UPnP – co to za protokół i dlaczego warto go wyłączyć?

Czym jest przekierowanie portów?

Zanim wyjaśnimy, czym jest UPnP, musisz zrozumieć, jak działa przekierowanie portów (ang. port forwarding). Twój router ma ich ponad 60 tysięcy i część z nich jest odgórnie przypisana do podstawowych funkcji sprzętu. Przekierowanie portów polega na ustanowieniu połączenia pomiędzy serwerem lub Twoim urządzeniem a urządzeniem spoza sieci domowej (WAN).

W normalnych warunkach nikt spoza Twojej sieci LAN nie może się z nią połączyć. Takie działanie wymaga konfiguracji lub choćby wpisania hasła Wi-Fi. Aby ominąć tę „niedogodność”, korzysta się właśnie z przekierowania portów. Większość routerów jest fabrycznie wyposażona w funkcję UPnP portmapper, która robi to „na żądanie”. Niestety jesteś przez to narażony na potencjalne zagrożenia z zewnątrz.

UPnP – co to?

Pora wyjaśnić, co to jest UPnP, czyli Universal Plug and Play. Brzmi nieszkodliwie, prawda? W rzeczywistości jednak protokół ten niesie za sobą pewne niebezpieczeństwo. Ale po kolei.

UPnP umożliwia komunikację między urządzeniami w obrębie tej samej sieci domowej bez konieczności ręcznej konfiguracji. Wystarczy włączyć tę funkcję na swoim routerze, aby każda drukarka, komputer, telewizor, konsola, kuchenka mikrofalowa itp. mogły wymieniać między sobą informacje.

Technologia ta automatyzuje cały proces i ułatwia użytkownikom dostęp do wszelkich zasobów w sieci LAN. Każde urządzenie otrzymuje adres IP, dzięki czemu może bez problemu połączyć się z innymi w tej samej sieci. Owszem, jest to bardzo wygodne rozwiązanie, choć nie do końca zalecane.

W jakim celu korzysta się z UPnP?

• Szeroko pojęty gaming. Przekierowanie portów na konsolę XBox czy PlayStation i streamowanie gier online.
• Dostęp do kamer bezpieczeństwa z dowolnego miejsca na świecie.
• Połączenie z asystentem głosowym, np. Alexa, Google czy Siri.
• Internet rzeczy (IoT). Funkcja UPnP umożliwia połączenie z wieloma urządzeniami w ramach automatyki domowej.
• Transmisja filmów i obrazów poprzez urządzenia takie jak Apple TV czy Chromecast.

Czy UPnP jest najlepszym rozwiązaniem dla graczy?

Niektórzy twierdzą, że automatyzacja portów podczas gry powoduje opóźnienia, choć nie jest to do końca prawda. UPnP w żaden sposób nie wpływa na prędkość pobierania, a korzystanie z tego protokołu jest niezwykle wygodne z perspektywy gracza. Nie musi on bowiem ręcznie konfigurować portów, bo protokół robi to za niego.

Dlaczego protokół UPnP jest niebezpieczny?

Protokół UPnP nie wymaga autoryzacji. Z góry zakłada, że wszystkie urządzenia, które próbują się ze sobą połączyć w obrębie tej samej sieci LAN są godne zaufania. Takie przymykanie oka na wiarygodność i przede wszystkim źródło owych urządzeń otwiera furtkę hakerom.

Mogą oni uzyskać zdalny dostęp do wszystkich urządzeń podłączonych do Twojej sieci, zainstalować złośliwe oprogramowanie, ukraść wrażliwe dane takie jak numery kart kredytowych, dokumentu tożsamości, dane osobowe, a także wykorzystać Twój router jako proxy, co poniekąd zaciera ślady cyberataku.

Jak się zabezpieczyć?

Istnieją dwa sposoby ochrony przed słabymi punktami protokołu UPnP:

1. Autoryzacja użytkowników UPnP. Jak włączyć to rozszerzenie protokołu? UPnP-UP (ang. Universal Plug and Play – User Profile) uruchamia mechanizmy uwierzytelniające, które w teorii powinny uszczelniać router, nie pozwalając mu akceptować ruchu spoza sieci LAN. Ta metoda nie jest jednak zalecana, ponieważ wiele urządzeń nie wspiera UPnP-UP, przez co wciąż można znaleźć sposoby na ominięcie tej „ochrony”.
2. Wyłączenie funkcji UPnP. W ten sposób każde nowe urządzenie będzie wymagało ręcznego uwierzytelniania, ale przynajmniej zapewnisz sobie oraz innym użytkownikom niezbędną ochronę. Jednak przed całkowitym wyłączeniem UPnP upewnij się, że faktycznie jest to konieczne. Może się bowiem okazać, że Twój router nie jest podatny na luki protokołu, więc jego dezaktywacja nie będzie niezbędna.

Co się stanie, jeśli wyłączę UPnP na swoim routerze?

Jeśli całkowicie wyłączysz UPnP, router nie będzie akceptował żadnych połączeń przychodzących, czyli automatyczne otwieranie portów w obrębie Twojej sieci LAN zostanie dezaktywowane. Będzie musiał ręcznie skonfigurować przekierowanie portów, co wymaga wiedzy technicznej.