UPnP är en nätverksprotokollsvit som främst är utformad för att göra det möjligt för enheter på samma lokala nätverk att automatiskt upptäcka och ansluta till varandra. Om detta låter som en dröm för icke-tekniska användare, så är det på många sätt det.

När allt kommer omkring är bekvämlighet kung i dagens ultraanslutna värld. Från spelkonsoler som utan ansträngning ansluter till internet, till smart-tv-apparater och IoT-enheter(nytt fönster) som verkar “bara fungera” direkt ur lådan – moderna nätverk är utformade för att minimera användarens ansträngning. En av de tekniker som i det tysta möjliggör all denna sömlösa anslutning är Universal Plug and Play (UPnP).

UPnP används dock också ofta för att konfigurera portvidarebefordran på routrar, vilket gör det möjligt för enheter på internet att få åtkomst till resurser på ditt lokala nätverk (LAN). Detta (tillsammans med andra säkerhetsbrister som vi kommer att diskutera senare) innebär att det kan vara en bra idé att stänga av UPnP helt och hållet.

I den här artikeln ska vi titta på:

Vad är UPnP?

Som namnet antyder är det primära målet med UPnP att göra nätverksenheter till ”plug and play”. Med andra ord, när du ansluter en enhet till ditt nätverk ska den bara fungera, utan att du behöver gräva i din routers inställningar, öppna portar eller mixtra med IP-adresser.

UPnP uppnår detta genom att använda en uppsättning nätverksprotokoll som gör det möjligt för enheter på ditt lokala nätverk, till exempel persondatorer, skrivare, modem, routrar och mobila enheter, att sömlöst upptäcka varandras närvaro på nätverket och sedan kommunicera med varandra.

UPnP kan också användas för att konfigurera portvidarebefordran, vilket dirigerar anslutningar genom din routers brandvägg så att du kan ansluta enheter på internet med enheter på ditt lokala nätverk. Populära skäl till detta inkluderar:

  • IoT-enheter: Du kanske till exempel vill kontrollera din övervakningskamera, styra din smarta termostat eller hantera ditt smarta hemsystem från var som helst i världen.
  • Hemmediaservrar: Så att du kan titta på innehåll från din Plex- eller Jellyfin-server över internet när du inte är hemma
  • Spelservrar: Så att du kan vara värd för flerspelarspel utan att betala serveravgifter till tredje part
  • P2P-fildelning: För att tillåta inkommande anslutningar för snabbare nedladdningshastigheter. Se vår ultimata guide till torrentfildelning för mer information om hur detta fungerar.

Hur fungerar UPnP?

Enkelt uttryckt kan hur UPnP fungerar delas upp i följande steg:

  1. Upptäckt: När en enhet ansluts till ett nätverk skickar den ut ett meddelande för att tillkännage sin närvaro. Ander enheter på nätverket kan svara på detta meddelande, vilket gör att de kan upptäcka varandra.
  2. Beskrivning: När enheterna väl har upptäckt varandra utbyter de information om sina funktioner och tjänster. Det här steget innebär att enheterna delar detaljer om vad de kan göra och hur andra enheter kan interagera med dem.
  3. Automatisk konfiguration: Enheter kan automatiskt begära portvidarebefordran från routern. Till exempel kan en spelkonsol begära att routern öppnar specifika portar så att den kan vara värd för flerspelarspel utan manuell inblandning.

Varför är UPnP farligt?

Även om UPnP medför en obestridlig bekvämlighet, medför det också allvarliga säkerhetsrisker. Det som gör UPnP riskabelt är inte bara hur det fungerar, utan hur lite kontroll och insyn du vanligtvis har över vad det gör bakom kulisserna. De viktigaste riskerna med UPnP är:

Automatisk portvidarebefordran

Även om en av UPnP:s mest användbara funktioner är utformad främst för att ansluta enheter på ett lokalt nätverk, är det förmågan att automatiskt öppna portar på en router så att enheter på ditt LAN kan kommunicera med enheter på internet. Tyvärr kan öppna portar göra det möjligt för skadliga aktörer att få åtkomst till enheter på ditt lokala nätverk.

Det bör noteras och denna risk även finns om du konfigurerar portvidarebefordran manuellt på din router. Men om UPnP är aktiverat kan det öppna portar för att automatiskt konfigurera flera (potentiellt sårbara) enheter på ditt lokala nätverk utan din vetskap.

Ingen autentisering

UPnP utformades med betrodda lokala nätverk i åtanke, så det kräver vanligtvis inte någon autentisering från enheter för att fungera. Det innebär att alla enheter på samma nätverk – inklusive potentiellt komprometterade sådana – kan skicka förfrågningar till routern om att öppna portar eller omdirigera trafik.

Om skadlig kod finns på en enda infekterad enhet i ditt nätverk kan den i det tysta ändra nätverksinställningar och slå hål i din brandvägg utan din vetskap, vilket gör att den skadliga koden kan kommunicera med omvärlden. Detta är vad som hände med det beryktade Mirai-botnätet(nytt fönster), som utnyttjade sårbarheter i UPnP för att infektera IoT-enheter (som hemkameror) och routrar för att starta några av världens största DDoS-attacker(nytt fönster) någonsin.

Denna brist på autentisering innebär också att skadlig kod enkelt kan spridas till UPnP-enheter anslutna till ditt lokala nätverk.

Högre risk för portscanningsattacker

Tack vare främst äldre eller dåligt konfigurerade routrar som accepterar UPnP-anslutningar från internet (inte bara lokala), är miljoner nätverksenheter och routrar(nytt fönster) sårbara för DDoS- och andra attacker.

Varför du bör inaktivera UPnP

UPnP kan göra livet enklare genom att automatisera din nätverkskonfiguration, men dess brist på säkerhetskontroller och potential för missbruk gör det till en högriskfunktion. Detta gäller särskilt för konsumentroutrar där UPnP:s standarddesignfilosofi ”lita på allt” helt enkelt inte stämmer överens med moderna bästa praxis för säkerhet och är en grogrund för spridningen av skadlig kod. Så för de flesta är bekvämligheten förmodligen inte värd risken.

Bristen på insyn i vilka portar som är öppna, varför de är öppna och om du har stängt dem ordentligt skapar blinda fläckar i din nätverkssäkerhet. Detta ger en enkel ingång för skadlig kod och hackare, som sedan kan skapa ihållande bakdörrar i ditt nätverk, eller till och med dirigera din trafik genom angriparkontrollerade DNS-servrar (vilket sågs med Switcher-trojanen(nytt fönster)).

En mycket bättre lösning är att manuellt konfigurera portvidarebefordran när och om du behöver det, så att du har fullständig kontroll och överblick över vilka portar som är öppna.

Lär dig hur du manuellt konfigurerar portvidarebefordran på olika routrar

Tänk dock på att det inte finns någon anledning att konfigurera portvidarebefordran på din router för enheter som ansluter till ett VPN (se nedan).

Portvidarebefordran, UPnP och VPN-tjänster

När du ansluter en enhet till en VPN-server dirigeras all data som överförs mellan enheten och servern genom en krypterad VPN-tunnel. När din data färdas genom denna VPN-tunnel kan ingen annan person eller enhet se den.

Detta inkluderar din internetleverantör (ISP), och i förlängningen din regering, men det inkluderar även din egen router. Så när du använder ett VPN går anslutningen i praktiken förbi din router, vilket gör UPnP (och manuell portvidarebefordran på routern) överflödig. Portvidarebefordran när du använder ett VPN innebär att du öppnar en port i den NAT-brandvägg som din VPN-leverantör använder för att skydda VPN-servern – inte på routern.

Om en enhet (eller app som körs på den enheten, till exempel en BitTorrent-klient) stöder UPnP bör du inaktivera inställningen för att förhindra konflikter med VPN-mjukvaran.

Lär dig mer om portvidarebefordran med Proton VPN

Hur man inaktiverar UPnP på routrar

Att inaktivera UPnP på din router är en enkel process, men de exakta stegen varierar beroende på din routers märke och modell. Nedan finns allmänna instruktioner för att inaktivera UPnP på några av de vanligaste routermärkena. På andra routrar kommer instruktionerna att vara liknande.

För att starta anger du din routers IP-adress (vanligtvis 192.168.1.1 eller 192.168.0.1) i din webbläsares adressfält och loggar in med ditt admin-användarnamn och lösenord. Detta är vanligtvis tryckt på en dekal på din router (såvida du inte har ändrat det). Sedan:

Linksys-routrar

Gå till fliken AdministrationUPnP → och slå av inställningen för UPnP. Klicka på Spara inställningar för att tillämpa ändringarna. Det är en god vana att starta om din router för att säkerställa att ändringarna träder i kraft. För att göra detta, gå till fliken AdministrationOmstart.

Netgear-routrar

Gå till fliken AdministrationUPnP → och slå av inställningen för UPnP. Klicka på Tillämpa för att spara ändringarna. Det är en god vana att starta om din router för att säkerställa att ändringarna träder i kraft. För att göra detta, gå till fliken UnderhållOmstart.

TP-Link-routrar

Gå till fliken AvanceratNAT-vidarebefordranUPnP och slå av inställningen för UPnP. Det är en god vana att starta om din router för att säkerställa att ändringarna träder i kraft. För att göra detta, gå till fliken SystemOmstart.

Så stänger du av UPnP på en TP-Link-router

Avslutande tankar om UPnP – bekvämlighet till ett pris

UPnP utformades med goda avsikter: att göra nätverkande enklare för vanliga människor genom att låta enheter kommunicera och konfigurera sig själva automatiskt. Men i en tid då cyberhoten är mer avancerade och frekventa än någonsin är denna bekvämlighet också en sårbarhet.

UPnP:s brist på autentisering, portvidarebefordran och historik av exploatering gör det till en riskabel funktion att lämna aktiverad, särskilt på hemroutrar som sällan övervakas eller uppdateras. Även om det kan förenkla konfigureringen av spel, streamingenheter och smarta hem-prylar, öppnar det också i tysthet dörrar som hackare och skadlig kod mer än gärna tar sig igenom.

Lyckligtvis är det enkelt att inaktivera UPnP, och de flesta kommer inte att märka någon skillnad i den dagliga internetanvändningen – särskilt om du tar dig lite tid att manuellt konfigurera de få tjänster som verkligen behöver öppna portar.

Detta är ännu enklare om du använder Proton VPN på dina enheter, eftersom du helt enkelt bara behöver aktivera funktionen, så öppnar vi en lämplig port i vår VPN-brandvägg åt dig.

Lär dig hur du använder portvidarebefordran med Proton VPN