Mikä on UPnP, ja miksi sinun pitäisi ottaa se heti pois käytöstä?
Turvallisuus ja käytännöllisyys eivät aina kulje käsi kädessä. UPnP (Universal Plug and Play) on teknologia, jonka avulla verkkosi eri päätelaitteet voivat löytää toisensa helposti. Se on kätevä tapa esimerkiksi mediatiedostojen jakamiseen ja laitteiden määritykseen, mutta samalla sen käytössä piilee merkittäviä tietoturvariskejä. Lue, miksi UPnP:n käyttö on vakava tietoturvariski, ja miten voit suojata itsesi.
Mitä tarkoittaa porttien uudelleenohjaus (Port Forwarding)?
Jotta ymmärtäisimme, miten UPnP toimii ja mihin se perustuu, on ensin ymmärrettävä, mitä tarkoittaa porttien uudelleenohjaus eli port forwarding. Porttien uudelleenohjauksella voidaan luoda suora yhteys verkossasi olevan laitteen tai palvelimen ja ulkopuolisen laitteen välille. Porttien uudelleenohjausta käytetään esimerkiksi silloin, kun halutaan luoda etäyhteys valvontakameraan tai muuhun LAN-verkkoosi yhdistettyyn laitteeseen, joka ei kuitenkaan suoraan ole yhteydessä verkkoon.
Mikä on UPnP?
Entä mikä sitten on UPnP? Universal Plug and Play -teknologia on protokolla, joka helpottaa uusien laitteiden yhdistämistä verkkoosi. Sen avulla voidaan automaattisesti avata ja sulkea portteja, jotta laitteet voisivat kommunikoida toistensa kanssa – ilman asetuksiin tai määrityksiin koskemista.
UPnP helpottaa uusien laitteiden käyttöönottoa. Sen avulla voidaan yhdistää automaattisesti uudet laitteet verkkoon ilman ylimääräistä säätöä. Kun laitteet voivat löytää toisensa automaattisesti, esimerkiksi mediatiedostojen jakaminen onnistuu helposti laitteiden välillä.
Mihin UPnP:tä käytetään?
UPnP:llä on monia eri käyttötarkoituksia, ja monet ovat ottaneet sen käyttöönsä jopa huomaamattaan. Tässä muutamia esimerkkejä sen käytöstä:
- Pelien pelaaminen. Esimerkiksi PS4– ja Xbox-konsoleiden yhdistäminen verkkoon online-pelien pelaamiseksi ja mediatiedostojen jakamiseksi.
- Valvontakamerat. Valvontakameroihin ja muihin kodin turvalaitteisiin on usein mahdollista yhdistää UPnP:n ja porttien uudelleenohjauksen avulla etänä.
- Digitaaliset assistentit, kuten Amazon Echo ja Google Home.
- Esineiden internet (IoT) -laitteet, joihin kuuluu kodin langattomia älylaitteita, kuten älyvalot, -termostaatit ja -lukot.
- Mediapalvelimet. Mediapalvelimia käytetään yleisesti mediatiedostojen striimaamiseen oman palvelimen ja verkon kautta.
- Oman verkon tiedostojen striimaaminen tai jakaminen. Mediatiedostojen katselu onnistuu UPnP:n avulla esimerkiksi TV:seen yhdistettävien laitteiden kuten Apple TV:n tai television oman älytelevisio-ohjelmiston kautta.
Onko UPnP parempi pelaamiseen?
UPnP tekee pelikokemuksesta helpomman. Sitä ei käy kiistäminen. Sinun ei tarvitse itse etsiä avattavia portteja pelaamista varten, vaan UPnP tekee kaiken puolestasi.
UPnP ei suoraan tee itse pelaamisesta parempaa, vaan voit hoitaa porttien uudelleenohjauksen halutessasi myös itse. Löydät tähän netistä monia erilaisia ohjeita, ja jotkut ovat jopa kehuneet, että yhteysnopeus voi parantua tekemällä määritykset itse.
Miksi UPnP ei ole turvallinen?
UPnP on kaunis ajatus. Se oli alun perin tarkoitettu toimimaan vain LAN-tasolla, eli oman verkkosi sisällä, ilman yhteyttä laajempaan WAN-verkkoon. Useat reitittimet käyttävät kuitenkin nykyään laajempia UPnP-toimintoja, mikä voi johtaa riskeihin.
UPnP ei vakiona käytä todennusta tai muita varmistuksia. Tämä tekee siitä erittäin helppokäyttöisen teknologian, kun eri laitteet voivat yhdistää vaivatta verkkoosi. Samalla tämä avaa kuitenkin verkkorikollisille reitin verkkoosi.
UPnP:stä on löydetty vakavia tietoturva-aukkoja, joista Kyberturvallisuuskeskuskin on varoittanut suomalaisia. Haavoittuvuuksia on ollut aiemminkin, mutta uusi CallStranger-haavoittuvuus käyttää hyödykseen nimenomaan protokollan SUBSCRIBE-toimintoa, jossa ei käytetä minkäänlaista tunnistautumista. Koska yhdistämispyyntöä ei tarkisteta, hyökkääjät voivat yhdistää verkkoosi helposti, ja reittimesi on hetkessä välityspalvelin, jota voidaan käyttää rikollisiin toimiin.
Protokollan eri haavoittuvuudet voivat johtaa esimerkiksi seuraaviin vakaviin riskeihin:
- Etäpääsy LAN-verkkoosi kytkettyihin laitteisiin.
- Haittaohjelmistojen asentaminen laitteillesi.
- Tietojen varastaminen laitteiltasi.
- Laitteidesi käyttö esimerkiksi palvelinestohyökkäyksiin, phishing-hyökkäyksiin tai muihin rikollisiin toimiin (uusi CallStranger-haavoittuvuus).
Miten suojaat itsesi?
On muutamia vaihtoehtoja, joiden avulla voit suojata itsesi Universal Plug and Play -protokollan vaaroilta.
- Ensimmäinen vaihtoehto on kytkeä UPnP kokonaan pois käytöstä. Tämä on varmin tapa suojata itsesi sen vaaroilta, mutta samalla joudut määrittämään erilaisia asetuksia itse, eivätkä verkkosi eri laitteet voi suoraan löytää toisiaan.
- Toinen vaihtoehto on varmistaa, että UPnP on käytössä vain LAN-verkossasi, eikä laajemmassa WAN-verkossa. Tällöin laitteesi voivat löytää toisensa LAN-verkon sisällä, mistä voi olla hyötyä esimerkiksi mediatiedostoja jakaessa tai uutta tulostinta asentaessa. Tässä vaihtoehdossa et voi kuitenkaan luoda etäyhteyksiä laitteisiisi LAN-verkon ulkopuolelta.
- Kolmas vaihtoehto on käyttää UPnP-UP-teknologiaa (Universal Plug and Play – User Profile). Protokollan tarkoituksena on ottaa käyttöön erilaisia tunnistus- ja vahvennusmenetelmiä. Tämä ei kuitenkaan ole täysin aukoton ratkaisu, joten siihenkin on syytä suhtautua varauksella.
Mitä jos otan UPnP:n kokonaan pois käytöstä?
Jos otat UPnP:n kokonaan pois käytöstä, reitittimesi ei vastaa pyyntöihin verkkoon liittymisestä, vaan laitteet on asennettava manuaalisesti. Reitittimesi ei siis tällöin avaa portteja LAN-verkkoosi, vaan sinun on itse huolehdittava siitä.
Tämä ei kokonaan estä yhdistämistä kotiverkkoosi. Sinun on kuitenkin tehtävä itse hieman enemmän työtä, mikä vaatii aikaa ja teknistä osaamista. Netin monet tutoriaalit auttavat kuitenkin alkuun.