Wat is port forwarding?
Om goed te begrijpen wat UPnP is, is het belangrijk dat je eerst begrijpt wat port forwarding is. Port forwarding wordt gebruikt om een directe verbinding tussen je apparaat thuis (of een server) en een apparaat op afstand op te zetten. Misschien wil je je laptop bijvoorbeeld met je beveiligingscamera verbinden, zodat je een oogje in het zeil kunt houden wanneer je weg bent.
Hoe werkt dat? Al je apparaten thuis, waaronder je router, zitten in een zogenaamd Local Area Network (LAN). Alle apparaten buiten het LAN, zoals servers voor websites of de computer van een vriend, zitten op het Wider Area Network (WAN). Meestal kan niemand buiten je LAN-netwerk bij je apparaten, tenzij je dat toestaat via port forwarding.
Wat is UPNP?
Universal Plug And Play (UPnP) staat apps en andere apparaten op je netwerk toe om poorten te openen en te sluiten als ze met elkaar verbinden. Een voorbeeld: je wilt een printer met iedereen in je huishouden delen. Zonder UPnP zou je de printer voor ieder apparaat apart moeten installeren. UPnP zorgt voor een automatische verbinding.
UPnP heeft geen enkele configuratie nodig. Dat houdt in dat niemand op het netwerk het handmatig hoeft te installeren. Apparaten met UPnP kunnen automatisch verbinden met een netwerk, een IP-adres aanvragen en andere apparaten vinden. Erg handig!
Waar wordt UPnP voor gebruikt?
UPnP kan worden gebruikt voor verschillende doeleinden, zoals:
- Gaming, bijvoorbeeld om gameconsoles te verbinden;
- Surveillance op afstand (zoals beveiligingscamera’s);
- Digital home assistants (zoals Echo dots)
- Internet of Things-apparatuur (zoals slimme verlichting en slimme thermostaten)
- Streamen van content via een mediaserver
- Video’s streamen via bijvoorbeeld een Apple TV, Chromecast of FireTV stick.
Waarom is UPnP niet veilig?
Oorspronkelijk werd UPnP ontwikkeld om alleen op een LAN-netwerk te werken. Dat houdt in dat alleen apparaten op het lokale netwerk met elkaar kunnen verbinden. Veel fabrikanten van routers hebben UPnP nu standaard aangezet, waardoor ze vindbaar zijn vanuit het WAN. Dat levert veel beveiligingsrisico’s op.
UPnP gebruikt namelijk geen authenticatie, want het gaat ervan uit dat alle apparaten die verbinding proberen te maken betrouwbaar zijn en vanuit je lokale netwerk komen. Zo kunnen hackers gebruik maken van backdoors. Een voorbeeld: hackers vinden je router op het internet en melden zich aan als een gameconsole. Ze sturen een UPnP-verzoek naar de router en de router opent de poort zonder vragen te stellen.
Wanneer een hacker toegang verkrijgt tot het netwerk, kan deze:
- Externe toegang krijgen tot apparaten die op het netwerk verbonden zijn;
- Schadelijke software op het netwerk of op je apparatuur installeren;
- Gevoelige informatie stelen;
- Je router als proxy gebruiken om illegale activiteiten te maskeren, waardoor het lijkt alsof jij een cybercrimineel bent, in plaats van de hacker. Zo kan er via jouw router en verbinding een DDoS-aanval georganiseerd worden of valse e-mail verzonden worden. (Leestip: verschil tussen een VPN en een proxy).
Hoe bescherm je jezelf?
Wanneer het gaat om bescherming rondom het UPnP protocol, zijn er twee dingen die je kunt doen:
Allereerst kun je UPnP-UP aanzetten. Dat is UPnP met een gebruikersprofiel. Dan is authenticatie nodig. Overigens is dat niet waterdicht, want veel apparaten gaan er nog steeds vanuit dat alle binnenkomende verbindingen veilig zijn.
Een nog veiligere methode is om UPnP compleet uit te schakelen. Voordat je dat doet, is het goed om uit te vinden of je router kwetsbaar is voor UPnP-inbraken. Je kunt jezelf afvragen of je het gemak van UPnP wilt opgeven voor je veiligheid. Het verbinden van apparaten zonder UPnP vereist namelijk wel wat technische kennis.
Wat gebeurt er als ik UPnP uitschakel?
Besluit je UPnP uit te schakelen? Dan negeert je router alle binnenkomende verzoeken. Je moet alle apparaten dan handmatig verbinden en toestaan. Je router opent niet meer automatisch poorten op je LAN, waardoor ook legitieme verzoeken worden afgeslagen.
Dat betekent niet dat je geen apparaten meer op je netwerk kunt aansluiten, maar het heeft wel wat meer voeten in de aarde. Je moet manueel port forwarding regels aanmaken voor iedere verbinding. Daar heb je technische kennis voor nodig en het kost je meer tijd en inspanning. Gelukkig zijn er online veel tutorials te vinden die je uitleggen hoe je dat doet. En een veiliger netwerk is wel een beetje inspanning waard toch? Daarmee kun je trouwens al beginnen door een VPN te gebruiken.