O UPnP é um conjunto de protocolos de rede projetado principalmente para permitir que dispositivos na mesma rede local se descubram e se conectem automaticamente entre si. Se isso parece um sonho para usuários não técnicos, de muitas maneiras, realmente é.

Afinal, no mundo ultraconectado de hoje, a conveniência é fundamental. De consoles de videogame que se conectam facilmente à internet a smart TVs e dispositivos de IoT(nova janela) que parecem “simplesmente funcionar” logo de cara — as redes modernas são projetadas para minimizar o esforço do usuário. Uma das tecnologias que silenciosamente possibilita toda essa conectividade contínua é o Universal Plug and Play (UPnP).

No entanto, o UPnP também é frequentemente usado para configurar o encaminhamento de porta em roteadores, permitindo que dispositivos na internet acessem recursos na sua rede local (LAN). Isso (junto com outras vulnerabilidades de segurança que discutiremos mais tarde) significa que pode ser uma boa ideia desativar o UPnP por completo.

Neste artigo, veremos:

O que é UPnP?

Como o nome sugere, o objetivo principal do UPnP é tornar os dispositivos em rede “plug and play”. Em outras palavras, quando você conecta um dispositivo à sua rede, ele deve simplesmente funcionar, sem a necessidade de mexer nas configurações do seu roteador, abrir portas ou alterar endereços IP.

O UPnP consegue isso usando um conjunto de protocolos de rede que permitem que dispositivos na sua rede local, como computadores, impressoras, modems, roteadores e dispositivos móveis, descubram facilmente a presença uns dos outros na rede e se comuniquem entre si.

O UPnP também pode ser usado para configurar o encaminhamento de porta, roteando conexões pelo firewall do seu roteador para que você possa conectar dispositivos na internet com dispositivos na sua rede local. Os motivos mais comuns para isso incluem:

  • Dispositivos de IoT: por exemplo, você pode querer verificar a transmissão da sua câmera de segurança, controlar seu termostato inteligente ou gerenciar o sistema da sua casa inteligente de qualquer lugar do mundo.
  • Servidores de mídia domésticos: para você assistir a conteúdos do seu servidor Plex ou Jellyfin pela internet enquanto estiver fora de casa
  • Servidores de jogos: para você hospedar jogos multijogador sem pagar tarifas de servidores de terceiros
  • Compartilhamento de arquivos P2P: para permitir conexões de entrada para melhores velocidades de download. Consulte o nosso Guia definitivo de torrents para obter mais informações sobre como isso funciona.

Como o UPnP funciona?

Em termos simples, o funcionamento do UPnP pode ser dividido nas seguintes etapas:

  1. Descoberta: quando um dispositivo é conectado a uma rede, ele transmite uma mensagem para anunciar sua presença. Outros dispositivos na rede podem responder a essa mensagem, permitindo que eles se descubram mutuamente.
  2. Descrição: assim que os dispositivos se descobrem, eles trocam informações sobre seus recursos e serviços. Esta etapa envolve os dispositivos compartilhando detalhes sobre o que podem fazer e como outros dispositivos podem interagir com eles.
  3. Configuração automática: os dispositivos podem solicitar o encaminhamento de porta do roteador automaticamente. Por exemplo, um console de videogame pode solicitar que o roteador abra portas específicas para poder hospedar jogos multijogador sem intervenção manual.

Por que o UPnP é perigoso?

Embora o UPnP traga uma conveniência inegável, ele também introduz sérios problemas de segurança. O que torna o UPnP arriscado não é apenas o seu funcionamento, mas o pouco controle e visibilidade que você geralmente tem sobre o que ele está fazendo nos bastidores. Os principais riscos do UPnP são:

Encaminhamento de porta automático

Embora projetado principalmente para conectar dispositivos em uma rede local, um dos recursos mais úteis do UPnP é a capacidade de abrir portas automaticamente em um roteador para que os dispositivos da sua LAN possam se comunicar com dispositivos na internet. Infelizmente, portas abertas podem permitir que agentes maliciosos obtenham acesso a dispositivos na sua rede local.

Vale ressaltar que esse risco também está presente se você configurar manualmente o encaminhamento de porta no seu roteador. No entanto, se o UPnP estiver ativado, ele poderá abrir portas para configurar automaticamente vários dispositivos (potencialmente vulneráveis) na sua rede local sem o seu conhecimento.

Sem autenticação

O UPnP foi projetado pensando em redes locais de confiança, por isso geralmente não exige nenhuma autenticação de dispositivos para funcionar. Isso significa que qualquer dispositivo na mesma rede — incluindo os potencialmente comprometidos — pode enviar solicitações ao roteador para abrir portas ou redirecionar o tráfego.

Se houver malware em um único dispositivo infectado dentro da sua rede, ele poderá modificar silenciosamente as configurações de rede e abrir brechas no seu firewall sem o seu conhecimento, permitindo assim que o malware se comunique com o mundo externo. Foi o que aconteceu com a infame botnet Mirai(nova janela), que explorou vulnerabilidades de UPnP para infectar dispositivos de IoT (como câmeras domésticas) e roteadores para iniciar alguns dos maiores ataques DDoS(nova janela) do mundo.

Essa falta de autenticação também significa que o malware pode se espalhar facilmente pelos dispositivos UPnP conectados à sua rede local.

Maior risco de ataques de escaneamento de portas

Graças principalmente a roteadores mais antigos ou mal configurados que aceitam conexões UPnP da internet (e não apenas locais), milhões de dispositivos de rede e roteadores(nova janela) estão vulneráveis a DDoS e outros ataques.

Por que você deve desativar o UPnP

O UPnP pode facilitar a vida ao automatizar a configuração da sua rede, mas a falta de controles de segurança e o potencial de abuso o tornam um recurso de alto risco. Isso é especialmente verdadeiro em roteadores domésticos comuns, onde a filosofia de design padrão “confiar em tudo” do UPnP simplesmente não se alinha com as práticas recomendadas de segurança modernas e é um facilitador para a propagação de malware. Portanto, para a maioria das pessoas, a conveniência certamente não vale o risco.

A falta de visibilidade sobre quais portas estão abertas, por que estão abertas e se você as fechou corretamente cria pontos cegos na segurança da sua rede. Isso fornece um ponto de entrada fácil para malwares e hackers, que podem criar backdoors persistentes na sua rede ou até mesmo rotear seu tráfego através de servidores DNS controlados por invasores (como visto com o Switcher Trojan(nova janela)).

Uma solução muito melhor é configurar manualmente o encaminhamento de porta conforme a necessidade, assim você terá controle total e supervisão sobre quais portas estão abertas.

Saiba como configurar manualmente o encaminhamento de porta em vários roteadores

Esteja ciente, porém, de que não faz sentido configurar o encaminhamento de porta no seu roteador para dispositivos que se conectam a uma VPN (veja abaixo).

Encaminhamento de porta, UPnP e VPNs

Quando você conecta um dispositivo a um servidor VPN, todos os dados que trafegam entre o dispositivo e o servidor são roteados por um túnel VPN criptografado. Ao trafegar por esse túnel VPN, nenhuma outra pessoa ou dispositivo pode ver seus dados.

Isso inclui o seu provedor de acesso à internet (ISP) e, por extensão, o seu governo, mas também inclui o seu próprio roteador. Portanto, ao usar uma VPN, a conexão efetivamente ignora o roteador, tornando o UPnP (e o encaminhamento manual de porta no roteador) redundante. O encaminhamento de porta ao usar uma VPN significa abrir uma porta no firewall NAT que o seu provedor de VPN usa para proteger o servidor VPN — e não no roteador.

Se um dispositivo (ou um aplicativo executado nesse dispositivo, como um cliente BitTorrent) for compatível com UPnP, você deve desativar a configuração para evitar conflitos com o software de VPN.

Saiba mais sobre o encaminhamento de porta com o Proton VPN

Como desativar o UPnP em roteadores

Desativar o UPnP no roteador é um processo simples, mas as etapas exatas variam dependendo da marca e do modelo do aparelho. Abaixo estão instruções gerais para desativar o UPnP em algumas das marcas de roteador mais comuns. Em outros roteadores, as instruções serão semelhantes.

Para começar, insira o endereço IP do seu roteador (geralmente 192.168.1.1 ou 192.168.0.1) na barra de endereços do seu navegador e inicie sessão com seu nome de usuário e senha de administrador. Geralmente essas informações vêm impressas em um adesivo colado no roteador (a menos que você as tenha alterado). Depois:

Roteadores Linksys

Acesse a guia AdministraçãoUPnP → e mude a configuração de UPnP para desativado. Clique em Salvar configurações para aplicar as alterações. É uma boa prática reiniciar o seu roteador para garantir que as alterações entrem em vigor. Para fazer isso, acesse a guia AdministraçãoReiniciar.

Roteadores Netgear

Acesse a guia AdministraçãoUPnP → e mude a configuração de UPnP para desativado. Clique em Aplicar para salvar as alterações. É uma boa prática reiniciar o seu roteador para garantir que as alterações entrem em vigor. Para fazer isso, acesse a guia ManutençãoReiniciar.

Roteadores TP-Link

Acesse a guia AvançadoEncaminhamento de NATUPnP e mude a configuração de UPnP para desativado. É uma boa prática reiniciar o seu roteador para garantir que as alterações entrem em vigor. Para fazer isso, acesse a guia SistemaReiniciar.

Como desativar o UPnP em um roteador TP-Link

Considerações finais sobre o UPnP — conveniência a um custo

O UPnP foi projetado com boas intenções: facilitar a conexão em rede para pessoas comuns, permitindo que os dispositivos se comuniquem e se configurem automaticamente. Mas, em uma época em que as ameaças cibernéticas estão mais avançadas e frequentes do que nunca, essa conveniência também é um risco.

A falta de autenticação do UPnP, o encaminhamento de portas e o seu histórico de exploração fazem dele um recurso arriscado para se manter ativado, especialmente em roteadores domésticos que raramente são monitorados ou atualizados. Embora possa simplificar a configuração de jogos, dispositivos de streaming e aparelhos domésticos inteligentes, ele também abre portas silenciosamente que hackers e malwares ficam mais do que felizes em atravessar.

Felizmente, desativar o UPnP é simples e a maioria das pessoas não notará diferença no uso diário da internet — especialmente se você dedicar um tempo para configurar manualmente os poucos serviços que realmente precisam de portas abertas.

Isso é ainda mais fácil se você usa o Proton VPN nos seus dispositivos, pois basta ativar o recurso e nós abriremos uma porta adequada no firewall da nossa VPN para você.

Saiba como usar o encaminhamento de portas com o Proton VPN