UPnP è una suite di protocolli di rete progettata principalmente per consentire ai dispositivi sulla stessa rete locale di rilevarsi e connettersi automaticamente tra loro. Se questo sembra un sogno per gli utenti meno esperti, per molti aspetti lo è.

Dopotutto, nel mondo ultra-connesso di oggi, la praticità fa da padrona. Dalle console di gioco che si connettono a internet senza sforzo, alle smart TV e ai dispositivi IoT(nuova finestra) che sembrano “funzionare subito” appena tolti dalla scatola, le reti moderne sono progettate per ridurre al minimo lo sforzo dell’utente. Una delle tecnologie che rende silenziosamente possibile tutta questa connettività fluida è l’Universal Plug and Play (UPnP).

Tuttavia, l’UPnP viene spesso utilizzato anche per configurare il port forwarding sui router, consentendo ai dispositivi su internet di accedere alle risorse della tua rete locale (LAN). Questo (insieme ad altre vulnerabilità di sicurezza di cui parleremo più avanti) significa che potrebbe essere una buona idea disattivare completamente l’UPnP.

In questo articolo, esamineremo:

Cos’è l’UPnP?

Come suggerisce il nome, lo scopo principale dell’UPnP è rendere i dispositivi di rete “plug and play”. In altre parole, quando connetti un dispositivo alla tua rete, questo dovrebbe funzionare subito, senza bisogno di scavare nelle impostazioni del router, aprire porte o smanettare con gli indirizzi IP.

L’UPnP ottiene questo risultato utilizzando un set di protocolli di rete che consentono ai dispositivi sulla tua rete locale, come computer, stampanti, modem, router e dispositivi mobili, di rilevare facilmente la reciproca presenza sulla rete e quindi di comunicare tra loro.

L’UPnP può essere utilizzato anche per configurare il port forwarding, instradando le connessioni attraverso il firewall del tuo router in modo da poter connettere i dispositivi su internet con quelli sulla tua rete locale. Tra i motivi più comuni vi sono:

  • Dispositivi IoT: ad esempio, potresti voler controllare le immagini della tua telecamera di sicurezza, regolare il tuo termostato smart o gestire il tuo sistema di domotica da qualsiasi parte del mondo.
  • Server multimediali domestici: per poter guardare i contenuti del tuo server Plex o Jellyfin tramite internet quando sei lontano da casa
  • Server di gioco: in modo da poter ospitare partite multiplayer senza pagare le tariffe dei server di terze parti
  • Condivisione dei file P2P: per consentire le connessioni in entrata e migliorare la velocità di download. Consulta la nostra Guida definitiva al torrenting per ulteriori informazioni su come funziona.

Come funziona l’UPnP?

In parole povere, il funzionamento dell’UPnP può essere suddiviso nei seguenti passaggi:

  1. Rilevamento (Discovery): quando un dispositivo viene connesso a una rete, trasmette un messaggio in broadcast per annunciare la sua presenza. Gli altri dispositivi sulla rete possono rispondere a questo messaggio, consentendo loro di rilevarsi a vicenda.
  2. Descrizione (Description): una volta che i dispositivi si sono rilevati a vicenda, si scambiano informazioni sulle proprie funzionalità e servizi. In questo passaggio i dispositivi condividono dettagli su cosa possono fare e su come gli altri dispositivi possono interagire con loro.
  3. Configurazione automatica (Automatic configuration): i dispositivi possono richiedere automaticamente il port forwarding al router. Ad esempio, una console di gioco potrebbe richiedere al router di aprire porte specifiche per poter ospitare giochi multiplayer senza interventi manuali.

Perché l’UPnP è pericoloso?

Sebbene l’UPnP offra un’indubbia praticità, introduce anche gravi problemi di sicurezza. Ciò che rende rischioso l’UPnP non è solo il modo in cui funziona, ma il pochissimo controllo e la scarsa visibilità che solitamente hai su ciò che fa dietro le quinte. I rischi principali dell’UPnP sono:

Port forwarding automatico

Sebbene sia progettato principalmente per connettere i dispositivi su una rete locale, una delle funzionalità più utili dell’UPnP è la capacità di aprire automaticamente le porte su un router, in modo che i dispositivi sulla tua LAN possano comunicare con i dispositivi su internet. Sfortunatamente, le porte aperte possono consentire a malintenzionati di accedere ai dispositivi sulla tua rete locale.

Va notato che questo rischio è presente anche se configuri manualmente il port forwarding sul tuo router. Tuttavia, se l’UPnP è attivo, potrebbe aprire delle porte per configurare automaticamente più dispositivi (potenzialmente vulnerabili) sulla tua rete locale a tua insaputa.

Nessuna autenticazione

L’UPnP è stato progettato pensando a reti locali attendibili, quindi di solito non richiede alcuna autenticazione da parte dei dispositivi per funzionare. Ciò significa che qualsiasi dispositivo sulla stessa rete, compresi quelli potenzialmente compromessi, può inviare richieste al router per aprire porte o reindirizzare il traffico.

Se un malware è presente anche su un solo dispositivo infetto all’interno della tua rete, può modificare silenziosamente le impostazioni di rete e creare falle nel firewall a tua insaputa, consentendo così al malware di comunicare con il mondo esterno. Questo è quanto accaduto con la famigerata botnet Mirai(nuova finestra), che ha sfruttato le vulnerabilità dell’UPnP per infettare dispositivi IoT (come le telecamere domestiche) e router per lanciare alcuni dei più grandi attacchi DDoS(nuova finestra) della storia.

Questa mancanza di autenticazione significa anche che il malware può facilmente diffondersi tra i dispositivi UPnP connessi alla tua rete locale.

Maggiore rischio di attacchi di port scanning

Soprattutto a causa di router più vecchi o configurati in modo errato che accettano connessioni UPnP da internet (e non solo locali), milioni di dispositivi di rete e router(nuova finestra) sono vulnerabili a DDoS e altri attacchi.

Perché dovresti disattivare l’UPnP

L’UPnP può semplificarti la vita automatizzando la configurazione della tua rete, ma la mancanza di controlli di sicurezza e il potenziale di abuso lo rendono una funzionalità ad alto rischio. Questo è particolarmente vero per i router di livello consumer, dove la filosofia di progettazione predefinita “fidati di tutto” dell’UPnP semplicemente non si allinea con le moderne best practice di sicurezza e favorisce la diffusione del malware. Di conseguenza, per la maggior parte delle persone, la praticità non vale probabilmente il rischio.

La mancanza di visibilità su quali porte siano aperte, sul perché siano aperte e se tu le abbia chiuse correttamente crea punti ciechi nella sicurezza della tua rete. Ciò fornisce un facile punto di ingresso per malware e hacker, che possono quindi creare backdoor persistenti nella tua rete o persino instradare il tuo traffico attraverso server DNS controllati dall’autore dell’attacco (como accaduto con il Trojan Switcher(nuova finestra)).

Una soluzione decisamente migliore consiste nel configurare manualmente il port forwarding all’occorrenza, in modo da avere il controllo e la supervisione completi su quali porte sono aperte.

Scopri come configurare manualmente il port forwarding su vari router

Tuttavia, tieni presente che non ha senso configurare il port forwarding sul router per i dispositivi che si connettono a una VPN (vedi sotto).

Port forwarding, UPnP e VPN

Quando connetti un dispositivo a un server VPN, tutti i dati che transitano tra il dispositivo e il server vengono instradati attraverso un tunnel VPN crittografato. Durante il passaggio attraverso questo tunnel VPN, nessun’altra persona o dispositivo può vedere i tuoi dati.

Questo include il tuo fornitore di servizi internet (ISP) e, di conseguenza, il tuo governo, ma include anche il tuo router. Di conseguenza, quando usi una VPN, la connessione aggira di fatto il tuo router, rendendo ridondante l’UPnP (e il port forwarding manuale sul router). Effettuare il port forwarding quando usi una VPN significa aprire una porta sul firewall NAT utilizzato dal tuo provider VPN per proteggere il server VPN, non sul router.

Se un dispositivo (o un’app in esecuzione su tale dispositivo, come un client BitTorrent) supporta l’UPnP, dovresti disattivare l’impostazione per evitare conflitti con il software VPN.

Scopri di più sul port forwarding con Proton VPN

Come disattivare l’UPnP sui router

Disattivare l’UPnP sul tuo router è un processo semplice, ma i passaggi esatti variano a seconda della marca e del modello del dispositivo. Di seguito sono riportate le istruzioni generali per disattivare l’UPnP su alcuni dei marchi di router più diffusi. Su altri router, le istruzioni saranno simili.

Per iniziare, inserisci l’indirizzo IP del tuo router (solitamente 192.168.1.1 o 192.168.0.1) nella barra degli indirizzi del browser e accedi con il nome utente dell’amministratore e la password. Solitamente questi dati sono stampati su un adesivo applicato sul router (a meno che tu non li abbia modificati). Quindi:

Router Linksys

Vai alla scheda AmministrazioneUPnP → e imposta l’impostazione UPnP su off. Fai clic su Salva impostazioni per applicare le modifiche. È buona norma riavviare il router per assicurarsi che le modifiche abbiano effetto. Per farlo, vai alla scheda AmministrazioneRiavvia.

Router Netgear

Vai alla scheda AmministrazioneUPnP → e imposta l’impostazione UPnP su off. Fai clic su Applica per salvare le modifiche. È buona norma riavviare il router per assicurarsi che le modifiche abbiano effetto. Per farlo, vai alla scheda ManutenzioneRiavvia.

Router TP-Link

Vai alla scheda AvanzateInoltro NATUPnP e imposta l’impostazione UPnP su off. È buona norma riavviare il router per assicurarsi che le modifiche abbiano effetto. Per farlo, vai alla scheda SistemaRiavvia.

Come disattivare l'UPnP su un router TP-Link

Considerazioni finali sull’UPnP — la comodità ha un prezzo

UPnP è stato progettato con buone intenzioni: semplificare la gestione di rete per le persone comuni, consentendo ai dispositivi di comunicare e configurarsi automaticamente. Ma in un’epoca in cui le minacce informatiche sono più avanzate e frequenti che mai, questa comodità rappresenta anche un rischio.

La mancanza di autenticazione dell’UPnP, il port forwarding e la sua storia di sfruttamento delle vulnerabilità lo rendono una funzionalità rischiosa da lasciare attivata, in particolare sui router domestici che vengono monitorati o aggiornati di rado. Sebbene possa semplificare la configurazione di giochi, dispositivi di streaming e gadget per la smart home, apre anche silenziosamente porte che hacker e malware sono più che felici di varcare.

Fortunatamente, disattivare l’UPnP è semplice e la maggior parte delle persone non noterà alcuna differenza nell’uso quotidiano di internet, specialmente se ti prendi un po’ di tempo per configurare manualmente i pochi servizi che hanno davvero bisogno di porte aperte.

Questo è ancora più semplice se usi Proton VPN sui tuoi dispositivi: ti basta attivare la funzionalità e noi apriremo una porta adatta nel nostro firewall VPN per te.

Scopri come usare il port forwarding con Proton VPN