UPnP คือชุดโปรโตคอลเครือข่ายที่ออกแบบมาโดยหลักเพื่อให้อุปกรณ์ในเครือข่ายท้องถิ่นเดียวกันสามารถค้นหาและเชื่อมต่อกันได้โดยอัตโนมัติ หากสิ่งนี้ฟังดูเหมือนฝันสำหรับผู้ใช้ทั่วไปที่ไม่มีความรู้ด้านเทคนิค ในหลายๆ ด้านก็เป็นเช่นนั้นจริงๆ
ท้ายที่สุดแล้ว ในโลกที่เชื่อมต่อถึงกันอย่างมากในปัจจุบัน ความสะดวกสบายคือสิ่งสำคัญที่สุด ตั้งแต่เครื่องเล่นเกมคอนโซลที่เชื่อมต่อกับอินเทอร์เน็ตได้อย่างง่ายดาย ไปจนถึง สมาร์ททีวี และ อุปกรณ์ IoT(หน้าต่างใหม่) ที่พร้อมใช้งานทันทีตั้งแต่แกะกล่อง เครือข่ายสมัยใหม่ได้รับการออกแบบมาเพื่อลดความพยายามของผู้ใช้ให้น้อยที่สุด หนึ่งในเทคโนโลยีที่ช่วยให้การเชื่อมต่ออันราบรื่นนี้เกิดขึ้นได้อย่างเงียบๆ ก็คือ Universal Plug and Play (UPnP)
อย่างไรก็ตาม UPnP มักถูกใช้เพื่อกำหนดค่า การส่งต่อพอร์ตบนเราเตอร์ ซึ่งช่วยให้อุปกรณ์บนอินเทอร์เน็ตสามารถเข้าถึงทรัพยากรบนเครือข่ายท้องถิ่น (LAN) ได้ สิ่งนี้ (รวมถึงช่องโหว่ด้านความปลอดภัยอื่นๆ ที่จะกล่าวถึงในภายหลัง) หมายความว่าอาจเป็นความคิดที่ดีที่จะปิดใช้งาน UPnP ทั้งหมด
ในบทความนี้ เราจะดูที่:
- UPnP คืออะไร?
- UPnP ทำงานอย่างไร?
- ทำไม UPnP จึงอันตราย?
- ทำไมจึงควรปิดใช้งาน UPnP
- การส่งต่อพอร์ต, UPnP และ VPN
- วิธีปิดใช้งาน UPnP บนเราเตอร์
- UPnP — ความสะดวกสบายที่ต้องแลกมา
UPnP คืออะไร?
ตามที่ชื่อระบุไว้ จุดประสงค์หลักของ UPnP คือการทำให้อุปกรณ์เครือข่ายเป็นแบบ “เสียบปลั๊กแล้วใช้งานได้เลย” (plug and play) หรืออีกนัยหนึ่ง เมื่อเชื่อมต่ออุปกรณ์เข้ากับเครือข่าย อุปกรณ์ควรจะทำงานได้ทันที โดยไม่จำเป็นต้องเข้าไปตั้งค่าเราเตอร์ เปิดพอร์ต หรือปรับแต่งที่อยู่ IP ใดๆ
UPnP บรรลุผลนี้ได้โดยใช้ชุดโปรโตคอลเครือข่ายที่อนุญาตให้อุปกรณ์ในเครือข่ายท้องถิ่น เช่น คอมพิวเตอร์ส่วนบุคคล เครื่องพิมพ์ โมเด็ม เราเตอร์ และอุปกรณ์เคลื่อนที่ สามารถค้นหาการมีอยู่ของกันและกันบนเครือข่ายและสื่อสารกันได้อย่างราบรื่น
นอกจากนี้ UPnP ยังสามารถใช้เพื่อกำหนดค่า การส่งต่อพอร์ต โดยเป็นการกำหนดเส้นทางการเชื่อมต่อผ่านไฟร์วอลล์ของเราเตอร์ เพื่อให้สามารถเชื่อมต่ออุปกรณ์บนอินเทอร์เน็ตเข้ากับอุปกรณ์ในเครือข่ายท้องถิ่นได้ เหตุผลยอดนิยมสำหรับเรื่องนี้ ได้แก่:
- อุปกรณ์ IoT: ตัวอย่างเช่น เพื่อตรวจสอบภาพจากกล้องวงจรปิด ควบคุมเครื่องควบคุมอุณหภูมิอัจฉริยะ หรือจัดการระบบบ้านอัจฉริยะได้จากทุกที่ในโลก
- เซิร์ฟเวอร์สื่อในบ้าน: เพื่อให้สามารถรับชมเนื้อหาจากเซิร์ฟเวอร์ Plex หรือ Jellyfin ผ่านอินเทอร์เน็ตในขณะที่อยู่นอกบ้านได้
- เซิร์ฟเวอร์เกม: เพื่อให้สามารถเป็นโฮสต์สำหรับเกมผู้เล่นหลายคนได้โดยไม่ต้องจ่ายค่าธรรมเนียมเซิร์ฟเวอร์ให้กับบุคคลที่สาม
- การแชร์ไฟล์แบบ P2P: เพื่ออนุญาตการเชื่อมต่อขาเข้าสำหรับปรับปรุงความเร็วในการดาวน์โหลด ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำงานได้ที่ คู่มือการใช้งาน Torrent ฉบับสมบูรณ์
UPnP ทำงานอย่างไร?
เพื่อให้เข้าใจง่าย ขั้นตอนการทำงานของ UPnP สามารถแบ่งออกได้ดังนี้:
- การค้นหา (Discovery): เมื่อเชื่อมต่ออุปกรณ์เข้ากับเครือข่าย อุปกรณ์จะแพร่สัญญาณข้อความเพื่อประกาศการมีอยู่ อุปกรณ์อื่นๆ บนเครือข่ายสามารถตอบกลับข้อความนี้เพื่อให้อุปกรณ์ต่างๆ ค้นหากันและกันได้
- รายละเอียด (Description): เมื่ออุปกรณ์ค้นพบกันและกันแล้ว จะมีการแลกเปลี่ยนข้อมูลเกี่ยวกับความสามารถและบริการต่างๆ ขั้นตอนนี้รวมถึงการแชร์รายละเอียดเกี่ยวกับสิ่งที่อุปกรณ์ทำได้และวิธีที่อุปกรณ์อื่นๆ สามารถโต้ตอบด้วยได้
- การกำหนดค่าอัตโนมัติ (Automatic configuration): อุปกรณ์สามารถขอการส่งต่อพอร์ตจากเราเตอร์ได้โดยอัตโนมัติ ตัวอย่างเช่น เครื่องเล่นเกมคอนโซลอาจขอให้เราเตอร์เปิดพอร์ตเฉพาะเพื่อเป็นโฮสต์สำหรับเกมผู้เล่นหลายคนโดยไม่ต้องปรับแต่งเอง
ทำไม UPnP จึงอันตราย?
แม้ว่า UPnP จะมอบความสะดวกสบายอย่างปฏิเสธไม่ได้ แต่ก็ทำให้เกิดความกังวลด้านความปลอดภัยอย่างร้ายแรงเช่นกัน สิ่งที่ทำให้ UPnP มีความเสี่ยงไม่ใช่แค่ลักษณะการทำงานของมัน แต่ยังรวมถึงการควบคุมและการมองเห็นที่ค่อนข้างจำกัดต่อสิ่งที่เกิดขึ้นเบื้องหลัง ความเสี่ยงหลักของ UPnP ได้แก่:
การส่งต่อพอร์ตอัตโนมัติ
แม้ว่าจะได้รับการออกแบบมาเพื่อเชื่อมต่ออุปกรณ์บนเครือข่ายท้องถิ่นเป็นหลัก แต่หนึ่งในคุณสมบัติที่มีประโยชน์ที่สุดของ UPnP คือความสามารถในการเปิดพอร์ตบนเราเตอร์โดยอัตโนมัติ เพื่อให้อุปกรณ์บน LAN สามารถสื่อสารกับอุปกรณ์บนอินเทอร์เน็ตได้ แต่น่าเสียดายที่พอร์ตที่เปิดอยู่สามารถเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้าถึงอุปกรณ์บนเครือข่ายท้องถิ่นได้
ควรสังเกตว่าความเสี่ยงนี้จะเกิดขึ้นเช่นกันหากมี การกำหนดค่าการส่งต่อพอร์ตบนเราเตอร์ด้วยตนเอง อย่างไรก็ตาม หากเปิดใช้งาน UPnP ก็อาจมีการเปิดพอร์ตเพื่อกำหนดค่าอุปกรณ์หลายเครื่อง (ที่อาจมีช่องโหว่) บนเครือข่ายท้องถิ่นโดยอัตโนมัติโดยไม่รู้ตัว
ไม่มีการยืนยันตัวตน
UPnP ได้รับการออกแบบมาสำหรับเครือข่ายท้องถิ่นที่เชื่อถือได้ ดังนั้นจึงมักไม่ต้องการการยืนยันตัวตนจากอุปกรณ์เพื่อทำงาน ซึ่งหมายความว่าอุปกรณ์ใดๆ บนเครือข่ายเดียวกัน — รวมถึงอุปกรณ์ที่อาจถูกโจมตี — สามารถส่งคำขอไปยังเราเตอร์เพื่อเปิดพอร์ตหรือเปลี่ยนเส้นทางทราฟฟิกได้
หากมีมัลแวร์อยู่ในอุปกรณ์ที่ติดไวรัสเพียงเครื่องเดียวภายในเครือข่าย มัลแวร์จะสามารถปรับเปลี่ยนการตั้งค่าเครือข่ายและเจาะระบบไฟร์วอลล์ได้อย่างเงียบๆ โดยไม่รู้ตัว ซึ่งทำให้มัลแวร์สื่อสารกับโลกภายนอกได้ นี่คือสิ่งที่เกิดขึ้นกับ บ็อตเน็ต Mirai(หน้าต่างใหม่) อันโด่งดัง ซึ่งใช้ประโยชน์จากช่องโหว่ของ UPnP เพื่อแพร่เชื้อไปยังอุปกรณ์ IoT (เช่น กล้องในบ้าน) และเราเตอร์เพื่อเริ่มการโจมตี DDoS(หน้าต่างใหม่) ครั้งใหญ่ที่สุดในโลกครั้งหนึ่ง
การขาดการยืนยันตัวตนนี้ยังหมายความว่ามัลแวร์สามารถแพร่กระจายไปยังอุปกรณ์ UPnP ที่เชื่อมต่อกับเครือข่ายท้องถิ่นได้อย่างง่ายดายอีกด้วย
ความเสี่ยงที่สูงขึ้นจากการโจมตีด้วยการสแกนพอร์ต
สาเหตุหลักมาจากเราเตอร์รุ่นเก่าหรือเราเตอร์ที่กำหนดค่าไม่ดีซึ่งยอมรับการเชื่อมต่อ UPnP จากอินเทอร์เน็ต (ไม่ใช่แค่การเชื่อมต่อในท้องถิ่น) ทำให้อุปกรณ์เครือข่ายและเราเตอร์ หลายล้านเครื่อง(หน้าต่างใหม่) มีช่องโหว่ต่อการโจมตีแบบ DDoS และการโจมตีอื่นๆ
ทำไมจึงควรปิดใช้งาน UPnP
แม้ว่า UPnP จะช่วยให้การใช้งานง่ายขึ้นด้วยการตั้งค่าเครือข่ายอัตโนมัติ แต่การขาดการควบคุมความปลอดภัยและโอกาสในการถูกนำไปใช้ในทางที่ผิดทำให้ฟีเจอร์นี้มีความเสี่ยงสูง โดยเฉพาะอย่างยิ่งสำหรับเราเตอร์ระดับผู้บริโภคทั่วไปที่ปรัชญาการออกแบบแบบ “เชื่อถือทุกสิ่ง” ซึ่งเป็นค่าเริ่มต้นของ UPnP นั้นไม่สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยในปัจจุบัน และยังเอื้อต่อการแพร่กระจายของมัลแวร์ ดังนั้น สำหรับคนส่วนใหญ่แล้ว ความสะดวกสบายนี้อาจไม่คุ้มค่ากับความเสี่ยงที่ต้องเผชิญ
การขาดการมองเห็นว่าพอร์ตใดเปิดอยู่ เปิดทำไม และพอร์ตเหล่านั้นถูกปิดอย่างถูกต้องหรือไม่ จะสร้างจุดอับสายตาในการรักษาความปลอดภัยของเครือข่าย ซึ่งเป็นช่องทางเข้าที่ง่ายดายสำหรับมัลแวร์และแฮกเกอร์ที่สามารถสร้างแบ็กดอร์ถาวรในเครือข่าย หรือแม้แต่กำหนดเส้นทางทราฟฟิกผ่าน เซิร์ฟเวอร์ DNS ที่ผู้โจมตีควบคุมอยู่ (ดังที่พบใน โทรจัน Switcher(หน้าต่างใหม่))
ทางออกที่ดีกว่ามากคือการกำหนดค่าการส่งต่อพอร์ตด้วยตนเองเมื่อจำเป็น เพื่อให้สามารถควบคุมและตรวจสอบพอร์ตที่เปิดอยู่ได้อย่างสมบูรณ์
เรียนรู้วิธีตั้งค่าการส่งต่อพอร์ตด้วยตนเองบนเราเตอร์รุ่นต่างๆ
อย่างไรก็ตาม โปรดทราบว่าไม่มีประโยชน์ที่จะตั้งค่าการส่งต่อพอร์ตบนเราเตอร์สำหรับอุปกรณ์ที่เชื่อมต่อกับ VPN (ดูด้านล่าง)
การส่งต่อพอร์ต, UPnP และ VPN
เมื่อเชื่อมต่ออุปกรณ์เข้ากับเซิร์ฟเวอร์ VPN ข้อมูลทั้งหมดที่รับส่งระหว่างอุปกรณ์และเซิร์ฟเวอร์จะถูกส่งผ่านอุโมงค์ VPN ที่เข้ารหัส ในขณะที่ส่งผ่านอุโมงค์ VPN นี้ บุคคลหรืออุปกรณ์อื่นจะไม่สามารถเห็นข้อมูลได้
ซึ่งรวมถึง ผู้ให้บริการอินเทอร์เน็ต (ISP) และรัฐบาล ตลอดจนเราเตอร์เองด้วย ดังนั้นเมื่อใช้ VPN การเชื่อมต่อจะข้ามเราเตอร์ไปโดยสมบูรณ์ ทำให้ UPnP (รวมถึงการส่งต่อพอร์ตด้วยตนเองบนเราเตอร์) ไม่จำเป็นอีกต่อไป การส่งต่อพอร์ตเมื่อใช้ VPN จะหมายถึงการเปิดพอร์ตบนไฟร์วอลล์ NAT ที่ผู้ให้บริการ VPN ใช้เพื่อปกป้องเซิร์ฟเวอร์ VPN ไม่ใช่การเปิดพอร์ตบนเราเตอร์
หากอุปกรณ์ (หรือแอปที่ทำงานบนอุปกรณ์นั้น เช่น โปรแกรม BitTorrent) รองรับ UPnP ควรปิดใช้งานการตั้งค่านี้เพื่อป้องกันการขัดแย้งกับซอฟต์แวร์ VPN
เรียนรู้เพิ่มเติมเกี่ยวกับการส่งต่อพอร์ตด้วย Proton VPN
วิธีปิดใช้งาน UPnP บนเราเตอร์
การปิดใช้งาน UPnP บนเราเตอร์เป็นกระบวนการที่ตรงไปตรงมา แต่ขั้นตอนที่แน่ชัดจะแตกต่างกันไปตามยี่ห้อและรุ่นของเราเตอร์ ด้านล่างนี้เป็นคำแนะนำทั่วไปในการปิดใช้งาน UPnP บนเราเตอร์บางยี่ห้อที่เป็นที่นิยม สำหรับเราเตอร์ยี่ห้ออื่น คำแนะนำจะคล้ายกัน
ในการเริ่มต้น ให้ป้อน ที่อยู่ IP ของเราเตอร์ (โดยทั่วไปคือ 192.168.1.1 หรือ 192.168.0.1) ลงในแถบที่อยู่ของเบราว์เซอร์ และเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบ ข้อมูลนี้มักจะพิมพ์อยู่บนสติกเกอร์ที่ติดอยู่กับเราเตอร์ (เว้นแต่จะมีการเปลี่ยนไปแล้ว) จากนั้น:
เราเตอร์ Linksys
ไปที่แท็บ Administration → UPnP → และปรับการตั้งค่า UPnP ให้เป็น ปิด คลิก Save Settings เพื่อนำการเปลี่ยนแปลงไปใช้ ขอแนะนำให้รีบูตเราเตอร์เพื่อให้แน่ใจว่าการตั้งค่ามีผล โดยไปที่แท็บ Administration → Reboot
เราเตอร์ Netgear
ไปที่แท็บ Administration → UPnP → และปรับการตั้งค่า UPnP ให้เป็น ปิด คลิก Apply เพื่อบันทึกการเปลี่ยนแปลง ขอแนะนำให้รีบูตเราเตอร์เพื่อให้แน่ใจว่าการตั้งค่ามีผล โดยไปที่แท็บ Maintenance → Reboot
เราเตอร์ TP-Link
ไปที่แท็บ Advanced → NAT forwarding → UPnP และปรับการตั้งค่า UPnP ให้เป็น ปิด ขอแนะนำให้รีบูตเราเตอร์เพื่อให้แน่ใจว่าการตั้งค่ามีผล โดยไปที่แท็บ System → Reboot

บทสรุปเกี่ยวกับ UPnP — ความสะดวกสบายที่ต้องแลกมาด้วยบางสิ่ง
UPnP ได้รับการออกแบบมาด้วยเจตนาที่ดี เพื่อช่วยให้การเชื่อมต่อเครือข่ายเป็นเรื่องง่ายขึ้นสำหรับคนทั่วไป โดยอนุญาตให้อุปกรณ์ต่าง ๆ สื่อสารและตั้งค่าตัวเองได้โดยอัตโนมัติ แต่ในยุคที่ภัยคุกคามทางไซเบอร์มีความซับซ้อนและเกิดขึ้นบ่อยครั้งกว่าที่เคย ความสะดวกสบายนี้ก็กลายเป็นความเสี่ยงเช่นกัน
การขาดการยืนยันตัวตน การส่งต่อพอร์ต และประวัติการถูกแสวงหาประโยชน์จากช่องโหว่ของ UPnP ทำให้คุณสมบัตินี้มีความเสี่ยงหากเปิดใช้งานทิ้งไว้ โดยเฉพาะอย่างยิ่งบนเราเตอร์ตามบ้านที่แทบไม่ได้รับการตรวจสอบหรืออัปเดต แม้ว่าจะช่วยให้การตั้งค่าเกม อุปกรณ์สำหรับการสตรีม และแกดเจ็ตสมาร์ทโฮมง่ายขึ้น แต่ก็เป็นการเปิดประตูทิ้งไว้เงียบ ๆ ให้แฮกเกอร์และมัลแวร์เข้ามาได้อย่างง่ายดาย
โชคดีที่การปิดใช้งาน UPnP นั้นง่ายมาก และคนส่วนใหญ่จะไม่รู้สึกถึงความแตกต่างในการใช้งานอินเทอร์เน็ตในแต่ละวัน โดยเฉพาะอย่างยิ่งหากสละเวลาสักเล็กน้อยเพื่อตั้งค่าบริการไม่กี่อย่างที่จำเป็นต้องเปิดพอร์ตด้วยตนเอง
เรื่องนี้จะง่ายยิ่งขึ้นเมื่อใช้งาน Proton VPN บนอุปกรณ์ต่าง ๆ เนื่องจากเพียงแค่เปิดใช้งานคุณสมบัติดังกล่าว ระบบจะเปิดพอร์ตที่เหมาะสมในไฟร์วอลล์ VPN ให้






