nepoužíva žiadnu formu autentifikácie. Malvér môže ľahko otvoriť porty. Problém je v tom, že UPnP je možné využívať na diaľku. Mnoho implementácií UPnP od výrobcov smerovačov je nezabezpečených. V roku 2013 spoločnosť šesť mesiacov skenovala internet, aby zistila, ktoré zariadenia reagovali na UPnP. Odpovedalo nie menej ako 6900 zariadení, z ktorých 80 percent tvorilo domáce zariadenie, ako je tlačiareň, webová kamera alebo IP kamera. Preto odporúčame deaktivovať UPnP vo vašom smerovači. Najdôležitejšie závery z výskumu nájdete v kontexte „UPnP bezpečný?“
UPnP bezpečný?
Hlavné závery bezpečnostnej štúdie UPnP uskutočnenej Rapid7.
- Na prenos UPnP cez internet odpovedalo 2,2 percenta všetkých verejných adries IPv4 alebo 81 miliónov jedinečných adries IP.
- 20 percent z týchto adries IP reagovalo nielen na internetový prenos, ale ponúklo aj rozhranie API dostupné na diaľku na konfiguráciu zariadenia UPnP!
23 miliónov zariadení používa zraniteľnú verziu libupnp, široko používanej softvérovej knižnice, ktorá implementuje protokol UPnP. Úniky v tejto verzii je možné využívať vzdialene, čo vyžaduje iba jeden paket UDP.
