UPnP to zestaw protokołów sieciowych, który został zaprojektowany głównie po to, aby umożliwić urządzeniom w tej samej sieci lokalnej automatyczne wykrywanie się i łączenie ze sobą. Jeśli brzmi to jak marzenie dla nietechnicznych użytkowników, to pod wieloma względami tak właśnie jest.

W końcu w dzisiejszym świecie, gdzie wszystko jest ze sobą połączone, wygoda to podstawa. Od konsoli do gier, które bez trudu łączą się z internetem, po inteligentne telewizory i urządzenia IoT(nowe okno), które zdają się działać od razu po wyjęciu z pudełka — nowoczesne sieci są projektowane tak, aby zminimalizować wysiłek użytkownika. Jedną z technologii, która po cichu umożliwia tę bezproblemową łączność, jest Universal Plug and Play (UPnP).

Jednak UPnP jest również często używane do konfiguracji przekierowania portów na routerach, co umożliwia urządzeniom w internecie dostęp do zasobów w Twojej lokalnej sieci komputerowej (LAN). To (wraz z innymi lukami w zabezpieczeniach, które omówimy później) oznacza, że dobrym pomysłem może być całkowite wyłączenie UPnP.

W tym artykule przyjrzymy się:

Co to jest UPnP?

Jak sugeruje nazwa, głównym celem UPnP jest sprawienie, aby urządzenia sieciowe działały na zasadzie „podłącz i używaj” (plug and play). Innymi słowy, gdy podłączasz urządzenie do sieci, powinno ono po prostu działać, bez konieczności zagłębiania się w ustawienia routera, otwierania portów czy manipulowania adresami IP.

UPnP osiąga to za pomocą zestawu protokołów sieciowych, które pozwalają urządzeniom w Twojej sieci lokalnej, takim jak komputery osobiste, drukarki, modemy, routery i urządzenia mobilne, na bezproblemowe wykrywanie swojej obecności w sieci i komunikowanie się ze sobą.

UPnP może być również używane do konfigurowania przekierowania portów, kierowania połączeń przez zaporę sieciową routera, aby umożliwić łączenie urządzeń w internecie z urządzeniami w sieci lokalnej. Typowe zastosowania to:

  • Urządzenia IoT: Na przykład możesz chcieć sprawdzić podgląd z kamery bezpieczeństwa, kontrolować inteligentny termostat lub zarządzać systemem inteligentnego domu z dowolnego miejsca na świecie.
  • Domowe serwery multimediów: Dzięki temu możesz oglądać treści ze swojego serwera Plex lub Jellyfin przez internet, gdy jesteś poza domem
  • Serwery gier: Abyś mógł hostować gry wieloosobowe bez płacenia za serwery firm trzecich
  • Udostępnianie plików P2P: Aby umożliwić połączenia przychodzące w celu zwiększenia prędkości pobierania. Więcej informacji na temat tego, jak to działa, znajdziesz w naszym kompleksowym przewodniku po torrentowaniu.

Jak działa UPnP?

Mówiąc najprościej, działanie UPnP można podzielić na następujące kroki:

  1. Wykrywanie (Discovery): Gdy urządzenie zostanie podłączone do sieci, wysyła ono komunikat rozgłoszeniowy, aby ogłosić swoją obecność. Inne urządzenia w sieci mogą odpowiedzieć na tę wiadomość, co pozwala im się nawzajem wykryć.
  2. Opis (Description): Gdy urządzenia już się wykryją, wymieniają się informacjami o swoich możliwościach i usługach. Ten krok polega na udostępnianiu przez urządzenia szczegółów dotyczących tego, co mogą robić i jak inne urządzenia mogą z nimi wchodzić w interakcję.
  3. Automatyczna konfiguracja: Urządzenia mogą automatycznie żądać przekierowania portów od routera. Na przykład konsola do gier może zażądać od routera otwarcia określonych portów, aby mogła hostować gry wieloosobowe bez ręcznej interwencji.

Dlaczego UPnP jest niebezpieczne?

Choć UPnP zapewnia niezaprzeczalną wygodę, niesie również ze sobą poważne zagrożenia dla bezpieczeństwa. To, co czyni UPnP ryzykownym, to nie tylko sposób jego działania, ale także to, jak małą kontrolę i wgląd masz zazwyczaj w to, co dzieje się za kulisami. Główne zagrożenia związane z UPnP to:

Automatyczne przekierowanie portów

Choć zaprojektowane głównie do łączenia urządzeń w sieci lokalnej, jedną z najużyteczniejszych funkcji UPnP jest możliwość automatycznego otwierania portów na routerze, dzięki czemu urządzenia w sieci LAN mogą komunikować się z urządzeniami w internecie. Niestety, otwarte porty mogą umożliwić cyberprzestępcom uzyskanie dostępu do urządzeń w Twojej sieci lokalnej.

Należy zauważyć, że ryzyko to występuje również wtedy, gdy ręcznie skonfigurujesz przekierowanie portów na swoim routerze. Jeśli jednak UPnP jest włączone, może automatycznie otwierać porty w celu konfiguracji wielu (potencjalnie podatnych na zagrożenia) urządzeń w Twojej sieci lokalnej bez Twojej wiedzy.

Brak uwierzytelniania

UPnP zaprojektowano z myślą o zaufanych sieciach lokalnych, dlatego zazwyczaj nie wymaga ono żadnego uwierzytelniania ze strony urządzeń. Oznacza to, że każde urządzenie w tej samej sieci — w tym te potencjalnie zainfekowane — może wysyłać do routera żądania otwarcia portów lub przekierowania ruchu sieciowego.

Jeśli złośliwe oprogramowanie znajdzie się na jednym zainfekowanym urządzeniu w Twojej sieci, może ono po cichu modyfikować ustawienia sieciowe i tworzyć luki w zaporze sieciowej bez Twojej wiedzy, umożliwiając złośliwemu oprogramowaniu komunikację ze światem zewnętrznym. Dokładnie to stało się z niesławnym botnetem Mirai(nowe okno), który wykorzystał luki w zabezpieczeniach UPnP do zainfekowania urządzeń IoT (takich jak domowe kamery) oraz routerów w celu przeprowadzenia jednych z największych na świecie ataków DDoS(nowe okno).

Ten brak uwierzytelniania oznacza również, że złośliwe oprogramowanie może łatwo rozprzestrzeniać się na urządzenia UPnP podłączone do Twojej sieci lokalnej.

Większe ryzyko ataków polegających na skanowaniu portów

Głównie z powodu starszych lub źle skonfigurowanych routerów, które akceptują połączenia UPnP z internetu (a nie tylko te lokalne), miliony urządzeń sieciowych i routerów(nowe okno) są narażone na ataki DDoS i inne zagrożenia.

Dlaczego powinieneś wyłączyć UPnP

UPnP może ułatwić życie dzięki automatyzacji konfiguracji sieci, ale brak kontroli bezpieczeństwa i możliwość nadużyć czynią z niego funkcję wysokiego ryzyka. Dotyczy to szczególnie routerów konsumenckich, gdzie domyślna filozofia projektowania UPnP polegająca na „ufaniu wszystkiemu” po prostu nie jest zgodna ze współczesnymi najlepszymi praktykami bezpieczeństwa i sprzyja rozprzestrzenianiu się złośliwego oprogramowania. Dlatego dla większości ludzi ta wygoda prawdopodobnie nie jest warta ryzyka.

Brak wglądu w to, które porty są otwarte, dlaczego są otwarte i czy zostały prawidłowo zamknięte, tworzy luki w bezpieczeństwie sieci. Stanowi to łatwy punkt wejścia dla złośliwego oprogramowania i hakerów, którzy mogą następnie tworzyć trwałe tylne furtki (backdoors) do Twojej sieci, a nawet kierować ruch sieciowy przez kontrolowane przez atakujących serwery DNS (jak miało to miejsce w przypadku trojana Switcher(nowe okno)).

Znacznie lepszym rozwiązaniem jest ręczna konfiguracja przekierowania portów wtedy, gdy tego potrzebujesz, dzięki czemu masz pełną kontrolę i nadzór nad tym, które porty są otwarte.

Dowiedz się, jak ręcznie skonfigurować przekierowanie portów na różnych routerach

Pamiętaj jednak, że nie ma sensu konfigurować przekierowania portów na routerze dla urządzeń, które łączą się z VPN (patrz poniżej).

Przekierowanie portów, UPnP i VPN

Gdy podłączasz urządzenie do serwera VPN, wszystkie dane przesyłane między urządzeniem a serwerem są kierowane przez zaszyfrowany tunel VPN. Podczas przesyłania danych przez ten tunel VPN żadna inna osoba ani urządzenie nie może ich zobaczyć.

Dotyczy to również Twojego dostawcy usług internetowych (ISP), a tym samym rządu, ale obejmuje także Twój własny router. Kiedy więc korzystasz z VPN, połączenie skutecznie omija router, przez co UPnP (oraz ręczne przekierowanie portów na routerze) staje się zbędne. Przekierowanie portów podczas korzystania z VPN oznacza otwarcie portu na zaporze sieciowej NAT, której dostawca VPN używa do ochrony serwera VPN — a no nie na routerze.

Jeśli urządzenie (lub uruchomiona na nim aplikacja, np. klient BitTorrent) obsługuje UPnP, powinieneś wyłączyć to ustawienie, aby uniknąć konfliktów z oprogramowaniem VPN.

Dowiedz się więcej o przekierowaniu portów w Proton VPN

Jak wyłączyć UPnP na routerach

Wyłączenie UPnP na routerze to prosty proces, ale dokładne kroki różnią się w zależności od marki i modelu urządzenia. Poniżej znajdziesz ogólne instrukcje wyłączania UPnP dla niektórych z najpopularniejszych marek routerów. Na innych routerach procedura będzie podobna.

Na początek wpisz adres IP swojego routera (zwykle 192.168.1.1 lub 192.168.0.1) w pasku adresu przeglądarki i zaloguj się za pomocą nazwy użytkownika administratora oraz hasła. Informacje te są zazwyczaj wydrukowane na naklejce na routerze (chyba że zostały zmienione). Następnie:

Routery Linksys

Przejdź do karty AdministrationUPnP → i przełącz ustawienie UPnP na wyłączone. Kliknij Save Settings, aby zastosować zmiany. Dobrą praktyką jest ponowne uruchomienie routera, aby upewnić się, że zmiany wejdą w życie. Aby to zrobić, przejdź do karty AdministrationReboot.

Routery Netgear

Przejdź do karty AdministrationUPnP → i przełącz ustawienie UPnP na wyłączone. Kliknij Apply, aby zapisać zmiany. Dobrą praktyką jest ponowne uruchomienie routera, aby upewnić się, że zmiany wejdą w życie. Aby to zrobić, przejdź do karty MaintenanceReboot.

Routery TP-Link

Przejdź do karty AdvancedNAT forwardingUPnP i przełącz ustawienie UPnP na wyłączone. Dobrą praktyką jest ponowne uruchomienie routera, aby upewnić się, że zmiany wejdą w życie. Aby to zrobić, przejdź do karty SystemReboot.

Jak wyłączyć UPnP na routerze TP-Link

Podsumowanie informacji o UPnP — wygoda kosztem bezpieczeństwa

Technologia UPnP została zaprojektowana w dobrych intencjach — miała ułatwić korzystanie z sieci zwykłym ludziom, umożliwiając urządzeniom automatyczną komunikację i konfigurację. Jednak w czasach, gdy cyberzagrożenia są bardziej zaawansowane i częstsze niż kiedykolwiek, ta wygoda stanowi również słaby punkt.

Brak uwierzytelniania w UPnP, przekierowanie portów oraz historia nadużyć sprawiają, że pozostawienie tej funkcji włączonej jest ryzykowne, szczególnie na routerach domowych, które rzadko są monitorowane lub aktualizowane. Choć może to uprościć konfigurację gier, urządzeń do streamingu i gadżetów inteligentnego domu, po cichu otwiera również drzwi, przez które hakerzy i złośliwe oprogramowanie chętnie przejdą.

Na szczęście wyłączenie UPnP jest proste i większość osób nie zauważy różnicy w codziennym korzystaniu z internetu — zwłaszcza jeśli poświęcisz chwilę na ręczną konfigurację tych nielicznych usług, które naprawdę wymagają otwartych portów.

Jest to jeszcze łatwiejsze, jeśli korzystasz z Proton VPN na swoich urządzeniach, ponieważ wystarczy włączyć tę funkcję, a my otworzymy dla Ciebie odpowiedni port w naszej zaporze sieciowej VPN.

Dowiedz się, jak korzystać z przekierowania portów w Proton VPN