Что такое UPnP и почему его нужно отключить?
Вы бы предпочли выбрать удобство или безопасность? UPnP помогает быстро подключать устройства к сети — нет необходимости в ручной настройке. Однако он также может позволить хакерам входить в вашу сеть для выполнения вредоносных действий. Стоит узнать, как хакеры используют UPnP и что можно сделать, чтобы защитить себя.
Что такое переадресация портов?
Чтобы понять, что такое UPnP, нужно сначала разобраться, что такое переадресация портов. Она используется для установления прямого подключения между домашним устройством или сервером и удаленным устройством. Например, вы можете подключить ноутбук к видеокамере и следить за ним, пока находитесь вдали.
Как это работает? Все ваши домашние устройства, включая маршрутизатор, вместе создают локальную сеть (LAN). Все, что находится за пределами локальной сети, например, серверы сайта или компьютер вашего друга, расположено в глобальной сети (WAN). Как правило, никто за пределами вашей локальной сети не может получить доступ к устройствам в вашей сети, если вы не позволите им воспользоваться переадресацией портов.
Что такое UPnP?
Это протокол, который позволяет приложениям и другим устройствам в вашей сети автоматически открывать и закрывать порты для подключения друг к другу. Например, если вы решили подключить принтер ко всем устройствам в доме без UPnP, то вам потребуется сделать это вручную, уделяя внимание каждому отдельному девайсу. Но благодаря UPnP можно автоматизировать этот процесс.
UPnP предлагает нулевую конфигурацию, что означает, что ни одно из устройств в вашей сети не нуждается в ручной настройке для обнаружения нового устройства. С поддержкой UPnP они могут автоматически подключаться к сети, получать IP-адрес, находить другие устройства в сети и подключаться к ним, и это очень удобно.
Для чего используется UPnP?
Почему UPnP небезопасен?
Первоначально предполагалось, что UPnP будет работать только на уровне локальной сети, что означает, что устройства только в вашей сети могут подключаться друг к другу. Однако многие производители маршрутизаторов теперь включают UPnP по умолчанию, что делает их доступными для обнаружения из WAN, а это приводит к многочисленным проблемам безопасности.
UPnP не использует аутентификацию или авторизацию (только некоторые устройства), предполагая, что устройства, пытающиеся подключиться к нему, являются надежными и поступают из вашей локальной сети. Это означает, что хакеры могут найти бэкдоры в вашей сети. Например, они отправят UPnP-запрос на ваш маршрутизатор и он откроет им порт без лишних вопросов.
Как только хакер получит доступ к сети, он сможет:
Как защитить себя?
Когда дело доходит до уязвимостей UPnP, есть два варианта, которые вы можете выбрать для собственной защиты.
Другим более безопасным методом является полное отключение UPnP. Перед этим рекомендуется проверить, уязвим ли ваш маршрутизатор к UPnP-эксплойтам. Также нужно подумать о том, хотите ли вы отказаться от удобства UPnP и сможете ли вы настроить свои устройства вручную. Для этого может потребоваться некоторые технические знания.
На видео: Как включить на роутере UPnP?
Как пробросить порты без роутера
Технология Universal Plug and Play (UPnP) является удобным способом обеспечения любой сетевой программы, которой необходимо пробросить порты без необходимости настройки «маппинга» на веб-интерфейсе маршрутизатора. Но далеко не все программы имеют встроенную поддержку UPnP. К сожалению, некоторые программы, которые требуют перенаправление портов, не поддерживают UPnP. В этих случаях нам поможет UPnP Portmapper. Поговорим об её установке, настройке и использовании.
Но часто возникают ситуации, когда необходимо выполнить перенаправление портов, а настраивать маршрутизатор нежелательно. Например, если Вы находитесь в общественном месте или у друзей в гостях, то просто запустите UPnP Portmapper и активируйте предварительно установленные правила.
Сразу оговорюсь, что роутер и маршрутизатор я буду считать одним и тем же устройством. Разделять их на два разных вида в рамках этой статьи не имеет смысла. Но это не значит, что на самом деле они являются одним и тем же устройством. Это далеко не так.
Установка UPnP PortMapper
UPnP PortMapper целиком написан на Java, так что Вам нужен бесплатный пакет Java Runtime Environment, скачать который можно с официального сайта. После установки Java скачиваем UPnP PortMapper, например из GitHub.
Надо отметить, что UPnP PortMapper прекрасно работает также и на Mac OS X и различных Linux.
UPnP PortMapper обменивается данными с маршрутизатором по протоколам UPnP, так что Ваш маршрутизатор должен поддержить эту технологию и она должна быть включена. Впрочем, беспокоиться не о чем, все современные роутеры поддерживают UPnP, которая по умолчанию уже включена на маршрутизаторе.
Для запуска Portmapper, дважды щелкните на файле JAR.
Или запустите файл в командной строке.
Перенаправление портов с помощью UPnP PortMapper
Чтобы приступить к работе, нажмите кнопку Connect в UPnP Port Mapper. Если при этом Вы увидите всплывающее окно брандмауэра Windows, нажмите кнопку Разрешить доступ.
Если UPnP Portmapper сообщает Вам в поле Log messages, что он не может найти маршрутизатор.
Значит настройка UPnP выключена на самом маршрутизаторе. Нужно зайти в веб-интерфейс маршрутизатора и включить UPnP.
После нажатия кнопки Connect произойдет подключение к маршрутизатору и Вы увидите список сопоставлений портов UPnP в верхней панели (этот список будет пустым по умолчанию), а также внешний IP-адрес маршрутизатора в сети Интернет и его IP-адрес в вашей локальной сети.
Для создания нового перенаправления портов, нажмите кнопку Create.
Введите описание для правила переадресации и укажите список из одного или нескольких портов для пересылки. Вы можете указать диапазон портов c помощью кнопки Add port range.
Кроме того, можно указать конкретный удаленный хост. При вводе IP-адреса, трафик только с этого адреса будут пересылаться на Ваш компьютер от маршрутизатора. Для примера, Вы можете использовать эту функцию, чтобы разрешить только соединения от интернет-IP-адреса Вашего друга.
Галка Локальный хост по умолчанию установлена, она пересылает порты на адрес Вашего компьютер без необходимости перепроверять локальный IP-адрес Вашего компьютера. Если отключить галку, то можно использовать приложение для пересылки портов к нескольким различным компьютерам в сети.
После указания диапазона портов, они будут отображаться в пресете Ports. Сохраняете выбранный диапазон, выберите предустановку и нажимаете кнопку Use, чтобы активировать выбранный диапазон портов.
При нажатии на кнопку Use Portmapper переадресует порты на маршрутизатор, Увидеть подготовленную настройку можно в пресете Port mappings.
Удалить сопоставления портов можно, выделив строку в таблице и нажав кнопку Delete.
Проделанные настройки для проброса портов будут сохранены на маршрутизаторе, пока его кэш с данными UPnP не будет очищен. В зависимости от Вашего маршрутизатора, это может произойти, например, когда маршрутизатор будет перезагружен. Если Вы откроете UPnP Port Mapper в следующий раз и нажмите кнопку Connect, Вы увидите Ваши активные сопоставления портов.
Вам также необходимо повторно применить настройки отображения портов, если локальный IP-адрес Вашего компьютера изменился.
С UPnP PortMapper, Вы сможете быстро и легко применить настройки перенаправления портов в любой сети с маршрутизатором, который поддерживает UPnP. Это удобно, если Вы используете ноутбук вне дома и Вам необходимо осуществить проброс портов для игр, серверов или других задач.
Открываем порты за NAT при помощи NAT-PMP и UPnP IGD
Ранее я много раз слышал, что UPnP каким-то образом умеет самостоятельно открывать порты (производить Port Forwarding на роутере) по запросу от хоста из локальной сети. Однако, то, каким именно образом это происходит, и какие протоколы для этого используются, доселе было покрыто для меня пеленой тумана.
В данной статье я хочу кратко рассказать, как работают два механизма для проброса портов, а именно NAT Port Mapping Protocol и Internet Gateway Device (IGD) Protocol, входящий в набор протоколов UPnP. К своему удивлению я обнаружил, что в рунете информация по данному вопросу более чем скудна, что и сподвигло меня на написание данной заметки.
Для начала приведу краткий FAQ:
Q: Для чего нужны данные протоколы?
A: Для формирования на маршрутизаторе правила проброса определенного TCP/UDP порта (Port Forwarding) не вручную, а «автоматически», т.е. по запросу от хоста во внутренней сети.
Q: Как это реализуется?
A: Устройство за NAT отправляет маршрутизатору запрос с указанием внутреннего и внешнего номеров портов и типа протокола (TCP/UDP). Если указанный внешний порт свободен, маршрутизатор формирует у себя правило трансляции и рапортует запросившему компьютеру об успешном выполнении запроса.
Q: Проводится ли на маршрутизаторе аутентификация/авторизация запросов на открытие порта?
A: Нет, не проводится.
Теперь же рассмотрим работу данных протоколов более подробно (под катом).
Port Mapping Protocol
NAT-PMP описан в RFC 6886. Для своей работы он использует UDP-порт сервера 5351.
Рассмотрим работу протокола на конкретном примере — торрент-клиенте Vuze 5.7 для Windows 7.
Примечание: NAT-PMP во Vuze по умолчанию выключен. Его необходимо активировать в настройках плагинов.
1. Запускаем Wireshark. В строке фильтра вводим nat-pmp
2. Запускам Vuze.
3. Останавливаем перехват пакетов, смотрим результаты.
У меня получилось следующее:
Всего видим 6 пакетов (3 запроса и 3 ответа).
Первые 2 это запрос внешнего адреса маршрутизатора и ответ с указанием этого самого адреса. Не будем на них подробно останавливаться и лучше рассмотрим, как происходит маппинг портов на примере пакетов 3-4.
Здесь мы видим, что запрашивается проброс внешнего UDP порта 48166 на такой же внутренний порт. Интересно, что внутри протокола не указывается адрес хоста, на который должна происходить трансляция (Inside Local в терминологии Cisco). Это означает, что маршрутизатор должен взять адрес источника пакета из IP-заголовка и использовать его в качестве Inside Local.
Параметр Requested Port Mapping Lifetime ожидаемо означает время жизни записи в таблице трансляций.
Как мы видим, маршрутизатор предполагаемо создал запрашиваемую трансляцию и ответил кодом Success. Параметр Seconds Since Start of Epoch означает время с момента инициализации таблицы трансляций (т.е. с момента последней перезагрузки роутера).
Маппинг TCP-портов происходит точно также и отличается только значением поля Opcode.
После того, как приложение прекратило использовать данные порты, оно может послать маршрутизатору запрос на удаление трансляции.
Главное отличие запроса на удаление от запроса на создание заключается в том, что параметр Lifetime устанавливается в ноль.
Вот что произойдет, если мы закроем Vuze.
На этом рассмотрение NAT-PMP закончено, предлагаю перейти к несколько более «мудреному» UPnP IGD.
Internet Group Device Protocol
Для обмена своими сообщениями данный протокол использует SOAP.
Однако, в отличие от NAT-PMP, IGD не использует фиксированный номер порта сервера, поэтому перед тем, как обмениваться сообщениями, нужно сперва этот порт узнать. Делается это при помощи протокола SSDP (данный протокол является частью UPnP и используется для обнаружения сервисов).
Запускаем торрент-клиент. Он формирует SSDP-запрос и отсылает его на мультикастовый адрес 239.255.255.250.
Маршрутизатор формирует ответ и отправляет его уже юникастом:
Внутри ответа мы можем увидеть URL для взаимодействия с маршрутизатором по протоколу IGD.
Далее Vuze подключается к маршрутизатору по указанному URL и получает XML с информацией о данном устройстве, в том числе содержащую набор URI для управления некоторыми функциями маршрутизатора. После того, как нужный URI найден в rootDesc.xml, Vuze отправляет SOAP-запрос на содание NAT-трансляции по найденному URI.
Примечание: до того, как запросить создание трансляции, Vuze заставил маршрутизатор перечислить все имеющиеся Port Forwarding’и. Для чего это было сделано, я могу лишь догадываться.
SOAP-запрос на создание трансляции UDP-порта:
Как говорилось ранее, нужный URI (идет сразу после POST) Vuze взял из rootDesc.xml. Для добавления трансляции используется функция с названием AddPortMapping.
Также можно отметить, что, в противоположность NAT-PMP, Inside Local-адрес указывается внутри самого протокола.
Аналогично NAT-PMP, при закрытии торрент-клиента маппинги проброшенных портов удаляются. Делается это функцией DeletePortMapping:
Можно заметить, что для удаления правила достаточно указать только тип протокола (UDP) и номер внешнего порта, не указывая остальные параметры.
Сетевой порт/Использование UPnP для перенаправления порта
В Википедии имеется статья по теме «UPnP»
Содержание
В роутере [ править ]
Проверьте, что ваш роутер поддерживает UPnP и эта поддержка разрешена в настройках. Иногда производитель добавляет или исправляет поддержку UPnP только в новых версиях прошивки (firmware) роутера.
В программе [ править ]
UPnP поддерживается многими программами, в том числе большинством популярных битторрент клиентов, см. таблицу Сравнение BitTorrent-программ.
Некоторые программы (Azureus, µTorrent) общаются с роутером самостоятельно, но многие другие (например BitComet) опираются на встроенную в Windows XP поддержку UPnP, и не могут использовать UPnP на других ОС.
Программы для работы с UPnP [ править ]
Эти программы позволяют просматривать, добавлять и удалять портмэппинги через UPnP, даже чужие.
UPNP Router Port Mapping Tool — маленькая программка, не требует дополнительных библиотек, не использует Windows UPnP библиотеки, очень быстрая. Не требует установки. Минус — не может сохранять настройки и некорректно работает, если в системе несколько сетевых адаптеров (в т.ч. Hamachi). Также не позволяет выбрать роутер, если есть несколько с поддержкой UPnP.
UPnP PortMapper — программа на яве, слегка тормознутая, интерфейс убогий. Зато поддерживает профили и позволяет их быстро применять.
Проблемы [ править ]
Если в вашем роутере нет UPnP или он плохо работает, то уберите в программе галочку UPnP и делайте Перенаправление порта вручную
Как перенаправить порты без входа в маршрутизатор
Вы пытаетесь запустить веб-программу или веб-игру, но соединение невозможно установить, потому что порт на маршрутизаторе заблокирован? Вам не нужно вводить настройки маршрутизатора — есть способ разблокировать порт без входа в маршрутизатор.
Обычно, когда нам нужно разблокировать порт, мы заходим в маршрутизатор и ищем опцию «Переадресация портов», где мы можем перенаправить выбранный порт на его внутренний IP-адрес. Однако это имеет несколько недостатков — в первую очередь вам нужно войти в маршрутизатор, и не все знают данные для входа в систему. Кроме того, порт перенаправляется на определенный IP-адрес в сети (на нашем компьютере), однако этот адрес может измениться при подключении большего количества устройств, поэтому необходимо будет перенаправить порт или изменить настройки.
Существует еще один, более простой способ перенаправления портов на вашем компьютере и не требует входа в маршрутизатор. Он основан на функции UPnP, то есть на возможности переадресации портов «по требованию» — большинство маршрутизаторов имеют эту опцию, и она включена по умолчанию. Когда UPnP включен на маршрутизаторе, программа, которая нуждается в доступе к порту, отправляет сообщение маршрутизатору, и это позволяет подключиться. Как его использовать?
Переадресация портов через функцию UPnP
Если вы используете сеть BitTorrent и используете популярную программу uTorrent, UPnP, безусловно, знает — uTorrent использует этот механизм для перенаправления портов по требованию, поэтому сегодня нет необходимости в специальной переадресации портов для использования торрентов. К сожалению, не каждая программа или компьютерная игра имеет такой механизм — в этом случае программа UPnP PortMapper поможет нам, что позволяет использовать технологию UPnP для перенаправления любого порта на наш компьютер.
Загрузить UPnP PortMapper
Программа была написана на Java, поэтому для ее запуска на вашем компьютере должен быть установлен пакет Java Runtime Environment. После установки пакета просто запустите программу UPnP PortMapper, используя загруженный файл «.jar».
Для целей руководства мы проверим и перенаправим порт 25565, который часто используется в Minecraft, например, для создания сервера для игры с друзьями.
Я разблокирую его сейчас, используя программу UPnP PortMapper, не входя в маршрутизатор. Прежде всего, в программе нажмите кнопку «Подключить», чтобы установить соответствующие подключения и узнать наш IP-адрес — внешний и внутренний маршрутизатор.
Если соединение с маршрутизатором установлено, но отображается только внешний адрес (внешний), а поле «Внутренний» пуст, вы должны нажать «Отключить» и попытаться подключиться снова. Мы также можем свободно настраивать параметр в разделе «Настройки PortMapper» и пытаться подключиться снова — в результате программа должна распознавать оба адреса и отображать их в списке.
После установления соединения мы посмотрим на правую часть окна программы, где мы найдем раздел «Настройки префикса порта». Мы нажимаем кнопку «Создать», чтобы создать новый набор переадресации портов.
В новом окне в поле «Descritpion» мы даем имя для данного перенаправления. Например, я перенаправляю порт 25565, т. Е. Даю ему имя Minecraft, чтобы знать, для чего он предназначен.
Оставьте поле «Удаленный хост» пустым. Нажмите кнопку «Добавить», чтобы добавить разблокированный порт. Обычно нам нужно разблокировать порт TCP и UDP, поэтому мы дважды нажимаем кнопку «Добавить», чтобы добавить две позиции для разблокировки.
В таблице появятся две записи. В одном мы устанавливаем TCP-протокол, в другом — UDP. В полях «Внешний порт» и «Интернет-порт» введите номер порта, который вы хотите разблокировать, — в этом случае введите 25565. Нажмите кнопку «Сохранить», чтобы сохранить нашу схему портов.
Схема добавлена в список в разделе «Настройки сопоставления портов» и активирует ее, просто выберите ее и нажмите кнопку «Использовать». Будет выполнена переадресация портов, а в списке вверху (раздел «Сопоставление портов») мы заметим, что в самом конце есть две записи «Minecraft», перенаправленные на наш компьютер (порт TCP и порт UDP).
