UPnP — это набор сетевых протоколов, разработанный в первую очередь для того, чтобы устройства в одной локальной сети могли автоматически обнаруживать друг друга и подключаться друг к другу. Если для неподготовленных пользователей это звучит как мечта, то во многих отношениях так оно и есть.
В конце концов, в современном мире тотальной связанности удобство стоит на первом месте. От игровых консолей, которые без труда подключаются к интернету, до смарт-телевизоров и устройств IoT(новое окно), которые, кажется, работают прямо «из коробки», — современные сети проектируются так, чтобы минимизировать усилия пользователя. Одной из технологий, которая незаметно обеспечивает всю эту непрерывную интеграцию, является Universal Plug and Play (UPnP).
Однако UPnP также часто используется для настройки переадресации портов на маршрутизаторах, что позволяет устройствам в интернете получать доступ к ресурсам в вашей локальной сети (LAN). Это (наряду с другими уязвимостями безопасности, которые мы обсудим позже) означает, что, возможно, стоит полностью отключить UPnP.
В этой статье мы рассмотрим:
- Что такое UPnP?
- Как работает UPnP?
- Чем опасен UPnP?
- Почему вам следует отключить UPnP
- Переадресация портов, UPnP и VPN
- Как отключить UPnP на маршрутизаторах
- UPnP — плата за удобство
Что такое UPnP?
Как следует из названия, основная цель UPnP — сделать сетевые устройства работающими по принципу «plug and play» (подключи и работай). Иными словами, когда вы подключаете устройство к своей сети, оно должно просто работать без необходимости копаться в настройках маршрутизатора, открывать порты или возиться с IP-адресами.
UPnP достигает этого с помощью набора сетевых протоколов, которые позволяют устройствам в вашей локальной сети, таким как персональные компьютеры, принтеры, модемы, маршрутизаторы и мобильные устройства, беспрепятственно обнаруживать присутствие друг друга в сети и затем взаимодействовать друг с другом.
UPnP также можно использовать для настройки переадресации портов, направляя подключения через брандмауэр вашего маршрутизатора, чтобы вы могли подключать устройства в интернете к устройствам в вашей локальной сети. Популярные причины для этого включают:
- Устройства IoT: например, вы можете захотеть проверить трансляцию с камеры безопасности, настроить умный термостат или управлять системой умного дома из любой точки мира.
- Домашние медиасерверы: чтобы вы могли смотреть контент со своего сервера Plex или Jellyfin через интернет, находясь вдали от дома.
- Игровые серверы: чтобы вы могли размещать многопользовательские игры без оплаты услуг сторонних серверов.
- Обмен файлами P2P: для разрешения входящих подключений с целью увеличения скорости скачивания. Дополнительные сведения о том, как это работает, см. в нашем Полном руководстве по торрентам.
Как работает UPnP?
Простыми словами, работу UPnP можно разделить на следующие этапы:
- Обнаружение: когда устройство подключается к сети, оно отправляет широковещательное сообщение, чтобы заявить о своем присутствии. Другие устройства в сети могут ответить на это сообщение, что позволяет им обнаружить друг друга.
- Описание: после того как устройства обнаружили друг друга, они обмениваются информацией о своих возможностях и службах. На этом этапе устройства делятся сведениями о том, что они умеют делать и как другие устройства могут с ними взаимодействовать.
- Автоматическая настройка: устройства могут автоматически запрашивать переадресацию портов у маршрутизатора. Например, игровая консоль может запросить у маршрутизатора открытие определенных портов, чтобы она могла размещать многопользовательские игры без ручного вмешательства.
Почему UPnP опасен?
Хотя UPnP обеспечивает неоспоримое удобство, он также создает серьезные проблемы с безопасностью. Риск использования UPnP заключается не только в принципах его работы, но и в том, насколько мало контроля и видимости вы обычно имеете над тем, что происходит за кулисами. Ключевыми рисками, связанными с UPnP, являются:
Автоматическая переадресация портов
Хотя UPnP разработан в первую очередь для подключения устройств в локальной сети, одной из его наиболее полезных функций является возможность автоматически открывать порты на маршрутизаторе, чтобы устройства в вашей сети LAN могли взаимодействовать с устройствами в интернете. К сожалению, открытые порты могут позволить злоумышленникам получить доступ к устройствам в вашей локальной сети.
Следует отметить, что этот риск также присутствует, если вы вручную настраиваете переадресацию портов на своем маршрутизаторе. Однако если функция UPnP включена, она может открывать порты для автоматической настройки нескольких (потенциально уязвимых) устройств в вашей локальной сети без вашего ведома.
Отсутствие аутентификации
Протокол UPnP разрабатывался с расчетом на доверенные локальные сети, поэтому для его работы обычно не требуется аутентификация устройств. Это означает, что любое устройство в той же сети — включая потенциально скомпрометированные — может отправлять запросы маршрутизатору на открытие портов или перенаправление трафика.
Если вредоносная программа присутствует хотя бы на одном зараженном устройстве внутри вашей сети, она может незаметно изменять сетевые настройки и пробивать бреши в брандмауэре без вашего ведома, позволяя вредоносному ПО связываться с внешним миром. Именно это произошло с печально известным ботнетом Mirai(новое окно), который использовал уязвимости UPnP для заражения устройств IoT (например, домашних камер) и маршрутизаторов с целью запуска одних из крупнейших в мире DDoS-атак(новое окно).
Отсутствие аутентификации также означает, что вредоносная программа может легко распространяться по устройствам с поддержкой UPnP, подключенным к вашей локальной сети.
Повышенный риск атак путем сканирования портов
В основном из-за старых или плохо настроенных маршрутизаторов, которые принимают UPnP-подключения из интернета (а не только локальные), миллионы сетевых устройств и маршрутизаторов(новое окно) уязвимы для DDoS-атак и других угроз.
Почему вам следует отключить UPnP
UPnP может облегчить жизнь за счет автоматизации настройки сети, но отсутствие контроля безопасности и потенциал для злоупотреблений делают его весьма рискованной функцией. Это особенно актуально для потребительских маршрутизаторов, где философия проектирования UPnP «доверяй всему» по умолчанию просто не соответствует современным передовым практикам безопасности и способствует распространению вредоносных программ. Поэтому для большинства людей такое удобство, пожалуй, не стоит риска.
Отсутствие видимости того, какие порты открыты, почему они открыты и закрыли ли вы их должным образом, создает слепые зоны в безопасности вашей сети. Это обеспечивает легкую точку входа для вредоносных программ и хакеров, которые затем могут создавать постоянные бэкдоры в вашей сети или даже направлять ваш трафик через контролируемые злоумышленниками DNS-серверы (как это было в случае с трояном Switcher(новое окно)).
Гораздо лучшим решением является ручная настройка переадресации портов по мере необходимости, чтобы вы имели полный контроль и представление о том, какие порты открыты.
Узнайте, как вручную настроить переадресацию портов на различных маршрутизаторах
Однако имейте в виду, что нет смысла настраивать переадресацию портов на маршрутизаторе для устройств, подключающихся к VPN (см. ниже).
Переадресация портов, UPnP и VPN
Когда вы подключаете устройство к VPN-серверу, все данные, передаваемые между устройством и сервером, направляются через зашифрованный VPN-туннель. Во время прохождения через этот VPN-туннель никто другой и ни одно другое устройство не может видеть ваши данные.
Сюда относится ваш интернет-провайдер (ISP) и, как следствие, правительство, а также ваш собственный маршрутизатор. Таким образом, при использовании VPN подключение фактически идет в обход вашего маршрутизатора, делая UPnP (и ручную переадресацию портов на маршрутизаторе) избыточными. Переадресация портов при использовании VPN означает открытие порта на брандмауэре NAT, который ваш VPN-провайдер использует для защиты VPN-сервера, а не на маршрутизаторе.
Если устройство (или работающее на нем приложение, например BitTorrent-клиент) поддерживает UPnP, вам следует отключить эту настройку во избежание конфликтов с программным обеспечением VPN.
Узнайте подробнее о переадресации портов в Proton VPN
Как отключить UPnP на маршрутизаторах
Отключение UPnP на маршрутизаторе — простой процесс, но конкретные шаги зависят от марки и модели вашего маршрутизатора. Ниже приведены общие инструкции по отключению UPnP на моделях некоторых наиболее распространенных брендов маршрутизаторов. На других маршрутизаторах инструкции будут аналогичными.
Для начала введите IP-адрес вашего маршрутизатора (обычно 192.168.1.1 или 192.168.0.1) в адресную строку браузера и войдите в систему, используя имя пользователя и пароль администратора. Обычно они указаны на наклейке, прикрепленной к вашему маршрутизатору (если только вы их не изменили). Затем:
Маршрутизаторы Linksys
Перейдите на вкладку Administration → UPnP → и отключите параметр UPnP, переведя его в положение off. Нажмите Save Settings, чтобы применить изменения. Рекомендуется перезагрузить маршрутизатор, чтобы изменения вступили в силу. Для этого перейдите на вкладку Administration → Reboot.
Маршрутизаторы Netgear
Перейдите на вкладку Administration → UPnP → и отключите параметр UPnP, переведя его в положение off. Нажмите Apply, чтобы сохранить изменения. Рекомендуется перезагрузить маршрутизатор, чтобы изменения вступили в силу. Для этого перейдите на вкладку Maintenance → Reboot.
Маршрутизаторы TP-Link
Перейдите на вкладку Advanced → NAT forwarding → UPnP и отключите параметр UPnP, переведя его в положение off. Рекомендуется перезагрузить маршрутизатор, чтобы изменения вступили в силу. Для этого перейдите на вкладку System → Reboot.

В заключение об UPnP — удобство имеет свою цену
Технология UPnP создавалась с благими намерениями — упростить работу с сетью для обычных людей, позволяя устройствам автоматически взаимодействовать и настраивать себя. Однако в эпоху, когда киберугрозы стали как никогда изощренными и частыми, это удобство также несет в себе серьезные риски.
Отсутствие аутентификации в UPnP, переадресация портов и история эксплуатации уязвимостей делают эту функцию слишком рискованной, чтобы оставлять ее включенной, особенно на домашних маршрутизаторах, которые редко контролируются или обновляются. Хотя она может упростить настройку игр, стриминговых устройств и гаджетов умного дома, она также незаметно открывает двери, в которые хакеры и вредоносные программы будут рады войти.
К счастью, отключить UPnP очень просто, и большинство людей не заметят разницы при повседневном использовании интернета — особенно если вы потратите немного времени на то, чтобы вручную настроить те несколько служб, которым действительно нужны открытые порты.
Сделать это еще проще, если вы используете Proton VPN на своих устройствах: вам достаточно просто включить эту функцию, а мы откроем для вас подходящий порт в брандмауэре VPN.






