UPnP, cổng, tường lửa, vẫn có thể khá khó khăn để cung cấp thứ gì đó từ bên trong mạng của bạn để nó cũng có thể được tiếp cận ở các vị trí bên ngoài. Thường rất khó định cấu hình bộ định tuyến của bạn để gửi lưu lượng chính xác đến đúng thiết bị trong mạng của bạn. Chúng ta sẽ bắt đầu với UPnP và chuyển tiếp cổng.
Bạn có muốn kết nối với một thiết bị từ mạng gia đình, ví dụ như NAS của bạn, ngay cả khi bạn không ở nhà? Theo mặc định, mạng gia đình của bạn được bảo mật theo cách mà điều này không chỉ có thể xảy ra, vì nếu không thì các bên độc hại cũng có thể xâm nhập vào các thiết bị mạng của bạn. Vì vậy, bạn phải tự điều chỉnh cài đặt. Điều cần thiết là bạn phải biết mình đang làm gì để không vô tình làm suy yếu an ninh mạng của mình. Cũng đọc: NAS của bạn đã đầy chưa? Bạn có thể làm được việc này.
01 lớp Internet
Nếu bạn muốn gửi thứ gì đó qua internet từ điểm A đến điểm B, dữ liệu này được gửi qua một số 'lớp'. Mỗi lớp luôn cung cấp một số chức năng bổ sung để gửi dữ liệu.
Ở dưới cùng, bạn có lớp vật lý, nơi dữ liệu dưới dạng tín hiệu được gửi qua cáp hoặc không dây qua WiFi. Một lớp phía trên mà bạn có một lớp gửi dữ liệu qua cáp hoặc WiFi dưới dạng một và số không, đồng thời cũng kiểm tra lỗi và gửi lại dữ liệu nếu cần. Thêm một lớp nữa, bạn có khả năng gửi dữ liệu giữa hai thiết bị mạng, điều gì đó được thực hiện thông qua địa chỉ MAC. Mỗi lớp trừu tượng hơn một chút, ở phía dưới bạn làm việc với các lớp vật lý và các số không, phía trên là các gói giữa các thiết bị và địa chỉ. Vì vậy, bạn có một số lớp, trong đó mỗi lớp luôn sử dụng các chức năng và sự trừu tượng của lớp bên dưới.
Bây giờ, giả sử chúng tôi muốn gửi văn bản "Hello, world!" Đến máy chủ của chúng tôi ở nhà. Lớp mạng đóng gói văn bản và tìm một bộ định tuyến có thể lấy gói và chuyển tiếp gói tin trên đường đến máy chủ của chúng tôi. Gói tin đi sâu hơn một lớp cho đến khi nó được chuyển thành tín hiệu vật lý và đi qua cáp. Cuối cùng, nó đến máy chủ của chúng tôi, máy chủ này sẽ đọc dữ liệu. Bây giờ, giả sử rằng máy chủ cũng phản hồi bằng một gói tin có nội dung 'Xin chào, PC!'. Gói này cũng đi qua tất cả các lớp, trên đường đến máy tính của chúng tôi. Tuy nhiên, có một vấn đề. Gói đã đến trên máy tính của chúng tôi, nhưng làm thế nào hệ điều hành biết gói đó dành cho chương trình nào? Có những cánh cổng cho điều đó. Một cổng không hơn gì một hộp thư cho một chương trình; trong đó Windows, Linux hoặc macOS có thể phân phối dữ liệu để chương trình dự định sử dụng dữ liệu có thể nhận dữ liệu đó.
02 cổng chuyển tiếp
Nếu bạn không có tường lửa, quyền truy cập vào tất cả các cổng của bạn sẽ được mở. Điều đó không quá tệ, bởi vì miễn là không có chương trình nào mở cổng, thì không có gì có thể xảy ra. Ngoài ra, Windows có tường lửa tích hợp riêng. Nếu một chương trình triển khai một cổng và tường lửa cho phép nó, thì bất kỳ PC nào ở bất kỳ đâu cũng có thể gọi địa chỉ IP của bạn bằng cách sử dụng cổng đó và gửi dữ liệu đến đó.
Ít nhất về lý thuyết thì đó là trường hợp… trong thực tế, bạn có một bộ định tuyến để kết nối một số PC, máy tính xách tay và máy tính bảng. Giả sử bạn muốn gửi dữ liệu đến PC của mình ở một nơi nào đó bên ngoài mạng của riêng bạn, thì đã xảy ra sự cố. Bộ định tuyến của bạn thực hiện một cái gì đó được gọi là NAT, hoặc Dịch địa chỉ mạng. Điều này là cần thiết vì nhà cung cấp internet của bạn chỉ cung cấp cho bạn một địa chỉ IP cho mỗi kết nối internet và với một địa chỉ IP đó, bạn có thể kết nối chính xác một thiết bị với internet. Bộ định tuyến giải quyết vấn đề đó bằng cách là bộ định tuyến duy nhất được kết nối trực tiếp với nhà cung cấp của bạn và do đó sử dụng địa chỉ IP đó, sau đó phân phối địa chỉ IP đến các thiết bị của riêng bạn.
Vì vậy, giả sử bạn muốn gửi tin nhắn đến PC ở nhà từ quán cà phê, thì bạn không nên sử dụng địa chỉ IP cục bộ do bộ định tuyến chỉ định, vì địa chỉ IP đó chỉ có ý nghĩa bên trong mạng của bạn. Bên ngoài nó không đề cập đến bất cứ điều gì. Thay vào đó, bạn có thể sử dụng địa chỉ IP bên ngoài kết hợp với cổng của mình. Vấn đề là bộ định tuyến của bạn phải biết dữ liệu phải đi đến đâu. Chỉ với địa chỉ IP bên ngoài và cổng, bộ định tuyến vẫn không biết gói tin đó được sử dụng cho máy tính, máy tính bảng hoặc điện thoại thông minh nào. Đó là lý do tại sao có cổng chuyển tiếp: với điều này, bạn chỉ ra trong bộ định tuyến rằng nếu dữ liệu sớm có trên cổng này, dữ liệu đó phải được chuyển tiếp đến một thiết bị cụ thể.
Bạn có thể tự hỏi làm thế nào Internet vẫn hoạt động trên mạng của bạn. Khi bạn truy cập một trang web, dữ liệu cũng được gửi qua lại và dữ liệu đó sẽ đến PC của bạn mà không cần thiết lập chuyển tiếp cổng. Điều đó hoạt động, vì bản thân bộ định tuyến của bạn đã áp dụng chuyển tiếp cổng cho các kết nối bạn thiết lập từ bên trong, để tất cả các gói đến đúng nơi chúng cần. Bản thân việc chuyển tiếp cổng không phải là một rủi ro bảo mật. Rủi ro đó đến từ ứng dụng đang lắng nghe trên cổng đó. Ví dụ: nếu bạn chuyển tiếp cổng X tới một PC mà bạn không bao giờ cập nhật, đó là một rủi ro lớn vì các lỗ hổng bảo mật đã biết. Vì vậy, điều quan trọng là phải luôn cập nhật một thiết bị khi chuyển tiếp một cổng tới nó.
03 UPnP
UPnP là viết tắt của Universal Plug and Play. Nó cho phép các thiết bị trên mạng "nhìn thấy" nhau. Mỗi thiết bị có thể tự thông báo trên mạng, giúp các thiết bị dễ dàng giao tiếp và cộng tác với nhau. Một trong những chức năng của UPnP là cho phép thiết bị chuyển tiếp các cổng, vì vậy bạn không cần phải làm điều đó theo cách thủ công.
Giả sử Xbox của bạn muốn nhận lưu lượng trên cổng 32400, thì thiết bị có thể tự động yêu cầu điều đó từ bộ định tuyến, sau đó sẽ tạo quy tắc thích hợp và do đó chuyển tiếp tất cả lưu lượng trên cổng đó đến Xbox của bạn bằng địa chỉ IP hoặc MAC . Tuy nhiên, UPnP có nguy cơ bảo mật. Vấn đề là UPnP không sử dụng bất kỳ hình thức xác thực nào. Phần mềm độc hại có thể mở các cổng dễ dàng. Vấn đề là UPnP có thể được khai thác từ xa. Nhiều triển khai UPnP của các nhà sản xuất bộ định tuyến không an toàn. Vào năm 2013, một công ty đã dành sáu tháng để quét internet để xem thiết bị nào đang phản hồi với UPnP. Không dưới 6.900 thiết bị đã phản hồi, 80% trong số đó là thiết bị gia đình như máy in, webcam hoặc camera IP. Do đó, chúng tôi khuyên bạn nên tắt UPnP trong bộ định tuyến của mình. Kết luận quan trọng nhất từ nghiên cứu có thể được tìm thấy trong hộp 'UPnP an toàn?'
UPnP an toàn?
Các kết luận chính của nghiên cứu an toàn UPnP do Rapid7 thực hiện.
- 2,2 phần trăm tất cả các địa chỉ IPv4 công khai phản hồi lưu lượng UPnP qua Internet, hoặc 81 triệu địa chỉ IP duy nhất.
- 20 phần trăm trong số các địa chỉ IP đó không chỉ phản hồi lưu lượng truy cập internet mà còn có thể truy cập từ xa, cung cấp một API để định cấu hình thiết bị UPnP với!
- 23 triệu thiết bị sử dụng phiên bản dễ bị tấn công của libupnp, một thư viện phần mềm được sử dụng rộng rãi thực hiện giao thức UPnP. Các lỗ hổng trong phiên bản đó có thể được khai thác từ xa, chỉ yêu cầu một gói UDP.