UPnP, ports, tallafocs, encara pot ser bastant difícil fer que alguna cosa estigui disponible des de la vostra xarxa perquè també es pugui accedir a ubicacions externes. Sovint és difícil configurar el vostre encaminador per enviar el trànsit correcte al dispositiu correcte de la vostra xarxa. Començarem amb UPnP i reenviament de ports.
Voleu poder arribar a un dispositiu des de la vostra xarxa domèstica, per exemple, el vostre NAS, fins i tot quan no esteu a casa? De manera predeterminada, la vostra xarxa domèstica està protegida de manera que això no només és possible, ja que, en cas contrari, les persones malicioses també podrien arribar als vostres dispositius de xarxa. Per tant, heu d'ajustar la configuració vosaltres mateixos. És essencial que sàpigues què estàs fent, per no debilitar sense voler la seguretat de la teva xarxa. Llegiu també: El vostre NAS s'omple? Ho pots fer.
01 Capes d'Internet
Si voleu enviar alguna cosa per Internet del punt A al punt B, aquestes dades s'envien a través d'una sèrie de "capes". Cada capa sempre ofereix alguna funcionalitat addicional per enviar dades.
A la part inferior hi ha la capa física, on les dades en forma de senyals s'envien per cable o sense fil mitjançant WiFi. Una capa per sobre de la qual teniu una capa que envia les dades per cable o WiFi en forma d'uns i zeros i que també comprova si hi ha errors i torna a enviar dades si cal. Una capa més, teniu la possibilitat d'enviar dades entre dos dispositius de xarxa, cosa que es fa mitjançant una adreça MAC. Cada capa és una mica més abstracta, a la part inferior es treballa amb uns i zeros físics, a sobre amb paquets entre dispositius i adreces. Per tant, teniu diverses capes, on cada capa sempre utilitza les funcions i abstraccions de la capa inferior.
Ara suposem que volem enviar el text "Hola, món!" al nostre servidor de casa. La capa de xarxa empaqueta el text i troba un encaminador que pot agafar el paquet i reenviar-lo cap al nostre servidor. El paquet s'enfonsa una capa més fins que es converteix en senyals físics i passa pel cable. Finalment, arriba al nostre servidor, que llegeix les dades. Ara suposem que el servidor també respon amb un paquet que diu "Hola, PC!". Aquest paquet també passa per totes les capes, de camí al nostre ordinador. Tanmateix, hi ha un problema. El paquet ha arribat al nostre ordinador, però com sap el sistema operatiu per a quin programa està destinat el paquet? Hi ha portes per a això. Un port no és més que una bústia per a un programa; on Windows, Linux o macOS poden lliurar les dades perquè el programa al qual estan destinades les dades les pugui rebre.
02 Reenviament de ports
Si no teniu un tallafoc, l'accés a tots els vostres ports està obert. Això no és tan dolent, perquè mentre cap programa obri un port, no pot passar res. A més, Windows té el seu propi tallafoc integrat. Si un programa desplega un port i el tallafocs ho permet, qualsevol PC a qualsevol lloc pot trucar a la vostra adreça IP mitjançant aquest port i enviar-hi dades.
Almenys en teoria és així... a la pràctica tens un encaminador al qual es connecten diversos ordinadors, portàtils i tauletes. Suposem que voleu enviar dades al vostre ordinador en algun lloc fora de la vostra pròpia xarxa, aleshores hi ha un problema. El vostre encaminador fa una cosa anomenada NAT o traducció d'adreces de xarxa. Això és necessari, perquè el vostre proveïdor d'Internet només us proporciona una adreça IP per connexió a Internet i amb aquesta adreça IP podeu connectar exactament un dispositiu a Internet. L'encaminador soluciona aquest problema sent l'únic connectat directament al vostre proveïdor i adoptant així aquesta adreça IP i, a continuació, lliurant adreces IP als vostres propis dispositius.
Per tant, suposem que voleu enviar un missatge al vostre ordinador a casa des de la cafeteria, aleshores no té sentit utilitzar la vostra adreça IP local assignada pel router, perquè aquesta adreça IP només té significat dins de la vostra xarxa. A fora no fa referència a res. En lloc d'això, podeu utilitzar la vostra adreça IP externa, en combinació amb el vostre port. El problema és que el vostre encaminador ha de saber on han d'anar les dades. Amb només l'adreça IP i el port externs, l'encaminador encara no sap per a quin ordinador, tauleta o telèfon intel·ligent està destinat el paquet. És per això que hi ha reenviament de ports: amb això indiques a l'encaminador que si les dades es troben en aquest port aviat, aquestes s'han de reenviar a un dispositiu concret.
Potser us preguntareu com funciona Internet encara a la vostra xarxa. Quan visiteu un lloc web, les dades també s'envien d'anada i tornada i aquestes dades arriben al vostre ordinador, sense haver configurat el reenviament de ports. Això funciona, perquè el propi encaminador ja aplica el reenviament de ports per a les connexions que configureu des de dins, de manera que tots els paquets arribin correctament on han d'estar. El reenviament de ports en si no és un risc de seguretat, per cert. Aquest risc prové de l'aplicació que escolta en aquest port. Per exemple, si reenvieu el port X a un ordinador que no actualitzeu mai, això suposa un gran risc a causa de les vulnerabilitats de seguretat conegudes. Per tant, és important mantenir sempre un dispositiu actualitzat quan hi reenviem un port.
03 UPnP
UPnP significa Universal Plug and Play. Permet que els dispositius de la xarxa es "vegin" els uns als altres. Cada dispositiu pot anunciar-se a la xarxa, facilitant la comunicació i la col·laboració dels dispositius entre ells. Una de les funcions d'UPnP és permetre que un dispositiu reenviï ports, de manera que no cal que ho faci manualment.
Suposem que la teva Xbox vol rebre trànsit al port 32400, aleshores el dispositiu pot sol·licitar-ho automàticament a l'encaminador, que crearà la regla adequada i, per tant, reenviarà tot el trànsit d'aquest port a la teva Xbox mitjançant l'adreça IP o MAC. . Tanmateix, UPnP suposa un risc de seguretat. El problema és que UPnP no utilitza cap forma d'autenticació. El programari maliciós pot obrir ports amb tanta facilitat. El problema és que UPnP es pot explotar de forma remota. Moltes implementacions UPnP dels fabricants d'encaminadors són insegures. El 2013, una empresa va passar sis mesos explorant Internet per veure quins dispositius responien a UPnP. No menys de 6.900 dispositius van respondre, el 80% dels quals eren un dispositiu domèstic com una impressora, una càmera web o una càmera IP. Per tant, recomanem desactivar UPnP al vostre encaminador. Les conclusions més importants de l'estudi es poden trobar al quadre 'UPnP safe?'
UPnP segur?
Les principals conclusions de l'estudi de seguretat UPnP realitzat per Rapid7.
- El 2,2 per cent de totes les adreces IPv4 públiques van respondre al trànsit UPnP a Internet, o 81 milions d'adreces IP úniques.
- El 20 per cent d'aquestes adreces IP no només responien al trànsit d'Internet, sinó que també, accessible de forma remota, oferien una API per configurar el dispositiu UPnP!
- 23 milions de dispositius utilitzen una versió vulnerable de libupnp, una biblioteca de programari molt utilitzada que implementa el protocol UPnP. Les vulnerabilitats d'aquesta versió es poden explotar de forma remota, i només requereix un paquet UDP.