UPnP on verkkoprotokollaperhe, joka on ensisijaisesti suunniteltu mahdollistamaan samassa paikallisverkossa olevien laitteiden automaattisen löytämisen ja yhdistämisen toisiinsa. Jos tämä kuulostaa unelmalta muille kuin teknisille käyttäjille, se on sitä monessa suhteessa.
Loppujen lopuksi nykyisessä erittäin verkottuneessa maailmassa mukavuus on valttia. Pelikonsoleista, jotka yhdistyvät vaivattomasti internetiin, aina älytelevisioihin ja IoT-laitteisiin(uusi ikkuna), jotka näyttävät ”vain toimivan” suoraan laatikosta – nykyaikaiset verkot on suunniteltu pienentämään käyttäjän vaivannäköä. Yksi teknologioista, jotka mahdollistavat kaiken tämän saumattoman liitettävyyden taustalla, on Universal Plug and Play (UPnP).
UPnP:tä käytetään kuitenkin usein myös reitittimien porttiohjauksen määrittämiseen, mikä antaa internetissä oleville laitteille pääsyn lähiverkkonne (LAN) resursseihin. Tämä (yhdessä muiden tietoturvahaavoittuvuuksien kanssa, joista keskustelemme myöhemmin) tarkoittaa, että UPnP:n poistaminen käytöstä kokonaan voi olla hyvä idea.
Tässä artikkelissa tarkastelemme:
- Mitä on UPnP?
- Miten UPnP toimii?
- Miksi UPnP on vaarallinen?
- Miksi UPnP pitäisi poistaa käytöstä
- Porttiohjaus, UPnP ja VPN-yhteydet
- Miten UPnP poistetaan käytöstä reitittimissä
- UPnP — mukavuutta hinnalla
Mitä on UPnP?
Kuten sen nimi viittaa, UPnP:n ensisijainen tavoite on tehdä verkkoon liitetyistä laitteista ”plug and play” -laitteita. Toisin sanoen, kun yhdistätte laitteen verkkoonne, sen pitäisi vain toimia ilman tarvetta perehtyä reitittimenne asetuksiin, avata portteja tai säätää IP-osoitteita.
UPnP saavuttaa tämän käyttämällä verkkoprotokollia, joiden avulla paikallisverkossanne olevat laitteet, kuten tietokoneet, tulostimet, modeemit, reitittimet ja mobiililaitteet, voivat saumattomasti havaita toisensa verkossa ja viestiä keskenään.
UPnP:tä voidaan käyttää myös porttiohjauksen määrittämiseen, jolloin yhteydet reititetään reitittimenne palomuurin läpi niin, että voitte yhdistää internetissä olevia laitteita paikallisverkossanne oleviin laitteisiin. Yleisiä syitä tähän ovat muun muassa:
- IoT-laitteet: Haluatte ehkä esimerkiksi tarkistaa valvontakameranne kuvan, ohjata älytermostaattianne tai hallita älykotijärjestelmäänne mistä päin maailmaa tahansa.
- Kotimedian palvelimet: jotta voitte katsella Plex- tai Jellyfin-palvelimenne sisältöä internetin kautta ollessanne poissa kotoa
- Pelipalvelimet: jotta voitte isännöidä moninpelejä maksamatta ulkopuolisten tahojen palvelinmaksuja
- P2P-tiedostonjako: sisääntulevien yhteyksien sallimiseksi latausnopeuksien parantamiseksi. Katso lisätietoja tämän toiminnasta oppaastamme Ultimate guide to torrenting.
Miten UPnP toimii?
Yksinkertaisesti sanottuna UPnP:n toiminta voidaan jakaa seuraaviin vaiheisiin:
- Löytäminen: Kun laite yhdistetään verkkoon, se lähettää yleislähetyksenä viestin ilmoittaakseen läsnäolostaan. Muut verkossa olevat laitteet voivat vastata tähän viestiin, jolloin ne voivat löytää toisensa.
- Kuvaus: Kun laitteet ovat löytäneet toisensa, ne vaihtavat tietoja ominaisuuksistaan ja palveluistaan. Tässä vaiheessa laitteet jakavat tietoja siitä, mitä ne voivat tehdä ja miten muut laitteet voivat olla vuorovaikutuksessa niiden kanssa.
- Automaattinen määritys: Laitteet voivat pyytää porttiohjausta reitittimeltä automaattisesti. Esimerkiksi pelikonsoli voi pyytää reititintä avaamaan tiettyjä portteja, jotta se voi isännöidä moninpelejä ilman manuaalisia toimenpiteitä.
Miksi UPnP on vaarallinen?
Vaikka UPnP tuo mukanaan kieltämätöntä mukavuutta, se aiheuttaa myös vakavia tietoturvaongelmia. UPnP:stä tekee riskialttiin paitsi sen toimintatapa, myös se, miten vähän hallintamahdollisuuksia ja näkyvyyttä teillä yleensä on sen toimintaan taustalla. UPnP:n keskeiset riskit ovat:
Automaattinen porttiohjaus
Vaikka UPnP on suunniteltu ensisijaisesti yhdistämään laitteita paikallisverkossa, yksi sen hyödyllisimmistä ominaisuuksista on kyky avata automaattisesti portteja reitittimessä, jotta lähiverkkonne (LAN) laitteet voivat viestiä internetissä olevien laitteiden kanssa. Valitettavasti avoimet portit voivat antaa pahantahtoisille toimijoille mahdollisuuden päästä käyttämään paikallisverkossanne olevia laitteita.
On huomattava, että tämä riski on olemassa myös silloin, jos määritätte porttiohjauksen manuaalisesti reitittimeenne. Jos UPnP on kuitenkin käytössä, se voi avata portteja määrittääkseen automaattisesti useita (mahdollisesti haavoittuvia) laitteita paikallisverkossanne ilman tietoisuuttanne.
Ei tunnistautumista
UPnP suunniteltiin luotettuja paikallisverkkoja silmällä pitäen, joten se ei yleensä vaadi laitteilta tunnistautumista toimiakseen. Tämä tarkoittaa, että mikä tahansa saman verkon laite – mukaan lukien mahdollisesti altistetut laitteet – voi lähettää reitittimelle pyyntöjä porttien avaamiseksi tai tietoliikenteen uudelleenohjaamiseksi.
Jos haittaohjelma on asennettuna yhteenkin saastuneeseen laitteeseen verkossanne, se voi muuttaa verkon asetuksia hiljaa ja tehdä reikiä palomuuriinne tietämättänne, mikä antaa haittaohjelmalle mahdollisuuden viestiä ulkomaailman kanssa. Näin tapahtui surullisenkuuluisan Mirai-bottiverkon(uusi ikkuna) kohdalla, joka käytti hyväkseen UPnP-haavoittuvuuksia saastuttaakseen IoT-laitteita (kuten kotikameroita) ja reitittimiä käynnistääkseen joitakin maailman historian suurimmista DDoS-hyökkäyksistä(uusi ikkuna).
Tämä tunnistautumisen puute tarkoittaa myös sitä, että haittaohjelmat voivat helposti levitä paikallisverkkoonne yhdistettyihin UPnP-laitteisiin.
Suurempi porttiskannaushyökkäysten riski
Pääasiassa sellaisten vanhempien tai huonosti määritettyjen reitittimien vuoksi, jotka hyväksyvät UPnP-yhteyksiä internetistä (eivätkä vain paikallisia), miljoonat verkkolaitteet ja reitittimet(uusi ikkuna) ovat alttiita DDoS- ja muille hyökkäyksille.
Miksi UPnP pitäisi poistaa käytöstä
UPnP voi helpottaa elämää automatisoimalla verkkoasetukset, mutta sen turvavalvonnan puute ja väärinkäyttömahdollisuudet tekevät siitä riskialttiin ominaisuuden. Tämä pätee erityisesti kuluttajatason reitittimiin, joissa UPnP:n oletusarvoinen ”luota kaikkeen” -suunnittelufilosofia ei yksinkertaisesti sovi yhteen nykyaikaisten tietoturvakäytäntöjen kanssa ja edistää haittaohjelmien leviämistä. Useimmille ihmisille mukavuus ei siis todennäköisesti ole riskin arvoista.
Näkyvyyden puute siitä, mitkä portit ovat auki, miksi ne ovat auki ja oletteko sulkeneet ne kunnolla, luo sokeita pisteitä verkkonne tietoturvaan. Tämä tarjoaa helpon pääsyreitin haittaohjelmille ja hakkereille, jotka voivat sen jälkeen luoda pysyviä takaportteja verkkoonne tai jopa reitittää tietoliikenteenne hyökkääjän hallitsemien DNS-palvelinten kautta (kuten Switcher Trojan(uusi ikkuna) -haittaohjelman tapauksessa nähtiin).
Paljon parempi ratkaisu on määrittää porttiohjaus manuaalisesti tarvittaessa, jotta teillä on täydellinen hallinta ja valvonta siitä, mitkä portit ovat auki.
Lue, miten määritätte porttiohjauksen manuaalisesti eri reitittimille
Huomatkaa kuitenkin, että reitittimen porttiohjausta ei ole mitään järkeä määrittää laitteille, jotka muodostavat yhteyden VPN-yhteyteen (katso alla).
Porttiohjaus, UPnP ja VPN-yhteydet
Kun yhdistätte laitteen VPN-palvelimeen, kaikki laitteen ja palvelimen välillä siirrettävä tieto reititetään suojatun VPN-tunnelin kautta. Tämän VPN-tunnelin läpi kulkiessaan kukaan muu henkilö tai mikään muu laite ei voi nähdä tietojanne.
Tähän lukeutuu internet-palveluntarjoajanne (ISP) ja sitä kautta myös hallituksenne, mutta myös oma reitittimenne. Joten VPN-yhteyttä käytettäessä yhteys ohittaa tehokkaasti reitittimenne, mikä tekee UPnP:stä (and manuaalisesta porttiohjauksesta reitittimessä) tarpeettoman. Porttiohjaus VPN-yhteyttä käytettäessä tarkoittaa portin avaamista VPN-palveluntarjoajanne käyttämässä NAT-palomuurissa VPN-palvelimen suojaamiseksi – ei reitittimessä.
Jos laite (tai kyseisessä laitteessa toimiva sovellus, kuten BitTorrent-asiakasohjelma) tukee UPnP:tä, teidän tulisi poistaa asetus käytöstä estääksenne ristiriidat VPN-ohjelmiston kanssa.
Lue lisää porttiohjauksesta Proton VPN -palvelulla
Miten UPnP poistetaan käytöstä reitittimissä
UPnP:n poistaminen käytöstä reitittimessänne on suoraviivainen prosessi, mutta tarkat vaiheet vaihtelevat reitittimenne merkin ja mallin mukaan. Alla on yleiset ohjeet UPnP:n poistamiseksi käytöstä joissakin yleisimmissä reititinmerkeissä. Muissa reitittimissä ohjeet ovat samankaltaiset.
Aloittakaa syöttämällä reitittimenne IP-osoite (yleensä 192.168.1.1 tai 192.168.0.1) selaimenne osoitepalkkiin ja kirjautukaa sisään ylläpitäjän käyttäjätunnuksella ja salasanalla. Tämä on yleensä painettu reitittimeenne kiinnitettyyn tarraan (ellette ole muuttaneet sitä). Toimikaa sen jälkeen näin:
Linksys-reitittimet
Siirry Administration-välilehdelle → UPnP → ja kytke UPnP-asetus pois päältä. Napsauta Save Settings ottaaksesi muutokset käyttöön. On hyvä käytäntö käynnistää reititin uudelleen, jotta muutokset tulevat voimaan. Voit tehdä tämän siirtymällä Administration-välilehdelle → Reboot.
Netgear-reitittimet
Siirry Administration-välilehdelle → UPnP → ja kytke UPnP-asetus pois päältä. Napsauta Apply tallentaaksesi muutokset. On hyvä käytäntö käynnistää reititin uudelleen, jotta muutokset tulevat voimaan. Voit tehdä tämän siirtymällä Maintenance-välilehdelle → Reboot.
TP-Link-reitittimet
Siirry Advanced-välilehdelle → NAT forwarding → UPnP ja kytke UPnP-asetus pois päältä. On hyvä käytäntö käynnistää reititin uudelleen, jotta muutokset tulevat voimaan. Voit tehdä tämän siirtymällä System-välilehdelle → Reboot.

Lopulliset ajatukset UPnP:stä – mukavuudella on hintansa
UPnP suunniteltiin hyvin aikein: helpottamaan verkon käyttöä tavallisille ihmisille sallimalla laitteiden viestiä ja määrittää itsensä automaattisesti. Mutta aikana, jona kyberuhat ovat kehittyneempiä ja yleisempiä kuin koskaan, tämä mukavuus on myös riski.
UPnP:n tunnistautumisen puute, porttiohjaus ja historia hyväksikäytön kohteena tekevät sen käytössä pitämisestä riskialtista, erityisesti kotireitittimissä, joita valvotaan tai päivitetään harvoin. Vaikka se saattaa helpottaa pelien, suoratoistolaitteiden ja älykodin laitteiden asennusta, se avaa myös varkain ovia, joista hakkerit ja haittaohjelmat astuvat enemmän kuin mielellään sisään.
Onneksi UPnP:n poistaminen käytöstä on helppoa, eikä suurin osa ihmisistä huomaa eroa päivittäisessä internetin käytössä – varsinkin jos käytätte hieman aikaa niiden muutamien palveluiden manuaaliseen määrittämiseen, jotka todella tarvitsevat avoimia portteja.
Tämä on vieläkin helpompaa, jos käytätte Proton VPN:ää laitteillanne, sillä teidän tarvitsee vain ottaa ominaisuus käyttöön, ja me avaamme sopivan portin VPN-palomuurissamme puolestanne.






