UPnP, prievadai, ugniasienės gali būti gana sunku padaryti ką nors prieinamą iš jūsų tinklo, kad jį būtų galima pasiekti ir išorinėse vietose. Dažnai sunku sukonfigūruoti maršrutizatorių, kad jis siunčia teisingą srautą į tinkamą tinklo įrenginį. Dirbsime šiuo klausimu naudodamiesi UPnP ir uosto persiuntimu.
Ar norite pasiekti prietaisą iš savo namų tinklo, pavyzdžiui, savo NAS, net kai nesate namuose? Pagal numatytuosius nustatymus jūsų namų tinklas yra apsaugotas taip, kad tai neįmanoma, nes kitaip kenksmingos šalys taip pat gali pasiekti jūsų tinklo įrenginius. Taigi jūs turite patys koreguoti nustatymus. Būtina žinoti, ką darai, kad nesąmoningai nesumažintum savo tinklo saugumo. Taip pat skaitykite: Ar jūsų NAS pasisotina? Tu gali tai padaryti.
01 interneto sluoksniai
Jei norite ką nors išsiųsti internetu iš taško A į tašką B, šie duomenys siunčiami per kelis „sluoksnius“. Kiekvienas sluoksnis visada siūlo papildomų funkcijų duomenims siųsti.
Pačioje apačioje turite fizinį sluoksnį, kur duomenys signalų pavidalu siunčiami kabeliu arba belaidžiu būdu per „WiFi“. Vieną sluoksnį virš jo turite sluoksnį, kuris duomenis per kabelį arba „WiFi“ siunčia vienetų ir nulių pavidalu, taip pat patikrina, ar nėra klaidų, ir, jei reikia, vėl siunčia duomenis. Dar vienu aukščiau esančiu sluoksniu turite galimybę siųsti duomenis tarp dviejų tinklo įrenginių, kas daroma per MAC adresą. Kiekvienas sluoksnis yra šiek tiek abstraktesnis, apačioje dirbate su fiziniais ir nuliais, aukščiau - su paketais tarp įrenginių ir adresų. Taigi jūs turite keletą sluoksnių, kur kiekvienas sluoksnis visada naudoja žemiau esančio sluoksnio funkcijas ir abstrakcijas.
Tarkime, kad mes norime išsiųsti tekstą „Sveikas, pasauli!“ Į savo serverį namuose. Tinklo sluoksnis supakuoja tekstą ir ieško maršrutizatoriaus, kuris priima paketą ir gali jį persiųsti savo serveriui. Paketas eina vienu sluoksniu giliau, kol paverčiamas fiziniais signalais ir keliauja per kabelį. Galų gale jis patenka į mūsų serverį, kuris nuskaito duomenis. Dabar tarkime, kad serveris taip pat atsako paketu, kuriame parašyta: „Labas, PC! Šis paketas taip pat pereina visus sluoksnius, eidamas į mūsų kompiuterį. Tačiau yra viena problema. Paketas atkeliavo į mūsų kompiuterį, bet kaip operacinė sistema žino, kuriai programai skirtas paketas? Tam yra vartai. Uostas yra ne kas kita, kaip programos pašto dėžutė; kur „Windows“, „Linux“ ar „macOS“ gali perduoti duomenis, kad programa, kuriai skirti duomenys, galėtų juos gauti.
02 Persiuntimo uostai
Jei neturite ugniasienės, prieiga prie visų jūsų uostų yra atvira. Tai gerai, nes kol jokia programa neatidaro uosto, nieko negali atsitikti. Be to, „Windows“ turi savo įmontuotą užkardą. Jei programa naudoja uostą ir ugniasienė tai leidžia, bet kuris kompiuteris bet kur gali paskambinti jūsų IP adresu naudodamas tą prievadą ir siųsti jam duomenis.
Bent jau taip yra teoriškai ... praktiškai turite maršrutizatorių, prie kurio prijungti keli kompiuteriai, nešiojamieji kompiuteriai ir planšetiniai kompiuteriai. Tarkime, kad norite siųsti duomenis į savo kompiuterį kur nors už savo tinklo ribų, tada kyla problema. Maršrutizatorius atlieka tai, kas vadinama NAT arba tinklo adresų vertimu. Tai yra būtina, nes jūsų interneto paslaugų teikėjas jums suteikia tik vieną IP adresą kiekvienam interneto ryšiui, todėl su tuo vienu IP adresu galite prijungti tiksliai vieną įrenginį prie interneto. Maršrutizatorius išsprendžia šią problemą būdamas vienintelis tiesiogiai prijungtas prie jūsų paslaugų teikėjo ir taip priimdamas tą IP adresą, o tada paskirstydamas IP adresus į savo įrenginius.
Taigi tarkime, kad norite siųsti pranešimą iš kavos baro į savo namų kompiuterį, tada nėra prasmės naudoti maršrutizatoriaus priskirtą vietinį IP adresą, nes šis IP adresas turi reikšmę tik jūsų tinkle. Už jo ribų jis nieko nereiškia. Vietoj to galite naudoti savo išorinį IP adresą kartu su savo prievadu. Problema ta, kad tada jūsų maršrutizatorius turi žinoti, kur siųsti duomenis. Turėdamas tik išorinį IP adresą ir prievadą, maršrutizatorius vis dar nežino, kuriam kompiuteriui, planšetiniam kompiuteriui ar išmaniajam telefonui skirtas paketas. Štai kodėl yra prievadų persiuntimas: maršrutizatoriuje jūs nurodote, kad jei duomenys apie šį prievadą bus pateikti netrukus, šie duomenys turi būti persiųsti į konkretų įrenginį.
Jums gali kilti klausimas, kaip internetas vis dar veikia jūsų tinkle. Kai lankotės svetainėje, duomenys taip pat siunčiami pirmyn ir atgal, o šie duomenys tiesiog patenka į jūsų kompiuterį, nenustačius uosto persiuntimo. Tai veikia, nes jūsų maršrutizatorius jau taiko uosto persiuntimą jungtims, kurias nustatėte iš vidaus, kad visi paketai teisingai atkeliautų ten, kur reikia. Pats uosto ekspedijavimas nėra pavojus saugumui. Ši rizika kyla dėl to, kad programa klausosi tame uoste. Tarkime, kad persiųsite X prievadą į kompiuterį, kurio niekada neatnaujinate. Tai yra didelė rizika dėl žinomų saugumo spragų. Todėl svarbu visada atnaujinti įrenginį, kai persiunčiate jam prievadą.
03 UPnP
UPnP reiškia „Universal Plug and Play“. Tai leidžia tinklo įrenginiams „matyti“ vienas kitą. Kiekvienas įrenginys gali pranešti apie save tinkle, todėl prietaisai gali lengvai bendrauti ir bendradarbiauti. Viena iš UPnP funkcijų yra leisti įrenginiui persiųsti uostus, todėl jums nereikia to daryti rankiniu būdu.
Tarkime, kad „Xbox“ norėtų gauti srautą 32400 prievade, tada įrenginys gali automatiškai to paprašyti iš maršrutizatoriaus, kuris tada sukurs atitinkamą taisyklę ir todėl persiųs visą šio uosto srautą į „Xbox“ naudodamas IP arba MAC adresą. . Tačiau UPnP kelia pavojų saugumui. Problema ta, kad UPnP nenaudoja jokios autentifikavimo formos. Kenkėjiška programa gali lengvai atidaryti uostus. Problema ta, kad UPnP galima naudoti nuotoliniu būdu. Daugelis maršrutizatorių gamintojų įdiegtų UPnP yra nesaugūs. 2013 m. Bendrovė šešis mėnesius tyrinėjo internetą, kad sužinotų, kurie įrenginiai reagavo į UPnP. Atsakė ne mažiau kaip 6900 įrenginių, iš kurių 80 procentų buvo namų įrenginiai, tokie kaip spausdintuvas, internetinė kamera ar IP kamera. Todėl rekomenduojame išjungti UPnP savo maršrutizatoriuje. Svarbiausias tyrimo išvadas galite rasti kontekste „UPnP saugus?“
UPnP saugus?
Pagrindinės „Rapid7“ atlikto UPnP saugumo tyrimo išvados.
- 2,2 proc. Visų viešų IPv4 adresų atsiliepė į UPnP srautą internetu, arba 81 mln. Unikalių IP adresų.
- 20 procentų tų IP adresų ne tik reagavo į interneto srautą, bet ir pasiūlė nuotoliniu būdu pasiekiamą API, kad sukonfigūruotų UPnP įrenginį!
23 milijonai įrenginių naudoja pažeidžiamą „libupnp“ versiją, plačiai naudojamą programinės įrangos biblioteką, įgyvendinančią UPnP protokolą. Šios versijos nutekėjimai gali būti naudojami nuotoliniu būdu, reikalaujant tik vieno UDP paketo.
