Miten

Sinun pitäisi tietää tämä portin edelleenlähetyksestä ja UPnP: stä

UPnP, portit, palomuurit, voi olla melko vaikeaa tehdä jotain saatavana verkon sisäpuolelta, jotta se voidaan saavuttaa myös ulkoisissa paikoissa. Reitittimen määrittäminen lähettämään oikeaa liikennettä verkkosi oikeaan laitteeseen on usein vaikeaa. Työskentelemme tämän kanssa UPnP: n ja porttisiirron avulla.

Haluatko pystyä saavuttamaan laitteen kotiverkostasi, esimerkiksi NAS: n, vaikka et olisikaan kotona? Kotiverkko on oletusarvoisesti suojattu siten, että se ei ole mahdollista, koska muuten haitalliset osapuolet voivat tavoittaa myös verkkolaitteesi. Joten sinun on säädettävä asetuksia itse. On tärkeää, että tiedät mitä olet tekemässä, jotta et heikennä tietämättään verkon turvallisuutta. Lue myös: Onko NAS täynnä? Sinä pystyt tähän.

01 Internet-kerrokset

Jos haluat lähettää jotain Internetin kautta pisteestä A pisteeseen B, nämä tiedot lähetetään useiden "kerrosten" kautta. Jokainen kerros tarjoaa aina joitain lisätoimintoja tietojen lähettämiseen.

Alaosassa sinulla on fyysinen kerros, jossa tietoja signaaleina lähetetään kaapelin tai langattomasti WiFi-yhteyden kautta. Yksi kerros sen yläpuolella sinulla on kerros, joka lähettää tiedot kaapelin tai WiFi-yhteyden kautta ykkösten ja nollien muodossa ja joka myös tarkistaa virheet ja lähettää tietoja tarvittaessa uudelleen. Toisella kerroksella korkeammalla sinulla on mahdollisuus lähettää tietoja kahden verkkolaitteen välillä, mikä tapahtuu MAC-osoitteen kautta. Jokainen kerros on hieman abstraktimpi, alareunassa työskentelet fyysisten ja nollien kanssa, sen yläpuolella pakettien kanssa laitteiden ja osoitteiden välillä. Joten sinulla on useita kerroksia, joissa jokainen taso käyttää aina alla olevan tason toimintoja ja abstraktioita.

Oletetaan nyt, että haluamme lähettää tekstin "Hei maailma!" Palvelimellemme kotona. Verkkokerros pakkaa tekstin ja etsii reitittimen, joka hyväksyy paketin ja voi lähettää sen matkalla palvelimellemme. Paketti menee yhden kerroksen syvemmälle, kunnes se muuttuu fyysisiksi signaaleiksi ja kulkee kaapelin läpi. Viime kädessä se saapuu palvelimellemme, joka lukee tiedot. Oletetaan, että palvelin vastaa myös paketilla, joka sanoo "Hei, PC!". Tämä paketti käy myös läpi kaikki kerrokset matkalla tietokoneellemme. On kuitenkin yksi ongelma. Paketti on saapunut tietokoneellemme, mutta mistä käyttöjärjestelmä tietää, mihin ohjelmaan paketti on tarkoitettu? Siellä on portit. Portti ei ole muuta kuin ohjelman postilaatikko; missä Windows, Linux tai macOS voivat toimittaa tietoja siten, että ohjelma, jolle tiedot on tarkoitettu, voi vastaanottaa ne.

02 Edelleenlähetysportit

Jos sinulla ei ole palomuuria, pääsy kaikkiin portteihisi on avoin. Se on okei, koska niin kauan kuin mikään ohjelma ei avaa porttia, mitään ei voi tapahtua. Lisäksi Windowsilla on oma sisäänrakennettu palomuuri. Jos ohjelma käyttää porttia ja palomuuri sallii sen, mikä tahansa tietokone missä tahansa voi soittaa IP-osoitteellesi tällä portilla ja lähettää siihen tietoja.

Ainakin näin on teoriassa ... käytännössä sinulla on reititin, johon on kytketty useita tietokoneita, kannettavia tietokoneita ja tabletteja. Oletetaan nyt, että haluat lähettää tietoja tietokoneellesi jonnekin oman verkon ulkopuolella, silloin on ongelma. Reititin tekee jotain, jota kutsutaan nimellä NAT tai verkko-osoitteen käännös. Tämä on välttämätöntä, koska Internet-palveluntarjoajasi antaa sinulle vain yhden IP-osoitteen internetyhteyttä kohti, joten voit liittää tarkalleen yhden laitteen Internetiin tällä yhdellä IP-osoitteella. Reititin ratkaisee ongelman olemalla ainoa, joka on kytketty suoraan palveluntarjoajaasi ja hyväksymällä näin IP-osoitteen ja jakamalla sitten IP-osoitteet omille laitteillesi.

Joten oletetaan, että haluat lähettää viestin kahvilasta kotitietokoneellesi, silloin ei ole mitään järkeä käyttää reitittimen määrittelemää paikallista IP-osoitettasi, koska tällä IP-osoitteella on merkitystä vain verkossasi. Sen ulkopuolella se ei viittaa mihinkään. Sen sijaan voit käyttää ulkoista IP-osoitettasi yhdessä porttisi kanssa. Ongelmana on, että reitittimen on tällöin tiedettävä, mihin tiedot lähetetään. Reititin ei tiedä, mihin tietokoneeseen, tablettiin tai älypuhelimeen paketti on tarkoitettu vain ulkoisen IP-osoitteen ja portin avulla. Siksi tapahtuu portin edelleenlähetys: tällöin ilmoitat reitittimessä, että jos tämän portin tietoja on tulossa pian, nämä tiedot on toimitettava edelleen tietylle laitteelle.

Saatat ihmetellä, miten Internet toimii edelleen verkossa. Kun vierailet verkkosivustolla, tietoja lähetetään myös edestakaisin ja kyseiset tiedot saapuvat vain tietokoneellesi ilman, että portinsiirtoa on määritetty. Se toimii, koska reititin itse käyttää jo portin edelleenlähetystä sisäpuolelta muodostamillesi yhteyksille, jotta kaikki paketit saapuvat oikein sinne, missä heidän on oltava. Itse sataman huolinta ei ole turvallisuusriski. Tämä riski johtuu siitä, että sovellus kuuntelee kyseistä porttia. Oletetaan, että lähetät portin X edelleen tietokoneelle, jota et koskaan päivitä, mikä on suuri riski tunnettujen tietoturva-aukkojen vuoksi. Siksi on tärkeää pitää laite aina ajan tasalla, kun siirrät siihen porttia.

03 UPnP

UPnP on lyhenne sanoista Universal Plug and Play. Sen avulla verkon laitteet voivat "nähdä" toisiaan. Jokainen laite voi ilmoittaa olevansa verkossa, mikä helpottaa laitteiden kommunikointia ja yhteistyötä keskenään. Yksi UPnP: n tehtävistä on antaa laitteen siirtää portteja eteenpäin, joten sinun ei tarvitse tehdä sitä manuaalisesti.

Oletetaan, että Xbox haluaa vastaanottaa liikennettä portissa 32400, laite voi pyytää tämän automaattisesti reitittimeltä, joka sitten luo asiaankuuluvan säännön ja välittää siten kaiken kyseisen portin liikenteen Xboxillesi IP- tai MAC-osoitteen avulla. . UPnP on kuitenkin turvallisuusriski. Ongelmana on, että UPnP ei käytä minkäänlaista todennusta. Haittaohjelma voi helposti avata portteja. Ongelmana on, että UPnP: tä voidaan hyödyntää etänä. Monet reitittimen valmistajien UPnP-toteutukset ovat epävarmoja. Vuonna 2013 yritys skannasi Internetiä kuuden kuukauden ajan selvittääkseen, mitkä laitteet vastasivat UPnP: hen. Ainakin 6900 laitetta vastasi, joista 80 prosenttia liittyi kodin laitteisiin, kuten tulostimeen, verkkokameraan tai IP-kameraan. Siksi suosittelemme poistamaan UPnP käytöstä reitittimessä. Tutkimuksen tärkeimmät johtopäätökset löydät kontekstista "UPnP safe?"

UPnP turvallinen?

Rapid7: n tekemän UPnP-turvallisuustutkimuksen tärkeimmät johtopäätökset.

- 2,2 prosenttia kaikista julkisista IPv4-osoitteista vastasi UPnP-liikenteeseen Internetin kautta tai 81 miljoonaa yksilöllistä IP-osoitetta.

- 20 prosenttia näistä IP-osoitteista ei vain vastannut Internet-liikenteeseen, vaan tarjosi myös etäkäytettävän sovellusliittymän UPnP-laitteen määrittämiseksi!

23 miljoonaa laitetta käyttää haavoittuvaa versiota libupnp: stä, joka on laajalti käytetty ohjelmistokirjasto, joka toteuttaa UPnP-protokollan. Kyseisen version vuotoja voidaan hyödyntää etänä, mikä vaatii vain yhden UDP-paketin.

$config[zx-auto] not found$config[zx-overlay] not found