UPnP, portas, firewalls, ainda pode ser muito difícil disponibilizar algo de dentro de sua rede para que também possa ser alcançado em locais externos. Freqüentemente, é difícil configurar seu roteador para enviar o tráfego correto ao dispositivo correto em sua rede. Começaremos com UPnP e encaminhamento de porta.
Você quer ser capaz de alcançar um dispositivo de sua rede doméstica, por exemplo, seu NAS, mesmo quando não está em casa? Por padrão, sua rede doméstica é protegida de forma que isso não seja apenas possível, porque, de outra forma, partes mal-intencionadas também podem alcançar seus dispositivos de rede. Portanto, você mesmo deve ajustar as configurações. É essencial que você saiba o que está fazendo para não enfraquecer inadvertidamente a segurança da sua rede. Leia também: O seu NAS está ficando cheio? Você consegue fazer isso.
01 camadas de Internet
Se você quiser enviar algo pela Internet do ponto A ao ponto B, esses dados são enviados por meio de várias 'camadas'. Cada camada sempre oferece alguma funcionalidade extra para o envio de dados.
Na parte inferior, você tem a camada física, onde os dados na forma de sinais são enviados por cabo ou sem fio via wi-fi. Uma camada acima dessa você tem uma camada que envia os dados pelo cabo ou WiFi na forma de uns e zeros e que também verifica se há erros e reenvia os dados, se necessário. Mais uma camada acima, você tem a capacidade de enviar dados entre dois dispositivos de rede, algo que é feito por meio de um endereço MAC. Cada camada é um pouco mais abstrata, na parte inferior você trabalha com uns e zeros físicos, acima disso com pacotes entre dispositivos e endereços. Portanto, você tem várias camadas, onde cada camada sempre usa as funções e abstrações da camada abaixo.
Agora, suponha que queremos enviar o texto “Olá, mundo!” Para nosso servidor em casa. A camada de rede empacota o texto e encontra um roteador que pode pegar o pacote e encaminhá-lo para o nosso servidor. O pacote vai uma camada mais fundo até ser convertido em sinais físicos e passa pelo cabo. Em última análise, chega ao nosso servidor, que lê os dados. Agora, suponha que o servidor também responda com um pacote que diz 'Olá, PC!'. Este pacote também passa por todas as camadas, a caminho do nosso computador. No entanto, existe um problema. O pacote chegou ao nosso computador, mas como o sistema operacional sabe para qual programa o pacote se destina? Existem portas para isso. Uma porta nada mais é do que uma caixa de correio para um programa; onde Windows, Linux ou macOS podem entregar os dados para que o programa para o qual os dados se destinam possa recebê-los.
02 Encaminhamento de porta
Se você não tiver um firewall, o acesso a todas as suas portas está aberto. Isso não é tão ruim, porque enquanto nenhum programa abrir uma porta, nada pode acontecer. Além disso, o Windows tem seu próprio firewall integrado. Se um programa implanta uma porta e o firewall permite, qualquer PC em qualquer lugar pode chamar seu endereço IP usando essa porta e enviar dados para ela.
Pelo menos em teoria é esse o caso ... na prática, você tem um roteador ao qual vários PCs, laptops e tablets estão conectados. Suponha que você queira enviar dados para seu PC em algum lugar fora de sua rede, então há um problema. Seu roteador faz algo chamado NAT ou Network Address Translation. Isso é necessário porque o seu provedor de internet fornece apenas um endereço IP por conexão de internet e com esse endereço IP você pode conectar exatamente um dispositivo à internet. O roteador resolve esse problema sendo o único conectado diretamente ao seu provedor e, portanto, adotando esse endereço IP e, em seguida, distribuindo os endereços IP aos seus próprios dispositivos.
Então, suponha que você queira enviar uma mensagem para o seu PC em casa da cafeteria, então não faz sentido usar seu endereço IP local atribuído pelo roteador, porque esse endereço IP só tem significado dentro da sua rede. Fora, não se refere a nada. Em vez disso, você pode usar seu endereço IP externo, em combinação com sua porta. O problema é que seu roteador precisa saber para onde os dados devem ir. Com apenas o endereço IP externo e a porta, o roteador ainda não sabe para qual PC, tablet ou smartphone o pacote se destina. É por isso que existe o encaminhamento de porta: com isso você indica no roteador que se houver dados nesta porta em breve, esses dados devem ser encaminhados para um dispositivo específico.
Você pode se perguntar como a Internet ainda funciona na sua rede. Quando você visita um site, os dados também são enviados e recebidos e chegam ao seu PC, sem ter configurado o encaminhamento de porta. Isso funciona, porque o próprio roteador já aplica o encaminhamento de porta para conexões que você configurou de dentro, para que todos os pacotes cheguem corretamente onde precisam estar. A propósito, o encaminhamento de portas em si não é um risco de segurança. Esse risco vem do aplicativo que escuta nessa porta. Por exemplo, se você encaminhar a porta X para um PC que nunca atualizou, é um grande risco devido a vulnerabilidades de segurança conhecidas. Portanto, é importante sempre manter um dispositivo atualizado ao encaminhar uma porta para ele.
03 UPnP
UPnP significa Universal Plug and Play. Ele permite que os dispositivos na rede "vejam" uns aos outros. Cada dispositivo pode se anunciar na rede, tornando mais fácil para os dispositivos se comunicarem e colaborarem uns com os outros. Uma das funções do UPnP é permitir que um dispositivo encaminhe portas, para que você não precise fazer isso manualmente.
Suponha que seu Xbox gostaria de receber tráfego na porta 32400, então o dispositivo pode solicitar isso automaticamente do roteador, que criará a regra apropriada e, assim, encaminhará todo o tráfego nessa porta para seu Xbox por meio do endereço IP ou MAC . No entanto, o UPnP representa um risco de segurança. O problema é que o UPnP não usa nenhuma forma de autenticação. O malware pode abrir portas com tanta facilidade. O problema é que o UPnP pode ser explorado remotamente. Muitas implementações UPnP de fabricantes de roteadores são inseguras. Em 2013, uma empresa passou seis meses vasculhando a internet para ver quais dispositivos estavam respondendo ao UPnP. Nada menos que 6.900 dispositivos responderam, 80 por cento dos quais eram dispositivos domésticos, como uma impressora, webcam ou câmera IP. Portanto, recomendamos desabilitar o UPnP em seu roteador. As conclusões mais importantes do estudo podem ser encontradas na caixa 'UPnP seguro?'
UPnP seguro?
As principais conclusões do estudo de segurança UPnP conduzido pela Rapid7.
- 2,2 por cento de todos os endereços IPv4 públicos responderam ao tráfego UPnP na Internet, ou 81 milhões de endereços IP exclusivos.
- 20 por cento desses endereços IP não apenas respondiam ao tráfego da Internet, mas também, acessíveis remotamente, ofereciam uma API para configurar o dispositivo UPnP com!
- 23 milhões de dispositivos usam uma versão vulnerável de libupnp, uma biblioteca de software amplamente usada que implementa o protocolo UPnP. Vulnerabilidades nessa versão podem ser exploradas remotamente, exigindo apenas um pacote UDP.