Ovo biste trebali znati o prosljeđivanju priključaka i UPnP-u

UPnP, luke, zaštitni zidovi, može biti prilično teško učiniti nešto dostupnim unutar vaše mreže kako bi se moglo doći i na vanjske lokacije. Često je teško konfigurirati usmjerivač da šalje točan promet na ispravan uređaj na mreži. Na tome ćemo raditi s UPnP-om i prosljeđivanjem portova.

Želite li moći pristupiti uređaju iz kućne mreže, na primjer NAS-u, čak i kad niste kod kuće? Vaša je kućna mreža prema zadanim postavkama zaštićena na takav način da to nije moguće, jer bi u protivnom zlonamjerne strane mogle doći i do vaših mrežnih uređaja. Dakle, postavke morate sami prilagoditi. Bitno je da znate što radite kako ne biste nesvjesno oslabili sigurnost svoje mreže. Također pročitajte: Puni li se vaš NAS? Možeš ti to.

01 Internetski slojevi

Ako želite poslati nešto putem Interneta od točke A do točke B, ti se podaci šalju kroz niz "slojeva". Svaki sloj uvijek nudi neke dodatne funkcije za slanje podataka.

Na samom dnu imate fizički sloj, gdje se podaci u obliku signala šalju kabelom ili bežično putem WiFi-a. Sloj iznad toga ima sloj koji podatke šalje kabelom ili WiFi-om u obliku jedinice i nule i koji također provjerava ima li pogrešaka i ako je potrebno šalje podatke ponovo. Još jedan sloj više imate mogućnost slanja podataka između dva mrežna uređaja, što se radi putem MAC adrese. Svaki je sloj nešto apstraktniji, pri dnu radite s fizičkim i nulama, a iznad s paketima između uređaja i adresa. Dakle, imate nekoliko slojeva, pri čemu svaki sloj uvijek koristi funkcije i apstrakcije donjeg sloja.

Sad pretpostavimo da imamo tekst "Zdravo, svijete!" na naš poslužitelj kod kuće. Mrežni sloj pakira tekst i traži usmjerivač koji prihvaća paket i može ga proslijediti na putu do našeg poslužitelja. Paket ide za jedan sloj dublje dok se ne pretvori u fizičke signale i ne putuje kroz kabel. U konačnici stiže na naš poslužitelj, koji očitava podatke. Sada pretpostavimo da i poslužitelj odgovara paketom koji kaže "Zdravo, računalo!". Ovaj paket također prolazi kroz sve slojeve, na putu do našeg računala. Međutim, postoji jedan problem. Paket je stigao na naše računalo, ali kako operativni sustav zna kojem je programu taj paket namijenjen? Za to postoje vrata. Luka nije ništa drugo nego poštanski pretinac za program; gdje Windows,Linux ili macOS mogu dostaviti podatke tako da ih program za koji su podaci namijenjeni može primiti.

02 Naprijed luka

Ako nemate vatrozid, pristup svim lukama je otvoren. To je u redu, jer sve dok nijedan program ne otvori port, ništa se ne može dogoditi. Osim toga, Windows ima svoj ugrađeni vatrozid. Ako program koristi priključak, a vatrozid to dopušta, bilo koje računalo bilo gdje može nazvati vašu IP adresu s tim priključkom i poslati mu podatke.

Barem je to slučaj u teoriji ... u praksi je slučaj da imate usmjerivač na koji je povezano nekoliko računala, prijenosnih računala i tableta. Sada pretpostavimo da želite poslati podatke na računalo negdje izvan vlastite mreže, tada postoji problem. Vaš usmjerivač radi nešto što se zove NAT ili Prijevod mrežne adrese. To je neophodno jer vam vaš davatelj internetskih usluga daje samo jednu IP adresu po internetskoj vezi, tako da na internet možete spojiti točno jedan uređaj s tom jednom IP adresom. Usmjerivač taj problem rješava time što je jedini izravno povezan s vašim davateljem usluga i tako usvaja tu IP adresu, a zatim distribuira IP adrese na vlastite uređaje.

Dakle, pretpostavimo da želite poslati poruku s caffe bara na svoje računalo kod kuće, onda nema smisla koristiti vašu lokalnu IP adresu koju je dodijelio usmjerivač, jer ta IP adresa ima značenje samo u vašoj mreži. Izvan nje se ne odnosi ni na što. Umjesto toga, možete upotrijebiti svoju vanjsku IP adresu u kombinaciji s vašim portom. Problem je u tome što vaš usmjerivač tada mora znati kamo poslati podatke. Sa samo vanjskom IP adresom i portom, usmjerivač još uvijek ne zna kojem je računalu, tabletu ili pametnom telefonu paket namijenjen. Zbog toga postoji prosljeđivanje priključaka: ovim u usmjerivaču naznačujete da se podaci na ovom priključku moraju uskoro proslijediti na određeni uređaj.

Možda se pitate kako internet uopće i dalje radi na vašoj mreži. Kada posjetite web stranicu, podaci se također šalju naprijed-natrag i ti podaci samo stižu na vaše računalo, bez postavljanja prosljeđivanja priključaka. To djeluje, jer sam vaš usmjerivač već primjenjuje prosljeđivanje porta za veze koje ste postavili iznutra, tako da svi paketi ispravno stižu tamo gdje trebaju biti. Prosljeđivanje luka samo po sebi nije sigurnosni rizik. Taj rizik proizlazi iz aplikacije koja preslušava na tom priključku. Pretpostavimo da port X proslijedite na računalo koje nikada ne ažurirate, a to je glavni rizik zbog poznatih sigurnosnih rupa. Stoga je važno kada uređaj prosljeđujete na njega uvijek biti u toku.

03 UPnP

UPnP je skraćenica od Universal Plug and Play. Omogućuje uređajima na mreži da se 'vide'. Svaki se uređaj može najaviti na mreži, što olakšava uređajima međusobnu komunikaciju i suradnju. Jedna od funkcija UPnP-a je omogućiti uređaju prosljeđivanje portova, tako da to ne morate raditi ručno.

Pretpostavimo da vaš Xbox želi primati promet na priključku 32400, tada uređaj to može automatski zahtijevati od usmjerivača, koji će tada stvoriti odgovarajuće pravilo i prema tome sav promet na tom priključku prosljeđuje na vaš Xbox putem IP ili MAC adrese . Međutim, UPnP predstavlja sigurnosni rizik. Problem je u tome što UPnP ne koristi bilo koji oblik provjere autentičnosti. Zlonamjerni softver može lako otvoriti priključke. Problem je u tome što se UPnP može eksploatirati na daljinu. Mnoge UPnP implementacije proizvođača usmjerivača nisu sigurne. 2013. godine jedna je tvrtka šest mjeseci skenirala internet kako bi vidjela koji su uređaji odgovorili na UPnP. Javilo se ne manje od 6.900 uređaja, od kojih je 80 posto uključivalo kućne uređaje poput pisača, web kamere ili IP kamere.Stoga preporučujemo onemogućavanje UPnP-a na usmjerivaču. Najvažniji zaključci istraživanja mogu se naći u okviru "UPnP siguran?"

UPnP siguran?

Glavni zaključci UPnP sigurnosne studije koju je proveo Rapid7.

- 2,2 posto svih javnih IPv4 adresa odgovorilo je na UPnP promet putem Interneta, ili 81 milijun jedinstvenih IP adresa.

- 20 posto tih IP adresa nije samo reagiralo na internetski promet, već je nudilo i dostupan na daljinu API za konfiguriranje UPnP uređaja!

23 milijuna uređaja koristi ranjivu verziju libupnp, široko korištene softverske knjižnice koja implementira protokol UPnP. Propuštanja u toj verziji mogu se iskoristiti na daljinu, zahtijevajući samo jedan UDP paket.