UPnP, ports, pare-feu, il peut être assez difficile de rendre quelque chose disponible depuis l'intérieur de votre réseau afin qu'il puisse également être atteint à des emplacements externes. Il est souvent difficile de configurer votre routeur pour envoyer le trafic correct vers le bon périphérique sur votre réseau. Nous y travaillerons avec UPnP et la redirection de port.
Voulez-vous pouvoir accéder à un appareil depuis votre réseau domestique, par exemple votre NAS, même lorsque vous n'êtes pas chez vous? Par défaut, votre réseau domestique est sécurisé de telle sorte que ce n'est pas seulement possible, car sinon des parties malveillantes pourraient également atteindre vos périphériques réseau. Vous devez donc régler vous-même les paramètres. Il est essentiel que vous sachiez ce que vous faites, afin de ne pas affaiblir sans le savoir la sécurité de votre réseau. Lisez aussi: Votre NAS est-il plein? Tu peux le faire.
01 couches Internet
Si vous souhaitez envoyer quelque chose sur Internet du point A au point B, ces données sont envoyées via un certain nombre de «couches». Chaque couche offre toujours des fonctionnalités supplémentaires pour l'envoi de données.
Tout en bas, vous avez la couche physique, où les données sous forme de signaux sont envoyées via le câble ou sans fil via WiFi. Une couche au-dessus de cela, vous avez une couche qui envoie les données via le câble ou le WiFi sous la forme de uns et de zéros et qui vérifie également les erreurs, et si nécessaire envoie à nouveau les données. Une autre couche plus élevée, vous avez la possibilité d'envoyer des données entre deux périphériques réseau, ce qui se fait via une adresse MAC. Chaque couche est un peu plus abstraite, en bas, vous travaillez avec des uns et des zéros physiques, au-dessus avec des paquets entre les périphériques et les adresses. Vous avez donc un certain nombre de couches, où chaque couche utilise toujours les fonctions et les abstractions de la couche ci-dessous.
Supposons maintenant que nous ayons le texte "Hello, world!" à notre serveur à la maison. La couche réseau regroupe le texte et recherche un routeur qui accepte le package et peut le transmettre sur son chemin vers notre serveur. Le paquet va une couche plus profondément jusqu'à ce qu'il soit converti en signaux physiques et traverse le câble. Finalement, il arrive à notre serveur, qui lit les données. Supposons maintenant que le serveur réponde également avec un package qui dit "Bonjour, pc!". Ce package passe également par toutes les couches, sur son chemin vers notre ordinateur. Il y a cependant un problème. Le package est arrivé sur notre ordinateur, mais comment le système d'exploitation sait-il à quel programme le package est destiné? Il y a des portes pour cela. Un port n'est rien de plus qu'une boîte aux lettres pour un programme; où Windows,Linux ou macOS peuvent fournir les données afin que le programme auquel les données sont destinées puisse les recevoir.
02 Ports de transfert
Si vous n'avez pas de pare-feu, l'accès à tous vos ports est ouvert. Ce n'est pas grave, car tant qu'aucun programme n'ouvre un port, rien ne peut arriver. De plus, Windows possède son propre pare-feu intégré. Si un programme utilise un port et que le pare-feu le permet, n'importe quel PC n'importe où peut appeler votre adresse IP avec ce port et lui envoyer des données.
C'est du moins le cas en théorie… dans la pratique, c'est le cas que vous avez un routeur auquel plusieurs PC, ordinateurs portables et tablettes sont connectés. Supposons maintenant que vous souhaitiez envoyer des données à votre PC quelque part en dehors de votre propre réseau, alors il y a un problème. Votre routeur fait quelque chose appelé NAT, ou traduction d'adresses réseau. Cela est nécessaire, car votre fournisseur d'accès Internet ne vous donne qu'une seule adresse IP par connexion Internet, vous pouvez donc connecter exactement un appareil à Internet avec cette adresse IP. Le routeur résout ce problème en étant le seul directement connecté à votre fournisseur et en adoptant ainsi cette adresse IP, puis en distribuant les adresses IP à vos propres appareils.
Supposons donc que vous souhaitiez envoyer un message du bar à café à votre PC à la maison, alors cela n'a aucun sens d'utiliser votre adresse IP locale attribuée par le routeur, car cette adresse IP n'a de sens qu'au sein de votre réseau. En dehors de cela, il ne fait référence à rien. Au lieu de cela, vous pouvez utiliser votre adresse IP externe, en combinaison avec votre port. Le problème est que votre routeur doit savoir où envoyer les données. Avec uniquement l'adresse IP externe et le port, le routeur ne sait toujours pas à quel PC, tablette ou smartphone le package est destiné. C'est pourquoi il existe une redirection de port: avec cela, vous indiquez dans le routeur que si des données sur ce port arrivent bientôt, ces données doivent être transmises à un périphérique spécifique.
Vous vous demandez peut-être comment Internet fonctionne toujours sur votre réseau. Lorsque vous visitez un site Web, les données sont également envoyées dans les deux sens et ces données arrivent simplement sur votre PC, sans avoir configuré la redirection de port. Cela fonctionne, car votre routeur lui-même applique déjà la redirection de port pour les connexions que vous avez configurées de l'intérieur, de sorte que tous les paquets arrivent correctement là où ils doivent être. La redirection de port en elle-même n'est pas un risque pour la sécurité. Ce risque provient de l'application qui écoute sur ce port. Supposons que vous transférez le port X vers un PC que vous ne mettez jamais à jour, alors c'est un risque majeur en raison des failles de sécurité connues. Il est donc important de toujours garder un appareil à jour lorsque vous lui transférez un port.
03 UPnP
UPnP signifie Universal Plug and Play. Il permet aux appareils du réseau de se «voir». Chaque appareil peut s'annoncer sur le réseau, ce qui permet aux appareils de communiquer et de collaborer facilement les uns avec les autres. L'une des fonctions d'UPnP est de permettre à un appareil de transférer des ports, vous n'avez donc pas à le faire manuellement.
Supposons que votre Xbox souhaite recevoir du trafic sur le port 32400, alors l'appareil peut automatiquement le demander au routeur, qui créera alors la règle appropriée et transférera donc tout le trafic sur ce port vers votre Xbox au moyen de l'adresse IP ou MAC- adresse. Cependant, UPnP est un risque de sécurité. Le problème est que UPnP n'utilise aucune forme d'authentification. Les logiciels malveillants peuvent facilement ouvrir des ports. Le problème est que UPnP peut être exploité à distance. De nombreuses implémentations UPnP des fabricants de routeurs ne sont pas sécurisées. En 2013, une entreprise a scanné Internet pendant six mois pour voir quels appareils répondaient à l'UPnP. Pas moins de 6 900 appareils ont répondu, dont 80% impliquaient un appareil domestique tel qu'une imprimante, une webcam ou une caméra IP.Nous vous recommandons donc de désactiver UPnP sur votre routeur. Les conclusions les plus importantes de la recherche se trouvent dans l'encadré «UPnP safe?
UPnP Safe?
Les principales conclusions de l'étude de sécurité UPnP menée par Rapid7.
- 2,2 pour cent de toutes les adresses IPv4 publiques ont répondu au trafic UPnP sur Internet, soit 81 millions d'adresses IP uniques.
- 20% de ces adresses IP ont non seulement répondu au trafic Internet, mais ont également offert, accessible à distance, une API pour configurer le périphérique UPnP!
23 millions d'appareils utilisent une version vulnérable de libupnp, une bibliothèque de logiciels largement utilisée qui implémente le protocole UPnP. Les fuites dans cette version peuvent être exploitées à distance, ne nécessitant qu'un seul paquet UDP.