UPnP je sada síťových protokolů, která je primárně navržena tak, aby zařízením ve stejné lokální síti umožňovala automaticky se navzájem vyhledat a připojit. Pokud to netechnickým uživatelům zní jako sen, v mnoha ohledech tomu tak skutečně je.
Koneckonců, v dnešním extrémně propojeném světě je pohodlí na prvním místě. Od herních konzolí, které se bez námahy připojují k internetu, až po chytré televizory a IoT zařízení(nové okno), která zdánlivě „prostě fungují“ ihned po vybalení – moderní sítě jsou navrženy tak, aby minimalizovaly úsilí uživatelů. Jednou z technologií, které toto bezproblémové propojení tiše umožňují, je Universal Plug and Play (UPnP).
UPnP se však také často používá ke konfiguraci přesměrování portů na routerech, což zařízením na internetu umožňuje přistupovat k prostředkům ve vaší lokální síti (LAN). To (společně s dalšími bezpečnostními zranitelnostmi, o kterých budeme hovořit později) znamená, že může být dobrým nápadem UPnP zcela vypnout.
V tomto článku se podíváme na:
- Co je UPnP?
- Jak UPnP funguje?
- Proč je UPnP nebezpečné?
- Proč byste měli UPnP deaktivovat
- Přesměrování portů, UPnP a sítě VPN
- Jak deaktivovat UPnP na routerech
- UPnP — pohodlí za určitou cenu
Co je UPnP?
Jak už název napovídá, primárním cílem UPnP je zajistit, aby síťová zařízení fungovala ve stylu „plug and play“. Jinými slovy, když připojíte zařízení ke své síti, mělo by prostě fungovat, aniž by bylo nutné měnit nastavení routeru, otevírat porty nebo upravovat IP adresy.
UPnP toho dosahuje pomocí sady síťových protokolů, které zařízením ve vaší lokální síti, jako jsou osobní počítače, tiskárny, modemy, routery a mobilní zařízení, umožňují bezproblémově detekovat vzájemnou přítomnost v síti a následně spolu komunikovat.
UPnP lze také použít ke konfiguraci přesměrování portů, tedy směrování připojení přes firewall vašeho routeru, abyste mohli připojit zařízení na internetu k zařízením ve vaší lokální síti. Mezi běžné důvody patří:
- Zařízení IoT: Můžete například chtít kontrolovat obraz z bezpečnostní kamery, ovládat chytrý termostat nebo spravovat systém chytré domácnosti odkudkoli na světě.
- Domácí mediální servery: Abyste mohli sledovat obsah ze svého serveru Plex nebo Jellyfin přes internet, když nejste doma.
- Herní servery: Abyste mohli hostovat hry pro více hráčů bez placení poplatků za servery třetích stran.
- P2P sdílení souborů: Umožňuje příchozí připojení pro vyšší rychlost stahování. Více informací o tom, jak to funguje, najdete v našem Kompletním průvodci torrentováním.
Jak UPnP funguje?
Zjednodušeně řečeno lze fungování UPnP rozdělit do následujících kroků:
- Vyhledávání: Když se zařízení připojí k síti, rozešle zprávu, kterou oznámí svou přítomnost. Ostatní zařízení v síti mohou na tuto zprávu reagovat, což jim umožní se navzájem vyhledat.
- Popis: Jakmile se zařízení navzájem vyhledají, vymění si informace o svých možnostech a službách. V tomto kroku zařízení sdílejí detaily o tom, co dokážou a jak s nimi mohou ostatní zařízení komunikovat.
- Automatická konfigurace: Zařízení mohou od routeru automaticky vyžadovat přesměrování portů. Například herní konzole může požádat router o otevření konkrétních portů, aby mohla hostovat hry pro více hráčů bez ručního zásahu.
Proč je UPnP nebezpečné?
Ačkoli UPnP přináší nepopiratelné pohodlí, představuje také vážná bezpečnostní rizika. Rizikovost UPnP nespočívá pouze v tom, jak funguje, ale také v tom, jak malou kontrolu a přehled obvykle máte nad tím, co dělá v zákulisí. Hlavní rizika spojená s UPnP jsou:
Automatické přesměrování portů
Ačkoli je UPnP navrženo primárně pro připojení zařízení v lokální síti, jednou z jeho nejužitečnějších funkcí je schopnost automaticky otevírat porty na routeru, aby zařízení v síti LAN mohla komunikovat se zařízeními na internetu. Otevřené porty však bohužel mohou útočníkům umožnit získat přístup k zařízením ve vaší lokální síti.
Je třeba poznamenat, že toto riziko hrozí i v případě, že přesměrování portů na routeru nakonfigurujete ručně. Pokud je však UPnP aktivováno, může otevírat porty pro automatickou konfiguraci několika (potenciálně zranitelných) zařízení ve vaší lokální síti bez vašeho vědomí.
Bez ověření
Protokol UPnP byl navržen pro důvěryhodné lokální sítě, takže k fungování obvykle nevyžaduje žádné ověření ze strany zařízení. To znamená, že jakékoli zařízení ve stejné síti – včetně těch potenciálně kompromitovaných – může routeru posílat požadavky na otevření portů nebo přesměrování síťového provozu.
Pokud se malware vyskytuje na jediném infikovaném zařízení ve vaší síti, může bez vašeho vědomí tiše měnit nastavení sítě a vytvářet díry ve vašem firewallu, což malwaru umožní komunikovat s vnějším světem. Přesně to se stalo v případě nechvalně známého botnetu Mirai(nové okno), který využil zranitelnosti v UPnP k infikování IoT zařízení (např. domácích kamer) a routerů k zahájení některých z největších DDoS útoků(nové okno) v historii.
Tento nedostatek ověření také znamená, že se malware může snadno šířit mezi zařízeními s UPnP připojenými k vaší lokální síti.
Vyšší riziko útoků typu skenování portů
Především kvůli starším nebo špatně nakonfigurovaným routerům, které přijímají připojení UPnP z internetu (nikoli pouze z lokální sítě), jsou miliony síťových zařízení a routerů(nové okno) zranitelné vůči útokům DDoS a dalším hrozbám.
Proč byste měli UPnP deaktivovat
UPnP sice může usnadnit život automatizací nastavení sítě, ale absence bezpečnostních prvků a možnost zneužití z něj dělají vysoce rizikovou funkci. To platí zejména pro běžné domácí routery, kde výchozí filozofie UPnP „důvěřuj všemu“ jednoduše neodpovídá moderním osvědčeným postupům v oblasti zabezpečení a nahrává šíření malwaru. Pro většinu lidí proto toto pohodlí za dané riziko nestojí.
Nedostatečný přehled o tom, které porty jsou otevřené, proč jsou otevřené a zda jste je správně zavřeli, vytváří ve vaší síťové bezpečnosti slepá místa. To poskytuje snadný vstupní bod pro malware a hackery, kteří si pak mohou ve vaší síti vytvořit trvalá zadní vrátka nebo dokonce směrovat váš síťový provoz přes útočníkem kontrolované DNS servery (jak tomu bylo v případě trojského koně Switcher(nové okno)).
Mnohem lepším řešením je nakonfigurovat přesměrování portů ručně, kdykoli to potřebujete, abyste měli plnou kontrolu a přehled o tom, které porty jsou otevřené.
Přečtěte si, jak ručně nastavit přesměrování portů na různých routerech
Upozorňujeme však, že nemá smysl nastavovat přesměrování portů na routeru pro zařízení, která se připojují k VPN (viz níže).
Přesměrování portů, UPnP a sítě VPN
Když připojíte zařízení k VPN serveru, veškerá data putující mezi zařízením a serverem jsou směrována přes šifrovaný VPN tunel. Během přenosu tímto VPN tunelem nemůže vaše data vidět žádná jiná osoba ani zařízení.
To zahrnuje vašeho poskytovatele internetových služeb (ISP) a potažmo i státní orgány, ale také váš vlastní router. Při použití VPN tak připojení router efektivně obchází, což činí UPnP (a ruční přesměrování portů na routeru) nadbytečným. Přesměrování portů při použití VPN znamená otevření portu na firewallu NAT, který váš poskytovatel VPN používá k ochraně VPN serveru – nikoli na routeru.
Pokud zařízení (nebo aplikace v něm spuštěná, například klient BitTorrent) podporuje UPnP, měli byste toto nastavení deaktivovat, aby se předešlo konfliktům se softwarem VPN.
Další informace o přesměrování portů s Proton VPN
Jak deaktivovat UPnP na routerech
Deaktivace UPnP na routeru je jednoduchý proces, ale přesný postup se liší v závislosti na značce a modelu vašeho routeru. Níže naleznete obecné pokyny pro deaktivaci UPnP u některých nejběžnějších značek routerů. U ostatních routerů bude postup podobný.
Pro začátek zadejte IP adresu svého routeru (obvykle 192.168.1.1 nebo 192.168.0.1) do adresního řádku prohlížeče a přihlaste se pomocí uživatelského jména a hesla správce. Tyto údaje jsou obvykle vytištěny na štítku na vašem routeru (pokud jste je nezměnili). Poté:
Routery Linksys
Přejděte na záložku Správa → UPnP → a přepněte nastavení UPnP do polohy vypnuto. Klikněte na Uložit nastavení pro použití změn. Doporučujeme router restartovat, aby se změny projevily. Chcete-li to provést, přejděte na záložku Správa → Restart.
Routery Netgear
Přejděte na záložku Správa → UPnP → a přepněte nastavení UPnP do polohy vypnuto. Klikněte na Použít pro uložení změn. Doporučujeme router restartovat, aby se změny projevily. Chcete-li to provést, přejděte na záložku Údržba → Restart.
Routery TP-Link
Přejděte na záložku Pokročilé → Přesměrování NAT → UPnP a přepněte nastavení UPnP do polohy vypnuto. Doporučujeme router restartovat, aby se změny projevily. Chcete-li to provést, přejděte na záložku Systém → Restart.

Závěrečné myšlenky o UPnP – pohodlí za určitou cenu
Protokol UPnP byl navržen s dobrým úmyslem – usnadnit běžným lidem práci se sítí tím, že zařízením umožní automaticky komunikovat a konfigurovat se. V době, kdy jsou kybernetické hrozby pokročilejší a častější než kdykoli předtím, je však toto pohodlí zároveň rizikem.
Absence ověření v protokolu UPnP, přesměrování portů a historie jeho zneužití z něj dělají riskantní funkci, pokud ji necháte aktivovanou, a to zejména na domácích routerech, které jsou zřídkakdy monitorovány nebo aktualizovány. I když může zjednodušit instalaci her, streamovacích zařízení a chytrých domácích spotřebičů, zároveň potichu otevírá dveře, kterými hackeři a malware velmi rádi projdou.
Deaktivace UPnP je naštěstí snadná a většina lidí nepozná rozdíl v každodenním používání internetu – zvláště pokud si uděláte trochu času na ruční konfiguraci těch několika služeb, které otevřené porty skutečně potřebují.
To je ještě snazší, pokud na svých zařízeních používáte Proton VPN. Stačí tuto funkci jednoduše zapnout a my pro vás otevřeme vhodný port ve firewallu naší VPN.






