Anda harus mengetahui perkara ini mengenai pemajuan port dan UPnP

UPnP, port, firewall, agak sukar untuk membuat sesuatu yang tersedia dari dalam rangkaian anda sehingga dapat juga dicapai di lokasi luaran. Selalunya sukar untuk mengkonfigurasi penghala anda untuk menghantar lalu lintas yang betul ke peranti yang betul di rangkaian anda. Kami akan mengusahakannya dengan UPnP dan pemajuan port.

Adakah anda ingin dapat menjangkau peranti dari rangkaian rumah anda, misalnya NAS anda, walaupun anda tidak berada di rumah? Secara lalai, rangkaian rumah anda diamankan sedemikian rupa sehingga hal ini tidak mungkin dilakukan, kerana jika tidak, pihak jahat juga dapat menjangkau peranti rangkaian anda. Oleh itu, anda perlu menyesuaikan tetapan anda sendiri. Adalah mustahak anda mengetahui apa yang anda lakukan, agar anda tidak melemahkan keselamatan rangkaian anda tanpa sedar. Baca juga: Adakah NAS anda sudah kenyang? Anda boleh melakukan ini.

01 lapisan Internet

Sekiranya anda ingin menghantar sesuatu melalui internet dari titik A ke titik B, data ini dihantar melalui sejumlah 'lapisan'. Setiap lapisan selalu menawarkan beberapa fungsi tambahan untuk menghantar data.

Di bahagian paling bawah anda mempunyai lapisan fizikal, di mana data dalam bentuk isyarat dihantar melalui kabel atau tanpa wayar melalui WiFi. Lapisan di atas itu, anda mempunyai lapisan yang mengirimkan data melalui kabel atau WiFi dalam bentuk angka dan nol dan yang juga memeriksa kesilapan, dan jika perlu menghantar data lagi. Lapisan lain yang lebih tinggi anda mempunyai pilihan untuk menghantar data antara dua peranti rangkaian, sesuatu yang dilakukan melalui alamat MAC. Setiap lapisan sedikit lebih abstrak, di bahagian bawah anda bekerja dengan lapisan fizikal dan angka nol, di atasnya dengan paket antara peranti dan alamat. Oleh itu, anda mempunyai sebilangan lapisan, di mana setiap lapisan selalu menggunakan fungsi dan pengabstrakan lapisan di bawah.

Sekarang anggap kita mempunyai teks "Hello, world!" ke pelayan kami di rumah. Lapisan rangkaian mengemas teks dan mencari penghala yang menerima paket tersebut dan dapat meneruskannya dalam perjalanan ke pelayan kami. Paket masuk satu lapisan lebih dalam sehingga ditukar menjadi isyarat fizikal dan bergerak melalui kabel. Akhirnya tiba di pelayan kami, yang membaca data. Sekarang anggap pelayan juga bertindak balas dengan pakej yang bertuliskan "Hello, pc!". Pakej ini juga melalui semua lapisan, dalam perjalanan ke komputer kita. Namun ada satu masalah. Pakej tersebut telah tiba di komputer kita, tetapi bagaimana sistem operasi mengetahui program mana yang dimaksudkan untuk paket tersebut? Terdapat pintu untuk itu. Port tidak lebih daripada kotak surat untuk program; di mana Windows,Linux atau macOS dapat menyampaikan data sehingga program yang bertujuan untuk data dapat menerimanya.

02 Port ke hadapan

Sekiranya anda tidak mempunyai firewall, akses ke semua port anda terbuka. Tidak apa-apa, kerana selagi tidak ada program yang membuka port, tidak ada yang boleh berlaku. Di samping itu, Windows mempunyai firewall terbina dalam. Sekiranya program menggunakan port dan firewall mengizinkannya, mana-mana PC di mana sahaja boleh memanggil alamat IP anda dengan port tersebut dan menghantar data kepadanya.

Sekurang-kurangnya begitulah yang berlaku dalam teori ... dalam praktiknya, anda mempunyai penghala yang menghubungkan beberapa PC, komputer riba dan tablet. Sekarang andaikan anda ingin menghantar data ke PC di suatu tempat di luar rangkaian anda sendiri, maka ada masalah. Penghala anda melakukan sesuatu yang disebut NAT, atau Terjemahan Alamat Rangkaian. Ini perlu, kerana penyedia internet anda hanya memberi anda satu alamat IP setiap sambungan internet, jadi anda dapat menyambungkan tepat satu peranti ke internet dengan satu alamat IP tersebut. Penghala menyelesaikan masalah itu dengan menjadi satu-satunya yang berhubung terus dengan pembekal anda dan dengan itu menggunakan alamat IP tersebut, dan kemudian menyebarkan alamat IP ke peranti anda sendiri.

Oleh itu, andaikan anda ingin menghantar mesej dari bar kopi ke PC rumah anda, maka tidak masuk akal untuk menggunakan alamat IP tempatan yang diberikan oleh penghala, kerana alamat IP itu hanya mempunyai makna dalam rangkaian anda. Di luar itu, ia tidak merujuk kepada apa-apa. Sebaliknya, anda boleh menggunakan alamat IP luaran anda dalam kombinasi dengan port anda. Masalahnya adalah bahawa penghala anda mesti tahu di mana untuk mengirim data. Dengan hanya alamat dan port IP luaran, penghala masih tidak tahu untuk PC, tablet atau telefon pintar mana yang dimaksudkan untuk pakej tersebut. Itulah sebabnya terdapat penerusan port: dengan ini Anda menunjukkan di penghala bahawa jika data di port ini akan segera hadir, data tersebut harus diteruskan ke perangkat tertentu.

Anda mungkin tertanya-tanya bagaimana internet masih berfungsi di rangkaian anda sama sekali. Semasa anda melayari laman web, data juga dikirim bolak-balik dan data itu tiba di PC anda, tanpa perlu menyiapkan pemajuan port. Itu berfungsi, kerana penghala anda sendiri sudah menggunakan penerusan port untuk sambungan yang anda buat dari dalam, sehingga semua paket tiba dengan tepat di tempat yang sepatutnya. Penghantaran pelabuhan itu sendiri bukanlah risiko keselamatan. Risiko itu datang dari aplikasi yang mendengar di port tersebut. Andaikan anda meneruskan port X ke PC yang tidak pernah anda kemas kini, maka itu merupakan risiko besar kerana terdapatnya lubang keselamatan yang diketahui. Oleh itu, penting untuk sentiasa memperbaharui peranti semasa anda meneruskan port ke dalamnya.

03 UPnP

UPnP bermaksud Universal Plug and Play. Ini membolehkan peranti di rangkaian saling 'melihat' satu sama lain. Setiap peranti dapat mengumumkan dirinya di rangkaian, memudahkan peranti untuk berkomunikasi dan berkolaborasi antara satu sama lain. Salah satu fungsi UPnP adalah membiarkan peranti meneruskan port, jadi anda tidak perlu melakukannya secara manual.

Andaikan Xbox anda ingin menerima trafik pada port 32400, maka peranti boleh meminta ini secara automatik dari penghala, yang kemudian akan membuat peraturan yang relevan dan oleh itu meneruskan semua lalu lintas di port tersebut ke Xbox anda melalui IP atau MAC- alamat. Walau bagaimanapun, UPnP adalah risiko keselamatan. Masalahnya ialah UPnP tidak menggunakan sebarang bentuk pengesahan. Perisian hasad boleh membuka port dengan mudah. Masalahnya ialah UPnP dapat dieksploitasi dari jarak jauh. Banyak pelaksanaan UPnP dari pengeluar penghala tidak selamat. Pada tahun 2013, sebuah syarikat mengimbas internet selama enam bulan untuk melihat peranti mana yang bertindak balas terhadap UPnP. Tidak kurang dari 6,900 peranti yang bertindak balas, 80 peratus daripadanya melibatkan peranti rumah seperti pencetak, kamera web atau kamera IP.Oleh itu, kami mengesyorkan untuk mematikan UPnP di penghala anda. Kesimpulan yang paling penting dari penyelidikan boleh didapati di kotak 'UPnP selamat?'

UPnP Selamat?

Kesimpulan utama kajian keselamatan UPnP yang dilakukan oleh Rapid7.

- 2.2 peratus dari semua alamat IPv4 awam menanggapi lalu lintas UPnP melalui Internet, atau 81 juta alamat IP yang unik.

- 20 peratus alamat IP tersebut tidak hanya menanggapi lalu lintas internet, tetapi juga menawarkan, dapat dicapai dari jarak jauh, API untuk mengkonfigurasi peranti UPnP!

23 juta peranti menggunakan versi libupnp yang rentan, perpustakaan perisian yang banyak digunakan yang menerapkan protokol UPnP. Kebocoran dalam versi itu dapat dieksploitasi dari jarak jauh, hanya memerlukan satu paket UDP.