UPnP, vrata, požarni zidovi, je lahko kar težko dati nekaj na voljo znotraj vašega omrežja, tako da je to mogoče doseči tudi na zunanjih lokacijah. Pogosto je težko usmeriti usmerjevalnik tako, da pošilja pravi promet na pravilno napravo v vašem omrežju. Na tem bomo delali z UPnP in posredovanjem vrat.
Ali želite imeti dostop do naprave iz domačega omrežja, na primer NAS, tudi ko vas ni doma? Domače omrežje je privzeto zavarovano tako, da to ni mogoče, ker bi v nasprotnem primeru zlonamerne stranke lahko dosegle tudi vaše omrežne naprave. Torej morate sami prilagoditi nastavitve. Bistveno je, da veste, kaj počnete, da ne boste nevede oslabili varnosti svojega omrežja. Preberite tudi: Ali se vaš NAS polni? Zmoreš.
01 Internetne plasti
Če želite nekaj poslati prek interneta od točke A do točke B, se ti podatki pošljejo skozi številne "plasti". Vsak sloj vedno ponuja nekaj dodatnih funkcij za pošiljanje podatkov.
Čisto na dnu je fizična plast, kjer se podatki v obliki signalov pošiljajo po kablu ali brezžično prek WiFi. Ena plast nad tem imate plast, ki podatke pošilja po kablu ali WiFi v obliki enot in ničel in ki prav tako preveri napake in po potrebi podatke pošlje znova. Še en sloj višje imate možnost pošiljanja podatkov med dvema omrežnima napravama, kar lahko storite prek naslova MAC. Vsaka plast je nekoliko bolj abstraktna, spodaj delate s fizičnimi in ničlami, nad tem pa s paketi med napravami in naslovi. Tako imate na voljo več slojev, kjer vsak sloj vedno uporablja funkcije in abstrakcije spodnjega sloja.
Zdaj predpostavimo, da želimo na naš strežnik doma poslati besedilo »Zdravo, svet!«. Omrežna plast pakira besedilo in išče usmerjevalnik, ki sprejme paket in ga lahko posreduje na naš strežnik. Paket gre en sloj globlje, dokler se ne pretvori v fizične signale in potuje skozi kabel. Na koncu prispe na naš strežnik, ki podatke prebere. Zdaj predpostavimo, da se strežnik odzove tudi s paketom, ki pravi "Pozdravljen, PC!". Ta paket gre tudi skozi vse plasti, na poti do našega računalnika. Vendar je en problem. Paket je prispel v naš računalnik, toda kako operacijski sistem ve, kateremu programu je namenjen? Za to obstajajo vrata. Vrata niso nič drugega kot nabiralnik za program; kjer lahko Windows, Linux ali macOS dostavijo podatke, tako da jih lahko prejme program, kateremu so podatki namenjeni.
02 Posredovalna vrata
Če nimate požarnega zidu, je dostop do vseh vrat odprt. To je v redu, ker dokler noben program ne odpre vrat, se nič ne more zgoditi. Poleg tega ima Windows svoj vgrajeni požarni zid. Če program uporablja vrata in požarni zid to omogoča, lahko kateri koli računalnik kjer koli pokliče vaš naslov IP s tem vrati in mu pošlje podatke.
Vsaj v teoriji je tako ... v praksi imate usmerjevalnik, na katerega je priključenih več osebnih računalnikov, prenosnikov in tabličnih računalnikov. Zdaj predpostavimo, da želite podatke poslati v svoj računalnik nekje zunaj svojega omrežja, potem obstaja težava. Vaš usmerjevalnik izvaja nekaj, kar se imenuje NAT ali Prevajanje omrežnih naslovov. To je potrebno, saj vam ponudnik interneta na internetno povezavo daje samo en naslov IP, tako da lahko v internet s tem enim naslovom IP povežete točno eno napravo. Usmerjevalnik to težavo reši tako, da je edini, ki je neposredno povezan z vašim ponudnikom in tako sprejme ta naslov IP, nato pa naslove IP razdeli svojim napravam.
Recimo, da želite poslati sporočilo iz kavarne na domači računalnik, potem nima smisla uporabljati vašega lokalnega naslova IP, ki ga dodeli usmerjevalnik, ker ima ta naslov IP pomen samo v vašem omrežju. Zunaj se ne nanaša na nič. Namesto tega lahko uporabite svoj zunanji naslov IP v kombinaciji z vrati. Težava je v tem, da mora vaš usmerjevalnik potem vedeti, kam naj pošlje podatke. Z le zunanjim naslovom IP in vrati usmerjevalnik še vedno ne ve, kateremu osebnemu računalniku, tablici ali pametnemu telefonu je paket namenjen. Zato obstaja posredovanje vrat: s tem v usmerjevalniku navedete, da morajo biti podatki na teh vratih posredovani določeni napravi, če bodo kmalu na voljo.
Lahko se vprašate, kako internet sploh še deluje v vašem omrežju. Ko obiščete spletno mesto, se podatki pošljejo tudi naprej in nazaj in ti podatki samo prispejo v vaš računalnik, ne da bi nastavili posredovanje vrat. To deluje, ker vaš usmerjevalnik že uporablja posredovanje vrat za povezave, ki ste jih nastavili od znotraj, tako da vsi paketi prispejo pravilno, kjer morajo biti. Preusmeritev vrat sama po sebi ni varnostno tveganje. To tveganje izvira iz aplikacije, ki posluša na teh vratih. Denimo, da vrata X posredujete v osebni računalnik, ki ga nikoli ne posodobite, kar predstavlja veliko tveganje zaradi znanih varnostnih ranljivosti. Zato je pomembno, da napravo vedno posodabljate, ko ji posredujete vrata.
03 UPnP
UPnP pomeni Universal Plug and Play. Napravam v omrežju omogoča, da se "vidijo". Vsaka naprava se lahko oglasi v omrežju in tako olajša komunikacijo in sodelovanje med seboj. Ena od funkcij UPnP je omogočiti napravi, da posreduje vrata, zato vam tega ni treba storiti ročno.
Recimo, da bi vaš Xbox želel prejemati promet na vratih 32400, potem lahko naprava to samodejno zahteva od usmerjevalnika, ki bo nato ustvaril ustrezno pravilo in bo zato ves promet na teh vratih prek naslova IP ali MAC posredoval na vaš Xbox. . Vendar UPnP predstavlja varnostno tveganje. Težava je v tem, da UPnP ne uporablja nobene oblike preverjanja pristnosti. Zlonamerna programska oprema lahko zlahka odpre vrata. Težava je v tem, da je UPnP mogoče izkoriščati na daljavo. Številne izvedbe UPnP proizvajalcev usmerjevalnikov niso varne. Leta 2013 je podjetje šest mesecev skeniralo internet, da bi ugotovilo, katere naprave so se odzvale na UPnP. Odzvalo se je manj kot 6900 naprav, od katerih je 80 odstotkov vključevalo domače naprave, kot so tiskalnik, spletna kamera ali IP kamera. Zato priporočamo, da v usmerjevalniku onemogočite UPnP. Najpomembnejše zaključke iz raziskave najdete v kontekstu "UPnP safe?"
UPnP varen?
Glavni zaključki študije varnosti UPnP, ki jo je izvedel Rapid7.
- 2,2 odstotka vseh javnih naslovov IPv4 se je odzvalo na promet UPnP prek interneta ali 81 milijonov edinstvenih naslovov IP.
- 20 odstotkov teh naslovov IP se ni samo odzvalo na internetni promet, temveč je ponudilo tudi API, ki je dostopen na daljavo, za konfiguracijo naprave UPnP!
23 milijonov naprav uporablja ranljivo različico libupnp, široko uporabljene knjižnice programske opreme, ki izvaja protokol UPnP. Puščanje v tej različici je mogoče izkoristiti na daljavo, za kar je potreben samo en paket UDP.
