Upnp что такое в роутере
Перейти к содержимому

Upnp что такое в роутере

  • автор:

Для чего нужен UPnP – как его используют и почему следует отключить

Вы предпочитаете удобство или безопасность? UPnP помогает быстро подключать устройства к сети – не требует ручной настройки. Однако, он также может позволить хакерам проникнуть в вашу сеть для выполнения злонамеренных действий.

Узнайте, как хакеры используют UPnP и что вы можете сделать, чтобы защитить себя.

Что такое переадресация портов

Чтобы понять, что такое UPnP, вы должны сначала понять переадресацию портов.

Переадресация портов используется для установления прямого соединения между вашим домашним устройством или сервером и удаленным устройством. Например, вы можете подключить свой ноутбук к домашней камере и следить за домом, пока вас нет.

Как это работает? Все ваши домашние устройства, включая маршрутизатор, вместе создают, так называемую, локальную сеть (LAN). Все, что находится за пределами локальной сети, например, серверы веб-сайтов или компьютер вашего друга, находится в глобальной сети (WAN). Обычно никто за пределами вашей локальной сети не может получить доступ к устройствам в вашей сети, если вы не разрешите им использовать переадресацию портов.

Что такое UPnP

Universal Plug and Play (UPnP) – это протокол, который позволяет приложениям и другим устройствам в вашей сети автоматически открывать и закрывать порты для соединения друг с другом. Например, если вы хотите подключить принтер ко всем в вашей семье без UPnP, вам нужно будет подключить принтер к каждому устройству. UPnP автоматизирует это.

UPnP предлагает нулевую конфигурацию, это означает, что ни одно из устройств в вашей сети не требует ручной настройки для обнаружения нового устройства. Устройства с поддержкой UPnP могут автоматически подключаться к сети, получать IP-адрес, а также находить и подключаться к другим устройствам в вашей сети, что делает это очень удобным.

Для чего используется UPnP

  • Игры . Подключение Xbox и других игровых консолей, таких как Nintendo Switch, для потоковой трансляции онлайн-игр;
  • Удаленное наблюдение за домом . Вы можете использовать UPnP для подключения к вашим домашним камерам;
  • Управление устройствами Интернета вещей для беспроводной домашней автоматизации, такие как интеллектуальное освещение, термостаты с управлением через Интернет и интеллектуальные замки;
  • Потоковая передача контента с медиа-сервера;
  • Потоковое видео через устройства интернет-телевидения.

UPnP лучше для игр

UPnP, безусловно, упрощает игровой процесс. Вместо того, чтобы вручную определять номер порта для каждого устройства или онлайн-игры, UPnP сделает это за вас. Однако, если вы решите пойти по маршруту ручной переадресации портов, есть онлайн-руководства о том, как открыть определенные порты для определенных игр и устройств.

Некоторые утверждают, что ручная переадресация портов лучше для скорости вашего интернет-соединения, поскольку UPnP вызывает задержку. Но, так ли это на самом деле? Это очень маловероятно, но когда дело доходит до игр, это может увеличить задержку вашего соединения, но это не должно повлиять на скорость загрузки.

Почему UPnP не безопасен

Первоначально предполагалось, что UPnP будет работать только на уровне локальной сети, а это означает, что только устройства в вашей сети могут подключаться друг к другу. Однако, многие производители маршрутизаторов теперь включают UPnP по умолчанию, что делает их обнаруживаемыми в глобальной сети и приводит ко многим проблемам с безопасностью.

Хакер пытается проникнуть в сеть Wi-Fi через UPnP

UPnP не использует аутентификацию или авторизацию (только некоторые устройства), предполагая, что устройства, пытающиеся подключиться к нему, заслуживают доверия и находятся в вашей локальной сети. Это означает, что хакеры могут найти лазейки в вашей сети. Например, они могут обнаружить ваш маршрутизатор в более широкой сети, а затем притвориться устройством Xbox. Они отправят запрос UPnP на ваш маршрутизатор, и маршрутизатор откроет порт – без вопросов.

Как только хакер появится в сети, он сможет:

  • Получить удалённый доступ к другим устройствам в той же сети;
  • Установить вредоносное ПО на ваши устройства;
  • Украсть вашу конфиденциальную информацию;
  • Использовать маршрутизатор в качестве прокси-сервера, чтобы скрыть другие вредоносные действия в более широкой сети. Они могут использовать его для распространения вредоносных программ, кражи информации о кредитных картах и выполнения фишинговых атак или атак типа «отказ в обслуживании» (DDoS). Использование вашего маршрутизатора в качестве прокси-сервера означает, что все эти атаки будут выглядеть так, как будто они исходят от вас, а не от хакера.

Как защитить себя

Когда дело доходит до уязвимостей маршрутизатора UPnP, есть два варианта, которые вы можете выбрать, чтобы защитить себя.

  • Во-первых, вы можете включить UPnP-UP (Universal Plug and Play – User Profile), который обеспечивает механизмы аутентификации и авторизации для устройств и приложений UPnP. Однако, это не надёжный метод, так как многие устройства не полностью поддерживают его и могут предполагать, что другие устройства, подключающиеся к вашему маршрутизатору, заслуживают доверия.
  • Другой более безопасный метод – полностью отключить UPnP. Прежде чем вы это сделаете, рекомендуется проверить, уязвим ли ваш маршрутизатор для эксплойтов UPnP. Вам также следует подумать, хотите ли вы отказаться от удобства UPnP и сможете ли вы настраивать свои устройства вручную. Для этого могут потребоваться некоторые технические знания.

Что произойдёт, если отключить UPnP на маршрутизаторе

Если вы полностью отключите UPnP, ваш маршрутизатор будет игнорировать все входящие запросы, поэтому вам придется настраивать устройства вручную. Это означает, что маршрутизатор больше не будет автоматически открывать порты в вашей локальной сети, игнорируя даже безопасные запросы.

Это не значит, что вы не сможете подключаться к устройствам в своей сети или к онлайн-играм. Но, хлопот будет больше. Вам придётся вручную настроить правила переадресации портов для каждого конкретного соединения, что потребует больше времени, усилий и технических знаний. Тем не менее, есть онлайн-руководства, которые помогут вам выполнить перенаправление конкретных портов.

Что такое UPnP в роутере, для чего эта функция нужна и как её включить и выключить

WiFiGid

Всем привет! Сегодня мы поговорим про функцию UPnP (Universal Plug and Play) – что это такое, для чего нужна эта функция, и как она включается (или выключается) на роутере. Давайте рассмотрим конкретный пример – представим, что у нас есть домашняя сеть с роутером. В ней есть подключенные устройства – не важно какие, это могут быть телефоны, планшеты, телевизоры, принтеры или IP-камеры.

Что такое UPnP в роутере, для чего эта функция нужна и как её включить и выключить

Все они подключены к маршрутизатору (роутеру), который также аналогично подключен к глобальной сети интернет. В итоге у нас есть:

  • Локальная сеть всех домашних устройств (LAN).
  • Интернет от провайдера или глобальная сеть всех устройств в мире (WAN).
  • И домашний Wi-Fi роутер, который связывает две эти сети.

Для того, чтобы в локальной сети все устройства работали нормально, обнаруживали друг друга и быстро подключались, и нужна технология UPnP. В противном случае всем этим телефонам, планшетам и телевизорам нужно было вручную прописывать настройка и открывать порты. Во время подключения таких устройств, на них постоянно открываются и закрываются порты – прям как на морском берегу для кораблей.

Например, вы решили посмотреть с телевизора фильм, находящийся на компьютере. Тогда нужна технология DLNA, которая позволяет передавать видео в потоковом режиме. При подключении к компьютеру, он в свою очередь открывает определенный порт. В общем, если бы не было у нас UPnP, то для каждого подключения к любому устройству дома вам нужно было бы прописывать вручную настройки, открывать или закрывать порты.

Что такое UPnP в роутере, для чего эта функция нужна и как её включить и выключить

UPnP в глобальной сети

Мы рассмотрели понятие на примере домашней сети, но ведь не все используют прямое подключение в локальной сетке. Обычно к роутеру подключаются, чтобы выйти в интернет. И тут также включается функция UPnP, которая при запросе в интернет к определенному серверу также открывает определенные порты.

Например, всем известный uTorrent также использует эту технологию, и она должна по умолчанию быть включена на роутере. Когда мы включаем эту программу, она делает запрос в интернет и открывает порт для данного потока информации.

По сути UPnP открывает и закрывает порты для внешних запросов, для тех устройств, которые и делали эти запросы в интернет. Я думаю с понятием мы разобрались. Но бывают проблемы, когда данная функция выключена на роутере. Тогда некоторые программы, игры, утилиты не будут работать на компьютере или телефоне. Также могут быть проблемы с подключением игровых приставок тип Xbox или PlayStation.

Но существует и «обратная сторона монеты». Как вы понимаете, при запросе к серверу при подключении открываются порты на ваше устройство. Понятное дело, что данным подключением могут воспользоваться хакеры и взломщики. Для обычного пользователя шанс, конечно, не велик, но все же… В интернатах до сих пор идут «холивары» по поводу того, надо ли отключать UPnP или нет. Поэтому отключать функцию или включать – решать вам. Но как я и говорил ранее, при выключенном UPnP нужно будет для отдельных программ или устройств делать ручной проброс портов на роутере.

Далее я расскажу, как включить UPnP, отключить и настроить на вашем домашнем маршрутизаторе.

Вход в интерфейс роутера

Нам нужно попасть в Web-интерфейс аппарата – для этого с подключенного устройства к локальной сети нужно открыть браузер и вписать в адресную строку IP или DNS адрес роутера. Данный адрес находится на этикетке под роутером. Чаще всего используют 192.168.1.1. или 192.168.0.1. Если у вас будут какие-то проблемы со входом в маршрутизатор – смотрите инструкцию тут.

Что такое UPnP в роутере, для чего эта функция нужна и как её включить и выключить

Далее инструкции будут немного отличаться в зависимости от модели роутера.

D-Link

Старая прошивка

«Дополнительно» – «UPnP IGD».

Что такое UPnP — как он делает вас уязвимыми

UPnP делает вашу сеть доступной для злоумышленников. Это оказывается угрозой безопасности и оставляет двери открытыми для злонамеренных действий. Что такое UPnP и как он вызывает проблемы безопасности в вашей домашней сети? Этот blog здесь, чтобы объяснить все это, поэтому обязательно прочитайте до конца.

Что такое УПНП

Что такое UPnP?

UPnP расшифровывается как Universal Plug and Play. Это протокол, который освобождает вас от ручной настройки сети и позволяет подключать устройства к вашей сети.

При включенном UPnP устройства напрямую перенаправляют порт на вашем маршрутизаторе и избавляют вас от необходимости переадресации портов вручную.

Хорошим примером UPnP является новый принтер, который автоматически подключается к вашему телефону, планшету и ПК.

Universal Plug and Play обеспечивает удобство для ваших устройств домашней автоматизации. Это упрощает обнаружение и подключение устройств друг к другу по сети.

Для чего используется UPnP и как это работает?

UPnP — это многоцелевая функция, которую можно использовать для потоковой передачи игр, удаленного наблюдения за домом, потоковой передачи контента через медиасервер, потоковой передачи видео и устройств домашней автоматизации.

UPnP более чем удобен с точки зрения пользователя. Увидеть как это работает; например, вы приносите домой новое устройство. Теперь вы подключаете новое устройство к сети, и все остальные устройства автоматически связываются с новым подключенным устройством.

Все технические работы позади. Если присмотреться, то можно разделить процесс на следующие этапы:

  • Устройство подключено к сети
  • Устройство обнаружило IP-адрес
  • Устройство появляется в сети под определенным именем
  • Теперь новое устройство подключается и обменивается данными со всеми другими устройствами в сети.

Как включить сопоставление портов UPnP?

Вот как настроить сопоставление портов UPnP:

  • Войти ваш страница рекордера используя учетную запись администратора
  • Щелкните там, где вы видите « Конфигурация”
  • Теперь нажмите Сеть > Основные настройки > NAT
  • Галочка » Включить UPnP ” и установите режим сопоставления портов вручную
  • Выберите » Сохранить
  • Наконец, обновите страницу, чтобы увидеть изменения в вашем раздел внешнего IP-адреса .

Как отключить UPnP на моем роутере?

UPnP позволяет вашим подключенным устройствам автоматически обнаруживать и связываться друг с другом. Однако создание такой прямой связи через Интернет может быть опасным, поскольку может заразить ваши устройства вредоносными программами. Поэтому рекомендуется отключить UPnP на вашем роутере. Вот как это сделать:

  • Подключите свой компьютер к локальной сети / Wi-Fi маршрутизатора с помощью кабеля Ethernet.
  • Откройте веб-браузер и введите IP-адрес по умолчанию.
  • Login на веб-страницу управления вашего маршрутизатора (маршрутизаторы с самонастраивающимися портами, не делайте различий между портами WAN и LAN)
  • Перейдите в раздел «Дополнительные функции» > «Настройки сети» > «UPnP».
  • Теперь отключите UPnP.

Насколько безопасен UPnP?

UPnP безопасен, если у вас есть обновленный маршрутизатор с последней прошивкой. Кроме того, ваши подключенные устройства не должны содержать вредоносных программ. Убедитесь, что вы не используете зараженное устройство при включении UPnP, иначе оно заразит все ваши локальные устройства.

Насколько UPnP представляет угрозу безопасности?

UPnP не требует никакой аутентификации, и это серьезный недостаток безопасности. Когда маршрутизатор получает запрос на разрешение, он быстро открывает дверь для устройства, пытающегося подключиться. Маршрутизатор предполагает, что устройство, запрашивающее подключение, является доверенным и исходит из локальной сети.

Поэтому маршрутизатор никогда не задает вопросов и предоставляет доступ к тому, чем могут воспользоваться злоумышленники.

Хакеры могут найти ваш маршрутизатор в более широкой сети, затем выдать себя за устройство, такое как Xbox, и отправить маршрутизатору запрос UPnP. Маршрутизатор быстро откроет порт без аутентификации.

Таким образом, хакер получит доступ к вашей сети и удаленно будет контролировать все подключенные устройства. На этом проблема не заканчивается. Хакер может украсть всю вашу конфиденциальную информацию, установив вредоносное ПО на ваши подключенные устройства.

Это не все! Хакер может использовать ваш маршрутизатор для преступной деятельности, в том числе фишинговые атакии кража данных кредитной карты. Это может быть сделано, когда хакер использует ваш маршрутизатор в качестве прокси-сервера, что создает впечатление, что незаконные действия исходят от вас, а не от хакера.

Лучшие решения для UPnP-уязвимости

Есть три возможных решения, позволяющих избежать уязвимости UPnP. Во-первых, просто отключите UPnP в настройках вашего роутера. Когда вы отключите UPnP, ваш маршрутизатор больше не будет отвечать на любые входящие запросы на подключение.

Имейте в виду, что отключение UPnP блокирует все входящие запросы. Он даже не позволяет вам смотреть прямую видеотрансляцию с камеры видеонаблюдения или удаленно получать доступ к домашнему компьютеру.

Если вам нужно подключить несколько важных устройств, то вы можете воспользоваться вторым решением. Включите удаленный доступ для определенных устройств из ручной настройки вашего маршрутизатора.

Для этого используйте процесс переадресации портов, чтобы выбрать локальные устройства вместе с IP-адресом и портами, которые предполагается использовать, например, порт TCP/IP или UDP.

Недостатком этого подхода является то, что маршрутизатор будет принимать запросы, поступающие только от выбранных устройств. Каждый раз, когда вы должны изменить настройки конфигурации маршрутизатора, чтобы подключить новое устройство. Процесс будет довольно сложным для пользователей, чтобы изменить конфигурацию каждый раз, когда требуется новое подключение устройства.

К счастью, есть еще один способ удаленного доступа к вашей сети без ущерба для безопасности. Рассмотрите возможность создания VPN на роутере для обеспечения безопасности всей сети. Настройка впн на маршрутизаторе зашифрует весь ваш трафик и не позволит хакерам использовать безопасность домашней сети.

Часто задаваемые вопросы

Должен ли я включить UPnP на своем маршрутизаторе?

По мнению различных экспертов по безопасности, включение UPnP не рекомендуется. Однако, когда вы включаете UPnP, он автоматически перенаправляет порт на вашем маршрутизаторе, не задействуя ручной процесс переадресации портов.

Подходит ли UPnP для игр?

UPnP — хорошая функция для игр, поскольку она позволяет вашему устройству открывать порты для входящего трафика. Однако существует риск для безопасности, поскольку любой может легко получить вредоносное ПО в вашей сети. Лучше всего отключить UPnP и включить переадресацию только определенных портов.

Заключение

Универсальное подключение Plug and Play удобно для подключения устройств домашней сети, но оно также сопряжено со значительными рисками. Это увеличивает уязвимость вашей сети, которую хакеры могут взломать, чтобы получить доступ. Лучший способ — отключить UPnP в настройках маршрутизатора или настроить впн-маршрутизатор, чтобы защитить вашу сеть от кибератак.

Открываем порты за NAT при помощи NAT-PMP и UPnP IGD

Ранее я много раз слышал, что UPnP каким-то образом умеет самостоятельно открывать порты (производить Port Forwarding на роутере) по запросу от хоста из локальной сети. Однако, то, каким именно образом это происходит, и какие протоколы для этого используются, доселе было покрыто для меня пеленой тумана.

В данной статье я хочу кратко рассказать, как работают два механизма для проброса портов, а именно NAT Port Mapping Protocol и Internet Gateway Device (IGD) Protocol, входящий в набор протоколов UPnP. К своему удивлению я обнаружил, что в рунете информация по данному вопросу более чем скудна, что и сподвигло меня на написание данной заметки.

Для начала приведу краткий FAQ:

Q: Для чего нужны данные протоколы?
A: Для формирования на маршрутизаторе правила проброса определенного TCP/UDP порта (Port Forwarding) не вручную, а «автоматически», т.е. по запросу от хоста во внутренней сети.

Q: Как это реализуется?
A: Устройство за NAT отправляет маршрутизатору запрос с указанием внутреннего и внешнего номеров портов и типа протокола (TCP/UDP). Если указанный внешний порт свободен, маршрутизатор формирует у себя правило трансляции и рапортует запросившему компьютеру об успешном выполнении запроса.

Q: Проводится ли на маршрутизаторе аутентификация/авторизация запросов на открытие порта?
A: Нет, не проводится.

Теперь же рассмотрим работу данных протоколов более подробно (под катом).

Port Mapping Protocol

NAT-PMP описан в RFC 6886. Для своей работы он использует UDP-порт сервера 5351.

Рассмотрим работу протокола на конкретном примере — торрент-клиенте Vuze 5.7 для Windows 7.

Примечание: NAT-PMP во Vuze по умолчанию выключен. Его необходимо активировать в настройках плагинов.

1. Запускаем Wireshark. В строке фильтра вводим nat-pmp
2. Запускам Vuze.
3. Останавливаем перехват пакетов, смотрим результаты.

У меня получилось следующее:

Всего видим 6 пакетов (3 запроса и 3 ответа).

Первые 2 это запрос внешнего адреса маршрутизатора и ответ с указанием этого самого адреса. Не будем на них подробно останавливаться и лучше рассмотрим, как происходит маппинг портов на примере пакетов 3-4.

Здесь мы видим, что запрашивается проброс внешнего UDP порта 48166 на такой же внутренний порт. Интересно, что внутри протокола не указывается адрес хоста, на который должна происходить трансляция (Inside Local в терминологии Cisco). Это означает, что маршрутизатор должен взять адрес источника пакета из IP-заголовка и использовать его в качестве Inside Local.

Параметр Requested Port Mapping Lifetime ожидаемо означает время жизни записи в таблице трансляций.

Как мы видим, маршрутизатор предполагаемо создал запрашиваемую трансляцию и ответил кодом Success. Параметр Seconds Since Start of Epoch означает время с момента инициализации таблицы трансляций (т.е. с момента последней перезагрузки роутера).

Маппинг TCP-портов происходит точно также и отличается только значением поля Opcode.

После того, как приложение прекратило использовать данные порты, оно может послать маршрутизатору запрос на удаление трансляции.
Главное отличие запроса на удаление от запроса на создание заключается в том, что параметр Lifetime устанавливается в ноль.

Вот что произойдет, если мы закроем Vuze.

На этом рассмотрение NAT-PMP закончено, предлагаю перейти к несколько более «мудреному» UPnP IGD.

Internet Group Device Protocol

Для обмена своими сообщениями данный протокол использует SOAP.

Однако, в отличие от NAT-PMP, IGD не использует фиксированный номер порта сервера, поэтому перед тем, как обмениваться сообщениями, нужно сперва этот порт узнать. Делается это при помощи протокола SSDP (данный протокол является частью UPnP и используется для обнаружения сервисов).

Запускаем торрент-клиент. Он формирует SSDP-запрос и отсылает его на мультикастовый адрес 239.255.255.250.

Маршрутизатор формирует ответ и отправляет его уже юникастом:

Внутри ответа мы можем увидеть URL для взаимодействия с маршрутизатором по протоколу IGD.

Далее Vuze подключается к маршрутизатору по указанному URL и получает XML с информацией о данном устройстве, в том числе содержащую набор URI для управления некоторыми функциями маршрутизатора. После того, как нужный URI найден в rootDesc.xml, Vuze отправляет SOAP-запрос на содание NAT-трансляции по найденному URI.

Примечание: до того, как запросить создание трансляции, Vuze заставил маршрутизатор перечислить все имеющиеся Port Forwarding’и. Для чего это было сделано, я могу лишь догадываться.

SOAP-запрос на создание трансляции UDP-порта:

Как говорилось ранее, нужный URI (идет сразу после POST) Vuze взял из rootDesc.xml. Для добавления трансляции используется функция с названием AddPortMapping.

Также можно отметить, что, в противоположность NAT-PMP, Inside Local-адрес указывается внутри самого протокола.

Аналогично NAT-PMP, при закрытии торрент-клиента маппинги проброшенных портов удаляются. Делается это функцией DeletePortMapping:

Можно заметить, что для удаления правила достаточно указать только тип протокола (UDP) и номер внешнего порта, не указывая остальные параметры.

Заключение

В данной статье мы рассмотрели два достаточно простых способа по созданию на домашнем роутере правил Port Forwarding по команде от хоста из локальной сети. Остается лишь отметить, что если вы считаете работу данных протоколов угрозой безопасности вашей домашней сети, то их можно попытаться выключить (хотя, конечно, гораздо лучше доверить вопросы безопасности утилите, которая для этого предназначена — файрволу). В случае моего Zyxel Giga II, на котором, к слову, и проводились все тесты, это делается CLI-командой no service upnp (примечательно, что в веб-интерфейсе опция включения/отключения UPnP отсутствует).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *