UPnP is een reeks netwerkprotocollen die primair is ontworpen om apparaten op hetzelfde lokale netwerk elkaar automatisch te laten detecteren en met elkaar te laten verbinden. Als dit voor niet-technische gebruikers als een droom klinkt, dan is dat in veel opzichten ook zo.

In de hyperverbonden wereld van vandaag is gemak immers koning. Van spelcomputers die moeiteloos verbinding maken met het internet tot smart-tv’s en IoT-apparaten(nieuw venster) die direct uit de doos lijken te ‘werken’ — moderne netwerken zijn ontworpen om de inspanning van de gebruiker te minimaliseren. Een van de technologieën die al deze naadloze connectiviteit stilletjes mogelijk maakt, is Universal Plug and Play (UPnP).

UPnP wordt echter ook vaak gebruikt om port forwarding op routers te configureren, waardoor apparaten op het internet toegang krijgen tot bronnen op uw lokale netwerk (LAN). Dit betekent (samen met andere beveiligingskwetsbaarheden die we later zullen bespreken) dat het wellicht een goed idee is om UPnP volledig uit te schakelen.

In dit artikel kijken we naar:

Wat is UPnP?

Zoals de naam al doet vermoeden, is het primaire doel van UPnP om netwerkapparaten ‘plug and play’ te maken. Met andere woorden, wanneer u een apparaat verbindt met uw netwerk, moet het gewoon werken, zonder dat u in de instellingen van uw router hoeft te duiken, poorten hoeft te openen of met IP-adressen hoeft te prutsen.

UPnP bereikt dit door gebruik te maken van een set netwerkprotocollen waarmee apparaten op uw lokale netwerk, zoals pc’s, printers, modems, routers en mobiele apparaten, naadloos elkaars aanwezigheid op het netwerk kunnen ontdekken en vervolgens met elkaar kunnen communiceren.

UPnP kan ook worden gebruikt om port forwarding te configureren, waarbij verbindingen door de firewall van uw router worden geleid, zodat u apparaten op het internet kunt verbinden met apparaten op uw lokale netwerk. Populaire redenen hiervoor zijn:

  • IoT-apparaten: U wilt bijvoorbeeld wellicht de feed van uw beveiligingscamera bekijken, uw slimme thermostaat bedienen of uw smart home-systeem beheren vanaf elke plek ter wereld.
  • Thuis-mediaservers: Zodat u via internet inhoud van uw Plex- of Jellyfin-server kunt bekijken wanneer u niet thuis bent
  • Gameservers: Zodat u multiplayergames kunt hosten zonder serverkosten aan derden te betalen
  • P2P-bestanden delen: Om inkomende verbindingen toe te staan voor betere downloadsnelheden. Zie onze ultieme gids voor torrenten voor meer informatie over hoe dit werkt.

Hoe werkt UPnP?

In eenvoudige bewoordingen kan de werking van UPnP worden opgedeeld in de volgende stappen:

  1. Ontdekking: Wanneer een apparaat is verbonden met een netwerk, zendt het een bericht uit om zijn aanwezigheid aan te kondigen. Andere apparaten op het netwerk kunnen op dit bericht reageren, waardoor ze elkaar kunnen ontdekken.
  2. Beschrijving: Zodra apparaten elkaar hebben ontdekt, wisselen ze informatie uit over hun mogelijkheden en diensten. In deze stap delen de apparaten gegevens over wat ze kunnen doen en hoe andere apparaten met hen kunnen communiceren.
  3. Automatische configuratie: Apparaten kunnen automatisch port forwarding aanvragen bij de router. Een spelcomputer kan de router bijvoorbeeld verzoeken specifieke poorten te openen, zodat deze zonder handmatige tussenkomst multiplayergames kan hosten.

Waarom is UPnP gevaarlijk?

Hoewel UPnP onmiskenbaar gemak met zich meebrengt, introduceert het ook ernstige beveiligingsrisico’s. Wat UPnP riskant maakt, is niet alleen hoe het werkt, maar ook hoe weinig controle en zicht u doorgaans heeft op wat er achter de schermen gebeurt. De belangrijkste risico’s van UPnP zijn:

Automatische port forwarding

Hoewel het primair is ontworpen om apparaten op een lokaal netwerk te verbinden, is een van de handigste functies van UPnP de mogelijkheid om automatisch poorten op een router te openen, zodat apparaten op uw LAN kunnen communiceren met apparaten op het internet. Helaas kunnen open poorten kwaadwillende partijen toegang geven tot apparaten op uw lokale netwerk.

Er moet echter worden opgemerkt dat dit risico ook bestaat als u handmatig port forwarding configureert op uw router. Als UPnP echter is ingeschakeld, kan het poorten openen om automatisch meerdere (mogelijk kwetsbare) apparaten op uw lokale netwerk te configureren, zonder uw medeweten.

Geen verificatie

UPnP is ontworpen met vertrouwde lokale netwerken in het achterhoofd, dus er is meestal geen verificatie van apparaten vereist om te werken. Dit betekent dat elk apparaat op hetzelfde netwerk — inclusief eventueel gecompromitteerde apparaten — verzoeken naar de router kan verzenden om poorten te openen of verkeer om te leiden.

Als er malware aanwezig is op één geïnfecteerd apparaat binnen uw netwerk, kan dit geruisloos netwerkinstellingen wijzigen en gaten in uw firewall slaan zonder uw medeweten, waardoor de malware met de buitenwereld kan communiceren. Dit is wat er gebeurde met het beruchte Mirai-botnet(nieuw venster), dat misbruik maakte van UPnP-kwetsbaarheden om IoT-apparaten (zoals thuiscamera’s) en routers te infecteren om enkele van de grootste DDoS-aanvallen(nieuw venster) ter wereld te lanceren.

Dit gebrek aan verificatie betekent ook dat malware zich gemakkelijk kan verspreiden naar andere UPnP-apparaten die zijn verbonden met uw lokale netwerk.

Hoger risico op poortscan-aanvallen

Vooral dankzij oudere of slecht geconfigureerde routers die UPnP-verbindingen vanaf het internet accepteren (en niet alleen lokale), zijn miljoenen netwerkapparaten en routers(nieuw venster) kwetsbaar voor DDoS- en andere aanvallen.

Waarom u UPnP zou moeten uitschakelen

UPnP kan het leven gemakkelijker maken door uw netwerksetup te automatiseren, maar het gebrek aan beveiligingscontroles en het potentieel voor misbruik maken het een risicovolle functie. Dit geldt met name voor routers voor consumenten, waar de standaard ‘vertrouw alles’-ontwerpfilosofie van UPnP simpelweg niet aansluit bij moderne best practices op het gebied van beveiliging en een zegen is voor de verspreiding van malware. Voor de meeste mensen weegt het gemak dan ook waarschijnlijk niet op tegen het risico.

Het gebrek aan zicht op welke poorten openstaan, waarom ze openstaan en of u ze goed heeft gesloten, creëert blinde vlekken in de beveiliging van uw netwerk. Dit biedt een gemakkelijke toegangspoort voor malware en hackers, die vervolgens persistente backdoors in uw netwerk kunnen creëren, of zelfs uw verkeer kunnen omleiden via door aanvallers beheerde DNS-servers (zoals gezien bij de Switcher Trojan(nieuw venster)).

Een veel betere oplossing is om handmatig port forwarding te configureren wanneer u het nodig heeft, zodat u de volledige controle en het overzicht heeft over welke poorten openstaan.

Lees hoe u handmatig port forwarding instelt op verschillende routers

Houd er echter rekening mee dat het geen zin heeft om port forwarding op uw router in te stellen voor apparaten die verbinding maken met een VPN (zie hieronder).

Port forwarding, UPnP en VPN’s

Wanneer u een apparaat verbindt met een VPN-server, wordt al het gegevensverkeer tussen het apparaat en the server door een versleutelde VPN-tunnel geleid. Tijdens het transport door deze VPN-tunnel kan geen enkele andere persoon of apparaat uw gegevens inzien.

Dit omvat uw internetprovider (ISP), en bij extensie uw overheid, maar het omvat ook uw eigen router. Dus bij het gebruik van een VPN omzeilt de verbinding in feite uw router, waardoor UPnP (en handmatige port forwarding op de router) overbodig wordt. Port forwarding bij het gebruik van een VPN betekent het openen van een poort op de NAT-firewall die uw VPN-provider gebruikt om de VPN-server te beschermen — niet op the router.

Als een apparaat (of een app die op dat apparaat draait, zoals een BitTorrent-client) UPnP ondersteunt, zou u de instelling moeten uitschakelen om conflicten met de VPN-software te voorkomen.

Lees meer over port forwarding met Proton VPN

Hoe u UPnP uitschakelt op routers

Het uitschakelen van UPnP op uw router is een eenvoudig proces, maar de exacte stappen variëren afhankelijk van het merk en model van uw router. Hieronder vindt u algemene instructies voor het uitschakelen van UPnP op enkele van de meest voorkomende routermerken. Op andere routers zijn de instructies vergelijkbaar.

Om te beginnen voert u het IP-adres van uw router (meestal 192.168.1.1 of 192.168.0.1) in de adresbalk van uw browser in en logt u in met de gebruikersnaam en het wachtwoord van de beheerder. Dit is meestal gedrukt op een sticker die op uw router is geplakt (tenzij u dit heeft gewijzigd). Vervolgens:

Linksys-routers

Ga naar het tabblad BeheerUPnP → en schakel de UPnP-instelling uit. Klik op Instellingen opslaan om de wijzigingen toe te passen. Het is aan te raden om uw router opnieuw op te starten om ervoor te zorgen dat de wijzigingen van kracht worden. Ga hiervoor naar het tabblad BeheerOpnieuw opstarten.

Netgear-routers

Ga naar het tabblad BeheerUPnP → en schakel de UPnP-instelling uit. Klik op Toepassen om de wijzigingen op te slaan. Het is aan te raden om uw router opnieuw op te starten om ervoor te zorgen dat de wijzigingen van kracht worden. Ga hiervoor naar het tabblad OnderhoudOpnieuw opstarten.

TP-Link-routers

Ga naar het tabblad GeavanceerdNAT-doorsturenUPnP en schakel de UPnP-instelling uit. Het is aan te raden om uw router opnieuw op te starten om ervoor te zorgen dat de wijzigingen van kracht worden. Ga hiervoor naar het tabblad SysteemOpnieuw opstarten.

Hoe u UPnP uitschakelt op een TP-Link-router

Laatste overwegingen over UPnP — gemak heeft een prijs

UPnP is ontworpen met goede bedoelingen; om netwerken eenvoudiger te maken voor gewone mensen door apparaten automatisch met elkaar te laten communiceren en zichzelf te laten configureren. Maar in een tijd waarin cyberdreigingen geavanceerder en frequenter zijn dan ooit, is dit gemak ook een risico.

Het gebrek aan verificatie bij UPnP, port forwarding en de geschiedenis van misbruik maken het een risicovolle functie om ingeschakeld te laten, vooral op thuisrouters die zelden worden gemonitord of bijgewerkt. Hoewel het de setup van games, streamingapparaten en smart home-gadgets kan vereenvoudigen, opent het ook geruisloos deuren waar hackers en malware maar al te graag doorheen lopen.

Gelukkig is het uitschakelen van UPnP eenvoudig en zullen de meeste mensen geen verschil merken in het dagelijkse internetgebruik — vooral als u even de tijd neemt om handmatig de weinige diensten te configureren die echt open poorten nodig hebben.

Dit is nog eenvoudiger als u Proton VPN op uw apparaten gebruikt, omdat u de functie simpelweg hoeft in te schakelen en wij een geschikte poort in onze VPN-firewall voor u openen.

Ontdek hoe u port forwarding gebruikt met Proton VPN