UPnP、端口、防火墙,仍然很难从您的网络内部提供某些内容,以便在外部位置也可以访问它。通常很难将路由器配置为将正确的流量发送到网络中的正确设备。我们将从 UPnP 和端口转发开始。
您是否希望即使您不在家也能从您的家庭网络访问设备,例如您的 NAS?默认情况下,您的家庭网络受到保护,这不仅是可能的,否则恶意方也可能会访问您的网络设备。所以你必须自己调整设置。了解自己在做什么很重要,这样您就不会在不知不觉中削弱网络的安全性。 另请阅读:您的 NAS 是否已满?你可以这样做。
01 互联网层
如果您想通过 Internet 从 A 点向 B 点发送某些内容,则此数据将通过多个“层”发送。每一层总是提供一些用于发送数据的额外功能。
在最底层是物理层,其中信号形式的数据通过电缆或通过 WiFi 无线发送。在上面的一层,您有一个层,该层以 1 和 0 的形式通过电缆或 WiFi 发送数据,并且还会检查错误,并在必要时重新发送数据。再上一层,您就可以在两个网络设备之间发送数据,这是通过 MAC 地址完成的。每一层都更抽象一点,在底部处理物理的 1 和 0,在上面处理设备和地址之间的数据包。所以你有很多层,每一层总是使用下面层的功能和抽象。
现在假设我们想将文本“Hello, world!”发送到我们家中的服务器。网络层打包文本并找到一个路由器,该路由器可以接收数据包并将其转发到我们的服务器。数据包更深一层,直到它被转换成物理信号并通过电缆。最终,它到达我们的服务器,读取数据。现在假设服务器也响应一个数据包,上面写着“你好,PC!”。这个包也经过所有层,在它的途中到我们的计算机。但是,有一个问题。包已经到达我们的计算机,但是操作系统如何知道该包是针对哪个程序的呢?有大门。端口只不过是程序的邮箱; Windows、Linux 或 macOS 可以提供数据,以便接收数据的程序可以接收数据。
02 端口转发
如果您没有防火墙,则对所有端口的访问都是开放的。这还不错,因为只要没有程序打开端口,就什么都不会发生。此外,Windows 有自己的内置防火墙。如果程序部署了一个端口并且防火墙允许它,那么任何地方的任何 PC 都可以使用该端口调用您的 IP 地址并向其发送数据。
至少理论上是这样……实际上,您有一个路由器,连接了多台 PC、笔记本电脑和平板电脑。假设您想将数据发送到您自己网络之外的某个地方的 PC,那么就会出现问题。您的路由器执行称为 NAT 或网络地址转换的操作。这是必要的,因为您的互联网提供商只为每个互联网连接提供一个 IP 地址,并且使用该 IP 地址您可以将一台设备连接到互联网。路由器通过成为唯一一个直接连接到您的提供商并因此采用该 IP 地址,然后将 IP 地址分发给您自己的设备来解决该问题。
因此,假设您想从咖啡馆向家中的 PC 发送消息,那么使用路由器分配的本地 IP 地址是没有意义的,因为该 IP 地址仅在您的网络内部有意义。在外面它不指任何东西。相反,您可以将外部 IP 地址与端口结合使用。问题是您的路由器必须知道数据必须去哪里。只有外部 IP 地址和端口,路由器仍然不知道数据包是针对哪台 PC、平板电脑或智能手机。这就是端口转发的原因:通过它,您可以在路由器中指示如果数据很快在此端口上,则该数据必须转发到特定设备。
您可能想知道 Internet 到底是如何在您的网络上运行的。当您访问网站时,数据也会来回发送,并且数据确实会到达您的 PC,而无需设置端口转发。这是有效的,因为您的路由器本身已经为您从内部设置的连接应用了端口转发,以便所有数据包正确到达它们需要的位置。顺便说一下,端口转发本身不是安全风险。该风险来自侦听该端口的应用程序。例如,如果您将端口 X 转发到您从不更新的 PC,由于已知的安全漏洞,这是一个很大的风险。因此,在将端口转发给设备时,始终保持设备处于最新状态非常重要。
03 UPnP
UPnP 代表通用即插即用。它允许网络上的设备“看到”彼此。每台设备都可以在网络上宣布自己,使设备之间可以轻松地进行通信和协作。 UPnP 的功能之一是允许设备转发端口,因此您不必手动进行。
假设您的 Xbox 希望在端口 32400 上接收流量,那么设备可以自动从路由器请求该流量,然后路由器将创建适当的规则,从而通过 IP 或 MAC 地址将该端口上的所有流量转发到您的 Xbox .但是,UPnP 存在安全风险。问题是 UPnP 不使用任何形式的身份验证。恶意软件可以轻松打开端口。问题是 UPnP 可以被远程利用。路由器制造商的许多 UPnP 实现是不安全的。 2013 年,一家公司花了六个月的时间扫描互联网,以查看哪些设备响应了 UPnP。不少于 6,900 台设备做出了回应,其中 80% 是家用设备,例如打印机、网络摄像头或 IP 摄像机。因此,我们建议在您的路由器中禁用 UPnP。该研究中最重要的结论可以在“UPnP 安全吗?”方框中找到。
UPnP 安全吗?
Rapid7 进行的 UPnP 安全性研究的主要结论。
- 2.2% 的公共 IPv4 地址响应了 Internet 上的 UPnP 流量,即 8100 万个唯一 IP 地址。
- 这些 IP 地址中的 20% 不仅响应互联网流量,而且可以远程访问,提供 API 来配置 UPnP 设备!
- 2300 万台设备使用易受攻击的 libupnp 版本,这是一个广泛使用的软件库,可实现 UPnP 协议。该版本中的漏洞可以被远程利用,只需要一个 UDP 数据包。
