O UPnP é um conjunto de protocolos de rede concebido principalmente para permitir que os dispositivos na mesma rede local se detetem e liguem automaticamente uns aos outros. Se isto parece um sonho para utilizadores sem conhecimentos técnicos, em muitos aspetos, é mesmo.

Afinal, no mundo ultra-ligado de hoje, a conveniência é rei. Desde consolas de jogos que se ligam facilmente à internet até às smart TVs e aos dispositivos IoT(nova janela) que parecem “funcionar e já está” mal saem da caixa — as redes modernas são concebidas para minimizar o esforço do utilizador. Uma das tecnologias que possibilita silenciosamente toda esta conectividade perfeita é o Universal Plug and Play (UPnP).

No entanto, o UPnP também é frequentemente utilizado para configurar o encaminhamento de portas em routers, permitindo que dispositivos na internet acedam a recursos na sua rede de área local (LAN). Isto (juntamente com outras vulnerabilidades de segurança que discutiremos mais tarde) significa que pode ser uma boa ideia desativar completamente o UPnP.

Neste artigo, vamos ver:

O que é o UPnP?

Como o próprio nome sugere, o objetivo principal do UPnP é tornar os dispositivos em rede “plug and play” (ligar e usar). Por outras palavras, quando liga um dispositivo à sua rede, este deve simplesmente funcionar, sem necessidade de explorar as definições do seu router, abrir portas ou alterar endereços IP.

O UPnP alcança isto utilizando um conjunto de protocolos de rede que permitem aos dispositivos na sua rede local, tais como computadores pessoais, impressoras, modems, routers e dispositivos móveis, detetarem sem problemas a presença uns dos outros na rede e depois comunicarem entre si.

O UPnP também pode ser utilizado para configurar o encaminhamento de portas, efetuando o roteamento de ligações através da firewall do seu router para que possa ligar dispositivos na internet a dispositivos na sua rede local. Os motivos populares para isto incluem:

  • Dispositivos IoT: Por exemplo, poderá querer verificar a transmissão da sua câmara de segurança, controlar o seu termóstato inteligente ou gerir o seu sistema de casa inteligente a partir de qualquer parte do mundo.
  • Servidores multimédia domésticos: para que possa ver conteúdos do seu servidor Plex ou Jellyfin através da internet enquanto está fora de casa
  • Servidores de jogos: para que possa alojar jogos multijogador sem pagar taxas de servidores de terceiros
  • Partilha de ficheiros P2P: para permitir ligações de entrada para melhorar as velocidades de transferência. Consulte o nosso Guia definitivo para torrents para obter mais informações sobre como isto funciona.

Como funciona o UPnP?

Em termos simples, o funcionamento do UPnP pode ser dividido nos seguintes passos:

  1. Deteção: quando um dispositivo é ligado a uma rede, transmite uma mensagem para anunciar a sua presença. Outros dispositivos na rede podem responder a esta mensagem, permitindo-lhes detetarem-se mutuamente.
  2. Descrição: assim que os dispositivos se detetam mutuamente, partilham informações sobre as suas capacidades e serviços. Este passo envolve os dispositivos partilharem detalhes sobre o que podem fazer e como outros dispositivos podem interagir com eles.
  3. Configuração automática: os dispositivos podem solicitar automaticamente o encaminhamento de portas ao router. Por exemplo, uma consola de jogos pode solicitar ao router a abertura de portas específicas para que possa alojar jogos multijogador sem intervenção manual.

Porque é que o UPnP é perigoso?

Embora o UPnP traga uma conveniência inegável, também introduz preocupações de segurança graves. O que torna o UPnP arriscado não é apenas o seu funcionamento, mas o pouco controlo e visibilidade que normalmente tem sobre o que este está a fazer nos bastidores. Os principais riscos do UPnP são:

Encaminhamento de portas automático

Embora concebido principalmente para ligar dispositivos numa rede local, uma das funcionalidades mais úteis do UPnP é a capacidade de abrir portas automaticamente num router para que os dispositivos na sua LAN possam comunicar com dispositivos na internet. Infelizmente, as portas abertas podem permitir que agentes maliciosos acedam a dispositivos na sua rede local.

De notar que este risco também está presente se configurar manualmente o encaminhamento de portas no seu router. No entanto, se o UPnP estiver ativado, poderá abrir portas para configurar automaticamente múltiplos dispositivos (potencialmente vulneráveis) na sua rede local sem o seu conhecimento.

Sem autenticação

O UPnP foi concebido a pensar em redes locais de confiança, pelo que normalmente não requer qualquer autenticação dos dispositivos para funcionar. Isto significa que qualquer dispositivo na mesma rede — incluindo os que possam estar comprometidos — pode enviar pedidos ao router para abrir portas ou redirecionar o tráfego.

Se houver malware presente num único dispositivo infetado dentro da sua rede, este pode alterar silenciosamente as definições de rede e abrir brechas na sua firewall sem o seu conhecimento, permitindo assim que o malware comunique com o mundo exterior. Foi o que aconteceu com a infame botnet Mirai(nova janela), que explorou vulnerabilidades do UPnP para infetar dispositivos IoT (como câmaras domésticas) e routers para lançar alguns dos maiores ataques DDoS(nova janela) de sempre a nível mundial.

Esta falta de autenticação também significa que o malware se pode propagar facilmente pelos dispositivos UPnP ligados à sua rede local.

Maior risco de ataques de varrimento de portas

Graças principalmente a routers mais antigos ou mal configurados que aceitam ligações UPnP a partir da internet (e não apenas locais), milhões de dispositivos de rede e routers(nova janela) estão vulneráveis a DDoS e a outros ataques.

Porque deve desativar o UPnP

O UPnP pode facilitar a vida ao automatizar a configuração da sua rede, mas a sua falta de controlos de segurança e o potencial de abuso tornam-no uma funcionalidade de alto risco. Isto é especialmente verdade nos routers de consumo, onde a filosofia de design de “confiar em tudo” por predefinição do UPnP simplesmente não se alinha com as melhores práticas de segurança modernas e é uma bênção para a propagação de malware. Por isso, para a maioria das pessoas, pode argumentar-se que a conveniência não compensa o risco.

A falta de visibilidade sobre quais as portas que estão abertas, porque estão abertas e se as fechou corretamente cria pontos cegos na segurança da sua rede. Isto proporciona um ponto de entrada fácil para malware e hackers, que podem então criar portas das traseiras persistentes na sua rede, ou até encaminhar o seu tráfego através de servidores DNS controlados por atacantes (como visto com o Switcher Trojan(nova janela)).

Uma solução muito melhor é configurar manualmente o encaminhamento de portas conforme as suas necessidades, para que tenha total controlo e supervisão sobre quais as portas que estão abertas.

Saiba como configurar manualmente o encaminhamento de portas em vários routers

Tenha em atenção, contudo, que não faz sentido configurar o encaminhamento de portas no seu router para dispositivos que se ligam a uma VPN (ver abaixo).

Encaminhamento de portas, UPnP e VPNs

Quando liga um dispositivo a um servidor VPN, todos os dados que viajam entre o dispositivo e o servidor são encaminhados através de um túnel VPN encriptado. Enquanto viajam por este túnel VPN, nenhuma outra pessoa ou dispositivo pode ver os seus dados.

Isto inclui o seu provedor de serviços de internet (ISP) e, por extensão, o seu governo, mas também inclui o seu próprio router. Portanto, ao utilizar uma VPN, a ligação contorna efetivamente o seu router, tornando o UPnP (e o encaminhamento manual de portas no router) redundante. O encaminhamento de portas ao usar uma VPN significa abrir uma porta na firewall NAT que o seu fornecedor de VPN utiliza para proteger o servidor VPN — e não no router.

Se um dispositivo (ou aplicação em execução nesse dispositivo, como um cliente BitTorrent) for compatível com UPnP, deve desativar a definição para evitar conflitos com o software da VPN.

Saiba mais sobre o encaminhamento de portas com a Proton VPN

Como desativar o UPnP em routers

Desativar o UPnP no seu router é um processo simples, mas os passos exatos variam dependendo da marca e do modelo do seu router. Abaixo estão instruções gerais para desativar o UPnP em algumas das marcas de routers mais comuns. Noutros routers, as instruções serão semelhantes.

Para começar, introduza o endereço IP do seu router (geralmente 192.168.1.1 ou 192.168.0.1) na barra de endereços do seu navegador e inicie sessão com o seu nome de utilizador e palavra-passe de administrador. Isto está normalmente impresso num autocolante colado ao seu router (a menos que os tenha alterado). Depois:

Routers Linksys

Aceda ao separador AdministraçãoUPnP → e mude a definição de UPnP para desativado. Clique em Guardar definições para aplicar as alterações. É recomendável reiniciar o seu router para garantir que as alterações produzem efeito. Para o fazer, aceda ao separador AdministraçãoReiniciar.

Routers Netgear

Aceda ao separador AdministraçãoUPnP → e mude a definição de UPnP para desativado. Clique em Aplicar para guardar as alterações. É recomendável reiniciar o seu router para garantir que as alterações produzem efeito. Para o fazer, aceda ao separador ManutençãoReiniciar.

Routers TP-Link

Aceda ao separador AvançadoEncaminhamento NATUPnP e mude a definição de UPnP para desativado. É recomendável reiniciar o seu router para garantir que as alterações produzem efeito. Para o fazer, aceda ao separador SistemaReiniciar.

Como desativar o UPnP num router TP-Link

Considerações finais sobre o UPnP — conveniência a um custo

O UPnP foi concebido com boas intenções; tornar as ligações em rede mais fáceis para os utilizadores comuns, permitindo que os dispositivos comuniquem e se configurem automaticamente. Mas, numa altura em que as ciberameaças são mais avançadas e frequentes do que nunca, esta conveniência é também um risco.

A falta de autenticação do UPnP, o encaminhamento de portas e o histórico de explorações tornam-no uma funcionalidade arriscada para manter ativada, especialmente em routers domésticos que raramente são monitorizados ou atualizados. Embora possa simplificar a configuração de jogos, dispositivos de streaming e aparelhos domésticos inteligentes, também abre silenciosamente portas pelas quais os piratas informáticos e o malware terão todo o gosto em passar.

Felizmente, desativar o UPnP é simples e a maioria das pessoas não notará qualquer diferença na utilização diária da Internet — especialmente se dedicar algum tempo a configurar manualmente os poucos serviços que realmente necessitam de portas abertas.

Isto é ainda mais fácil se utilizar o Proton VPN nos seus dispositivos, pois basta-lhe ativar a funcionalidade e nós abriremos uma porta adequada na nossa firewall de VPN para si.

Saiba como utilizar o encaminhamento de portas com o Proton VPN