Трябва да знаете това за пренасочването на портове и UPnP

UPnP, портове, защитни стени, може да бъде доста трудно да направите нещо достъпно от вашата мрежа, така че да може да бъде достигнато и на външни места. Често е трудно да конфигурирате маршрутизатора си да изпраща правилния трафик към правилното устройство във вашата мрежа. Ще работим по това с UPnP и пренасочване на портове.

Искате ли да можете да достигнете до устройство от вашата домашна мрежа, например вашето NAS, дори когато не сте у дома? По подразбиране домашната ви мрежа е защитена по такъв начин, че това да е невъзможно, тъй като в противен случай злонамерени страни също биха могли да стигнат до мрежовите ви устройства. Така че трябва да коригирате настройките сами. От съществено значение е да знаете какво правите, за да не отслабвате несъзнателно сигурността на вашата мрежа. Прочетете също: Пълни ли се вашият NAS? Можете да направите това.

01 Интернет слоеве

Ако искате да изпратите нещо по интернет от точка А до точка Б, тези данни се изпращат през редица „слоеве“. Всеки слой винаги предлага допълнителна функционалност за изпращане на данни.

В самото дъно имате физическия слой, където данните под формата на сигнали се изпращат по кабела или безжично чрез WiFi. Един слой над него имате слой, който изпраща данните по кабела или WiFi под формата на единици и нули и който също проверява за грешки и при необходимост изпраща данни отново. Друг слой по-високо имате опцията за изпращане на данни между две мрежови устройства, което се прави чрез MAC адрес. Всеки слой е малко по-абстрактен, в долната част работите с физически и нули, над този с пакети между устройства и адреси. Така че имате няколко слоя, където всеки слой винаги използва функциите и абстракциите на слоя отдолу.

Сега да предположим, че имаме текста "Здравей, свят!" към нашия сървър у дома. Мрежовият слой пакетира текста и търси рутер, който приема пакета и може да го препрати по пътя към нашия сървър. Пакетът отива с един слой по-дълбоко, докато се преобразува във физически сигнали и пътува през кабела. В крайна сметка той пристига на нашия сървър, който отчита данните. Сега да предположим, че сървърът също отговаря с пакет, който казва „Здравей, pc!“. Този пакет също преминава през всички слоеве, по пътя към нашия компютър. Има обаче един проблем. Пакетът е пристигнал на нашия компютър, но как операционната система знае за коя програма е предназначен пакетът? За това има порти. Портът не е нищо повече от пощенска кутия за програма; където Windows,Linux или macOS могат да доставят данните, така че програмата, за която са предназначени данните, да може да ги получи.

02 Препращащи портове

Ако нямате защитна стена, достъпът до всичките ви портове е отворен. Това е добре, защото докато никоя програма не отвори порт, нищо не може да се случи. Освен това Windows има собствена вградена защитна стена. Ако дадена програма използва порт и защитната стена го позволява, всеки компютър навсякъде може да извика вашия IP адрес с този порт и да му изпрати данни.

Поне това е на теория ... на практика е така, че имате рутер, към който са свързани няколко компютъра, лаптопи и таблети. Сега да предположим, че искате да изпратите данни до вашия компютър някъде извън вашата собствена мрежа, тогава има проблем. Вашият рутер прави нещо, наречено NAT или Превод на мрежови адреси. Това е необходимо, тъй като вашият интернет доставчик ви дава само един IP адрес на интернет връзка, така че можете да свържете точно едно устройство към интернет с този един IP адрес. Рутерът решава този проблем, като е единственият пряко свързан с вашия доставчик и по този начин приема този IP адрес и след това разпределя IP адресите на вашите собствени устройства.

Така че, да предположим, че искате да изпратите съобщение от кафене до вашия компютър у дома, тогава няма смисъл да използвате вашия локален IP адрес, присвоен от рутера, тъй като този IP адрес има значение само във вашата мрежа. Извън него той не се отнася до нищо. Вместо това можете да използвате външния си IP адрес в комбинация с вашия порт. Проблемът е, че след това вашият рутер трябва да знае къде да изпрати данните. Само с външния IP адрес и порт рутерът все още не знае за кой компютър, таблет или смартфон е предназначен пакетът. Ето защо има пренасочване на портове: с това посочвате в рутера, че ако данните на този порт идват скоро, тези данни трябва да бъдат препратени към конкретно устройство.

Може да се чудите как интернет все още работи във вашата мрежа. Когато посетите уебсайт, данните също се изпращат напред-назад и тези данни просто пристигат на вашия компютър, без да сте настроили пренасочване на портове. Това работи, защото самият вашият рутер вече прилага пренасочване на портове за връзки, които сте настроили отвътре, така че всички пакети да пристигат правилно там, където трябва. Пренасочването на портове не представлява риск за сигурността. Този риск идва от приложението, което слуша на този порт. Да предположим, че препращате порт X към компютър, който никога не актуализирате, тогава това е основен риск поради известни дупки в сигурността. Ето защо е важно винаги да поддържате устройството актуално, когато препращате порт към него.

03 UPnP

UPnP означава Universal Plug and Play. Той позволява на устройствата в мрежата да се „виждат“ взаимно. Всяко устройство може да се обяви в мрежата, което улеснява устройствата да комуникират и да си сътрудничат помежду си. Една от функциите на UPnP е да позволи на устройството да препраща портове, така че не е нужно да го правите ръчно.

Да предположим, че вашият Xbox би искал да получава трафик на порт 32400, тогава устройството може автоматично да изиска това от рутера, който след това ще създаде съответното правило и следователно препраща целия трафик от този порт към вашия Xbox посредством IP или MAC-адрес . UPnP обаче представлява риск за сигурността. Проблемът е, че UPnP не използва никаква форма за удостоверяване. Злонамереният софтуер може лесно да отваря портове. Проблемът е, че UPnP може да се използва дистанционно. Много реализации на UPnP от производителите на рутери са несигурни. През 2013 г. компания сканира интернет в продължение на шест месеца, за да види кои устройства са отговорили на UPnP. Не по-малко от 6 900 устройства отговориха, 80% от които включваха домашно устройство като принтер, уеб камера или IP камера.Затова препоръчваме да деактивирате UPnP във вашия рутер. Най-важните заключения от изследването могат да бъдат намерени в полето „UPnP safe?“

UPnP безопасно?

Основните изводи от проучването за безопасност на UPnP, проведено от Rapid7.

- 2.2 процента от всички публични IPv4 адреси са отговорили на UPnP трафик през Интернет, или 81 милиона уникални IP адреса.

- 20 процента от тези IP адреси не само отговарят на интернет трафика, но също така предлагат, достъпен от разстояние, API за конфигуриране на UPnP устройството!

23 милиона устройства използват уязвима версия на libupnp, широко използвана софтуерна библиотека, която прилага протокола UPnP. Течовете в тази версия могат да се използват дистанционно, като се изисква само един UDP пакет.