UPnP, porty, brány firewall, může být docela obtížné zpřístupnit něco zevnitř vaší sítě tak, aby bylo dostupné i na externích místech. Často je obtížné nakonfigurovat směrovač tak, aby odesílal správný provoz na správné zařízení v síti. Budeme na tom pracovat s UPnP a přesměrováním portů.
Chcete mít přístup k zařízení z domácí sítě, například NAS, i když nejste doma? Ve výchozím nastavení je vaše domácí síť zabezpečena takovým způsobem, že to není možné, protože jinak by se k vašim síťovým zařízením mohly dostat také škodlivé strany. Musíte tedy upravit nastavení sami. Je důležité, abyste věděli, co děláte, abyste nevědomky neoslabili zabezpečení vaší sítě. Přečtěte si také: Plní se váš NAS? Můžeš to udělat.
01 internetové vrstvy
Pokud chcete něco poslat přes internet z bodu A do bodu B, jsou tato data odeslána prostřednictvím několika „vrstev“. Každá vrstva vždy nabízí nějaké další funkce pro odesílání dat.
Úplně dole máte fyzickou vrstvu, kde jsou data ve formě signálů posílána po kabelu nebo bezdrátově přes WiFi. O jednu vrstvu výše máte vrstvu, která odesílá data po kabelu nebo WiFi ve formě jedniček a nul a která také kontroluje chyby a v případě potřeby odesílá data znovu. O další vrstvu výše máte možnost odesílat data mezi dvěma síťovými zařízeními, což se děje prostřednictvím adresy MAC. Každá vrstva je trochu abstraktnější, dole pracujete s fyzickými a nulami, nad tím s pakety mezi zařízeními a adresami. Takže máte několik vrstev, kde každá vrstva vždy používá funkce a abstrakce vrstvy níže.
Nyní předpokládejme, že chceme poslat text „Hello, world!“ Na náš server doma. Síťová vrstva zabalí text a vyhledá směrovač, který balíček přijme a může jej předat na své cestě k našemu serveru. Paket jde o vrstvu hlouběji, dokud není přeměněn na fyzické signály a neprochází kabelem. Nakonec dorazí na náš server, který čte data. Nyní předpokládejme, že server odpoví také balíčkem, který říká „Hello, PC!“. Tento balíček také prochází všemi vrstvami na cestě k našemu počítači. Existuje však jeden problém. Balíček dorazil na náš počítač, ale jak operační systém ví, pro který program je balíček určen? K tomu jsou brány. Port není nic jiného než poštovní schránka programu; kde Windows, Linux nebo macOS mohou dodávat data, aby je mohl přijímat program, pro který jsou data určena.
02 Přeposílání portů
Pokud nemáte bránu firewall, je otevřen přístup ke všem vašim portům. To je v pořádku, protože dokud žádný program neotevře port, nemůže se nic stát. Kromě toho má Windows vlastní integrovanou bránu firewall. Pokud program používá port a brána firewall to umožňuje, může libovolný počítač kdekoli volat na vaši adresu IP s tímto portem a odesílat na něj data.
Alespoň to je případ teoreticky ... v praxi máte router, ke kterému je připojeno několik počítačů, notebooků a tabletů. Nyní předpokládejme, že chcete odeslat data do počítače někde mimo vaši vlastní síť, pak nastal problém. Váš směrovač provádí něco, co se nazývá NAT nebo Překlad síťových adres. To je nutné, protože váš poskytovatel internetu vám na jedno připojení k internetu dá pouze jednu IP adresu, takže k této jediné IP adrese můžete připojit právě jedno zařízení k internetu. Směrovač tento problém řeší tím, že je jediný, kdo je přímo připojen k vašemu poskytovateli, a tak přijímá tuto adresu IP a poté distribuuje adresy IP do vašich vlastních zařízení.
Předpokládejme tedy, že chcete poslat zprávu z kavárny do vašeho domácího počítače, pak nemá smysl používat místní IP adresu přidělenou routerem, protože tato IP adresa má význam pouze ve vaší síti. Mimo to nic neodkazuje. Místo toho můžete použít externí adresu IP v kombinaci s portem. Problém je v tom, že váš router pak musí vědět, kam data odeslat. S pouze externí IP adresou a portem router stále neví, pro který počítač, tablet nebo smartphone je balíček určen. Proto existuje přesměrování portů: tímto ve směrovači určíte, že pokud data na tomto portu budou brzy k dispozici, musí být tato data předána na konkrétní zařízení.
Možná by vás zajímalo, jak internet ve vaší síti vůbec funguje. Když navštívíte webovou stránku, data se také odesílají tam a zpět a tato data právě dorazí do vašeho počítače, aniž byste museli nastavovat přesměrování portů. To funguje, protože váš směrovač sám již používá přesměrování portů pro připojení, která jste nastavili zevnitř, aby všechny pakety dorazily správně tam, kde je třeba. Samotné přesměrování portů nepředstavuje bezpečnostní riziko. Toto riziko pochází z aplikace naslouchající na tomto portu. Předpokládejme, že předáte port X do počítače, který nikdy neaktualizujete, což je velké riziko kvůli známým chybám zabezpečení. Když přeposíláte port do zařízení, je proto důležité vždy udržovat zařízení v aktuálním stavu.
03 UPnP
UPnP znamená Universal Plug and Play. Umožňuje zařízením v síti se navzájem „vidět“. Každé zařízení se může hlásit v síti, což usnadňuje vzájemnou komunikaci a spolupráci zařízení. Jednou z funkcí UPnP je umožnit zařízení předávat porty, takže to nemusíte dělat ručně.
Předpokládejme, že váš Xbox chce přijímat přenos na portu 32400, pak to zařízení může automaticky požadovat od routeru, který poté vytvoří příslušné pravidlo a proto předá veškerý přenos na tomto portu na váš Xbox pomocí IP nebo MAC adresy . UPnP je však bezpečnostní riziko. Problém je v tom, že UPnP nepoužívá žádnou formu ověřování. Malware může snadno otevřít porty. Problém je v tom, že UPnP lze vzdáleně využívat. Mnoho implementací UPnP od výrobců routerů je nezabezpečených. V roce 2013 společnost po dobu šesti měsíců skenovala internet, aby zjistila, která zařízení reagovala na UPnP. Odpovědělo ne méně než 6900 zařízení, z nichž 80 procent zahrnovalo domácí zařízení, jako je tiskárna, webová kamera nebo IP kamera. Proto doporučujeme deaktivovat UPnP ve vašem routeru. Nejdůležitější závěry z výzkumu najdete v kontextu „UPnP safe?“
UPnP bezpečný?
Hlavní závěry bezpečnostní studie UPnP provedené společností Rapid7.
- 2,2 procenta všech veřejných adres IPv4 odpovědělo na provoz UPnP přes internet, nebo 81 milionů jedinečných adres IP.
- 20 procent z těchto IP adres reagovalo nejen na internetový provoz, ale také nabídlo API, které je dostupné vzdáleně, ke konfiguraci zařízení UPnP!
23 milionů zařízení používá zranitelnou verzi libupnp, široce používané softwarové knihovny, která implementuje protokol UPnP. Netěsnosti v této verzi lze vzdáleně využívat, což vyžaduje pouze jeden paket UDP.
