Dit moet je weten over portforwarding en UPnP

Door: Jochem de Goede | 19 november 2016 08:11

How To

Inhoudsopgave

  1. Inleiding
  2. Pagina 2

Poorten, UPnP, firewalls, het kan nog best lastig zijn om van binnen in je netwerk iets beschikbaar te maken zodat het ook op externe plekken bereikbaar is. Het is vaak lastig om je router zodanig te configureren dat het juiste verkeer naar het juiste apparaat in je netwerk wordt gestuurd. We gaan hiermee aan de slag met UPnP en portforwarding.

Wil je een apparaat uit jouw thuisnetwerk, bijvoorbeeld je NAS, ook kunnen bereiken als je niet thuis bent? Standaard is je thuisnetwerk zodanig beveiligd dat dit niet zomaar mogelijk is, omdat anders kwaadwillenden ook bij jouw netwerkapparaten zouden kunnen komen. Je moet dus zelf instellingen aanpassen. Daarbij is het essentieel dat je weet wat je doet, zodat je niet onbewust de beveiliging van je netwerk verzwakt. Lees ook: Raakt je NAS vol? Dit kun je doen.

01 Internetlagen

Als je iets wilt versturen over het internet van punt A naar punt B, dan worden deze data door middel van een aantal ‘lagen’ verstuurd. Elke laag biedt steeds wat extra functionaliteit voor het versturen van data.

Helemaal onderaan heb je de fysieke laag, waar gegevens in de vorm van signalen worden verstuurd over de kabel of draadloos via wifi. Een laag daarboven heb je een laag die de data over de kabel of wifi verstuurt in de vorm van enen en nullen en die ook controleert op fouten, en zo nodig data opnieuw stuurt. Weer een laag hoger heb je de mogelijkheid om data tussen twee netwerkapparaten te sturen, iets wat via een MAC-adres gedaan wordt. Elke laag is een stukje abstracter, onderaan werk je met fysieke enen en nullen, daarboven al met pakketjes tussen apparaten en adressen. Zo heb je nog een aantal lagen, waarbij elke laag steeds de functies en abstracties van de laag eronder gebruikt.

Stel nu dat we de tekst ‘Hallo, wereld!’ naar onze server thuis willen sturen. De netwerklaag verpakt de tekst en zoekt een router die het pakketje aanneemt en door kan sturen op weg naar onze server. Het pakketje gaat steeds een laag dieper, totdat het omgezet is in fysieke signalen en door de kabel gaat. Uiteindelijk komt het aan bij onze server, die de data uitleest. Stel nu dat de server reageert met ook een pakketje met de tekst ‘Hallo, pc!’. Dit pakketje gaat ook weer alle lagen door, op weg naar onze computer. Er is echter een probleem. Het pakketje is aangekomen op onze computer, maar hoe weet het besturingssysteem nu voor welk programma het pakket bedoeld is? Daarvoor zijn er poorten. Een poort is niets meer dan een postbus voor een programma; daar waar Windows, Linux of macOS de data aan kan afgeven zodat het programma waarvoor de data bedoeld zijn, deze in ontvangst kan nemen.

Het dataverkeer in de TCP/IP-standaard verloopt over verschillende lagen.

02 Poorten forwarden

Als je geen firewall hebt, staat de toegang tot al je poorten open. Dat is niet zo erg, want zolang er geen programma een poort opent, kan er niets gebeuren. Daarnaast is het zo dat Windows een eigen ingebouwde firewall heeft. Als een programma een poort in gebruik neemt en de firewall dit toelaat, kan elke pc waar dan ook je IP-adres aanroepen met die poort en er data naartoe sturen.

Dat is in ieder geval in theorie zo… in de praktijk is het zo dat je een router hebt, waarmee meerdere pc’s, laptops en tablets verbonden zijn. Stel nu dat je ergens buiten je eigen netwerk gegevens wilt versturen naar jouw pc, dan is er een probleem. Je router doet namelijk iets genaamd NAT, oftewel Network Address Translation. Dat is nodig, want je internetprovider geeft je per internetaansluiting maar één IP-adres en met dat ene IP-adres kun je dus precies één apparaat met internet verbinden. De router lost dat probleem op door als enige direct in verbinding te staan met je provider en daarmee dus dat IP-adres aan te nemen, en vervolgens zelf IP-adressen aan je eigen apparaten uit te delen.

Stel dus dat je vanuit de koffiebar een berichtje naar je pc thuis wilt sturen, dan heeft het geen zin om je lokale, door de router toegewezen IP-adres te gebruiken, want dat IP-adres heeft alleen binnen in je netwerk betekenis. Erbuiten verwijst het nergens naar. In plaats daarvan kun je dan gebruikmaken van je externe IP-adres, in combinatie met je poort. Het probleem is dat je router dan wel moet weten waar de data heen moeten. Met alleen het externe IP-adres en de poort, weet de router nog steeds niet voor welke pc, tablet of smartphone het pakket bedoeld is. Daarom is er portforwarding: daarmee geef je in de router aan dat als op deze poort data binnenkort, die gegevens naar een bepaald apparaat doorgestuurd moeten worden.

Je vraagt je dan misschien af hoe überhaupt internet nog werkt op je netwerk. Als je een website bezoekt, worden er ook data heen en weer gestuurd en die data komen wel gewoon aan op je pc, zonder dat je portforwarding hebt ingesteld. Dat werkt, omdat je router zelf al portforwarding toepast voor verbindingen die je van binnenuit opzet, zodat alle pakketten correct aankomen waar ze moeten zijn. Portforwarding zelf is overigens geen beveiligingsrisico. Dat risico komt van de applicatie die luistert op die poort. Stel dat je poort X doorstuurt naar een pc die je nooit updatet, dan is dat een groot risico vanwege bekende beveiligingslekken. Het is dus belangrijk om een apparaat altijd up-to-date te houden als je een poort daarnaartoe doorstuurt.

Bij veel routers is het nodig om eerst een applicatie aan te maken, waarin de poorten voor die applicatie gedefinieerd staan.

03 UPnP

UPnP staat voor Universal Plug and Play. Het stelt apparaten op het netwerk in staat om elkaar ‘te zien’. Elk apparaat kan zichzelf aankondigen op het netwerk, zodat het eenvoudig is voor apparaten om met elkaar te communiceren en samen te werken. Eén van de functies van UPnP is om een apparaat toe te staan om poorten te forwarden, zodat jij dat niet handmatig hoeft te doen.

Stel je Xbox wil graag verkeer ontvangen op poort 32400, dan kan het apparaat dat automatisch aanvragen bij de router, die vervolgens de betreffende regel zal aanmaken en dus al het verkeer op die poort doorstuurt naar je Xbox door middel van het IP- of MAC-adres. UPnP vormt echter een beveiligingsrisico. Het probleem is dat UPnP geen vorm van authenticatie gebruikt. Malware kan zo eenvoudig poorten openzetten. Het probleem is dat er op afstand misbruik gemaakt kan worden van UPnP. Veel UPnP-implementaties van routerfabrikanten zijn namelijk onveilig. In 2013 heeft een bedrijf zes maanden lang het internet gescand om te kijken welke apparaten er allemaal op UPnP reageerden. Er reageerden maar liefst 6900 apparaten, waarvan het in 80 procent van de gevallen ging om een thuisapparaat als een printer, webcam of IP-camera. Wij raden dus aan om UPnP in je router uit te zetten. De belangrijkste conclusies uit het onderzoek vind je in het kader ‘UPnP veilig?’

Het is een goed idee om UPnP uit te schakelen op je router.

UPnP Veilig?

De belangrijkste conclusies van het onderzoek naar de veiligheid van UPnP uitgevoerd door Rapid7.

- 2,2 procent van alle openbare IPv4-adressen reageerden via internet op UPnP-verkeer, oftewel 81 miljoen unieke IP-adressen.

- 20 procent van die IP-adressen reageerden niet alleen op het internetverkeer, maar boden ook, bereikbaar op afstand, een API aan om het UPnP-apparaat mee te configureren!

- 23 miljoen apparaten gebruiken een kwetsbare versie van libupnp, een veelgebruikte softwarelibrary die het UPnP-protocol implementeert. Lekken in die versie kunnen op afstand worden uitgebuit, waarvoor maar één UDP-pakketje nodig is.

0 Reactie(s) op: Dit moet je weten over portforwarding en UPnP

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.