UPnP, porter, brannmurer, det kan være ganske vanskelig å gjøre noe tilgjengelig fra nettverket ditt slik at det også kan nås på eksterne steder. Det er ofte vanskelig å konfigurere ruteren slik at den sender riktig trafikk til riktig enhet på nettverket. Vi vil jobbe med dette med UPnP og port forwarding.
Vil du kunne nå en enhet fra hjemmenettverket ditt, for eksempel NAS-en din, selv når du ikke er hjemme? Som standard er hjemmenettverket ditt sikret på en slik måte at dette ikke er mulig, fordi ellers kan ondsinnede parter også nå nettverksenhetene dine. Så du må justere innstillingene selv. Det er viktig at du vet hva du gjør, slik at du ikke uvitende svekker sikkerheten til nettverket ditt. Les også: Blir NAS-en din full? Du klarer dette.
01 Internett-lag
Hvis du vil sende noe over internett fra punkt A til punkt B, sendes disse dataene gjennom en rekke "lag". Hvert lag tilbyr alltid litt ekstra funksjonalitet for sending av data.
Helt nederst har du det fysiske laget, der data i form av signaler sendes over kabelen eller trådløst via WiFi. Ett lag over det, du har et lag som sender dataene over kabelen eller WiFi i form av ener og nuller, og som også sjekker for feil og om nødvendig sender data på nytt. Et annet lag høyere har du muligheten til å sende data mellom to nettverksenheter, noe som gjøres via en MAC-adresse. Hvert lag er litt mer abstrakt, nederst jobber du med fysiske og nuller, over det med pakker mellom enheter og adresser. Så du har et antall lag, hvor hvert lag alltid bruker funksjonene og abstraksjonene til laget nedenfor.
Anta at vi vil sende teksten "Hei, verden!" Til serveren vår hjemme. Nettverkslaget pakker teksten og søker etter en ruter som godtar pakken og kan videresende den på vei til serveren vår. Pakken går ett lag dypere til den blir omgjort til fysiske signaler og beveger seg gjennom kabelen. Til slutt kommer den til serveren vår, som leser ut dataene. Anta at serveren også svarer med en pakke som sier "Hei, PC!". Denne pakken går også gjennom alle lag, på vei til datamaskinen vår. Det er imidlertid et problem. Pakken har kommet til datamaskinen vår, men hvordan vet operativsystemet hvilket program pakken er for? Det er porter for det. En port er ikke mer enn en postkasse for et program; der Windows, Linux eller macOS kan levere dataene slik at programmet som dataene er beregnet på kan motta det.
02 Videresendingsporter
Hvis du ikke har en brannmur, er tilgangen til alle portene dine åpne. Det er greit, for så lenge ikke noe program åpner en port, kan ingenting skje. I tillegg har Windows sin egen innebygde brannmur. Hvis et program bruker en port og brannmuren tillater det, kan hvilken som helst PC hvor som helst ringe IP-adressen din med den porten og sende data til den.
I det minste er det tilfellet i teorien ... i praksis har du en ruter som flere PC-er, bærbare datamaskiner og nettbrett er koblet til. Anta at du vil sende data til PCen din et sted utenfor ditt eget nettverk, så er det et problem. Ruteren din gjør noe som heter NAT eller Network Address Translation. Dette er nødvendig, fordi internettleverandøren bare gir deg en IP-adresse per internettforbindelse, slik at du kan koble nøyaktig én enhet til internett med den ene IP-adressen. Ruteren løser problemet ved å være den eneste som er direkte koblet til leverandøren din, og dermed vedta den IP-adressen, og deretter distribuere IP-adressene til dine egne enheter.
Så anta at du vil sende en melding fra kaffebaren til hjemme-PC-en din, og det gir ingen mening å bruke din lokale IP-adresse tildelt av ruteren, fordi den IP-adressen bare har betydning i nettverket ditt. Utenom det refererer det ikke til noe. I stedet kan du bruke den eksterne IP-adressen din, i kombinasjon med porten din. Problemet er at ruteren din da må vite hvor du skal sende dataene. Med bare den eksterne IP-adressen og porten, vet ikke ruteren fortsatt hvilken PC, nettbrett eller smarttelefon pakken er beregnet på. Derfor er det videresending av port: med dette indikerer du i ruteren at hvis data på denne porten kommer snart, må disse dataene videresendes til en bestemt enhet.
Du lurer kanskje på hvordan internett fortsatt fungerer i nettverket ditt i det hele tatt. Når du besøker et nettsted, blir data også sendt frem og tilbake, og disse dataene kommer bare til PC-en din, uten å ha konfigurert videresending av port. Det fungerer, fordi ruteren din allerede bruker videresending av port for tilkoblinger du setter opp fra innsiden, slik at alle pakker kommer riktig der de trenger å være. Havnesending er ikke en sikkerhetsrisiko. Denne risikoen kommer fra applikasjonen som lytter i den porten. Anta at du videresender port X til en PC som du aldri oppdaterer, det er en stor risiko på grunn av kjente sikkerhetsproblemer. Det er derfor viktig å alltid holde en enhet oppdatert når du videresender en port til den.
03 UPnP
UPnP står for Universal Plug and Play. Det gjør at enheter i nettverket kan "se" hverandre. Hver enhet kan kunngjøre seg selv i nettverket, noe som gjør det enkelt for enheter å kommunisere og samarbeide med hverandre. En av funksjonene til UPnP er å la en enhet videresende porter, slik at du ikke trenger å gjøre det manuelt.
Anta at Xbox vil motta trafikk på port 32400, så kan enheten automatisk be om dette fra ruteren, som deretter vil opprette den aktuelle regelen og derfor videresende all trafikk på den porten til Xboxen din ved hjelp av IP- eller MAC-adressen . UPnP er imidlertid en sikkerhetsrisiko. Problemet er at UPnP ikke bruker noen form for autentisering. Skadelig programvare kan enkelt åpne porter. Problemet er at UPnP kan utnyttes eksternt. Mange UPnP-implementeringer fra ruteprodusenter er usikre. I 2013 skannet et selskap internett i seks måneder for å se hvilke enheter som svarte på UPnP. Ikke færre enn 6900 enheter svarte, hvorav 80 prosent involverte en hjemmeenhet som en skriver, webkamera eller IP-kamera. Vi anbefaler derfor å deaktivere UPnP i ruteren din. Du finner de viktigste konklusjonene fra forskningen i sammenheng "UPnP safe?"
UPnP Safe?
Hovedkonklusjonene i UPnP-sikkerhetsstudien utført av Rapid7.
- 2,2 prosent av alle offentlige IPv4-adresser svarte på UPnP-trafikk over Internett, eller 81 millioner unike IP-adresser.
- 20 prosent av disse IP-adressene svarte ikke bare på internettrafikk, men tilbød også en API, tilgjengelig fra eksternt, for å konfigurere UPnP-enheten!
23 millioner enheter bruker en sårbar versjon av libupnp, et mye brukt programvarebibliotek som implementerer UPnP-protokollen. Lekkasjer i den versjonen kan utnyttes eksternt, og krever bare en UDP-pakke.
