UPnP, θύρες, τείχη προστασίας, μπορεί να είναι αρκετά δύσκολο να διαθέσετε κάτι από μέσα στο δίκτυό σας, ώστε να είναι επίσης προσβάσιμο σε εξωτερικές τοποθεσίες. Είναι συχνά δύσκολο να διαμορφώσετε το δρομολογητή σας ώστε να στέλνει τη σωστή κίνηση στη σωστή συσκευή στο δίκτυό σας. Θα εργαστούμε σε αυτό με UPnP και προώθηση θυρών.
Θέλετε να έχετε πρόσβαση σε μια συσκευή από το οικιακό σας δίκτυο, για παράδειγμα το NAS σας, ακόμη και όταν δεν είστε στο σπίτι; Από προεπιλογή, το οικιακό σας δίκτυο είναι ασφαλές με τέτοιο τρόπο ώστε αυτό να μην είναι εφικτό, γιατί διαφορετικά κακόβουλα μέρη θα μπορούσαν επίσης να φτάσουν στις συσκευές δικτύου σας. Επομένως, πρέπει να προσαρμόσετε μόνοι σας τις ρυθμίσεις. Είναι σημαντικό να γνωρίζετε τι κάνετε, έτσι ώστε να μην εξασθενίσετε εν γνώσει σας την ασφάλεια του δικτύου σας. Διαβάστε επίσης: Γεμίζει το NAS σας; Μπορείτε να το κάνετε αυτό.
01 επίπεδα διαδικτύου
Εάν θέλετε να στείλετε κάτι μέσω του Διαδικτύου από το σημείο Α στο σημείο Β, αυτά τα δεδομένα αποστέλλονται μέσω ενός αριθμού "επιπέδων". Κάθε επίπεδο προσφέρει πάντα κάποια επιπλέον λειτουργικότητα για την αποστολή δεδομένων.
Στο κάτω μέρος έχετε το φυσικό επίπεδο, όπου τα δεδομένα με τη μορφή σημάτων αποστέλλονται μέσω του καλωδίου ή ασύρματα μέσω WiFi. Ένα επίπεδο πάνω από αυτό, έχετε ένα επίπεδο που στέλνει τα δεδομένα μέσω του καλωδίου ή του WiFi με τη μορφή αυτών και μηδενικών και που ελέγχει επίσης για σφάλματα και, εάν είναι απαραίτητο, στέλνει ξανά δεδομένα. Ένα άλλο επίπεδο υψηλότερο έχετε την επιλογή να στείλετε δεδομένα μεταξύ δύο συσκευών δικτύου, κάτι που γίνεται μέσω μιας διεύθυνσης MAC. Κάθε στρώμα είναι λίγο πιο αφηρημένο, στο κάτω μέρος δουλεύετε με φυσικά και μηδενικά, πάνω από αυτό με πακέτα μεταξύ συσκευών και διευθύνσεων. Έτσι έχετε έναν αριθμό επιπέδων, όπου κάθε επίπεδο χρησιμοποιεί πάντα τις λειτουργίες και τις αφαιρέσεις του παρακάτω επιπέδου.
Ας υποθέσουμε ότι θέλουμε να στείλουμε το κείμενο "Γεια, κόσμος!" Στον διακομιστή μας στο σπίτι. Το επίπεδο δικτύου συσκευάζει το κείμενο και αναζητά έναν δρομολογητή που δέχεται το πακέτο και μπορεί να το προωθήσει στο δρόμο του στον διακομιστή μας. Το πακέτο πηγαίνει ένα στρώμα βαθύτερα έως ότου μετατραπεί σε φυσικά σήματα και ταξιδεύει μέσω του καλωδίου. Τελικά, φτάνει στον διακομιστή μας, ο οποίος διαβάζει τα δεδομένα. Ας υποθέσουμε ότι ο διακομιστής αποκρίνεται επίσης με ένα πακέτο που λέει "Γεια σας, PC!". Αυτό το πακέτο περνά επίσης από όλα τα επίπεδα στο δρόμο προς τον υπολογιστή μας. Υπάρχει όμως ένα πρόβλημα. Το πακέτο έχει φτάσει στον υπολογιστή μας, αλλά πώς ξέρει το λειτουργικό σύστημα για ποιο πρόγραμμα είναι το πακέτο; Υπάρχουν πύλες για αυτό. Η θύρα δεν είναι τίποτα περισσότερο από ένα γραμματοκιβώτιο για ένα πρόγραμμα. όπου τα Windows, Linux ή macOS μπορούν να παραδώσουν τα δεδομένα έτσι ώστε το πρόγραμμα για το οποίο προορίζονται τα δεδομένα να μπορεί να τα λάβει.
02 Θύρες προώθησης
Εάν δεν έχετε τείχος προστασίας, η πρόσβαση σε όλες τις θύρες σας είναι ανοιχτή. Αυτό είναι εντάξει, γιατί όσο κανένα πρόγραμμα δεν ανοίγει μια θύρα, τίποτα δεν μπορεί να συμβεί. Επιπλέον, τα Windows διαθέτουν το δικό τους ενσωματωμένο τείχος προστασίας. Εάν ένα πρόγραμμα χρησιμοποιεί μια θύρα και το τείχος προστασίας το επιτρέπει, οποιοσδήποτε υπολογιστής οπουδήποτε μπορεί να καλέσει τη διεύθυνση IP σας με αυτήν τη θύρα και να στείλει δεδομένα σε αυτήν.
Τουλάχιστον αυτό συμβαίνει στη θεωρία… στην πράξη έχετε έναν δρομολογητή στον οποίο είναι συνδεδεμένοι αρκετοί υπολογιστές, φορητοί υπολογιστές και tablet. Ας υποθέσουμε τώρα ότι θέλετε να στείλετε δεδομένα στον υπολογιστή σας κάπου εκτός του δικού σας δικτύου, και τότε υπάρχει πρόβλημα. Ο δρομολογητής σας κάνει κάτι που ονομάζεται NAT ή Μετάφραση διευθύνσεων δικτύου. Αυτό είναι απαραίτητο, επειδή ο πάροχός σας διαδικτύου σας δίνει μόνο μία διεύθυνση IP ανά σύνδεση στο Διαδίκτυο, ώστε να μπορείτε να συνδέσετε ακριβώς μία συσκευή στο Διαδίκτυο με τη συγκεκριμένη διεύθυνση IP. Ο δρομολογητής λύνει αυτό το πρόβλημα με το να είναι ο μόνος που συνδέεται απευθείας με τον παροχέα σας και υιοθετώντας έτσι τη διεύθυνση IP και, στη συνέχεια, διανέμοντας διευθύνσεις IP στις δικές σας συσκευές.
Ας υποθέσουμε λοιπόν ότι θέλετε να στείλετε ένα μήνυμα από τη γραμμή καφέ στον οικιακό υπολογιστή σας, και τότε δεν έχει νόημα να χρησιμοποιήσετε την τοπική σας διεύθυνση IP που έχει εκχωρηθεί από το δρομολογητή, επειδή αυτή η διεύθυνση IP έχει νόημα μόνο στο δίκτυό σας. Εκτός αυτού, δεν αναφέρεται σε τίποτα. Αντ 'αυτού, μπορείτε να χρησιμοποιήσετε την εξωτερική σας διεύθυνση IP, σε συνδυασμό με τη θύρα σας. Το πρόβλημα είναι ότι ο δρομολογητής σας πρέπει στη συνέχεια να γνωρίζει πού να στείλει τα δεδομένα. Με μόνο την εξωτερική διεύθυνση IP και τη θύρα, ο δρομολογητής εξακολουθεί να μην γνωρίζει για ποιον υπολογιστή, tablet ή smartphone προορίζεται το πακέτο. Γι 'αυτό υπάρχει προώθηση θύρας: με αυτό δηλώνετε στο δρομολογητή ότι εάν τα δεδομένα σε αυτήν τη θύρα έρχονται σύντομα, αυτά τα δεδομένα πρέπει να προωθηθούν σε μια συγκεκριμένη συσκευή.
Ίσως αναρωτιέστε πώς λειτουργεί ακόμα το Διαδίκτυο στο δίκτυό σας. Όταν επισκέπτεστε έναν ιστότοπο, τα δεδομένα αποστέλλονται επίσης μπρος-πίσω και αυτά τα δεδομένα φτάνουν στον υπολογιστή σας, χωρίς να απαιτείται ρύθμιση προώθησης θύρας. Λειτουργεί, επειδή ο ίδιος ο δρομολογητής ήδη εφαρμόζει προώθηση θύρας για συνδέσεις που ρυθμίζετε από μέσα, έτσι ώστε όλα τα πακέτα να φτάνουν σωστά εκεί που πρέπει να είναι. Η προώθηση της θύρας δεν αποτελεί κίνδυνο ασφαλείας. Αυτός ο κίνδυνος προέρχεται από την εφαρμογή που ακούει σε αυτήν τη θύρα. Ας υποθέσουμε ότι προωθείτε τη θύρα X σε έναν υπολογιστή που δεν ενημερώνετε ποτέ, που αποτελεί σημαντικό κίνδυνο λόγω γνωστών τρωτών σημείων ασφαλείας. Επομένως, είναι σημαντικό να διατηρείτε πάντα ενημερωμένη τη συσκευή όταν προωθείτε μια θύρα σε αυτήν.
03 UPnP
Το UPnP σημαίνει Universal Plug and Play. Επιτρέπει σε συσκευές στο δίκτυο να "βλέπουν" η μια την άλλη. Κάθε συσκευή μπορεί να ανακοινωθεί στο δίκτυο, διευκολύνοντας τις συσκευές να επικοινωνούν και να συνεργάζονται μεταξύ τους. Μία από τις λειτουργίες του UPnP είναι να επιτρέπει σε μια συσκευή να προωθεί θύρες, οπότε δεν χρειάζεται να το κάνετε χειροκίνητα.
Ας υποθέσουμε ότι το Xbox σας θα ήθελε να λαμβάνει κίνηση στη θύρα 32400, τότε η συσκευή μπορεί να το ζητήσει αυτόματα από το δρομολογητή, ο οποίος στη συνέχεια θα δημιουργήσει τον σχετικό κανόνα και επομένως θα προωθήσει όλη την κυκλοφορία σε αυτήν τη θύρα στο Xbox σας μέσω της διεύθυνσης IP ή MAC . Ωστόσο, το UPnP αποτελεί κίνδυνο ασφαλείας. Το πρόβλημα είναι ότι το UPnP δεν χρησιμοποιεί καμία μορφή ελέγχου ταυτότητας. Το κακόβουλο λογισμικό μπορεί εύκολα να ανοίξει θύρες. Το πρόβλημα είναι ότι το UPnP μπορεί να αξιοποιηθεί εξ αποστάσεως. Πολλές εφαρμογές UPnP από κατασκευαστές δρομολογητών είναι ανασφαλείς. Το 2013, μια εταιρεία σάρωσε το Διαδίκτυο για έξι μήνες για να δει ποιες συσκευές ανταποκρίθηκαν στο UPnP. Όχι λιγότερες από 6900 συσκευές απάντησαν, το 80 τοις εκατό των οποίων αφορούσε οικιακή συσκευή όπως εκτυπωτή, κάμερα web ή κάμερα IP. Προτείνουμε λοιπόν να απενεργοποιήσετε το UPnP στο δρομολογητή σας. Μπορείτε να βρείτε τα πιο σημαντικά συμπεράσματα από την έρευνα στο πλαίσιο "UPnP ασφαλές;"
Ασφαλές UPnP;
Τα κύρια συμπεράσματα της μελέτης ασφάλειας UPnP που διεξήγαγε το Rapid7.
- 2,2 τοις εκατό όλων των δημόσιων διευθύνσεων IPv4 ανταποκρίθηκαν στην κυκλοφορία UPnP μέσω Διαδικτύου ή 81 εκατομμύρια μοναδικές διευθύνσεις IP.
- 20 τοις εκατό αυτών των διευθύνσεων IP όχι μόνο ανταποκρίθηκαν στην κίνηση στο Διαδίκτυο, αλλά προσέφεραν επίσης ένα API, προσβάσιμο από απόσταση, για τη διαμόρφωση της συσκευής UPnP!
23 εκατομμύρια συσκευές χρησιμοποιούν μια ευάλωτη έκδοση του libupnp, μια ευρέως χρησιμοποιούμενη βιβλιοθήκη λογισμικού που εφαρμόζει το πρωτόκολλο UPnP. Διαρροές σε αυτήν την έκδοση μπορούν να αξιοποιηθούν εξ αποστάσεως, απαιτώντας μόνο ένα πακέτο UDP.
