UPnP er en netværksprotokolsuite, der primært er designet til at give enheder på det samme lokale netværk mulighed for automatisk at finde og forbinde til hinanden. Hvis dette lyder som en drøm for ikke-tekniske brugere, er det på mange måder tilfældet.

Når alt kommer til alt, er bekvemmelighed i dagens ultra-forbundne verden i højsædet. Fra spilkonsoller, der ubesværet forbinder til internettet, til smart-tv’er og IoT-enheder(nyt vindue), der ser ud til at ”fungere med det samme” – moderne netværk er designet til at minimere brugerens indsats. En af de teknologier, der i det stille gør al denne sømløse forbindelse mulig, er Universal Plug and Play (UPnP).

UPnP bruges dog også ofte til at konfigurere port-viderestilling på routere, hvilket giver enheder på internettet mulighed for at få adgang til ressourcer på Deres lokalnetværk (LAN). Dette (sammen med andre sikkerhedssårbarheder, som vi vil drøfte senere) betyder, at det kan være en god idé at slukke helt for UPnP.

I denne artikel ser vi på:

Hvad er UPnP?

Som navnet antyder, er det primære formål med UPnP at gøre netværksforbundne enheder til ”plug and play”. Med andre ord: Når De forbinder en enhed til Deres netværk, bør den bare fungere, uden at De behøver at dykke ned i Deres routers indstillinger, åbne porte eller rode med IP-adresser.

UPnP opnår dette ved hjælp af et sæt netværksprotokoller, der tillader enheder på Deres lokale netværk, såsom personlige computere, printere, modemer, routere og mobilenheder, problemfrit at registrere hinandens tilstedeværelse på netværket og derefter kommunikere med hinanden.

UPnP kan også bruges til at konfigurere port-viderestilling, hvor forbindelser dirigeres gennem Deres routers firewall, så De kan forbinde enheder på internettet med enheder på Deres lokale netværk. Populære årsager til dette inkluderer:

  • IoT-enheder: For eksempel ønsker De måske at tjekke Deres overvågningskameras feed, styre Deres smarte termostat eller administrere Deres smart-hjem-system fra hvor som helst i verden.
  • Hjemmemedieservere: Så De kan se indhold fra Deres Plex- eller Jellyfin-server via internettet, når De ikke er hjemme
  • Spilservere: Så De kan være vært for multiplayer-spil uden at betale serverpriser til tredjepart
  • P2P-fildeling: For at tillade indgående forbindelser for forbedrede downloadhastigheder. Se vores ultimative guide til torrenting for at få mere at vide om, hvordan dette fungerer.

Hvordan fungerer UPnP?

Kort sagt kan måden, UPnP fungerer på, opdeles i følgende trin:

  1. Registrering: Når en enhed forbindes til et netværk, udsender den en besked for at annonere sin tilstedeværelse. Andre enheder på netværket kan svare på denne besked, hvilket giver dem mulighed for at finde hinanden.
  2. Beskrivelse: Når enheder har fundet hinanden, udveksler de oplysninger om deres funktioner og tjenester. Dette trin indebærer, at enhederne deler detaljer om, hvad de kan, og hvordan andre enheder kan interagere med dem.
  3. Automatisk konfiguration: Enheder kan anmode om port-viderestilling fra routeren automatisk. For eksempel kan en spilkonsol anmode routeren om at åbne specifikke porte, så den kan være vært for multiplayer-spil uden manuel indgriben.

Hvorfor er UPnP farligt?

Selvom UPnP bringer ubestridelig bekvemmelighed, introducerer det også alvorlige sikkerhedsproblemer. Det, der gør UPnP risikabelt, er ikke kun, hvordan det fungerer, men hvor lidt kontrol og synlighed De typisk har over, hvad det gør bag kulisserne. De vigtigste risici ved UPnP er:

Automatisk port-viderestilling

Selvom det primært er designet til at forbinde enheder på et lokalt netværk, er en af UPnP’s mest nyttige funktioner evnen til automatisk at åbne porte på en router, så enheder på Deres LAN kan kommunikere med enheder på internettet. Desværre kan åbne porte give ondsindede aktører mulighed for at få adgang til enheder på Deres lokale netværk.

Det bør bemærkes, at denne risiko også er til stede, hvis De manuelt konfigurerer port-viderestilling på Deres router. Men hvis UPnP er aktiveret, kan det åbne porte for automatisk at konfigurere flere (potentielt sårbare) enheder på Deres lokale netværk uden Deres vidende.

Ingen godkendelse

UPnP blev designet med betroede lokale netværk i tankerne, så det kræver normalt ikke nogen godkendelse fra enheder for at fungere. Dette betyder, at enhver enhed på det samme netværk — herunder potentielt kompromitterede enheder — kan sende anmodninger til routeren om at åbne porte eller omdirigere trafik.

Hvis der er malware på en enkelt inficeret enhed i Deres netværk, kan den i det stille ændre netværksindstillinger og slå huller i Deres firewall uden Deres vidende, og dermed give malwaren mulighed for at kommunikere med omverdenen. Dette var, hvad der skete med det berygtede Mirai-botnet(nyt vindue), som udnyttede UPnP-sårbarheder til at inficere IoT-enheder (som f.eks. hjemmekameraer) og routere for at lancere nogle af verdens største DDoS-angreb(nyt vindue) nogensinde.

Denne mangel på godkendelse betyder også, at malware nemt kan sprede sig på tværs af UPnP-enheder, der er forbundet til Deres lokale netværk.

Højere risiko for portscanningsangreb

Takket være primært ældre eller dårligt konfigurerede routere, der accepterer UPnP-forbindelser fra internettet (ikke kun lokale), er millioner af netværksenheder og routere(nyt vindue) sårbare over for DDoS- og andre angreb.

Hvorfor De bør deaktivere UPnP

UPnP kan gøre livet lettere ved at automatisere Deres netværkskonfiguration, men dets mangel på sikkerhedskontrol og potentiale for misbrug gør det til en højrisikofunktion. Dette gælder især for routere til private forbrugere, hvor UPnP’s standardfilosofi om at ”stole på alt” simpelthen ikke stemmer overens med moderne bedste praksis for sikkerhed og er en fordel for spredningen af malware. Så for de fleste mennesker er bekvemmeligheden sandsynligvis ikke risikoen værd.

Manglen på synlighed over, hvilke porte der er åbne, hvorfor de er åbne, og om De har lukket dem ordentligt, skaber blinde vinkler i Deres netværkssikkerhed. Dette giver en nem indgangsport for malware og hackere, som derefter kan oprette permanente bagdøre til Deres netværk eller endda dirigere Deres trafik gennem angriberkontrollerede DNS-servere (som set med Switcher Trojan(nyt vindue)).

En meget bedre løsning er manuelt at konfigurere port-viderestilling efter behov, så De har fuldstændig kontrol og overblik over, hvilke porte der er åbne.

Få mere at vide om, hvordan De manuelt konfigurerer port-viderestilling på forskellige routere

Vær dog opmærksom på, at der ikke er nogen mening i at konfigurere port-viderestilling på Deres router til enheder, der forbinder til en VPN (se nedenfor).

Port-viderestilling, UPnP og VPN’er

Når De forbinder en enhed til en VPN-server, dirigeres alle data, der rejser mellem enheden og serveren, gennem en krypteret VPN-tunnel. Mens de rejser gennem denne VPN-tunnel, kan ingen anden person eller enhed se Deres data.

Dette inkluderer Deres internetudbyder (ISP) og i forlængelse heraf Deres regering, men det inkluderer også Deres egen router. Så når De bruger en VPN, går forbindelsen reelt udenom Deres router, hvilket gør UPnP (og manuel port-viderestilling på routeren) overflødig. Port-viderestilling, når De bruger en VPN, betyder at åbne en port i den NAT-firewall, som Deres VPN-udbyder bruger til at beskytte VPN-serveren — ikke på routeren.

Hvis en enhed (eller en app, der kører på den pågældende enhed, såsom en BitTorrent-klient) understøtter UPnP, bør De deaktivere indstillingen for at forhindre konflikter med VPN-softwaren.

Få mere at vide om port-viderestilling med Proton VPN

Sådan deaktiveres UPnP på routere

Deaktivering af UPnP på Deres router er en ligetil proces, men de nøjagtige trin varierer afhængigt af Deres routers mærke og model. Nedenfor er generelle instruktioner til deaktivering af UPnP på nogle af de mest almindelige routermærker. På andre routere vil instruktionerne være lignende.

For at starte skal De indtaste Deres routers IP-adresse (normalt 192.168.1.1 eller 192.168.0.1) i Deres browsers adresselinje og logge ind med Deres admin-brugernavn og adgangskode. Dette er normalt trykt på et klistermærke, der sidder på Deres router (medmindre De har ændret det). Derefter:

Linksys-routere

Gå til fanen AdministrationUPnP → og slå UPnP-indstillingen fra. Klik på Gem indstillinger for at anvende ændringerne. Det er en god idé at genstarte Deres router for at sikre, at ændringerne træder i kraft. For at gøre dette skal De gå til fanen AdministrationGenstart.

Netgear-routere

Gå til fanen AdministrationUPnP → og slå UPnP-indstillingen fra. Klik på Anvend for at gemme ændringerne. Det er en god idé at genstarte Deres router for at sikre, at ændringerne træder i kraft. For at gøre dette skal De gå til fanen VedligeholdelseGenstart.

TP-Link-routere

Gå til fanen AvanceretNAT-viderestillingUPnP, og slå UPnP-indstillingen fra. Det er en god idé at genstarte Deres router for at sikre, at ændringerne træder i kraft. For at gøre dette skal De gå til fanen SystemGenstart.

Sådan slår De UPnP fra på en TP-Link-router

Afsluttende tanker om UPnP — bekvemmelighed har sin pris

UPnP blev designet med gode hensigter; at gøre netværk nemmere for almindelige mennesker ved at lade enheder kommunikere og konfigurere sig selv automatisk. Men i en tid, hvor cybertrusler er mere avancerede og hyppige end nogensinde før, er denne bekvemmelighed også en sårbarhed.

UPnP’s mangel på godkendelse, port-viderestilling og historik med udnyttelse gør det til en risikabel funktion at lade være aktiveret, især på hjemmeroutere, der sjældent overvåges eller opdateres. Selvom det kan forenkle konfigurationen af spil, streamingenheder og smarte gadgets til hjemmet, åbner det også stille og roligt døre, som hackere og malware mere end gerne går igennem.

Heldigvis er det enkelt at deaktivere UPnP, og de fleste vil ikke bemærke nogen forskel i den daglige internetbrug — især hvis De afsætter lidt tid til manuelt at konfigurere de få tjenester, der virkelig har brug for åbne porte.

Dette er endnu nemmere, hvis De bruger Proton VPN på Deres enheder, da De blot skal aktivere funktionen, så åbner vi en passende port i vores VPN-firewall for Dem.

Lær, hvordan De bruger port-viderestilling med Proton VPN