UPnP, portar, brandväggar, det kan vara ganska svårt att göra något tillgängligt inifrån ditt nätverk så att det också kan nås på externa platser. Det är ofta svårt att konfigurera din router så att den skickar rätt trafik till rätt enhet i ditt nätverk. Vi kommer att arbeta med detta med UPnP och vidarebefordran av port.
Vill du kunna nå en enhet från ditt hemnätverk, till exempel din NAS, även när du inte är hemma? Som standard är ditt hemnätverk säkrat på ett sådant sätt att detta inte är möjligt, eftersom annars kan skadliga parter också komma till dina nätverksenheter. Så du måste justera inställningarna själv. Det är viktigt att du vet vad du gör, så att du inte omedvetet försvagar säkerheten i ditt nätverk. Läs också: Blir din NAS full? Du kan göra det här.
01 Internetlager
Om du vill skicka något över internet från punkt A till punkt B skickas dessa data genom ett antal "lager". Varje lager erbjuder alltid extra funktioner för att skicka data.
Längst ner har du det fysiska lagret, där data i form av signaler skickas via kabeln eller trådlöst via WiFi. Ett lager ovanför, du har ett lager som skickar data över kabeln eller WiFi i form av enor och nollor och som också söker efter fel och vid behov skickar data igen. Ett annat lager högre har du möjlighet att skicka data mellan två nätverksenheter, något som görs via en MAC-adress. Varje lager är lite mer abstrakt, längst ner arbetar du med fysiska och nollor, ovanför med paket mellan enheter och adresser. Så du har ett antal lager där varje lager alltid använder funktionerna och abstraktionerna för lagret nedan.
Antag nu att vi har texten "Hej världen!" till vår server hemma. Nätverkslagret paketerar texten och letar efter en router som accepterar paketet och kan vidarebefordra det på väg till vår server. Paketet går ett lager djupare tills det omvandlas till fysiska signaler och färdas genom kabeln. I slutändan anländer den till vår server, som läser upp data. Antag nu att servern också svarar med ett paket som säger "Hej pc!". Detta paket går också igenom alla lager, på väg till vår dator. Det finns dock ett problem. Paketet har anlänt till vår dator, men hur vet operativsystemet vilket program paketet är avsett för? Det finns portar för det. En port är inget annat än en postlåda för ett program; där Windows,Linux eller macOS kan leverera data så att programmet för vilket data är avsett kan ta emot det.
02 Framåtportar
Om du inte har en brandvägg är åtkomst till alla dina portar öppen. Det är okej, för så länge inget program öppnar en port kan ingenting hända. Dessutom har Windows sin egen inbyggda brandvägg. Om ett program använder en port och brandväggen tillåter det kan vilken dator som helst ringa din IP-adress med den porten och skicka data till den.
Åtminstone i teorin är det så ... i praktiken är det så att du har en router som flera datorer, bärbara datorer och surfplattor är anslutna till. Antag nu att du vill skicka data till din dator någonstans utanför ditt eget nätverk, då finns det ett problem. Din router gör något som heter NAT eller Network Address Translation. Detta är nödvändigt, eftersom din internetleverantör bara ger dig en IP-adress per internetanslutning, så att du kan ansluta exakt en enhet till internet med den ena IP-adressen. Routern löser det problemet genom att vara den enda direktanslutna till din leverantör och därmed anta den IP-adressen och sedan distribuera IP-adresser till dina egna enheter.
Antag att du vill skicka ett meddelande från kaffebaren till din dator hemma, då är det ingen mening att använda din lokala IP-adress som routern tilldelat, för den IP-adressen har bara betydelse i ditt nätverk. Utanför det hänvisar det inte till någonting. Istället kan du använda din externa IP-adress, i kombination med din port. Problemet är att din router måste veta vart data ska skickas. Med endast den externa IP-adressen och porten vet routern fortfarande inte för vilken PC, surfplatta eller smartphone paketet är avsett. Det är därför det vidarebefordras av port: med detta anger du i routern att om data på den här porten kommer snart måste dessa data vidarebefordras till en specifik enhet.
Du kanske undrar hur internet fortfarande fungerar i ditt nätverk alls. När du besöker en webbplats skickas också data fram och tillbaka och den informationen kommer bara till din dator utan att ha ställt in portvidarebefordran. Det fungerar, eftersom din router i sig redan använder vidarebefordran av port för anslutningar som du ställer in från insidan, så att alla paket kommer korrekt dit de behöver vara. Port vidarebefordring i sig är inte en säkerhetsrisk. Denna risk kommer från att applikationen lyssnar på den porten. Antag att du vidarebefordrar port X till en dator som du aldrig uppdaterar, detta är en stor risk på grund av kända säkerhetshål. Det är därför viktigt att alltid hålla en enhet uppdaterad när du vidarebefordrar en port till den.
03 UPnP
UPnP står för Universal Plug and Play. Det gör att enheter i nätverket kan "se" varandra. Varje enhet kan meddela sig i nätverket, vilket gör det enkelt för enheter att kommunicera och samarbeta med varandra. En av funktionerna i UPnP är att låta en enhet vidarebefordra portar, så att du inte behöver göra det manuellt.
Anta att din Xbox vill ta emot trafik på port 32400, då kan enheten automatiskt begära detta från routern, som sedan skapar relevant regel och vidarebefordrar all trafik på den porten till din Xbox med IP eller MAC- adress. UPnP är dock en säkerhetsrisk. Problemet är att UPnP inte använder någon form av autentisering. Skadlig programvara kan enkelt öppna portar. Problemet är att UPnP kan utnyttjas på distans. Många UPnP-implementeringar från routertillverkare är osäkra. 2013 skannade ett företag internet i sex månader för att se vilka enheter som svarade på UPnP. Inte mindre än 6 900 enheter svarade, varav 80 procent involverade en hemapparat som en skrivare, webbkamera eller IP-kamera.Vi rekommenderar därför att du inaktiverar UPnP i din router. De viktigaste slutsatserna från forskningen finns i rutan 'UPnP safe?'
UPnP Safe?
De huvudsakliga slutsatserna från UPnP-säkerhetsstudien utförd av Rapid7.
- 2,2 procent av alla offentliga IPv4-adresser svarade på UPnP-trafik via Internet, eller 81 miljoner unika IP-adresser.
- 20 procent av dessa IP-adresser svarade inte bara på internettrafik utan erbjöd också, fjärråtkomligt, ett API för att konfigurera UPnP-enheten!
23 miljoner enheter använder en sårbar version av libupnp, ett allmänt använt programbibliotek som implementerar UPnP-protokollet. Läckor i den versionen kan utnyttjas på distans och kräver endast ett UDP-paket.