UPnP, mga port, mga firewall, maaari pa ring maging mahirap na gawing available ang isang bagay mula sa loob ng iyong network upang maabot din ito sa mga panlabas na lokasyon. Kadalasan ay mahirap i-configure ang iyong router upang ipadala ang tamang trapiko sa tamang device sa iyong network. Magsisimula tayo sa UPnP at port forwarding.
Gusto mo bang maabot ang isang device mula sa iyong home network, halimbawa ang iyong NAS, kahit na wala ka sa bahay? Bilang default, ang iyong home network ay na-secure sa paraang hindi lang ito posible, dahil kung hindi ay maaabot din ng mga masasamang partido ang iyong mga device sa network. Kaya kailangan mong ayusin ang mga setting sa iyong sarili. Mahalagang malaman mo kung ano ang iyong ginagawa, upang hindi mo sinasadyang pahinain ang seguridad ng iyong network. Basahin din: Napuno ba ang iyong NAS? Kaya mo yan.
01 Mga layer ng Internet
Kung gusto mong magpadala ng isang bagay sa internet mula sa point A hanggang point B, ang data na ito ay ipinapadala sa pamamagitan ng ilang 'layers'. Ang bawat layer ay palaging nag-aalok ng ilang karagdagang pag-andar para sa pagpapadala ng data.
Sa pinakailalim ay mayroon kang pisikal na layer, kung saan ang data sa anyo ng mga signal ay ipinapadala sa cable o wireless sa pamamagitan ng WiFi. Isang layer sa itaas na mayroon kang isang layer na nagpapadala ng data sa cable o WiFi sa anyo ng mga one at zero at nagsusuri din ng mga error, at nagpapadalang muli ng data kung kinakailangan. Isa pang layer up ay may kakayahan kang magpadala ng data sa pagitan ng dalawang network device, isang bagay na ginagawa sa pamamagitan ng MAC address. Ang bawat layer ay medyo mas abstract, sa ibaba ay nagtatrabaho ka sa mga pisikal at zero, sa itaas na may mga packet sa pagitan ng mga device at address. Kaya mayroon kang isang bilang ng mga layer, kung saan ang bawat layer ay palaging gumagamit ng mga function at abstraction ng layer sa ibaba.
Ngayon ipagpalagay na gusto naming ipadala ang text na "Hello, world!" sa aming server sa bahay. Ang network layer ay nag-package ng text at nakahanap ng router na maaaring kunin ang packet at ipasa ito patungo sa aming server. Ang packet ay lumalalim ng isang layer hanggang sa ito ay ma-convert sa mga pisikal na signal at dumaan sa cable. Sa huli, dumarating ito sa aming server, na nagbabasa ng data. Ngayon ipagpalagay na ang server ay tumugon din sa isang packet na nagsasabing 'Hello, PC!'. Ang package na ito ay dumaan din sa lahat ng mga layer, papunta sa aming computer. Gayunpaman, may problema. Dumating na ang package sa aming computer, ngunit paano malalaman ng operating system kung aling program ang inilaan ng package? May mga gate para doon. Ang isang port ay hindi hihigit sa isang mailbox para sa isang programa; kung saan maaaring maihatid ng Windows, Linux o macOS ang data upang matanggap ito ng program kung saan nilalayon ang data.
02 Pagpasa ng port
Kung wala kang firewall, bukas ang access sa lahat ng iyong port. Iyan ay hindi masyadong masama, dahil hangga't walang programa na nagbubukas ng isang port, walang maaaring mangyari. Bilang karagdagan, ang Windows ay may sariling built-in na firewall. Kung ang isang programa ay nag-deploy ng isang port at pinapayagan ito ng firewall, anumang PC saanman ay maaaring tumawag sa iyong IP address gamit ang port na iyon at magpadala ng data dito.
Hindi bababa sa teorya na ang kaso ... sa pagsasanay mayroon kang isang router kung saan maraming mga PC, laptop at tablet ay konektado. Ipagpalagay na gusto mong magpadala ng data sa iyong PC sa isang lugar sa labas ng iyong sariling network, pagkatapos ay may problema. Gumagawa ang iyong router ng tinatawag na NAT, o Network Address Translation. Ito ay kinakailangan, dahil ang iyong internet provider ay nagbibigay lamang sa iyo ng isang IP address sa bawat koneksyon sa internet at sa isang IP address na iyon maaari mong ikonekta ang eksaktong isang device sa internet. Niresolba ng router ang problemang iyon sa pamamagitan ng pagiging isa lamang na direktang konektado sa iyong provider at sa gayon ay pinagtibay ang IP address na iyon, at pagkatapos ay namimigay ng mga IP address sa iyong sariling mga device.
Kaya ipagpalagay na gusto mong magpadala ng mensahe sa iyong PC sa bahay mula sa coffee bar, pagkatapos ay walang saysay na gamitin ang iyong lokal na IP address na itinalaga ng router, dahil ang IP address na iyon ay may kahulugan lamang sa loob ng iyong network. Sa labas ay wala itong tinutukoy. Sa halip, maaari mong gamitin ang iyong panlabas na IP address, kasama ng iyong port. Ang problema ay kailangang malaman ng iyong router kung saan dapat pumunta ang data. Gamit lamang ang panlabas na IP address at port, hindi pa rin alam ng router kung aling PC, tablet o smartphone ang inilaan ng packet. Iyon ang dahilan kung bakit mayroong port forwarding: sa pamamagitan nito ay ipinapahiwatig mo sa router na kung ang data ay nasa port na ito sa lalong madaling panahon, ang data na iyon ay dapat na ipasa sa isang partikular na device.
Maaari kang magtaka kung paano pa rin gumagana ang internet sa iyong network sa lahat. Kapag bumisita ka sa isang website, ipinapadala rin ang data nang pabalik-balik at ang data na iyon ay darating sa iyong PC, nang hindi nagse-set up ng port forwarding. Gumagana iyon, dahil ang iyong router mismo ay nag-aaplay ng port forwarding para sa mga koneksyon na iyong na-set up mula sa loob, upang ang lahat ng mga packet ay dumating nang tama kung saan sila dapat naroroon. Ang pagpapasa ng port mismo ay hindi isang panganib sa seguridad, sa pamamagitan ng paraan. Ang panganib na iyon ay nagmumula sa application na nakikinig sa port na iyon. Halimbawa, kung ipapasa mo ang port X sa isang PC na hindi mo na-update, malaking panganib iyon dahil sa mga kilalang kahinaan sa seguridad. Kaya mahalagang panatilihing napapanahon ang isang device kapag nagpapasa ng port dito.
03 UPnP
Ang UPnP ay nangangahulugang Universal Plug and Play. Pinapayagan nito ang mga device sa network na "makita" ang isa't isa. Maaaring ipahayag ng bawat device ang sarili nito sa network, na ginagawang madali para sa mga device na makipag-ugnayan at makipagtulungan sa isa't isa. Ang isa sa mga function ng UPnP ay upang payagan ang isang device na mag-forward ng mga port, kaya hindi mo na kailangang gawin ito nang manu-mano.
Ipagpalagay na nais ng iyong Xbox na makatanggap ng trapiko sa port 32400, pagkatapos ay maaaring awtomatikong hilingin ng device iyon mula sa router, na gagawa ng naaangkop na panuntunan at sa gayon ay ipapasa ang lahat ng trapiko sa port na iyon sa iyong Xbox sa pamamagitan ng IP o MAC-address . Gayunpaman, ang UPnP ay nagdudulot ng panganib sa seguridad. Ang problema ay ang UPnP ay hindi gumagamit ng anumang anyo ng pagpapatunay. Maaaring buksan ng malware ang mga port nang ganoon kadali. Ang problema ay ang UPnP ay maaaring mapagsamantalahan nang malayuan. Maraming mga pagpapatupad ng UPnP ng mga tagagawa ng router ay hindi secure. Noong 2013, gumugol ang isang kumpanya ng anim na buwan sa pag-scan sa internet upang makita kung aling mga device ang tumutugon sa UPnP. Hindi bababa sa 6,900 device ang tumugon, 80 porsiyento nito ay isang home device gaya ng printer, webcam o IP camera. Samakatuwid, inirerekomenda namin ang hindi paganahin ang UPnP sa iyong router. Ang pinakamahalagang konklusyon mula sa pag-aaral ay matatagpuan sa kahon na 'UPnP safe?'
Ligtas ang UPnP?
Ang mga pangunahing konklusyon ng pag-aaral sa kaligtasan ng UPnP na isinagawa ng Rapid7.
- 2.2 porsiyento ng lahat ng pampublikong IPv4 address ang tumugon sa trapiko ng UPnP sa Internet, o 81 milyong natatanging IP address.
- 20 porsiyento ng mga IP address na iyon ay hindi lamang tumugon sa trapiko sa internet, ngunit gayundin, maabot nang malayuan, ay nag-alok ng API para i-configure ang UPnP device gamit ang!
- 23 milyong device ang gumagamit ng vulnerable na bersyon ng libupnp, isang malawakang ginagamit na library ng software na nagpapatupad ng protocol ng UPnP. Ang mga kahinaan sa bersyong iyon ay maaaring samantalahin nang malayuan, na nangangailangan lamang ng isang UDP packet.
