Почему Universal Plug and Play небезопасен
Компьютерные технологии призваны облегчать работу различных современных гаджетов. Но при их использовании существуют риски:
Доступ глобальной сети.
Изначально планировалось использовать этот умный сервис для связи домашних компьютерных гаджетов только на локальном уровне внутри одной сети. Эта система настолько прижилась в IT-мире, но и многие модифицированные роутеры теперь включают UPnP в прошивку по умолчанию, тем самым давая доступ к самому маршрутизатору и всем подключенным к нему девайсам сети Интернет. Этим могут воспользоваться компьютерные злоумышленники (получить доступ к чужому ПК, использовать подключенные устройства для рассылки спама и вирусов).
Ошибки программирования устройств.
Не все электронные гаджеты поспевают за обновлениями программных обеспечений. UPnP совершенствуется разработчиками каждый год, но мошенники находят уязвимые места в программах подключенных устройств и тем самым обходят защиту UPnP и подключаются к персональным устройствам пользователя из его локальной сети.
Что такое UPnP и почему его нужно отключить? | Портал о системах видеонаблюдения и безопасности
Вы бы предпочли выбрать удобство или безопасность? UPnP помогает быстро подключать устройства к сети – нет необходимости в ручной настройке. Однако он также может позволить хакерам входить в вашу сеть для выполнения вредоносных действий. Стоит узнать, как хакеры используют UPnP и что можно сделать, чтобы защитить себя.
Что такое переадресация портов?
Чтобы понять, что такое UPnP, нужно сначала разобраться, что такое переадресация портов. Она используется для установления прямого подключения между домашним устройством или сервером и удаленным устройством. Например, вы можете подключить ноутбук к видеокамере и следить за ним, пока находитесь вдали.
Как это работает? Все ваши домашние устройства, включая маршрутизатор, вместе создают локальную сеть (LAN). Все, что находится за пределами локальной сети, например, серверы сайта или компьютер вашего друга, расположено в глобальной сети (WAN).
Как правило, никто за пределами вашей локальной сети не может получить доступ к устройствам в вашей сети, если вы не позволите им воспользоваться переадресацией портов.
Что такое UPnP?
Это протокол, который позволяет приложениям и другим устройствам в вашей сети автоматически открывать и закрывать порты для подключения друг к другу
Например, если вы решили подключить принтер ко всем устройствам в доме без UPnP, то вам потребуется сделать это вручную, уделяя внимание каждому отдельному девайсу
Но благодаря UPnP можно автоматизировать этот процесс. UPnP предлагает нулевую конфигурацию, что означает, что ни одно из устройств в вашей сети не нуждается в ручной настройке для обнаружения нового устройства.
С поддержкой UPnP они могут автоматически подключаться к сети, получать IP-адрес, находить другие устройства в сети и подключаться к ним, и это очень удобно.
Для чего используется UPnP?
- Игры. Подключение Xboxes и других игровых приставок для потоковой передачи онлайн игр;
- Дистанционное видеонаблюдение. Вы можете использовать UPnP для подключения к домашним камерам, когда находитесь не дома;
- Цифровые ые помощники;
- Устройства IOT, такие как интеллектуальное освещение, смарт-замки и т.д.;
- Потоковая передача мультимедиа;
Почему UPnP небезопасен?
Первоначально предполагалось, что UPnP будет работать только на уровне локальной сети, что означает, что устройства только в вашей сети могут подключаться друг к другу. Однако многие производители маршрутизаторов теперь включают UPnP по умолчанию, что делает их доступными для обнаружения из WAN, а это приводит к многочисленным проблемам безопасности.
UPnP не использует аутентификацию или авторизацию (только некоторые устройства), предполагая, что устройства, пытающиеся подключиться к нему, являются надежными и поступают из вашей локальной сети. Это означает, что хакеры могут найти бэкдоры в вашей сети. Например, они отправят UPnP-запрос на ваш маршрутизатор и он откроет им порт без лишних вопросов.
Как только хакер получит доступ к сети, он сможет:
- Получить удаленный доступ к другим устройствам, подключенным к той же сети;
- Установить вредоносное ПО на ваши устройства;
- Украсть вашу конфиденциальную информацию;
- Использовать ваш маршрутизатор в качестве прокси-сервера для сокрытия других вредоносных действий в интернете. Они могут использовать его для распространения вредоносных программ, кражи информации о кредитных картах и проведения фишинговых атак или атак типа DDoS. Использование вашего маршрутизатора в качестве прокси означает, что все эти атаки будут выглядеть так, будто они исходят от вас, а не от хакера.
Как защитить себя?
Когда дело доходит до уязвимостей UPnP, есть два варианта, которые вы можете выбрать для собственной защиты.
Во-первых , вы можете включить UPnP – UP, который обеспечивает механизмы аутентификации и авторизации для устройств и приложений UPnP. Однако, этот метод не считается очень надежным, так как многие устройства не поддерживают его и могут предполагать, что другие устройства, подключаемые к вашему маршрутизатору, заслуживают доверия.
Другим более безопасным методом является полное отключение UPnP. Перед этим рекомендуется проверить, уязвим ли ваш маршрутизатор к UPnP-эксплойтам. Также нужно подумать о том, хотите ли вы отказаться от удобства UPnP и сможете ли вы настроить свои устройства вручную. Для этого может потребоваться некоторые технические знания.
На видео: Как включить на роутере UPnP?
Как выключить WiFi через настройки роутера
Если аппаратно отключить Вай-Фай можно не на каждом роутере, то программно это можно сделать практически на любой модели. Для этого надо зайти в веб-интерфейс устройства, используя его адрес, который можно посмотреть на наклейке, расположенной на нижней части корпуса. Обычно это IP-адрес 192.168.1.1 или 192.168.0.1.
После авторизации, откройте раздел настроек, отвечающий за работу WiFi.
Обычно на страничке с базовыми параметрами беспроводной сети есть переключатель, позволяющий отключить раздачу WiFi. Он может быть выполнен в виде ползунка, как в моём примере, либо в виде выпадающего списка, либо в виде круглых чекбоксов «Enable»(Включить) и «Disable» (Выключить). Соответственно, для того, чтобы выключить Вай-Фай, сдвигаем ползунок в положение «Отключено» и сохраняем настройки. Вот и всё!
Чтобы включить беспроводную сеть на маршрутизаторе вновь — снова откройте параметры WiFi и сдвиньте ползунок в значение «Включить».
Примечание: Если у Вас двухдиапазонный роутер, то в этом случае обычно необходимо отключить WiFi в обоих диапазонах — 2.4 ГГц и 5 ГГц соответственно.
На более дорогих и продвинутых моделях роутеров есть возможность настроить контроль доступа к беспроводной сети, благодаря которому можно отключить доступ к WiFi для некоторых устройств не выключая всю беспроводную сеть. В англоязычных прошивках этот пункт обычно называется Wireless MAC Filtering.
В этом случае обычно достаточно активировать Черный список (Blacklist) и внести в него мак-адрес одного или нескольких устройств, которые не смогут после этого подключиться к Вай-Фай — роутер будет их попросту отбрасывать.
Главные достоинства и недостатки использования функции
Маршрутизаторы, включающие опцию WI-Fi Multimedia, имеют как плюсы, так и минусы использования. Поддержка технологии WMM обеспечивает роутерам целый ряд преимуществ:
- Повышение эффективности беспроводной сети.
- Поддержка стандарта осуществляется большинством производителей современного сетевого оборудования.
- Оптимизация передачи пакетов данных для увеличения скорости трафика для файлов мультимедиа, в частности видео и голосовых сигналов.
- Увеличение времени автономной работы устройств, подключаемых к сети WI-Fi и использующих в качестве источника питания аккумуляторы.
- Снижение числа ошибок.
К недостаткам можно отнести следующие факторы:
- Стандарт не поддерживается устаревшими моделями сетевого оборудования.
- Отсутствует возможность полноценной настройки абсолютных приоритетов для трафика видео и звуковых сигналов.
Как пользоваться wps?
Рассмотрим, что такое режим wps на роутере на примере того же «домофона», защищающего вашу сеть от любителей «халявного» интернета.
Как и в «классическом» варианте здесь возможно два способа подключения: программный (с помощью вводимой вручную кодовой комбинации) и аппаратный (при помощи соответствующей кнопки).
Программное подключение к wifi через wps осуществляется в случае, когда маршрутизатор поддерживает соответствующую функцию, однако кнопка qss на роутере отсутствует (или же девайс расположен в труднодоступном месте).
Здесь для wps соединения вам потребуется специальный pin-код, указанный на сервисной этикетке роутера (расположенной на тыльной панели девайса).
Если в дальнейшем физический доступ к маршрутизатору будет ограничен, рекомендуется заранее записать пин код wps (Wireless Password/PIN) при подключении и первичной настройке девайса.
На подключаемом к сети устройстве (рассмотрим пример ноутбука с ОС Windows 7) необходимо зайти в список доступных подключений и однократно щелкнуть меню «Подключение» в нужной вам SSID (как правило, здесь в качестве имени сети используется название маршрутизатора).
Далее вам откроется системное окно, где мастер настройки запросит пин код wps для автоматического подключения к данной беспроводной сети. Введите восьмизначный PIN-код, нажмите «Далее» — и беспроводное подключение к маршрутизатору будет автоматически установлено.
— Для чего нужна кнопка wps на роутере?
Чтобы подключиться к беспроводной сети через wps «аппаратным» способом достаточно сперва нажать соответствующую кнопку на WiFi-адаптере (или подключаемом к сети гаджете), а затем – на раздающем вай фай маршрутизаторе.
В течение нескольких секунд основные параметры сетевого соединения будут переданы с роутера на специальный контроллер вашего девайса, и подключение к данной точке доступа произойдет автоматически.
Измените наименование SSID
Идентификатор SSID (Service Set Identifier) — это название вашей беспроводной сети. Именно его «вспоминают» различные устройства, которые при распознавании названия и наличии необходимых паролей пытаются подключиться к локальной сети. Поэтому если вы сохраните стандартное название, установленное, например, вашим провайдером, то есть вероятность того, что ваши устройства будут пытаться подключиться ко множеству ближайших сетей с тем же самым названием.
Более того, роутер, транслирующий стандартный SSID, более уязвим для хакеров, которые будут примерно знать его модель и обычные настройки, и смогут нанести удар в конкретные слабые места такой конфигурации. Потому выберите как можно более уникальное название, ничего не говорящее ни о провайдере услуг, ни о производителе оборудования.
При этом часто встречающийся совет скрывать трансляцию SSID, а такая опция стандартна для подавляющего большинства роутеров, на самом деле несостоятелен. Дело в том, что все устройства, пытающиеся подключиться к вашей сети, в любом случае будут перебирать ближайшие точки доступа, и могут подключиться к сетям, специально «расставленным» злоумышленниками. Иными словами, скрывая SSID, вы усложняете жизнь только самим себе.
Функция wps в роутере: что это такое и зачем она нужна?
На самом деле режим wps – отнюдь не радикальный способ избавиться от опасного оборудования. Все гораздо прозаичнее и безопаснее: функция WPS (от Wi-Fi Protected Setup) облегчает пользователю процедуру подключения к беспроводной сети данного маршрутизатора.
Для «прояснения» картины разберем, что такое wps на модеме более наглядно.
Представьте, что создаваемая вашим роутером беспроводная сеть – это дом, в котором «живут» его хозяева – подключаемые к сети пользовательские устройства (ваш ПК, планшет, мобильный телефон и т.д.).
«Жители» домашней сети могут выходить из дома и возвращаться назад (подключение к WiFi), назначать руководство (приоритет девайса) и приглашать к себе гостей (временное подключение новых пользователей).
Но в мире WiFi (как и в любом другом) имеются любители «халявы», и каждый такой «дом» нуждается в защите хорошим кодовым замком. Ведь если оставить «дверь» открытой (не установить надежный пароль для подключения к вай фай), в дом непременно залезут воры (несанкционированные пользователи сети из числа соседей или случайных прохожих) и начнут бессовестно красть ваш трафик.
Однако такая защита WiFi-сети замком-паролем зачастую усложняет жизнь самим хозяевам «дома»: ведь теперь чтобы попасть вовнутрь приходится каждый раз искать нужный ключ и открывать сложный замок. А что делать, если ключ-пароль потерялся? Или на «открывание двери» просто нет времени? Доходит до того, что пользователи пытаются взломать свой WiFi или сбрасывают настройки роутера до заводских.
Во избежание подобных казусов и нужен wps на роутере: эта функция выполняет роль своеобразного домофона, автоматически создавая новое беспроводное подключение и генерируя все необходимые для него параметры (ключ безопасности, тип шифрования данных и т.д.).
При этом компьютер с ОС Windows 7/ Windows 8 автоматически сканирует функцию qss, и (если доступно wps-подключение к сети) информирует пользователя соответствующим системным сообщением.
Обзор
Архитектура UPnP позволяет объединять в сеть бытовую электронику , мобильные устройства, персональные компьютеры и бытовую технику , подключенную к сети . Это распределенный протокол с открытой архитектурой , основанный на установленных стандартах, таких как Internet Protocol Suite (TCP / IP), HTTP , XML и SOAP . Контрольные точки UPnP (CP) – это устройства, которые используют протоколы UPnP для управления устройствами (CD), управляемыми UPnP .
Архитектура UPnP поддерживает работу в сети с нулевой конфигурацией. UPnP-совместимое устройство от любого поставщика может динамически подключаться к сети, получать IP-адрес, объявлять свое имя, рекламировать или передавать свои возможности по запросу и узнавать о присутствии и возможностях других устройств. Серверы протокола динамической конфигурации хоста (DHCP) и системы доменных имен (DNS) не являются обязательными и используются только в том случае, если они доступны в сети. Устройства могут автоматически отключаться от сети, не оставляя информации о состоянии .
UPnP был опубликован как международный стандарт ISO / IEC 29341, состоящий из 73 частей, в декабре 2008 года.
Другие функции UPnP включают:
- Независимость от средств массовой информации и устройств
- Технология UPnP может работать на многих носителях, поддерживающих IP, включая Ethernet , FireWire , ИК ( IrDA ), домашнюю проводку ( G.hn ) и RF ( Bluetooth , Wi-Fi ). Никакой специальной поддержки драйверов устройств не требуется; Вместо этого используются общие сетевые протоколы.
- Пользовательский интерфейс (UI) Управление
- При желании архитектура UPnP позволяет устройствам представлять пользовательский интерфейс через веб-браузер (см. ниже).
- Независимость от операционной системы и языка программирования
- Для создания продуктов UPnP можно использовать любую операционную систему и любой язык программирования. Стеки UPnP доступны для большинства платформ и операционных систем как в закрытой, так и в открытой форме.
- Расширяемость
- Каждый продукт UPnP может иметь службы для конкретных устройств, расположенные поверх базовой архитектуры. Помимо объединения сервисов, определенных UPnP Forum различными способами, поставщики могут определять свои собственные устройства и типы сервисов, а также могут расширять стандартные устройства и сервисы с помощью действий, определенных поставщиком, переменных состояния, элементов структуры данных и значений переменных.
Немного теории
Подключая один или несколько ПК к сети Интернет через DSL, преимущественно используют технологию NAT (преобразование сетевого адреса). NAT позволяет нескольким ПК частной сети пользоваться общим IP-адресом, который обеспечивает выход в сеть. NAT дополнительно защищает частную сеть, хотя это не сетевой экран (firewall).
Пользователь доступа DSL должен понимать, что NAT присутствует только в модеме с возможностью роутера, то есть к модему одновременно можно подключить два и более ПК. В подобном случае все настройки для соединения с интернетом (пароль, логин) прописываются в самом модеме. В случае использования модема без функции роутера функция NAT отсутствует.
Для того чтобы входящее соединение могло беспрепятственно проходить к внутрисетевым службам нужно соответствующее сопоставление портов. Если сопоставление не соответствует или не выполнено, то связь с программой (службой) из сети Интернет станет недоступна. Зачастую в подобном случае прибегают к ручной настройке по сопоставлению портов.
Сопоставлять порты вручную довольно трудоемкое занятие. Это достаточно сложно, требуется определенный опыт и знания. Большинство пользователей не в состоянии справиться с подобной задачей без посторонней помощи специалиста. Они и не предполагают, что становятся «жертвами» NAT. При любой попытке воспользоваться приложением, которое принимает внешний вызов, пользователю не удается осуществить поставленную задачу.
Для решения подобной проблемы был разработан технологический процесс NAT Traversal.
Он позволяет сетевому приложению определять, что оно находиться за устройством NAT, идентифицирует внешний адрес IP, настраивает сопоставление портов. Все это выполняется в автоматическом режиме. Функциональный процесс NAT Traversal опирается на протоколы управления и обнаружения, которые являются неотъемлемой частью Universal Plug and Play. Upnp избавляет пользователя от ручной настройки таблиц сопоставления NAT, не нужно дополнительно устанавливать настройки в роутере. Нужно только активировать возможности UPnP.
Большое количество роутеров и кабельных модемов, которые выпускаются на сегодняшний день, обладают встроенной поддержкой UPnP
Выбирая подобное устройство нужно обращать внимание на наличие функции UPnP. Эта поддержка может в дальнейшем сильно уменьшить вашу головную боль при возникновении проблемы связанной с ручной настройкой роутера. Правильная работа UPnP приложения должна осуществляться как приложением, так и модемом или роутером
Не все приложения имеют поддержку этого технологического процесса. В некоторых модемах UPnP отключен, его нужно включать вручную
Правильная работа UPnP приложения должна осуществляться как приложением, так и модемом или роутером. Не все приложения имеют поддержку этого технологического процесса. В некоторых модемах UPnP отключен, его нужно включать вручную.
Если у вас есть такие приложения, то вам обязательно нужно активировать поддержку, как в самой системе, так и в модеме.
Включить поддержку UPnP в Windows, можно выполнив такие действия:
- Нажать меню Пуск, выбрать панель Управления.
- В панели управления нажать на ярлык Установка удаление программ и Установка компонентов Windows.
- В пункте Компоненты выбрать Сетевые службы. Поставить галочку напротив и нажать Состав.
- В диалоговом окне сетевых служб следует поставить галочку напротив Клиент обнаружения и управления устройствами шлюза Интернет. Так же нужно отметить и Пользовательский интерфейс UPnP.
- Нажимаем Ок и Далее.
Возможно, потребуется установочный диск Windows.
Подобный процесс установки пригоден для большинства систем Windows XP. Настойки в роутере выполняются согласно его технической документации.
Привет! Очень часто бывает, что после установки роутера отказываются работать такие программы как uTorrent, DC++ и подобные клиенты для P2P сетей. Это происходит по той причине, что программа не может получить файл на компьютер который находится в локальной сети (за роутером) . Но проблема может возникнуть не только с клиентами P2P сетей, но и с онлайн играми, настройкой WEB, или FTP серверов и т. д.
Для того, что бы все работало, необходимо делать перенаправленние портов. Если делать это вручную, то сам процесс немного сложный и непонятный. Нужно присваивать каждому компьютеру статический IP, затем навастривать перенаправленные портов в настройках маршрутизатора.
Есть такая полезная функция, как UPnP
. Это такой себе автоматический переброс портов. В большинстве случаев, достаточно включить UPnP в настройках роутера (если он еще не включен) и все будет работать отлично. Но иногда, без ручного переброса портов не обойтись. Каждый способ имеет свои плюсы и минусы.
Как включить upnp на роутере, самостоятельно
Прежде всего – что такое UPNP? Это – служба Universal Plug and Play, позволяющая автоматически находить и настраивать любые устройства в локальной сети. Сначала – рассмотрим, как включить upnp на роутере, затем – на компьютере. Все популярные программы: uTorrent, ICQ, Skype – корректно работают с этой службой, в них нужно просто «включить» UPNP… Все остальные настройки (портов и IP-адресов для работы программ), система «берет на себя». То есть, настраивать ничего не придется, в каждой новой программе – включается UPNP, и роутер – выдает «адрес» и «порт». Впрочем, все – по порядку.
Что даст вашей локальной «сети» включение UPNP? Высокую скорость работы на торрентах, без необходимости настраивать роутер. Технологию UPNP «понимают» большинство современных программ. Отсутствует необходимость в проброске портов
Вручную же, настраивать сопоставление портов для каждой программы – сложно; а без него, не будет реакции на «внешнюю» сеть (важно для FTP-server, Skype, ICQ)
Чтобы включить службу UPNP, сначала – внесем изменения в настройки роутера.
Настраиваем роутер
Зайдите в web-интерфейс вашего роутера. Нужна вкладка с «дополнительными настройками». На примере dir-300: «Advanced Network» ->«Advanced».
Web интерфейс роутера
Установив одну галочку «Enable UPNP», сохраните настройки с перезагрузкой («Save Settings»).
На D-link 500T, нужно включить UPnP (вкладка «Advanced» – > «UPnP») и DHCP-1-34 (и, затем – жать «Apply»).
Web интерфейс роутера D-link 500T
Смысл, в общем, понятен: в большинстве роутеров, сервис включается одной галочкой («UPNP»), с сохранением данных и перезагрузкой. Другие примеры – будут рассмотрены дальше.
Изменяем настройки на компьютере
В «Панель управления», в меню «Сетевых подключений» – нужен пункт «Дополнительные компоненты»:
Сетевые подключения
В новом окне, смотрим «состав» «Сетевых служб»:
Компоненты Windows
Здесь – как раз и включается «интерфейс UPNP».
Пользовательский интерфейс UPNP
Жмем «ОК». Затем «Далее». Ждем какое-то время (до завершения установки):
Мастер настройки
После которой, среди «Сетевых подключений» – появится новое («Шлюз Интернета»):
Окно “сетевые подключения”
На этом, настройка – завершена. Аналогичные действия, выполняем на каждом компьютере.
Примечание: иногда, чтобы сервис начал работать, требуется перезагрузка ПК.
Например, пусть это будет u-Torrent:
Настройка программы u-Torrent
В меню «Настройки» – нажать «Настройки Программы». Выбрать «Соединение». И настройть – как на рисунке. После «ОК» -> «Применить», торрент будет работать c UPNP.
Убедиться в чем – можно, перейдя к «Свойствам» соединения в «Шлюзе»:
Контекстное меню
В «Свойствах», нужно нажать «Параметры»:
Параметры подключения – Свойство
В которых, мы видим, что правило для «u-Torrent» – появилось автоматически:
Дополнительные параметры
Примечание: если u-Torrent установлен на нескольких «станциях» сети, в каждом u-Torrent-е, вы задаете «свой» порт:
Настройка портов
К примеру, возможны значения: 64400, 64399, и т.д. Притом, ни в коем случае не нужно задействовать «Случайный порт».
Настройка клиента u-Torrent – завершена.
Приступим к настройке программы Skype:
Настройка клиента Skype
Вот как настроить UPNP в «Скайп» (включив одну галочку – «UPNP»). В результате, получим локальную сеть, которая работает так.
Схема подключения
Ваша программа, станет доступна из внешней сети по «внешнему» IP-адресу (в паре «внешний» IP: ее «порт»). Следить нужно только за тем, чтобы значения «порта» – не пересекались (в разных программах; на разных ПК). Пожалуй, это – единственное, что от пользователя требуется.
Дополнительно: включение в роутерах сервиса «UPNP»
В Zyxel keenetic (v1):
Web интерфейс Zyxel keenetic
Вкладка «Домашняя сеть» -> «UPNP», нужна галочка – «Разрешить». Нажав «Сохранить», вы сохраните настройки без перезагрузки (которая, вроде бы, не обязательна).
Web интерфейс dir-620
Здесь UPNP – на последней закладке «Сети» (ставим галочку, сохраняем, перезагружаем).