Upnp как работает: Недопустимое название — Викиучебник

Содержание

Что такое Universal Plug And Play (UPnP)?

Раньше это была огромная боль, чтобы настроить что-то вроде принтера. Теперь, благодаря UPnP, как только ваш Wi-Fi-принтер включен, ваш ноутбук, планшет и смартфон могут его увидеть. Universal Plug and Play — это набор протоколов и связанных с ними технологий, которые позволяют устройствам автоматически обнаруживать друг друга.

Universal Plug and Play — не путать с Plug and Play (PnP) — считается расширением Plug and Play. Когда все работает правильно, оно автоматизирует все сложные шаги, необходимые для взаимодействия устройств друг с другом, будь то напрямую (одноранговый) или по сети.

Если вы хотите узнать немного больше деталей, читайте дальше. Но будьте осторожны, это немного круче.

Universal Plug and Play использует стандартные сетевые / интернет-протоколы (например, TCP / IP, HTTP, DHCP) для поддержки нулевой конфигурации (иногда называемой «невидимой»). Это означает, что когда устройство соединяется или создает сеть, Universal Plug and Play автоматически:

  • Назначает IP-адрес устройству и объявляет имя / присутствие устройства в сети.
  • Описывает возможности / службы устройства (например, принтер, сканер) и доступность сети.
  • Предоставляет имена и возможности всех других устройств, находящихся в настоящее время в сети.
  • Устанавливает контрольные точки, чтобы можно было запрашивать действия служб (например, запуск / отмена задания на печать).
  • Обновляет состояние служб устройства (если выполняется).
  • Предоставляет пользовательский интерфейс на основе HTML для управления и / или просмотра состояния устройства.

Универсальная технология Plug and Play позволяет подключать различные проводные (например, Ethernet, Firewire ) или беспроводные (например, WiFi, Bluetooth) соединения, не требуя дополнительных / специальных драйверов. Не только это, но и использование общих сетевых протоколов позволяет любому UPnP-совместимому устройству участвовать независимо от операционной системы (например, Windows, macOS, Android, iOS), языка программирования, типа продукта (например, ПК / ноутбук, мобильное устройство, смарт устройства, аудио / видео-развлечения) или производителя.

Universal Plug and Play также имеет расширение аудио / видео (UPnP AV), которое обычно используется в современных медиа-серверах / проигрывателях, интеллектуальных телевизорах, проигрывателях CD / DVD / Blu-ray, компьютерах / ноутбуках, смартфонах и планшетах и ​​т. Д. Подобно стандарту DLNA , UPnP AV поддерживает широкий спектр цифровых аудио / видео форматов и предназначен для облегчения потоковой передачи контента между устройствами. UPnP AV обычно не требует включения универсального параметра Plug and Play на маршрутизаторах.

Универсальные сценарии Plug and Play

Одним из распространенных сценариев является сетевой принтер. Без Universal Plug and Play пользователю сначала нужно будет пройти процесс подключения и установки принтера на компьютер. Затем пользователю придется вручную настроить этот принтер, чтобы сделать его доступным / общим в локальной сети. Наконец, пользователю придется переходить на другой компьютер в сети и подключаться к этому принтеру, так что принтер может быть распознан в сети каждым из этих компьютеров — это может быть очень трудоемкий процесс, особенно если неожиданно возникают проблемы.

Благодаря Universal Plug and Play установление связи между принтерами и другими сетевыми устройствами является простым и удобным. Все, что вам нужно сделать, — подключить принтер, совместимый с UPnP, в открытый Ethernet-порт маршрутизатора, а Universal Plug and Play позаботится обо всем остальном. Другие общие сценарии UPnP:

  • Совместное использование фотографий и потоковой передачи музыки / фильмов на медиа-сервере.
  • Потоковое видео с использованием интернет-ТВ-устройств.
  • Беспроводная домашняя автоматизация (например, Internet of Things ).
  • Удаленное домашнее наблюдение.

Ожидается, что производители будут продолжать создавать потребительские устройства, предназначенные для использования Universal Plug and Play для поддержки функций. Тенденция неуклонно расширилась, чтобы охватить популярные популярные домашние продукты:

  • Цифровые ассистенты (например, Amazon Echo).
  • Интеллектуальные системы освещения.
  • Термостаты, управляемые через Интернет.
  • Умные замки для дверей.

Риски безопасности UPnP

Несмотря на все преимущества, предлагаемые Universal Plug and Play, технология по-прежнему несет определенные риски для безопасности. Проблема в том, что Universal Plug and Play не аутентифицируется, предполагая, что все, подключенное к сети, является надежным и дружественным. Это означает, что если компьютер был взломан вредоносным ПО или хакер, использующий ошибки / дыры безопасности — по сути, бэкдоры, которые могут обойти защитные сетевые брандмауэры — все остальное в сети сразу же восприимчиво.

Тем не менее, эта проблема имеет меньше общего с Universal Plug and Play (подумайте об этом как о инструменте), а также о плохой реализации (т. Е. О неправильном использовании инструмента). Многие маршрутизаторы (особенно модели старшего поколения) уязвимы, не имеют надлежащей безопасности и проверок, чтобы определить, являются ли запросы, сделанные программным обеспечением / программами или услугами, хорошими или плохими.

Если ваш маршрутизатор поддерживает Universal Plug and Play, в настройках будет указан параметр (следуйте инструкциям, приведенным в руководстве по продукту), чтобы отключить функцию. Хотя потребуется некоторое время и усилия, можно повторно включить совместное использование / потоковое управление / управление устройствами в одной сети с помощью ручной настройки (иногда выполняемой программным обеспечением продукта) и переадресации портов.

Статьи по теме:

UPnP – что это такое, опасность использования, как включить и отключить


Наверное, многие пользователи компьютеров, ноутбуков и мобильных гаджетов хоть раз хотели бы посмотреть любимые фильмы, фотографии, телепередачи, скажем, на большом экране телевизионной панели или, наоборот, синхронизировать интернет-трансляцию того же ТВ, радио с мобильным устройством, а также послушать музыку на хорошей акустической системе. Для этого нам понадобится так называемый медиа-сервер UPnP. Что это такое и как его настроить, мы сейчас и рассмотрим. Нет ничего сложного.

UPnP — что это?

Вообще, UPnP представляет собой аббревиатуру термина Universal Plug & Play. Иными словами, это некая виртуальная система, объединяющая подключения интеллектуальных устройств, находящихся в одной сети, между собой на основе протоколов TCP/IP, UDP, HTTP и т.д.

Разбираясь в теме «UPnP: что это такое?», простым языком можно описать это как создание возможности передачи и приема данных всеми устройствами, поддерживающими этот стандарт. В качестве простейшего примера можно привести, допустим, просмотр фото на том же телевизоре вместо смартфона. Как уже понятно, достаточно просто синхронизировать устройства между собой, чтобы произвести обоюдный доступ к данным.

Использование в Torrent и DLNA

В конце 2004 года шведский программист Людвиг Стригеус, начал заниматься созданием нового BitTorrent-клиента. Цель – приложение должно было быть эффективным, но в тоже время использовать минимум ресурсов ПК. В 2005 году мир увидел первую версию μTorrent.

При помощи BitTorrent-клиента, десятки миллионов пользователей могут обмениваться информацией между собой: фильмы, документальные передачи, игры и т.п. Но как сделать так, что бы на компьютер не «влез» злоумышленник? Для этого существует тандем, состоящий их роутера и клиентской части μTorrent, а за состоянием портов следит UPnP.

Для небольшой локальной сети Torrent уступает место технологии DLNA – домашний сервер, который с целью доступа к различным файлам, соединят между собой все цифровые устройства. В качестве сервера выступает компьютер, на жестком диске которого размещены домашние видеозаписи или фотографии.

Теперь все члены семьи могут просматривать одни и те же файлы с разных устройств: ноутбук, планшет, смартфон. В основе DLNA лежит технология Universal Plug and Play, которая в течение нескольких секунд предоставит нужную информацию конкретному адресату.

Предварительные настройки Windows

Прежде чем приступать к рассмотрению вопроса о том, как настроить и включить домашний медиа-сервер UPnP, следует выполнить некоторые предварительные настройки в самой «операционке».

В ОС Windows, в зависимости от версии, это осуществляется несколько разнящимися способами, но общий принцип один и тот же.

Итак, нужно активировать сервер UPnP (Windows 7). Как включить его? Нет ничего проще. Нужно просто зайти в раздел программ и компонентов (в прошлых версиях Windows меню установки и удаления программ), находящийся в стандартной Панели управления, после чего выбрать параметры установки компонентов Windows. Здесь выбирается пункт сетевых служб, на котором ставится галочка, а справа используется пункт их состава. При входе в это меню обязательно нужно задействовать включение клиента обнаружения и управления, а также отметить пользовательский интерфейс UPnP. Далее просто сохраняются изменения, которые вступают в силу без перезагрузки. Это в равной степени относится и к системам XP, Vista, 8 или 10.

Тут стоит обратить внимание, что в некоторых случаях может понадобиться установочный диск Windows.

Работа UPNP с другими программами

Компания Mikrotik настоятельно рекомендует обновить библиотеку DirectX до версии 9.0c или выше, а Windows Messenger до версии 5.0 или выше. Только в этом случае гарантируется правильная работа приложения.

Также рекомендуется установить на роутере прошивку последней версии, скачав её с сайта производителя. Настройки должны выполняться в соответствии с текущей версией.

Как включить UPnP на роутере

Но и это еще не все. Если сетевое подключение между устройствами предполагается осуществлять при помощи беспроводного соединения с использованием маршрутизатора (роутера), придется проверить настройки UPnP и на нем.

Хотя, как правило, практически все самые распространенные модели роутеров поставляются с уже включенной службой UPnP, тем не менее лучше все-таки проверить настройки. Для большинства моделей вход в меню роутера осуществляется при помощи введения в любом интернет-браузере адреса 192.168.1.1. В зависимости от модели меню могут разниться названиями или расположением отдельных элементов управления. Но в любом случае нужно найти параметр «Включить UPnP» или сделать доступным (в английском варианте – меню Enable UPnP Protocol или Enable UPnP Settings).

Использование UPnP: плюсы и минусы

Любая технология имеет как плюсы и минусы. Не исключением стала и служба UPnP. В чем хранится главная опасность в использовании Universal Plug and Play:

  • Ошибки программирования
    . Технологии не один год, и с каждым днем служба протоколов усовершенствуется. Все уязвимости были устранены в течение нескольких лет после первого выпуска UPnP на рынок. Но тем не менее опасность остается, и заключается она в ошибках программирования того или иного устройства. Злоумышленники, посредством инъекций вредоносного кода, обходят защиту, и становятся обладателями конфиденциальной информации.
  • Общественные сети
    . В этом случае, виновником становится опрометчивый владелец устройства. Подключайся к общественным сетям (незащищенный интернет), информация становятся легкой добычей для хакера.

Впрочем, плюсов у UPnP значительно больше. Вот некоторые их них:

  1. Простота настройки
    . У пользователя нет необходимости в ручной настройке портов. Запуская новую сетевую игру или подключая принтер к компьютеру, всю черновую работу сделает UPnP.
  2. Скорость
    . Темп обмена информацией между P2P клиентами давно перешагнул отметку в 100 мегабит в секунду.

Включение UPnP в Skype

Теперь рассмотрим пример популярной программы для общения с использованием IP-телефонии Skype. Здесь тоже используется технология UPnP. Что это такое применительно к самому приложению? Это та же система проброса портов для установления связи с другим устройством. Намного ведь приятнее общаться с друзьями, видя их изображение, скажем, на большом экране телевизионной панели.

Включение UPnP производится очень просто. Здесь нужно зайти в основные настройки программы и выбрать дополнительные параметры, после чего использовать меню «Соединение». В нем имеется специальное поле включения UPnP, напротив которого и нужно поставить галочку, а затем сохранить изменения.

Настройка торрент-клиента

Рассмотрим на примере самого популярного клиента μTorrent. В окне НастройкаНастройка программыСоединение, должны быть отмечены галочками «Переадресация UPnP» и «Переадресация NAT-PMP».

При внесении изменений сохраняем корректировки, нажав на кнопку «Применить».

Как видно из всего вышесказанного, главное преимущество Plug and Play – это простота настройки. Теперь можно быстро настроить устройства на единую работу в общей локальной сети.

Простейшая утилита для создания домашнего медиасервера

Собственно, вот мы и подошли к основному вопросу настройки и включения UPnP-сервера. Для начала, как уже понятно, нужно определиться с программой (UPnP-клиентом). В качестве самой простой, не требующей ручной настройки утилиты можно посоветовать Samsung PC Share Manager.

В этой программе практически все настройки автоматизированы, определение устройств и способа подключения не требует участия пользователя, но единственное, что потребуется, это указание папок общего доступа с хранящимися в них файлами мультимедиа. По умолчанию приложение выбирает свои параметры, но предпочитаемые программой директории можно удалить или задать вместо них собственные.

Тут важно проверить, открыт ли к ним тот самый общий доступ. Делается это из меню свойств, которое вызывается правым кликом на директории. Ну а после запуска сервер UPnP включится автоматически, и произойдет синхронизация всех устройств, на данный момент присутствующих в домашней сети. Иногда может потребоваться внести программу в список исключений файрволла.

Единственным недостатком приложения, пожалуй, можно назвать только невозможность просмотра онлайн телевидения или прослушивания радио. Воспроизвести можно исключительно контент, хранящийся в папках общего доступа.

Настройка перенаправления портов

Варфрейм порты 4950 и 4955 как включить

Ну вот, всё готово, теперь настраиваем перенаправление.

Банальный DMZ

Настройка DMZ — операция в буквально два движения мышкой.

Идем на вкладку NAT/QOS — DMZ.

Включаем DMZ и указываем IP порта, куда направлять ВСЕ входящие сообщения.

Включение DMZ в DD-WRT

Нажимаем «применить» и собственно всё, ничего сложного и страшного, кроме создания опасности для компьютера. Теперь злоумышленникам легче достучаться до вашего компьютера.

Лучше подобрать более подходящий способ пробросить порты из предложенных ниже.

Хитрый UPnP

Настройка UPnP столь же банальна на стороне маршрутизатора.

Переходим на вкладку NAT/QOS — UPnP.

Включаем UPnP, включаем или отключаем очистку старых данных при перезагрузке на своё усмотрение. Если для разных целей используете разные порты — то точно не понадобится.

Включение и настройка UPnP в DD-WRT

Нажимаем так же «применить» и теперь программы, умеющие работать с UPnP сами перенаправят нужные порты на себя.

Удобно, но не все программы умеют. А вот всякие вирусы-backdoor’ы умеют, так что осторожнее.

С удобством через веб-интерфейс

Итак переходим к ручному пробросу портов.

Идем на вкладку NAT/QOS — Перенаправление портов.

Здесь указываем:

  1. Приложение — название программы для которой предназначено правило. Необходимо для удобства, чтобы потом не запутаться что и где перенаправляем.
  2. Протокол — TCP, UDP или Оба. В зависимости от типа протокола, который использует программа. Если не знаете или не уверены — указывайте Оба.
  3. Source Net — откуда идет входящее соединение. Если без разницы или не уверены — оставляйте пустым
  4. Порт источник — на какой порт идет входящее подключение. Если не знаете что указывать — указывайте порт, прописанный в программе
  5. IP-адрес — здесь указывайте IP адрес компьютера в домашней сети, куда перенаправляете
  6. Порт приемник — порт, указанный в программе, для которой настраиваете проброс портов
  7. Включить — отмечаете галочкой какие правила активны. Если вдруг надо отключить проброс портов, то не стоит удалять правило, просто снимаете галочку

Настройка перенаправления портов в DD-WRT

В итоге у вас должно получиться примерно так же, как на картинке выше. Способ самый удобный, но не достаточный в случае с DualAccess PPPoE/PPTP. Как быть с этими комбинированными подключениями — ниже.

Танцы с бубном — стартовые скрипты

Проброс портов через скрипты используется, как правило, при использовании типа соединения DualAccess.

В данном случае необходимо пробросить порты так же из локальной зоны провайдера, но вот незадача — через веб-интерфейс пробрасываются только порты основного соединения (ppp0).

Чтобы перенаправить порты и из локальной зоны делаем следующее.

Идем на вкладку Тех. обслуживание — Команды

И в поле для ввода текста вводим строки заменяя значения на свои:

iptables -A FORWARD -s 10.0.0.0/8 -j ACCEPT iptables -A FORWARD -d 10.0.0.0/8 -j ACCEPT iptables -I POSTROUTING -t nat -o vlan1 -d 10. 0.0.0/8 -j MASQUERADE iptables -t nat -A PREROUTING -i vlan1 -p tcp —dport 31818 -j DNAT —to-dest 192.168.1.125:31818 iptables -t nat -A PREROUTING -i vlan1 -p udp —dport 31818 -j DNAT —to-dest 192.168.1.125:31818

Где

10.0.0.0/8 — подсеть и маска сети провайдера (тоже самое, что 10.0.0.0/255.0.0.0). Узнать можно у провайдера.

vlan1 — имя WAN-интерфейса.

31818 — перенаправляемый порт.

tcp и udp — тип протокола.

192.168.1.125 — IP-адрес компьютера, на который перенаправляем обращение к порту.

Здесь первые три строки — сообщаем брандмауэру о существовании локальной сети. Их должно быть ровно три, дублировать не надо.

Последние две строки — перенаправляем udp и tcp протоколы порта 31818 на нужный нам компьютер. Они даны для примера, и их может быть любое количество. Меняйте данные на свои только.

После того, как сформировали все свои требования к брандмауэру — нажимаем Сохр.брандмауэр и ждем перезагрузки роутера.

Результат проделанной работы на рисунке снизу.

Ручное перенаправление портов через скрипт автозапуска брандмауэра в DD-WRT

Помогла статья? Поддержи блог — расскажи о нём на своей странице в социальной сети.

Использование программы «Домашний медиасервер»

Другое дело – использование более серьезного приложения Home Media Server (российская разработка). Тут, правда, в настройках придется покопаться.

Хотя автоматическое определение и включено, в некоторых случаях придется добавить устройства вручную. Так, например, программа четко определяет искомый компьютерный терминал, на котором установлена, а также маршрутизатор, отвечающий за соединение. Если нужно передать сигнал, скажем, на телевизионную приставку IPTV с последующей трансляцией на телевизионную панель, IP- или MAC-адрес устройства придется вводить самому.

Далее – вопрос транскодирования. В большинстве случаев выбирается режим «Фильмы (основной)», но если в системе установлена специальная утилита Ace Stream (один из компонентов Ace Player), лучше задействовать именно ее.

С общими папками здесь тоже все просто, а вот по вопросу телевещания опять придется напрячь мозги. Так, например, для просмотра торрент-телевидения, нужно будет пройти регистрацию на определенном ресурсе, после чего скачать с него так называемые подкасты, которые необходимо внести в список, а затем обновить. Только после этого можно будет смотреть телепрограммы.

Попутно стоит отметить, что и на телевизионной приставке придется вручную включить использование сервера UPnP. Чаще всего для его задействования используется режим LAN. Может быть и другой, все зависит только от модификации самой приставки.

А вообще, настроек в программе очень много. С основными можно разобраться без проблем. Но если требуется использование каких-либо дополнительных параметров, придется потратить определенное время. Зато потом пользователь получает в свое распоряжение мощнейший инструмент синхронизации устройств любого типа. Попутно отметим, что для мобильных устройств может потребоваться установка специальных приложений и активация UPnP. Без этого ни о какой синхронизации и речи быть не может.

Да, и обратите внимание вот еще на что. В отличие от предыдущей утилиты, включение сервера производится только в ручном режиме при помощи специальной кнопки запуска или, если требуется, перезапуска.

Настраиваем роутер

Зайдите в web-интерфейс вашего роутера. Нужна вкладка с «дополнительными настройками». На примере dir-300: «Advanced Network» ->«Advanced».


Web интерфейс роутера

Установив одну галочку «Enable UPNP», сохраните настройки с перезагрузкой («Save Settings»).

На D-link 500T, нужно включить UPnP (вкладка «Advanced» – > «UPnP») и DHCP-1-34 (и, затем – жать «Apply»).


Web интерфейс роутера D-link 500T

Смысл, в общем, понятен: в большинстве роутеров, сервис включается одной галочкой («UPNP»), с сохранением данных и перезагрузкой. Другие примеры – будут рассмотрены дальше.

Как защитить себя?

Когда дело доходит до уязвимостей UPnP, есть два варианта, которые вы можете выбрать для собственной защиты.

Во-первых , вы можете включить UPnP – UP, который обеспечивает механизмы аутентификации и авторизации для устройств и приложений UPnP. Однако, этот метод не считается очень надежным, так как многие устройства не поддерживают его и могут предполагать, что другие устройства, подключаемые к вашему маршрутизатору, заслуживают доверия.

Другим более безопасным методом является полное отключение UPnP. Перед этим рекомендуется проверить, уязвим ли ваш маршрутизатор к UPnP-эксплойтам. Также нужно подумать о том, хотите ли вы отказаться от удобства UPnP и сможете ли вы настроить свои устройства вручную. Для этого может потребоваться некоторые технические знания.

На видео: Как включить на роутере UPnP?

Для того, что бы все работало, необходимо делать перенаправленние портов. Если делать это вручную, то сам процесс немного сложный и непонятный. Нужно присваивать каждому компьютеру статический IP, затем навастривать перенаправленные портов в настройках маршрутизатора.

Есть такая полезная функция, как UPnP. Это такой себе автоматический переброс портов. В большинстве случаев, достаточно включить UPnP в настройках роутера (если он еще не включен) и все будет работать отлично. Но иногда, без ручного переброса портов не обойтись. Каждый способ имеет свои плюсы и минусы.

Изменяем настройки на компьютере

В «Панель управления», в меню «Сетевых подключений» – нужен пункт «Дополнительные компоненты»:

В новом окне, смотрим «состав» «Сетевых служб»:

Здесь – как раз и включается «интерфейс UPNP».

Жмем «ОК». Затем «Далее». Ждем какое-то время (до завершения установки):

После которой, среди «Сетевых подключений» – появится новое («Шлюз Интернета»):

На этом, настройка – завершена. Аналогичные действия, выполняем на каждом компьютере.

Примечание: иногда, чтобы сервис начал работать, требуется перезагрузка ПК.

См. также

Wikimedia Foundation . 2010 .

Смотреть что такое «UPnP» в других словарях:

    UPnP

    — UPnP, Universal Plug and Play … Universal-Lexikon

    UPNP

    UPnP

    — Universal Plug and Play Pile de protocoles 7 Application 6 Présentation 5 Session 4 Tr … Wikipédia en Français

    UpNp

    — Universal Plug and Play Pile de protocoles 7 Application 6 Présentation 5 Session 4 Tr … Wikipédia en Français

    UPNP

    UPnP

    — Universal Plug and Play (UPnP) dient zur herstellerübergreifenden Ansteuerung von Geräten (Stereoanlagen, Router, Drucker, Haussteuerungen) über ein IP basierendes Netzwerk, mit oder ohne zentrale Kontrolle durch ein Residential Gateway. Es… … Deutsch Wikipedia

    Upnp

    — Universal Plug and Play (UPnP) dient zur herstellerübergreifenden Ansteuerung von Geräten (Stereoanlagen, Router, Drucker, Haussteuerungen) über ein IP basierendes Netzwerk, mit oder ohne zentrale Kontrolle durch ein Residential Gateway. Es… … Deutsch Wikipedia

    Universal Plug and Play универсальная автоматическая настройка сетевых устройств. Реализация технологии автоматической настройки сети Linux и Windows. Состоит из набора сопутствующих протоколов. Содержание 1 Что такое UPnP? 2 Что означает… … Википедия

    UPNP

    — abbr. Universal Plug N Play (PNP) Syn: UPnP …

    UPnP

    — abbr. Universal Plug N Play (PNP) Syn: UPNP … United dictionary of abbreviations and acronyms

23 марта 2020 в 11:13

  • Сетевые технологии

Ранее я много раз слышал, что UPnP каким-то образом умеет самостоятельно открывать порты (производить Port Forwarding на роутере) по запросу от хоста из локальной сети. Однако, то, каким именно образом это происходит, и какие протоколы для этого используются, доселе было покрыто для меня пеленой тумана.

В данной статье я хочу кратко рассказать, как работают два механизма для проброса портов, а именно NAT Port Mapping Protocol

и
Internet Gateway Device (IGD) Protocol
, входящий в набор протоколов UPnP. К своему удивлению я обнаружил, что в рунете информация по данному вопросу более чем скудна, что и сподвигло меня на написание данной заметки.

Для начала приведу краткий FAQ:

Q: Для чего нужны данные протоколы?

A: Для формирования на маршрутизаторе правила проброса определенного TCP/UDP порта (Port Forwarding) не вручную, а «автоматически», т.е. по запросу от хоста во внутренней сети.

Q: Как это реализуется?

A: Устройство за NAT отправляет маршрутизатору запрос с указанием внутреннего и внешнего номеров портов и типа протокола (TCP/UDP). Если указанный внешний порт свободен, маршрутизатор формирует у себя правило трансляции и рапортует запросившему компьютеру об успешном выполнении запроса.

Q: Проводится ли на маршрутизаторе аутентификация/авторизация запросов на открытие порта?

A: Нет, не проводится.

Теперь же рассмотрим работу данных протоколов более подробно (под катом).

Port Mapping Protocol

NAT-PMP описан в RFC 6886. Для своей работы он использует UDP-порт сервера 5351.
Рассмотрим работу протокола на конкретном примере — торрент-клиенте Vuze 5. 7 для Windows 7.

Примечание: NAT-PMP во Vuze по умолчанию выключен. Его необходимо активировать в настройках плагинов.

1. Запускаем Wireshark. В строке фильтра вводим nat-pmp

2. Запускам Vuze. 3. Останавливаем перехват пакетов, смотрим результаты.

У меня получилось следующее:

Первые 2 это запрос внешнего адреса маршрутизатора и ответ с указанием этого самого адреса. Не будем на них подробно останавливаться и лучше рассмотрим, как происходит маппинг портов на примере пакетов 3-4.

Здесь мы видим, что запрашивается проброс внешнего UDP порта 48166 на такой же внутренний порт. Интересно, что внутри протокола не указывается адрес хоста, на который должна происходить трансляция (Inside Local в терминологии Cisco). Это означает, что маршрутизатор должен взять адрес источника пакета из IP-заголовка и использовать его в качестве Inside Local.

Параметр Requested Port Mapping Lifetime

ожидаемо означает время жизни записи в таблице трансляций.

Как мы видим, маршрутизатор предполагаемо создал запрашиваемую трансляцию и ответил кодом Success

. Параметр
Seconds Since Start of Epoch
означает время с момента инициализации таблицы трансляций (т.е. с момента последней перезагрузки роутера).

Маппинг TCP-портов происходит точно также и отличается только значением поля Opcode

.

После того, как приложение прекратило использовать данные порты, оно может послать маршрутизатору запрос на удаление трансляции. Главное отличие запроса на удаление от запроса на создание заключается в том, что параметр Lifetime

устанавливается в ноль.

Вот что произойдет, если мы закроем Vuze.

На этом рассмотрение NAT-PMP закончено, предлагаю перейти к несколько более «мудреному» UPnP IGD.

Internet Group Device Protocol

Для обмена своими сообщениями данный протокол использует SOAP.
Однако, в отличие от NAT-PMP, IGD не использует фиксированный номер порта сервера, поэтому перед тем, как обмениваться сообщениями, нужно сперва этот порт узнать. Делается это при помощи протокола SSDP (данный протокол является частью UPnP и используется для обнаружения сервисов).

Запускаем торрент-клиент. Он формирует SSDP-запрос и отсылает его на мультикастовый адрес 239.255.255.250.

Маршрутизатор формирует ответ и отправляет его уже юникастом:

Внутри ответа мы можем увидеть URL для взаимодействия с маршрутизатором по протоколу IGD.

Далее Vuze подключается к маршрутизатору по указанному URL и получает XML с информацией о данном устройстве, в том числе содержащую набор URI для управления некоторыми функциями маршрутизатора. После того, как нужный URI найден в rootDesc.xml, Vuze отправляет SOAP-запрос на содание NAT-трансляции по найденному URI.

Примечание: до того, как запросить создание трансляции, Vuze заставил маршрутизатор перечислить все имеющиеся Port Forwarding»и. Для чего это было сделано, я могу лишь догадываться.

SOAP-запрос на создание трансляции UDP-порта:

Как говорилось ранее, нужный URI (идет сразу после POST) Vuze взял из rootDesc. xml. Для добавления трансляции используется функция с названием AddPortMapping

.

Также можно отметить, что, в противоположность NAT-PMP, Inside Local-адрес указывается внутри самого протокола.

Аналогично NAT-PMP, при закрытии торрент-клиента маппинги проброшенных портов удаляются. Делается это функцией DeletePortMapping

:

Можно заметить, что для удаления правила достаточно указать только тип протокола (UDP) и номер внешнего порта, не указывая остальные параметры.

Заключение

В данной статье мы рассмотрели два достаточно простых способа по созданию на домашнем роутере правил Port Forwarding по команде от хоста из локальной сети. Остается лишь отметить, что если вы считаете работу данных протоколов угрозой безопасности вашей домашней сети, то их можно попытаться выключить (хотя, конечно, гораздо лучше доверить вопросы безопасности утилите, которая для этого предназначена — файрволу). В случае моего Zyxel Giga II, на котором, к слову, и проводились все тесты, это делается CLI-командой no service upnp (примечательно, что в веб-интерфейсе опция включения/отключения UPnP отсутствует).

Вместо послесловия

Вот мы вкратце и рассмотрели тему «UPnP: что это такое?». Здесь указаны наиболее распространенные ситуации и правила настройки и работы с домашним медиасервером. Естественно, можно использовать и любые другие утилиты, однако изначальные принципы настройки и включения практически у всех UPnP-клиентов одинаковы. Если изучить хотя бы пару простейших программ, разобраться с остальными труда не составит.

Для того что бы ответить на вопрос что такое UPnP можно прочитать общепринятую теорию. UPnP — это служба (набор сетевых протоколов), направленная на автоматическую настройку сетевых устройств в домашней и корпоративной сетях. Это архитектура многоранговых соединений между компьютерами и устройствами, которые находятся как дома, так и на работе. UPnP основан на различных стандартах и технологиях интернета, одними из которых являются TCP/IP, HTTP и XML.

Основное предназначение UPnP – это поиск и подбор определенных параметров для доступа к локальной или глобальной сети, чтобы, к примеру, не вводить IP-адрес и указывать порт. Использование UPnP позволило сделать настройку подключения к интернету для большинства пользователя простой.

По сути данная технологи позволяет присоединять устройства к сети в динамическом режиме (получение IP-адреса). Когда пользователь настраивает роутер, то самый простой способ получить доступ к интернету — это в параметрах настройки выбрать динамический IP-адрес. В этом случае и будет использована технология UPnP.

Данная технология используется на любых устройствах компьютерного типа, с любыми операционными системами. Самым популярным является использование на персональных стационарных компьютерах с операционными системами Windows XP и Windows 7. Ниже показано как включить, проверить и настроить UPnP для операционной системы Windows 7.

Устранение неполадок подключения к системе удаленного веб-доступа в Windows Server Essentials

  • Статья
  • Чтение занимает 2 мин
Были ли сведения на этой странице полезными?

Оцените свои впечатления

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт.

Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

В этой статье

применимо к: Windows Server 2016 essentials, Windows Server 2012 R2 essentials, Windows Server 2012 Essentials

Как правило, Windows Server Essentials может автоматически настроить маршрутизатор широкополосной связи, если этот маршрутизатор является сертифицированным устройством UPnP и на нем включен параметр UPnP.

Возможные проблемы

Возможны следующие проблемы с подключением удаленного веб-доступа.

  • Маршрутизатор не включен или не подключен к корпоративной сети.

  • На маршрутизаторе выключен параметр UPnP.

  • Возможно, маршрутизатор не полностью поддерживает стандарт UPnP. В корпорации Майкрософт существует список маршрутизаторов, работающих с операционными системами Windows. Чтобы просмотреть список маршрутизаторов (включая беспроводные маршрутизаторы), совместимых с Windows Server Essentials, посетите Центр совместимости Windows.

Возможные исправления

Эти проблемы можно устранить с помощью следующих действий.

  • Убедитесь, что маршрутизатор включен и работает надлежащим образом.

  • Убедитесь, что сервер подключен непосредственно к маршрутизатору либо к коммутатору, который, в свою очередь, подключен к маршрутизатору.

  • Убедитесь, что устройство широкополосной связи, которое подключается к поставщику услуг Интернета, включено и работает, а маршрутизатор подключен к этому устройству.

  • Включите параметр UPnP на маршрутизаторе Чтобы включить параметр UPnP, подключитесь к веб-странице конфигурации маршрутизатора.

    Сведения о входе на маршрутизатор и включении параметра UPnP см. в документации по маршрутизатору. После включения параметра UPnP снова запустите мастер включения удаленного Веб-доступ, чтобы настроить маршрутизатор.

  • Если маршрутизатор не полностью поддерживает стандарт UPnP, его нельзя настроить автоматически. Необходимо вручную настроить маршрутизатор или приобрести маршрутизатор, который поддерживает стандарт UPnP.

    Чтобы настроить маршрутизатор вручную, необходимо выполнить следующие задачи.

    • Создайте резервирование IP-адреса для сервера Windows Server Essentials.

      Прежде чем вручную настроить маршрутизатор для пересылки необходимых портов в Windows Server Essentials, на маршрутизаторе необходимо задать резервирование DHCP-протокола для сервера, на котором работает Windows Server Essentials. Это гарантирует, что IP-адрес, на который будут пересылаться порты, не изменится.

      Сведения о том, как вручную настроить резервирование DHCP для сервера на маршрутизаторе, см. в документации изготовителя для своего маршрутизатора.

    • Настройте перенаправление портов на маршрутизаторе для следующих портов.

      Служба или протокол Порт
      HTTP TCP 80
      HTTPS TCP 443

      Сведения о настройке перенаправления портов на маршрутизаторе вручную см. в документации производителя.

      На странице конфигурирования маршрутизатора обычно находится таблица, которая содержит следующие данные.

    Примечание

    В этой таблице IP-адрес компьютера с Windows Server Essentials — 192.168.0.100. Необходимо определить IP-адрес вашего компьютера и заменить его на IP-адреса, указанный в таблице.

    IP-адрес Протокол (TCP/UDP) Расписание Входящий фильтр
    192.168.0.100 TCP 80 Always (Всегда) Разрешить все
    192. 168.0.100 TCP 443 Always (Всегда) Разрешить все

    После ручной настройки маршрутизатора запустите мастер включения удаленного Веб-доступ, убедившись, что на странице Приступая к работе установлен флажок пропустить установку маршрутизатора .

  • Приобретите новый маршрутизатор, если существующее устройство не полностью поддерживает стандарт UPnP.

Совет

Убедитесь, что на маршрутизаторе установлена последняя версия встроенного ПО BIOS. Обновить встроенное ПО BIOS для маршрутизатора можно с веб-страницы настройки маршрутизатора. Дополнительные сведения см. в документации к маршрутизатору. После обновления маршрутизатора запустите мастер настройки повсеместного доступа.

См. также

Что такое SSDP и как его используют для DDoS-атак

SSDP (Simple Service Discovery Protocol) — сетевой протокол, используемый в небольших сетях, в том числе домашних, для анонсирования и выявления сетевых сервисов, в первую очередь поддерживаемых архитектурой Universal Plug-and-Play (UPnP). SSDP представляет собой текстовый протокол на базе HTTPU, использующий XML. Обмен сообщениями в нем осуществляется посредством датаграмм UDP.

Оглавление:

Подключил — и работает

Протокол SSDP является основой архитектуры UPnP. Он позволяет легко связывать между собой домашние устройства, работающие в рамках одной небольшой сети или подключенные к одной точке Wi-Fi. Среди таких устройств могут быть, например, смартфоны, принтеры и МФУ, умные телевизоры, медиаприставки, колонки, видеокамеры и пр. Чтобы SSDP работал, эти устройства должны поддерживать UPnP.

На устройствах и ПК, поддерживающих SSDP, эту функцию можно включить, отключить или приостановить. При включенной функции SSDP устройства сообщают информацию о себе и предоставляемых сервисах любому другому клиенту UPnP. Применяя SSDP, информацию о доступных сервисах предоставляют и компьютеры, подключенные к сети.

С помощью SSDP устройства и ПК не только «узнают» друг о друге, но и получают возможность каким-то образом взаимодействовать: обмениваться данными, запускать функции и сервисы на другом устройстве и пр.

Угрозы, связанные с SSDP

Однако необходимо помнить об обеспечении ИБ, поэтому нужно знать, что, во-первых, сам по себе протокол SSDP не обеспечивает шифрования (хотя, конечно, не препятствует устройствам обмениваться зашифрованными данными), и, во-вторых, во многих устройствах, предназначенных для использования в домашних условиях или небольшом офисе, функция поддержки SSDP по умолчанию включена, что создает риски несанкционированного доступа. Следовательно, эту функцию нужно держать отключенной, а включать лишь тогда, когда она реально нужна, и следить за тем, чтобы она была отключена на каждом устройстве, которое в данный момент ее не использует.

Проверить, включена ли служба обнаружения SSDP на вашем ПК под управлением Windows, можно с помощью команды services.msc. Чтобы убедиться в том, что поддержка SSDP включена на том или ином устройстве, следует внимательно изучить инструкцию к нему и проверить настройки.

Кроме того, необходимо помнить, что особенности SSDP могут быть использованы при реализации DDoS-атак типа «SSDP-амплификация».

DDoS-атаки с использованием SSDP

Эти атаки сетевого уровня (L3) используют уязвимости протокола SSDP, вероятно, ставшие следствием стремления его разработчиков максимально упростить взаимодействие устройств в небольшой сети. К сожалению, эта простота реализована в ущерб безопасности.

В самом общем виде подключение нового устройства выглядит следующим образом. Чтобы узнать, какие из устройств уже присутствуют в сети, добавляемое в нее устройство с включенной функцией SSDP отправляет поисковый запрос к другим устройствам на зарезервированный адрес и порт (239.255.255.250:1900), применяя «веерную рассылку», или мультивещание. В запросе устройство указывает соответствующий своему типу шаблон, или цель. В ответ на запрос каждое из имеющихся в сети устройств, поддерживающих в данный момент SSDP, отправляет UDP-сообщение с информацией о себе на IP-адрес источника и порт, с которого был отправлен запрос.

Фокус в том, что в рамках протокола SSDP проверка местоположения отправителя сообщения не производится, поэтому устройства готовы отвечать не только на запросы «соседей», но и на запросы, отправленные извне. Исключить такие запросы может и должен межсетевой экран (он же брандмауэр или firewall). Но, во-первых, владельцы сети далеко не всегда его устанавливают, и во-вторых, в установленном межсетевом экране порт 1900 нередко остается открытым. И поскольку ответ на запрос SSDP может быть в разы, а то и в десятки раз длиннее, чем сам запрос, становится возможной атака с усилением (SSDP-амплификация): фальшивый запрос, «прилетевший» из внешней сети и содержащий в качестве обратного IP-адреса адрес узла-жертвы, может вызвать многократно усиленный ответ и отправить его жертве. Ну а дальше — как в классическом сценарии DDoS: либо канал связи узла-жертвы окажется забит «мусором», либо сам узел «захлебнется», пытаясь обработать мощный поток SSDP-ответов.

Чтобы минимизировать атаки на основе SSDP, необходимо:

  • заблокировать как входящий, так и исходящий UDP-порт 1900 в межсетевом экране для входящего трафика;
  • использовать BGP flowspec, чтобы ограничить входящий трафик с этого порта и на этот порт;
  • крайне осторожно использовать сервисы на основе UDP, поскольку DDoS-атаки на базе этого протокола сложнее отражать;
  • регулярно сканировать подключенные к сети устройства на наличие включенной функции SSDP и отключать ее всегда и везде, если она в данный момент не требуется.

Как настроить UPnP в MikroTik

В инструкции будет рассмотрена настройка UPnP в MikroTik, а в качестве наглядного примера будет подключён видеорегистратор Dahua. На выходе образуется инфраструктура, в которой нет необходимости пробрасывать порты для просмотра видеонаблюдения, UPnP полностью автоматизирует этот процесс.

MikroTik RouterOS поддерживает архитектуру Universal Plug and Play для прозрачного однорангового сетевого подключения персональных компьютеров и интеллектуальных устройств или устройств, подключенных к сети.

UPnP обеспечивает обмен данными между любыми двумя устройствами под управлением любого управляющего устройства в сети. Universal Plug and Play полностью не зависит от какого-либо физического носителя. Он поддерживает работу в сети с автоматическим обнаружением без какой-либо начальной настройки, в результате чего устройство может динамически присоединяться к сети. Серверы DHCP и DNS не являются обязательными и будут использоваться, если они доступны в сети.

UPnP реализует простое, но мощное решение для обхода NAT, которое позволяет клиенту получить полную поддержку двусторонней одноранговой сети за NAT-ом.

Для UPnP существует два типа интерфейса: internal (тот, к которому подключены локальные клиенты) и external (тот, к которому подключен Интернет). Маршрутизатор может иметь только один внешний интерфейс с «общедоступным» IP-адресом и столько внутренних интерфейсов, сколько необходимо, все с «внутренними» IP-адресами с NAT.

Протокол UPnP используется для многих современных приложений, таких как большинство игр DirectX, а также для различных функций

Windows Messenger (удаленная поддержка, совместное использование приложений, передача файлов, голос, видео) из-за брандмауэра.

Как настроить UPnP в MikroTik

Для того, чтобы роутер MikroTik начал взаимодействовать с другими устройствами по протоколу UPnP нужно:

  1. Активировать использование UPnP;
  2. Определить локальные(internal) и внешние(external) интерфейсы.

Описание параметров UPnP

enabled – активирует

UPnP службу;

allow-disable-external-interface – следует ли разрешать пользователям отключать внешний интерфейс маршрутизатора MikroTik. Эта функция добавлена отдельным параметром и регулирует режим совместимости для тех сетей, где UPnP нежелателен или его работа не предусмотрена;

show-dummy-rule – активация обходного пути для некоторых неработающих реализаций, которые неправильно обрабатывают отсутствие правил UPnP (например, появляются сообщения об ошибках). Эта опция проинструктирует сервер установить фиктивное (бессмысленное) правило UPnP, которое могут соблюдать клиенты, которые в противном случае отказываются работать правильно.

Настройка находится IP→UPnP

Активация режима UPnP

Определить internal и external интерфейсы

Настройка находится IP→UPnP→Interfaces

/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=Bridge-LAN type=internal
add interface=ether1 type=external

Пример настройки UPnP MikroTik в видеорегистраторе Dahua

На любом устройстве, поддерживающего технологию UPnP достаточно включить данный режим. Все правила со стороны роутера MikroTik создадутся автоматически

Активация UPnP в Dahua

Пробросы портов через UPnP

Настройка находится IP→Firewall→NAT

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Есть вопросы или предложения по настройке UPnP в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий

Перенаправление портов в python для подключения сокетов Ru Python

Я запускаю сервер с помощью сокетов и хочу разрешить клиентам подключаться к нему.

self.sock.bind(('0.0.0.0',0)) # 0.0.0.0 will allow all connections and port 0 -> os chooses a open port. stroke_port=self.sock.getsockname()[1] self.sock.listen(75) self.open_port_popup(stroke_port) 

Теперь для других клиентов для подключения у меня есть порт, который пересылает его вручную, и он работает нормально.

Я хочу сделать это в автоматическом режиме. -> Я стараюсь upnp.

 import miniupnpc def open_port(port_no): '''this function opens a port using upnp''' upnp = miniupnpc.UPnP() upnp.discoverdelay = 10 upnp.discover() upnp.selectigd() # addportmapping(external-port, protocol, internal-host, internal-port, description, remote-host) result=upnp.addportmapping(port_no, 'TCP', upnp.lanaddr, port_no, 'testing', '') return result 

Он открывает порт, показанный на изображении ниже. Но список переадресации портов, показанный на первом изображении, пуст. Он не работает, и клиенты не могут подключиться. Как я могу это исправить? Что мне не хватает?

Я думаю, вы допустили ошибку, используя upnp.lanaddr как адрес внутреннего хоста. upnp.lanaddr – адрес устройства upnp, который является вашим маршрутизатором, вы хотите использовать локальный адрес вашего сервера.

При необходимости взгляните на поиск локальных IP-адресов, используя stdlib Python, если вы хотите динамически получать локальный IP-адрес вашего сервера.

Я думаю, что нам не хватает много связанной информации, чтобы узнать, в чем главная проблема. Я вижу, как многие люди догадываются.

Кстати, просто отредактировав эту строку

result=upnp.addportmapping(port_no, 'TCP', upnp.lanaddr, port_no, 'testing', '') для

result=upnp.addportmapping('7777', 'TCP', '192.168.1.8', '7777', 'testing', '') скажет вам, работает ли он вообще. Выполняя тестирование порта с localhost, это манекен, вы не находитесь под маршрутизатором.

Кроме того, не забудьте использовать блоки Try / Except, чтобы сообщить вам, что не так в вашем коде.

 try: print "1" + 1 except Exception as e: print str(e) 

Другой способ, который не был разработан, – использовать автоматизацию html / web, даже cURL, чтобы вместо этих запросов использовать uPnp, так что вам не нужно его обрабатывать.

это интересный вопрос. от того, что я мог вызвать, я думаю

GUI показывает, что добавлены правила пересылки портов UPNP. поэтому, скорее всего, есть проблема в конфигурации UPNPC. Я сомневаюсь, что вы делаете это на Router или аналогичной платформе с X-WRT или OpenWRT

проблема, я думаю, вы не можете использовать upnp для этого, или это не работает по какой-то странной причине.

Я предлагаю вам попробовать эту библиотеку pytables .

Я знаю, что вы хотели знать, почему, и я работаю над выяснением причины.

это только для вас, чтобы продолжить этот проект

и для быстрого решения

Попробуй это

  import subprocess p = subprocess. Popen(["iptables", "-A", "INPUT", "-p", "tcp", "-m", "tcp", "--dport", "22" , "-j", "ACCEPT"], stdout=subprocess.PIPE) output , err = p.communicate() print output 

Что такое переадресация портов и как это может мне помочь? [MakeUseOf Объясняет]

Ты немного плачешь внутри, когда кто-то говорит тебе, что есть проблема с переадресацией портов, и поэтому твое блестящее новое приложение не будет работать? Ваш Xbox не позволит вам играть в игры, ваши торрент-загрузки не будут запускаться или ваш веб-сервер недоступен? Ну, я здесь, чтобы развеять трудности и объяснить, что такое переадресация портов и как она может вам помочь.

Какие порты?

Вероятно, у вас есть хорошее представление о том, как работают сети, поскольку каждое устройство имеет IP-адрес. Существует два типа IP-адресов; публичный и частный. Публичные IP-адреса доступны в любой точке мира; частные используются во внутренних сетях — например, 192.168.x.x или 10.0.x.x. Чтобы получать информацию обратно из Интернета, запросы данных отправляются как с глобальным IP-адресом, соответствующим вашему маршрутизатору, так и с локальным IP-адресом, соответствующим вашему ПК или другому сетевому устройству.

Теперь, это все хорошо, когда мы просто говорим о просмотре веб-страниц, но что делать, когда вы начинаете запрашивать различные виды данных — например, с торрентов, или специфическую для игры информацию для этой MMO или даже электронной почты? Как ваш компьютер узнает, для какого приложения предназначены данные? Вот где порты приходят.

Порты

Порты похожи на трубки для сортировки почты внутри вашего компьютера. Когда пакет данных поступает на ваш ПК, операционная система проверяет номер порта, для которого она предназначена. Каждый порт соответствует отдельному приложению, и в общей сложности доступно 65 536 портов.

Некоторые из этих портов (первые 1024) являются фиксированными — это заранее определенный стандарт, который помогает основным приложениям взаимодействовать по всему миру. Например, незащищенные запросы веб-трафика почти всегда обслуживаются через порт 80; Я говорю «почти всегда», потому что это зависит от программного обеспечения вашего сервера, но порт 80 является стандартом для трафика Apache HTTP. Входящая электронная почта POP3 обрабатывается 110, а SMTP исходящая — 25; FTP на 20 и 21. Вы можете увидеть полный список известных портов в Википедии.

За портом 1024 в основном бесплатно для всех; для приложений, чтобы использовать их, самый простой способ — использовать Universal Plug and Play.

UPnP

Порты по умолчанию заблокированы на маршрутизаторах; это важная функция безопасности, которая предотвращает доступ вредоносных запросов ко всем основным службам, которые могут работать на ваших компьютерах. Очевидно, что это также может вызвать проблемы для любого приложения, которому требуется информация, отправляемая обратно из Интернета; маршрутизатор просто заблокирует это.

Чтобы разрешить отправку данных со стороны Интернета на внутренний компьютер, компьютер должен указать маршрутизатору переадресовать определенный порт. Это означает, что когда маршрутизатор видит пакет, предназначенный для указанного порта, он пересылает его на конкретный локальный компьютер.

Чтобы избавить вас от необходимости каждый раз настраивать переадресацию портов вручную, был изобретен UPnP. Это протокол, с помощью которого приложение может запрашивать порт и автоматически устанавливать правила переадресации портов. По большей части UPnP работает нормально, и процесс переадресации портов будет для вас совершенно незаметным.

Ручная переадресация портов

Иногда UPnP не работает; или вы могли отключить его по соображениям безопасности. Мошенническое приложение, работающее во внутренней сети, потенциально может открыть его с помощью UPnP. В этом случае вам нужно вручную открыть порты.

Вам нужно знать несколько вещей, чтобы настроить ручную переадресацию портов.

  1. Как получить доступ к странице конфигурации вашего роутера; обычно это означает ввод адреса шлюза вашей сети (например, 192.168.0.1). Если вы не уверены, проверьте этот список руководств производителя.
  2. Какой порт или диапазон портов необходимо переадресовать.
  3. IP-адрес компьютера, на который вы пересылаете.

Некоторые приложения также будут указывать, следует ли отправлять пакеты UDP или TCP; это просто разные виды сетевого трафика, и не все приложения используют оба типа. Если есть сомнения, просто вперед на оба; не будет никаких побочных эффектов.

Откройте страницу конфигурации маршрутизатора в разделе переадресации портов — это, вероятно, будет в настройках безопасности. Они могут быть опцией выбора «Сервис» для предопределенных портов, но я собираюсь предположить, что вы точно знаете, какой порт вы хотите перенаправить, поэтому пропустите этот бит.

Дайте вашему правилу произвольное имя — например, «torrents» — затем введите диапазон портов, который вы хотите переадресовать. Если это всего лишь один порт, вам может потребоваться либо ввести один и тот же порт для начала и конца, либо просто заполнить начало. Опять же, выберите протоколы UDP и TCP, если вы не уверены, а затем введите адрес машины, на которую вы хотите его переадресовать. Обратите внимание, что это не сработает, если вы постоянно перезагружаете свой маршрутизатор; Позднее машинам может быть назначен другой IP-адрес, и правила таблицы переадресации портов будут нарушены.

Зачем беспокоиться?

Если приложение, которое вы пытаетесь настроить, не работает с UPnP, вам почти наверняка потребуется открыть некоторые порты. Это редко в наше время, но может случиться.

Еще один случай, когда вам определенно понадобится переадресовать порты, если вы используете свой собственный веб-сервер.

что ты хочешь быть доступным миру. В этом случае вы перенаправите порт 80 на сервер, и любые HTTP-запросы к вашему модему будут отправлены на сервер. Имейте в виду, что запуск веб-сервера может противоречить Условиям обслуживания вашего интернет-провайдера, поэтому сначала проверьте.

Я надеюсь, что теперь вы понимаете, что такое переадресация портов и почему вам может понадобиться настроить его. Честно говоря, в настоящее время ручная настройка редко требуется за пределами работы вашего собственного сервера и, конечно, не нужна для игр — но в любом случае это полезно знать.

Были ли у вас проблемы с переадресацией портов и удалось ли их решить?

Кредит изображения: IP-адрес через Shutterstock

Что такое UPnP и безопасно ли это?

Что такое UPnP?

Universal Plug and Play (UPnP) — это то, с чем все мы, вероятно, столкнулись, даже не осознавая этого. Если вы когда-нибудь покупали новый принтер и замечали, что ваш компьютер, телефон и планшет могут автоматически распознавать устройство, значит, вы использовали UPnP. Если вам нравится воспроизводить эту песню со своего телефона немного громче, транслируя ее на Alexa или какой-либо другой беспроводной динамик, это UPnP.

Часто в сочетании с другой широко используемой аббревиатурой IoT (интернет вещей) UPnP был разработан просто для того, чтобы сделать связь между устройствами более простой и удобной. Короче говоря, UPnP помогает автоматизировать процесс обнаружения устройств и подключения к сети.

Однако в связи с ростом числа утечек данных и ростом числа людей, заботящихся о безопасности, безопасен ли UPnP? Во-первых, нам нужно кратко объяснить, как это работает.

Получите бесплатное руководство, объясняющее, как смягчить кибератаки
Размер компании1 — 250251 — 500501 — 10001,001 — 2,5002,501 — 10,00010,000+
ПромышленностьЗдравоохранениеФинансыЮридическаяОбразованиеПравительствоНекоммерческаяГосударственный секторТехнологииДругое Должность Директор по информационной безопасности / CIO / CTOИТ-менеджерСистемный администратор/инженерКонсультантАналитикДругое

Выберите CountryAfghanistanAlbaniaAlgeriaAmerican SamoaAndorraAngolaAnguillaAntarcticaAntigua и BarbudaArgentinaArmeniaArubaAustraliaAustriaAzerbaijanBahamasBahrainBangladeshBarbadosBelarusBelgiumBelizeBeninBermudaBhutanBoliviaBonaireBosniaBotswanaBouvet IslandBrazilBritish Индийского океана TerritoryBruneiBulgariaBurkina FasoBurundiCambodiaCameroonCanadaCape VerdeCayman IslandsCentral Африканского RepublicChadChileChinaChristmas IslandCocos IslandsColombiaComorosCongoCongo, Dem. Rep.Cook IslandsCosta RicaCroatiaCubaCuraçaoCyprusCzech RepublicDenmarkDjiboutiDominicaDominican RepublicEcuadorEgyptEl SalvadorEquatorial GuineaEritreaEstoniaEthiopiaFalkland (Мальвинские) острова Фарерские IslandsFijiFinlandFranceFrench GuianaFrench PolynesiaFrench Южный TerritoriesGabonGambiaGeorgiaGermanyGhanaGibraltarGreeceGreenlandGrenadaGuadeloupeGuamGuatemalaGuernseyGuineaGuinea-BissauGuyanaHaitiHeard IslandHondurasHong KongHungaryIcelandIndiaIndonesiaIranIraqIrelandIsle из ManIsraelItalyIvory CoastJamaicaJapanJerseyJordanKazakhstanKenyaKiribatiKoreaKorea, DPRKKuwaitKyrgyzstanLaosLatviaLebanonLesothoLiberiaLibyaLiechtensteinLithuaniaLuxembourgMacaoMacedoniaMadagascarMalawiMalaysiaMaldivesMaliMaltaMarshall IslandsMartiniqueMauritaniaMauritiusMayotteMexicoMicronesia, Fed.MoldovaMonacoMongoliaMontenegroMontserratMoroccoMozambiqueMyanmarNamibiaNauruNepalNetherlandsNew CaledoniaNew ZealandNicaraguaNigerNigeriaNiueNorfolk IslandNorthern MarianasNorwayOmanPakistanPalauPalestinian Terr. PanamaPapua Новый GuineaParaguayPeruPhilippinesPitcairnPolandPortugalPuerto RicoQatarRomaniaRussiaRwandaRéunionSaint BarthélemySaint HelenaSaint Киттс и NevisSaint LuciaSaint Мартин (французский) Сен-Пьер и MiquelonSaint VincentSamoaSan MarinoSao Tome & PrincipeSaudi ArabiaSenegalSerbiaSeychellesSierra Леоне Сингапур Синт-Маартен (нидерландский) Словакия Словения Соломоновы Острова Сомали Южная Африка Южная Джорджия и Южная Сандвичевы острова Южный Судан Испания Шри-Ланка Судан Суринам Шпицберген Свазиленд Швеция Швейцария Сирия Тайвань Таджикистан Танзания Таиланд Тимор-Лешти Того Токелау Тонга Тринидад и Тобаго Тунис Турция Туркменистан Теркс и Кайкос Тувалу U.AE Уганда Украина Соединенное Королевство Соединенные Штаты Малые отдаленные острова США Уругвай Узбекистан Вануату Ватикан Венесуэла Вьетнам Виргинские острова, Британские Виргинские острова, США Уоллис и Футуна Западная Сахара Йемен Замбия Зимбабве Аландские острова

Выберите StateAlaskaAlabamaArkansasArizonaCaliforniaColoradoConnecticutDistrict из ColumbiaDelawareFloridaGeorgiaHawaiiIowaIdahoIllinoisIndianaKansasKentuckyLouisianaMassachusettsMarylandMaineMichiganMinnesotaMissouriMississippiMontanaNorth CarolinaNorth DakotaNebraskaNew HampshireNew JerseyNew MexicoNevadaNew YorkOhioOklahomaOregonPennsylvaniaRhode IslandSouth CarolinaSouth DakotaTennesseeTexasUtahVirginiaVermontWashingtonWisconsinWest VirginiaWyoming
Выберите провинцию или территориюАльбертаБританская КолумбияМанитобаНью-БрансуикНьюфаундленд и Лабрадор Новая ШотландияСеверо-Западные территорииНунавутОнтариоОстров принца ЭдуардаКвебекСаскачеванЮкон
Скачивая, вы соглашаетесь с условиями нашей политики конфиденциальности.

Спасибо за загрузку.

Пожалуйста, проверьте свою электронную почту (включая папку со спамом) на наличие ссылки на технический документ!

Как работает UPnP?

С точки зрения потребителя UPnP — самая простая вещь в мире.Вы приносите домой новое устройство, подключаете его к сети, и внезапно все остальные устройства в этой сети могут автоматически связываться с ним. Вся грязная работа делается за кулисами. Если бы мы разобрали его и посмотрели, что происходит на самом деле, то увидели бы следующее:

  1. Устройство подключается к сети
  2. Устройство захватывает IP-адрес
  3. Устройство захватывает имя и появляется под этим именем в сети
  4. Устройство подключается к другим устройствам в сети и обменивается данными

Важно отметить, что IP-адрес не является обязательным условием для UPnP, поскольку многие устройства, связанные с Интернетом вещей (например, умные лампочки и умные кофемашины), могут обмениваться данными через Bluetooth с радиочастотной идентификацией (RFID).

Опасности UPnP

Многие утверждают, что UPnP по своей природе небезопасен. Это протокол, который предназначен для автоматического открытия портов в брандмауэре и позволяет посторонним получить доступ к размещенному серверу на локальном компьютере, защищенном этим брандмауэром.

Это можно сравнить с креплением промышленного замка к двери, охраняющим все ваши ценные вещи, и оставлением ключа в замке для всех желающих.

В этом смысле UPnP фактически делает брандмауэры бесполезными.Например, любой троян может установить прослушивающий сервер IRC, сервер RAT или что-то столь же вредоносное и запросить, чтобы брандмауэр открыл порт. В общем, не идеал.

Угрозы безопасности UPnP

Существует ряд распространенных угроз безопасности, связанных с UPnP, на которые многие ссылаются, рекомендуя отключить UPnP.

Интересно, что в 2001 году Национальный центр защиты инфраструктуры ФБР рекомендовал пользователям отключить UPnP из-за переполнения буфера в Windows XP.Многие ссылаются на эту рекомендацию, говоря о потенциальной опасности UPnP.

Однако на самом деле эта проблема не имеет ничего общего с самим UPnP, и после того, как ошибка была исправлена ​​патчем безопасности, NIPC быстро исправил свои рекомендации.

Baldy реализовал UPnP на маршрутизаторах

Многие проблемы, связанные с угрозами UPnP, могут быть связаны с проблемами безопасности во время внедрения. Исторически сложилось так, что производители маршрутизаторов плохо защищали свои реализации UPnP, что часто приводило к тому, что маршрутизатор не проверял входные данные должным образом.Таким образом, вредоносные приложения могут довольно легко использовать плохие реализации UPnP для выполнения команд или перенаправления сетевого трафика.

Вредоносное ПО, использующее UPnP

Распространенные вредоносные программы, такие как трояны, вирусы, черви и другие, могут использовать UPnP после заражения компьютера в локальной сети. UPnP может позволить таким программам обходить протоколы безопасности и программное обеспечение, которые обычно блокирует маршрутизатор. UPnP по существу предполагает, что все программы легитимны, и позволяет им перенаправлять порты.Это реальная проблема, которая беспокоит многих, и, к сожалению, если это является камнем преткновения для вас, вам, вероятно, придется отключить UPnP.

Флэш-атака UPnP

Можно было бы подумать, что только вредоносное ПО может злоупотреблять UPnP таким образом, но атака Flash UPnP, кажется, опровергает эту идею. Если бы вы получили доступ к веб-сайту, на котором запущен определенный апплет Flash, этот апплет может отправлять запросы на ваш маршрутизатор для переадресации портов. К счастью, если это произойдет с вами, наличие брандмауэра не позволит злоумышленнику использовать любые уязвимости в ваших сетевых службах.

Однако на некоторых маршрутизаторах апплеты Flash могут нанести серьезный ущерб, изменив первичный DNS-сервер с помощью запроса UPnP. Это может привести к перенаправлению вашего трафика на другой веб-сайт, создавая бесконечные возможности для кражи данных и мошенничества.

Следует ли отключать UPnP?

В конечном счете, это вопрос мнения. UPnP удобен, но содержит довольно серьезные недостатки безопасности, некоторые из которых не могут быть устранены с помощью решений безопасности. Мы рекомендуем, если вы вообще не используете переадресацию портов, вам следует отключить UPnP.Если вы время от времени используете переадресацию портов, вам следует рассмотреть возможность переадресации без использования UPnP, что вполне возможно.

Пользователи с тяжелой переадресацией портов должны будут принять решение. Готовы ли вы отказаться от безопасности ради удобства UPnP? Вероятность того, что вы будете скомпрометированы через UPnP, довольно мала, но последствия могут быть большими. В конце концов, это зависит от вас!

Законны ли опасения по поводу безопасности UPnP?

Хотя обычно рекомендуется отключать UPnP на маршрутизаторе (что многие делают из принципа), некоторые задаются вопросом, необходимо ли это.Когда UPnP впервые появился на сцене в 2011 году, были некоторые вопиющие проблемы с реализацией, которые позволяли настраивать его из Интернета. Это означало, что любой мог открыть на нем любой порт. Однако за последнее десятилетие уязвимости программного обеспечения в маршрутизаторах неоднократно исправлялись с учетом требований безопасности.

Таким образом,

UPnP по своей сути не опасен, если ваш маршрутизатор обновлен и имеет все последние обновления прошивки, а ваши подключенные устройства не содержат вредоносных программ. UPnP становится проблемой, если подключенное устройство заражено вредоносным ПО, поскольку оно может распространиться на ваши локальные устройства.Однако, если это так, большинству вредоносных программ вообще не требуется активация UPnP.

Итак, что вы можете сделать?

Вы можете отключить UPnP на своем маршрутизаторе, если хотите спокойствия. Однако в большинстве случаев, если злоумышленник хочет проникнуть в вашу сеть и вызвать хаос, для этого ему не нужен UPnP. На самом деле, кибератаки сейчас настолько распространены, что вопрос не в том, произойдет ли это с вами, а в том, когда.

Многие ИТ-команды и технические специалисты ненавидят мысль о том, что им придется признать поражение кибер-злоумышленников.Но печальная правда заключается в том, что злоумышленники всегда смогут обойти систему безопасности.

Вы можете в первую очередь следить за тем, что нужно злоумышленникам, за данными. Отслеживайте взаимодействие с данными с помощью Data Security Platform, которая может обнаруживать аномалии и сообщать об изменениях, внесенных в важные файлы и папки, включая события копирования.

Чтобы получить представление о том, как Lepide Data Security Platform помогает отслеживать поведение пользователей с файлами и папками, запланируйте демонстрацию решения сегодня.

Мы помогаем предприятиям определить слабые места и снизить риски утечки данных с помощью нашей БЕСПЛАТНОЙ услуги по оценке рисков для данных.

Бесплатно

Оценка риска данных

Домашние устройства с поддержкой UPnP и уязвимости

Ранее в этом году пользователи устройств потоковой передачи Chromecast, устройств Google Home и смарт-телевизоров были завалены сообщениями, рекламирующими канал ютубера PewDiePie. Угон, как говорят, является частью продолжающейся битвы за количество подписчиков на сайте обмена видео.Сообщается, что стоящие за этим хакеры воспользовались плохо настроенными маршрутизаторами с включенной службой Universal Plug and Play (UPnP), из-за чего маршрутизаторы перенаправляли общедоступные порты на частные устройства и были открыты для общедоступного Интернета.

Многие устройства, такие как камеры, принтеры и маршрутизаторы, используют UPnP, чтобы упростить автоматическое обнаружение и проверку других устройств в локальной сети и связь друг с другом для обмена данными или потоковой передачи мультимедиа. UPnP работает с сетевыми протоколами для настройки связи в сети.Но с его удобством появляются дыры в безопасности, которые варьируются от получения злоумышленниками контроля над устройствами до обхода защиты брандмауэра.

После вышеупомянутого инцидента мы изучили события, связанные с UPnP в домашних сетях, и обнаружили, что многие пользователи по-прежнему используют UPnP на своих устройствах. Мы собрали данные с помощью нашего бесплатного инструмента сканирования IoT, который может охватывать несколько операционных систем, включая платформы Mac, Windows, Android и iOS. В этом блоге мы обсуждаем данные за январь 2019 года.

Тип устройства Общее количество устройств Количество устройств с включенным UPnP Процент устройств с включенным UPnP
Маршрутизаторы 46 614 35 400 76%
Мультимедийные устройства 21 496 5 832 27%
Игровые приставки 5 138 960 19%
ПК 33 173 5 778 17%
Устройства NAS 4 333 474 11%
Камеры 2 105 189 9%
Smart TV 10 005 503 5%
Принтеры 17 265 568 3%

Таблица 1.Основные типы устройств с включенным UPnP

В январе мы обнаружили 76 процентов маршрутизаторов с включенным UPnP. Более того, 27% мультимедийных устройств, например DVD-плееры и устройства для потоковой передачи мультимедиа, также поддерживают UPnP. Уязвимые реализации UPnP при использовании могут превратить маршрутизаторы и другие устройства в прокси-серверы для сокрытия источников ботнетов, распределенных атак типа «отказ в обслуживании» (DDoS) или спама, что делает практически невозможным отслеживание злонамеренных действий.Ранее уже появлялись сообщения о том, что маршрутизаторы с уязвимыми реализациями UPnP были вынуждены подключаться к портам и даже отправлять спам или другие вредоносные письма в известные почтовые службы.

Например, ботнет IoT Satori печально известен тем, что использует уязвимость UPnP. Уязвимость, обозначенная как CVE-2014-8361, представляет собой уязвимость внедрения команд в интерфейс Realtek SDK miniigd UPnP SOAP. В мае 2015 года было выпущено публичное уведомление об этой уязвимости с соответствующими мерами по смягчению последствий, однако, судя по последним данным, которые мы собрали, многие устройства все еще используют более старые, потенциально уязвимые версии UPnP.

Рисунок 1. Результаты, связанные с UPnP, с портом 1900 в Shodan (данные на 5 марта 2019 г.)

Мы также расширили наше сканирование с помощью поисковой системы Shodan. Сканирование стандартного порта, используемого UPnP, то есть 1900, дало 1 649 719 устройств, доступных для поиска в общедоступном Интернете. Известные библиотеки UPnP также были перечислены в поисковой системе, а MiniUPnPd и Custom (библиотека UPnP от Broadcom) использовались в большинстве доступных для поиска устройств.

  Процент
МиниУПнПД 35%
Пользовательский 20%
LibUPnP (Portable SDK/Intel SDK) 1%

Таблица 2. Три лучшие библиотеки UPnP в результатах Shodan (данные на 5 марта 2019 г.)

Уязвимости, связанные с UPnP, и текущие реализации устройств в домашних сетях

результатов Shodan отображают масштаб общедоступных устройств с поддержкой UPnP.С помощью нашего собственного инструмента сканирования мы изучили библиотеки UPnP, используемые дома и в других небольших сетевых средах, и определили, какие факторы могут быть факторами, делающими устройства уязвимыми для атак. Короче говоря, мы обнаружили, что большинство устройств по-прежнему используют старые версии библиотек UPnP. Уязвимости, связанные с библиотеками UPnP, существуют уже много лет, потенциально не исправлены и делают подключенные устройства незащищенными от атак.

МиниУПнПД

Данные нашего инструмента сканирования IoT показали, что 16% устройств с включенным UPnP используют библиотеку MiniUPnPd.MiniUPnPd — это хорошо известный демон UPnP для маршрутизаторов NAT (преобразование сетевых адресов), предоставляющий услуги протокола сопоставления портов. Интересно, что на обнаруженных нами устройствах установлены старые версии MiniUPnPd: 24 процента используют MiniUPnPd 1.0, 30 процентов используют MiniUPnPd 1.6 и только пять процентов устройств используют версию MiniUPnPd 2.x (miniupnpd 2.1 — последняя версия).

Версии Процент
миниупнпд 1.0 24,47%
миниупнпд 1.1 0%
миниупнпд 1.2 0,28%
миниупнпд 1.3 0,49%
миниупнпд 1.4 3,68%
миниупнпд 1,5 10,81%
миниупнпд 1.6 29,98%
миниупнпд 1.7 4,23%
миниупнпд 1.8 8.48%
миниупнпд 1.9 11,34%
миниупнпд 2.0 4,96%
миниупнпд 2.1 0,39%
Другие 0,89%
миниупнпд (все) 100,00%

Таблица 3. Дистрибутив MiniUPnPd

Устройства со старыми версиями указанного демона должны быть защищены от известных уязвимостей и уязвимостей с высоким риском.Например, CVE-2013-0230, переполнение буфера на основе стека в ExecuteSoapAction MiniUPnPd 1.0 , позволяет злоумышленникам выполнять произвольный код. CVE-2013-0229, уязвимость в функции ProcessSSDPRequest в MiniUPnPd до версии 1.4 , позволяет злоумышленникам вызвать отказ в обслуживании (DoS) с помощью специально созданного запроса, который вызывает перезапись буфера. Кроме того, есть CVE-2017-1000494, уязвимость неинициализированной переменной стека в MiniUPnPd < 2.0 , которая позволяет злоумышленникам вызывать отказ в обслуживании (сбой сегментации и повреждение памяти).

Сервер Windows UPnP

Мы также обнаружили, что 18 процентов устройств используют UPnP на базе Windows. Эти устройства, в частности компьютеры с Microsoft Windows XP (Windows NT 5.1), должны проверять, было ли применено исправление MS07-019. (Важно также отметить, что в апреле 2014 года срок службы Windows XP истек, а это означает, что она больше не поддерживается корпорацией Майкрософт, и проблемы с безопасностью останутся нерешенными.) Windows XP поставляется с функцией UPnP, которая включается автоматически из коробки.Патч устраняет уязвимость повреждения памяти UPnP (CVE-2007-1204), которая позволяет удаленному злоумышленнику запускать произвольный код в контексте локальной учетной записи службы.

Libupnp (портативный SDK для устройств UPnP)

Портативный комплект разработки программного обеспечения (SDK) для устройств UPnP (libupnp) — еще одна известная библиотека UPnP, которая поддерживает несколько операционных систем. По нашим данным, 5% обнаруженных устройств используют пакет библиотеки libupnp. Хотя это и незначительная цифра, мы отметили, что большинство устройств с указанной библиотекой имеют версии старше 1.6.18/1.6.19 (текущая версия 1.8.4). Пользователи версий до 1.6.18 должны помнить о переполнении буфера на основе стека в функции unique_service_name, обозначенной как CVE-2012-5958, что позволяет удаленным атакам выполнять произвольный код через пакет протокола пользовательских дейтаграмм (UDP). .

Заключение и решения Trend Micro Solutions

Пользователям может быть сложно определить, имеет ли устройство дефект, связанный с UPnP, или оно было заражено. Некоторые устройства могут быть скрыты за NAT, так что даже если существует уязвимость, пользователь может не сразу заметить последствия.Чтобы предотвратить атаки, использующие уязвимости, связанные с UPnP, пользователи должны убедиться, что на их устройствах установлена ​​обновленная прошивка. Если устройство подозревается в заражении, его следует перезагрузить, сбросить до исходных заводских настроек или, в целях предосторожности, вообще заменить. Если для сети не требуется включение UPnP в устройствах, рекомендуется отключить функцию UPnP, если это позволяет устройство. Однако следует отметить, что отключение UPnP может привести к отключению некоторых функций, включая зависимости обнаружения локальных устройств и игнорирование запросов от устройств.

Домашние пользователи также могут использовать следующие меры для дополнительной безопасности:

1. Просканируйте домашние сети с помощью инструмента Trend Micro™ HouseCall™ для домашних сетей и проверьте, на каких устройствах открыт порт UPnP 1900.

2. Перейдите на страницу настроек устройства (например, страницу настроек маршрутизатора), чтобы отключить UPnP.

3. При необходимости вручную настройте параметры переадресации портов.

Решение Trend Micro Home Network Security может проверять интернет-трафик между маршрутизатором и всеми подключенными устройствами.Наш инструмент сканирования IoT был интегрирован в сканер Trend Micro HouseCall для домашних сетей.

Пользователи решения Trend Micro Home Network Security защищены от уязвимостей UPnP и связанных с ними атак с помощью следующих правил:

  • 1134286 Выполнение команды WEB Realtek SDK Miniigd UPnP SOAP (CVE-2014-8361)
  • 1134287 Выполнение команды SOAP WEB домашнего шлюза Huawei (CVE-2017-17215)

Объяснение служб UPnP, SSDP и переадресации портов | Рапид7

Это была ночь перед HaXmas,
когда весь дом,
Ни одна тварь не шевелилась, даже мышь.
Чулки бережно повесили к дымоходу,
в надежде, что Святой Николай скоро будет там.

Это может быть то, как вы начинаете свое праздничное настроение,
, но прежде чем вы начнете, позвольте мне предупредить вас.
Боюсь, я совсем по-другому провожу отпуск.
Как белый хакер с приветствием UPnP.

И поскольку вы, возможно, не знаете,
позвольте мне поделиться с вами тем, что я узнал,
, чтобы вы тоже могли позаботиться,
, как перенести вперед с помощью UPnP Праздничное приветствие.

Universal Plug and Play (UPnP) — это служба, которая работает с нами уже много лет и используется для автоматизации обнаружения и настройки сетевых и коммуникационных служб между устройствами в вашей сети. Для сегодняшнего обсуждения в этом сообщении в блоге будут рассмотрены только службы переадресации портов, а также будет предоставлен скрипт Python, который вы можете использовать, чтобы начать изучение этой службы.

Службы переадресации портов UPnP обычно включены по умолчанию на большинстве потребительских маршрутизаторов преобразования сетевых адресов (NAT) с выходом в Интернет, предоставляемых поставщиками интернет-услуг (ISP) для поддержки сетей IPv4.Это делается для того, чтобы устройства во внутренней сети могли автоматизировать настройку необходимых функций переадресации портов TCP и UDP на маршрутизаторе с выходом в Интернет, чтобы устройства в Интернете могли подключаться к службам в вашей внутренней сети.

Итак, первое, что я хотел бы сказать об этом, это то, что если вы не используете приложения или системы, такие как системы интернет-игр, для которых требуется эта функция, я бы рекомендовал отключить ее на вашем маршрутизаторе с выходом в Интернет. Почему? Потому что он использовался злоумышленниками для дальнейшей компрометации сети, открывая доступ к портам во внутренние сети с помощью вредоносного ПО.Так что, если вам это не нужно, вы можете удалить риск, отключив его. Это лучший вариант, чтобы помочь уменьшить любое ненужное воздействие.

Чтобы все это работало, UPnP использует протокол обнаружения, известный как Simple Service Discovery Protocol (SSDP). Эта служба обнаружения SSDP для UPnP является службой UDP, которая отвечает через порт 1900 и может быть пронумерована путем широковещательной передачи сообщения M-SEARCH через многоадресный адрес 239.255.255.250. Это сообщение M-SEARCH вернет информацию об устройстве, включая URL-адрес и номер порта для файла описания устройства «rootDesc.xml’. Вот пример возвращенного ответа M-SEARCH от маршрутизатора NETGEAR Wi-Fi в моей сети:

Чтобы отправить многоадресное сообщение M-SEARCH, используйте простой скрипт Python:

  # простой скрипт для перечисления UPNP устройства
 
импортный сокет
 
# Тело сообщения M-Search
МС = \
    'M-ПОИСК * HTTP/1.1\r\n' \
    'ХОСТ: 239.255.255.250:1900\r\n' \
    'ST:upnp:корневое устройство\r\n' \
    'MX:2\r\n' \
    'MAN:"ssdp:обнаружить"\r\n' \
    '\ г\п'
 
# Настраиваем сокет UDP для многоадресной рассылки
SOC = розетка.сокет (сокет.AF_INET, сокет.SOCK_DGRAM, сокет.IPPROTO_UDP)
SOC.settimeout(2)
 
# Отправить сообщение M-Search на многоадресный адрес для UPNP
SOC.sendto(MS.encode('utf-8'), ('239.255.255.250', 1900))
 
#слушай и записывай возвращенные ответы
пытаться:
    пока верно:
        данные, адрес = SOC.recvfrom(8192)
        печать (адрес, данные)
кроме socket.timeout:
        проходят
  

Следующим шагом является доступ к файлу rootDesc.xml. В данном случае это доступно на моем устройстве через http://192.168.2.74:5555/rootDesc.XML. Глядя на ответ M-SEARCH выше, мы видим, что IP-адрес для rootDesc.xml 169.254.39.187. 169.254.*.* известен как автоматический частный IP-адрес. Нередко можно увидеть адрес в этом диапазоне, возвращаемый запросом M-SEARCH. Попытка получить к нему доступ не удастся, потому что это неправильно. Чтобы фактически получить доступ к файлу rootDesc.xml, вам нужно будет использовать истинный IP-адрес устройства, который в моем случае был 192.168.2.74 и был показан в заголовке ответа на сообщение M-SEARCH.

Как только rootDesc.xml, вы увидите список очень интересных вещей, но в данном случае нас интересует только перенаправление портов. Если служба переадресации портов доступна, она будет указана в файле rootDesc.xml как тип службы WANIPConnection, как показано ниже:

Вы можете открыть WANIPCn.xml в той же службе http и на том же расположении порта TCP, что и rootDesc.xml. файл. Файл wanipcn.xml определяет различные доступные действия, и это часто включает в себя следующие примеры действия:

  • addexternalipaddress
  • deleteportmapping
  • getstatusinfo
  • getstatusinfo
  • getgenericportmappingmappentrapentry
  • GetSpecifiencificortmappentrapentry

при каждом из этих действий будет быть списком аргументов.Этот список аргументов определяет значения аргументов, которые могут быть отправлены через сообщения протокола SOAP на управляющий URL-адрес по адресу http://192.168.2.74:5555/ctl/IPConn, который используется для настройки параметров или получения состояния на устройство роутера. SOAP — это спецификация обмена сообщениями, в которой для обмена информацией используется формат Extensible Markup Language (XML).

Ниже приведены несколько перехваченных сообщений SOAP, первое из которых показывает AddPortMapping. Это настроит сопоставление портов на маршрутизаторе с IP-адресом 192.168.1.1. В этом случае добавляется порт TCP 1234, и он настроен для сопоставления интернет-стороны маршрутизатора с внутренним IP-адресом 192.168.1.241, поэтому любой, кто подключается к TCP-порту 1234 на внешнем IP-адресе маршрутизатора, будет подключен к порту 1234 на внутреннем хосте 192.168.1.241.

В следующем захваченном сообщении SOAP показано действие DeletePortMapping, используемое для удаления сопоставления портов, созданного в приведенном выше сообщении SOAP:

В заключение этого простого введения в службы UPnP, SSDP и переадресации портов я настоятельно рекомендую вам не экспериментируйте с вашим личным интернет-маршрутизатором или модемом DSL, где вы можете повлиять на состояние безопасности вашей домашней сети.Но я рекомендую вам настроить тестовую среду. Это легко сделать с помощью любого обычного домашнего маршрутизатора или точки доступа Wi-Fi с услугами маршрутизатора. Их часто можно купить бывшими в употреблении, или у вас может даже лежать один, который вы обновили. Удивительно, насколько просто модифицировать маршрутизатор с помощью этих служб UPnP, отправляя сообщения SOAP, и я надеюсь, что вы воспользуетесь этим введением и поэкспериментируете с этими службами, чтобы еще больше расширить свои знания в этой области. Если вам нужны дополнительные инструменты для экспериментов со службами переадресации портов, вы можете использовать утилиту сопоставления портов UPnP IGD SOAP в Metasploit для создания и удаления этих сопоставлений портов.

Но я слышал, как он воскликнул, прежде чем он скрылся из виду-
Всем счастливого HaXmas и всем хорошей ночи UPnP

НИКОГДА НЕ ПРОПУСТИТЕ БЛОГ

Получите последние новости, экспертные знания и новости о безопасности уже сегодня.

Подписаться

Другие блоги HaXmas

Что такое UPnP? | Кембридж Аудио США

Скорее всего, вы слышали о таких терминах, как «UPnP», «сервер» и «рендеринг» в мире Hi-Fi. Если вы не уверены на 100%, что они означают, не волнуйтесь, этот блог здесь, чтобы объяснить все это.Но чтобы лучше понять, давайте кратко вспомним, из чего состоит домашняя сеть:

.
  • Модем — устройство, с помощью которого вы подключаетесь к Интернету, обычно предоставляется вашим интернет-провайдером (Internet Service Provider)
  • Маршрутизатор — все коммуникации осуществляются через маршрутизатор. Маршрутизатор раздает IP-адреса каждому устройству в сети, чтобы они могли общаться друг с другом. Обычно модем и роутер совмещены в одной коробке.
  • Сетевой проигрыватель — что-то для воспроизведения ваших файлов.Что, если мы необъективны, может быть CXN, 851N или CXU.
  • Сетевые кабели
  • — если вы соединяете любую сеть вместе без WiFi.
  • Контент – Файлы, которые вы хотите воспроизвести! Они также должны быть в сети. Любые онлайн-сервисы, которые вы используете, такие как Spotify или Netflix, также относятся к контенту.

Ваш сетевой проигрыватель получит ряд преимуществ, когда он будет работать в сети. Вы сможете управлять своим плеером по беспроводной сети с помощью приложений на смартфоне или планшете, например нашего приложения Spotify Connect.НАМНОГО проще исправить потенциальные ошибки и обновить плеер через Интернет, если и когда будет выпущена прошивка. И, конечно же, больше не нужно копаться в стопках компакт-дисков и Blu-Ray! Мало того, вы можете воспроизводить файлы, которые находятся на таких устройствах, как телефоны и планшеты.

Вот красивая диаграмма того, как может выглядеть типичная домашняя сеть, включая устройства UPnP.

Теперь в вашей сети все на месте, им нужно общаться с использованием протокола (общий язык в технических терминах), в данном случае это UPnP! Universal Plug and Play – это сетевой протокол, который позволяет устройствам обнаруживать друг друга в сети, обмениваться данными и подключаться друг к другу через Wi-Fi.В мире hi-fi и домашних кинотеатров Cambridge Audio это обычно музыка и фильмы. В среде UPnP вам потребуются следующие три устройства:

.

Во-первых, это UPnP-сервер. Это программа, работающая на жестком диске или компьютере, которая передает (вы не поверите) файлы по сети на средство визуализации (мы вернемся к этому через секунду), где вы можете воспроизводить свои медиафайлы в свое удовольствие. Простой! Серверы UPnP бывают разных типов, поэтому выбор зависит от того, где находятся ваши файлы.Если они сохранены на вашем компьютере, вам поможет такая программа, как Twonky Media или Asset. Как и в любой другой компьютерной программе, существует множество медиасерверов с различными функциями, поэтому проведите небольшое исследование, прежде чем остановиться на одном из них. Платные провайдеры, как правило, лучше, обычно предлагают больше функций, лучшую конфигурацию и регулярные обновления.

Одним из недостатков использования вашего компьютера для обслуживания контента является то, что он должен быть включен и работать в фоновом режиме, поэтому, если вы не хотите оставлять компьютер включенным, вам следует подумать о диске NAS.В двух словах, диск NAS (сетевое хранилище) — это БОЛЬШОЙ жесткий диск с предустановленным сервером UPnP, который подключается к вашему маршрутизатору. Иметь здесь свой контент намного удобнее, так как он всегда виден и готов к работе. Вы также избежите засорения вашего компьютера большими файлами музыки и фильмов. Беспроигрышный вариант для дисков NAS!

Далее вам понадобится UPnP-рендерер. Это сам сетевой проигрыватель, где вы будете воспроизводить свои медиафайлы, такие как CXN или CXU (какой бессовестный штекер!). Средство рендеринга сообщит остальной части сети, что это средство рендеринга и какие типы файлов он может воспроизводить.Он также спросит у сервера, какой контент доступен, чтобы он мог просматривать сервер через его меню. В мире аудио меню будет состоять из исполнителя, альбома, жанра и т. д.

И, наконец, точка управления UPnP. Это может быть приложение для смарт-устройств, такое как наше приложение Connect (еще один бессовестный плагин, все равно не жалко!) Вы сообщаете приложению, каким рендерером и сервером вы хотите управлять, и с какого сервера вы хотите воспроизводить контент, и эй! вуаля: вы управляете им, не вставая с удобного кресла!

UPnP намеревается максимально упростить работу пользователя.Настройка не требуется, так как устройства можно добавлять или удалять из сети, не нарушая остальную часть настройки. Нет необходимости устанавливать драйверы, в отличие от использования USB для аудио. Гораздо меньше хлопот и стресса! Мы добавили несколько изображений ниже, чтобы показать, как легко просматривать музыку после настройки.

Что отличает Cambridge Audio в сфере UPnP?

Предложение UPnP в настоящее время вряд ли является новаторским, оно стало стандартом в мире аудио.Вот почему мы решили действовать по-другому. Одним из ОГРОМНЫХ преимуществ наших плееров с поддержкой UPnP является то, что они обеспечивают непрерывное воспроизведение, которое не является частью стандарта UPnP. Здесь не добавляются небольшие паузы между треками, поэтому переход между песнями более плавный. Это очень важно, если вы слушаете концертный или классический альбом, или во время интенсивного прослушивания, когда треки одного альбома перетекают в другой. Вспомните альбом Pink Floyds Dark Side of the Moon.

В нашем приложении Connect также есть уникальный UPnP-трюк в рукаве.Приложение взаимодействует напрямую с сетью/сервером, используя вычислительную мощность смарт-устройства вместо средства визуализации. Чипы обработки, используемые в смартфонах в наши дни, НЕВЕРОЯТНО хороши, более мощные, чем те, которые вы найдете в любом сетевом плеере. Если у вас есть большая цифровая музыкальная коллекция на жестком диске или диске NAS, это может вызвать эффект «узкого места» при использовании процессора рендеринга, особенно если у вас есть хорошая коллекция больших файлов высокого разрешения. Пропустите его вообще с приложением для быстрого просмотра на вашем сетевом плеере!

UPnP — это предпочтительный и предполагаемый способ воспроизведения музыки через наши сетевые проигрыватели.Есть USB-порты, к которым вы можете напрямую подключать свою музыку, но они действительно предназначены для быстрого удобного подключения, а не для длительного прослушивания. Где USB неудобен, так это когда вы пытаетесь просмотреть свою музыкальную коллекцию. Он будет просматривать USB-накопитель по папкам на нем, поэтому, если вы точно не знаете, где находятся ваши треки, их воспроизведение может стать кошмаром. Сервер UPnP просматривает метаданные в ваших файлах, поэтому вы можете выполнять поиск по исполнителю, песне, альбому и ряду других методов независимо от структуры файла.Если вам нужна еще домашняя аудиозапись, загляните в наш блог о метаданных здесь и узнайте, как хорошие метаданные могут значительно облегчить жизнь.

Домашняя сеть уже настроена? Какие серверы UPnP вы бы порекомендовали или диски NAS, без которых вы не можете жить? Обязательно сообщите нам об этом в комментариях ниже!

Что такое UPnP и как его использовать для потоковой передачи мультимедиа на мой телевизор?

Уважаемый Lifehacker,
Я устал переносить свои фильмы и телепередачи на жесткий диск PlayStation 3 всякий раз, когда хочу их посмотреть.В нем говорится, что я могу выполнять потоковую передачу мультимедиа со своего компьютера через UPnP, но я не уверен, что это значит и как это настроить. Помощь!

С уважением,
Stressed with Streaming

Уважаемый Stressed,
UPnP (что означает Universal Plug and Play) — это функция, которая позволяет устройствам в вашей домашней сети обнаруживать друг друга и получать доступ к определенным службам. Часто это используется для потоковой передачи мультимедиа между устройствами в сети. В настоящее время множество различных устройств поддерживают потоковую передачу UPnP (или ее двоюродного брата, DLNA), и это здорово, потому что это означает, что вы можете копировать или загружать медиафайлы на свой домашний компьютер и передавать их прямо на телевизор — передача файлов не требуется.

Примечание . Протокол UPnP, который позволяет вам передавать мультимедиа по сети, отличается от настройки UPnP на вашем маршрутизаторе, который, как известно, небезопасен. Использование UPnP для потоковой передачи мультимедиа между компьютерами в вашем собственном доме не требует включения UPnP на вашем маршрутизаторе и не представляет никакой угрозы безопасности.

Существует множество различных способов настройки UPnP, и они будут различаться в зависимости от используемого вами устройства. Я объясню, как это работает и как его настроить, используя самые простые методы, которые я использовал.

Что вам понадобится

  • Серверная программа . Это программа на вашем основном ПК, которая обменивается медиафайлами с вашим устройством с поддержкой UPnP. Существует довольно много различных серверных программ, но я обнаружил, что просто использование ранее упомянутой XBMC со встроенным сервером UPnP творит чудеса. Тем не менее, пользователям Mac обязательно стоит попробовать облегченный Majestic, а пользователям Linux следует попробовать MediaTomb. Я не нашел ничего проще для использования в Windows. ( Update : многие из вас упоминали в комментариях очень простой в использовании PS3 Media Server, который представляет собой простой сервер для Windows и Linux и, несмотря на свое название, поддерживает массу различных устройств UPnP.Спасибо всем, кто поделился этим!)
  • Устройство с поддержкой UPnP для потоковой передачи. Это может быть Playstation 3, Xbox 360, медиацентр с программным обеспечением, таким как XBMC, Boxee или Plex, и даже некоторые телевизоры и DVD-плееры. Проверьте документацию вашего устройства, чтобы узнать, поддерживает ли оно UPnP.

Как настроить

Шаг первый: настроить сервер UPnP

Для целей этого руководства я буду использовать XBMC в качестве своего сервера, так как он работает в Windows, Mac OS X и Linux, и довольно прост в настройке.Как упоминалось выше, если вы предпочитаете использовать другой сервер UPnP, у вас есть и другие варианты. Если у вас еще нет XBMC, скачайте его здесь.

Запустите XBMC и перейдите в «Настройки» > «Сеть». В разделе «Службы» вы должны увидеть опцию «Общий доступ к видео и музыкальным библиотекам через UPnP». Выберите это поле и вернитесь в главное меню.

Если, например, вы хотите поделиться видео с другим устройством с поддержкой UPnP, просто зайдите в раздел «Видео» XBMC и выберите «Добавить источник».Перейдите к «Обзору», перейдите к папке на жестком диске, где вы храните медиафайлы, и нажмите «ОК». Теперь эта папка будет проиндексирована XBMC и автоматически будет передана любому устройству с поддержкой UPnP в вашей сети.

Шаг второй: настройте UPnP-совместимое устройство (при необходимости)

Большинство устройств должны автоматически обнаруживать UPnP-серверы, поэтому это так просто. Например, если у вас есть PlayStation 3, вы должны просто перейти в раздел «Видео» и увидеть, как ваш компьютер появляется как новый источник.Затем вы можете просматривать свои общие папки прямо оттуда. Если вы не видите свою общую папку на своем устройстве, проверьте настройки и убедитесь, что UPnP включен, так как некоторые из них не включаются автоматически. Например, пользователям XBMC придется снова нажать «Добавить источник» и выбрать устройство UPnP для обнаружения устройств в сети. Проверьте руководство вашего устройства, если вы не видите, что оно просто всплывает.

Шаг третий: Наслаждайтесь великолепным потоковым мультимедиа

Готово! UPnP — один из самых простых способов обмена мультимедиа в вашем доме, и его настройка занимает всего несколько минут.Помните, что всякий раз, когда вы хотите получить доступ к своим медиафайлам, вам понадобится ваша серверная программа (в данном случае XBMC), работающая на вашем основном компьютере.

Надеюсь, это поможет вам начать работу и избавит вас от необходимости постоянно передавать все эти файлы. Наслаждайтесь UPnP!

С уважением,
Лайфхакер

P.S. У вас есть свой любимый сервер UPnP, о котором мы не упомянули? Возникли проблемы с его работой на вашем устройстве? Каждый сервер и каждое устройство немного отличаются друг от друга, поэтому делитесь своим опытом и помогайте друг другу в комментариях.


Вы можете связаться с Уитсоном Гордоном, автором этого сообщения, по адресу [email protected] Вы также можете найти его в Twitter, Facebook и на нашей странице #советы.

Что такое UPnP и почему это небезопасно?

В начале 2000-х в наших домах было практически только одно устройство, подключенное к Интернету: один-единственный ПК, вот и все. По мере того, как все больше устройств подключалось к Интернету, маршрутизатор должен был находиться между модемом и остальными устройствами в вашей сети, что означает, что ваш маршрутизатор обрабатывает трафик для такого количества устройств и не обязательно знает, как направлять входящий трафик.

Это означало, что любое устройство, подключающееся к вашей системе, не обязательно знало, как связаться с конкретным устройством, находящимся за маршрутизатором. В конце концов, они получили ваш публичный IP-адрес, но в пакете связи были и другие указания. Именно здесь появляется UPnP и термин переадресация портов. Если устройство или сервер хотят подключиться к вашему устройству напрямую, вам необходимо перенаправить порт вашего маршрутизатора, чтобы отправить определенный запрос на определенное устройство. UPnP может автоматически перенаправлять порты маршрутизатора, избавляя вас от необходимости вручную перенаправлять порты на любое устройство.

Что такое UPnP?

Во-первых, если вы не знаете заранее о UPnP, то перенаправление портов может быть лучшим вариантом. UPnP означает Universal Plug and Play, которую вы можете использовать на своей PlayStation, Xbox или компьютере для подключения к хост-серверу игры. UPnP помогает другим устройствам быстро подключаться к вашей сети без настройки, но открывает возможность хакерам выполнять вредоносные действия в вашей сети. Кроме того, это может пойти в любом случае. Возможно, вы размещаете игровой сервер и хотите, чтобы другие онлайн-игроки легко находили нужный сервер и подключались к нему.Так работает UPnP.

Проще говоря, UPnP создает надежное соединение между двумя устройствами, подключенными к Интернету. Преимущество использования UPnP заключается в том, что он устанавливает четкое соединение между двумя устройствами или серверами. Раздражает то, что на самом деле это не увеличивает скорость вашего интернета и не устраняет проблемы с пропускной способностью, даже если вы используете беспроводное подключение к Интернету или проводной кабель.

Что такое переадресация портов?

Мы не будем называть UPnP мусором в этом разделе, объясняя перенаправление портов.Но мы расскажем вам, какой из них вам следует использовать, особенно если вы размещаете игровые серверы или играете в MMO-игры, такие как COD: Cold War или Minecraft . Переадресация портов — это способ сообщить вашему маршрутизатору о перенаправлении определенного запроса на определенное устройство.

Все, что вам нужно сделать, это изменить некоторые цифры в меню конфигурации вашего маршрутизатора, чтобы перенаправить порт любого маршрутизатора или устройства. У нас есть много руководств по настройке переадресации портов маршрутизатора, поэтому вы можете ознакомиться с ними, если это необходимо. Использование UPnP более удобно, а переадресация портов намного безопаснее с точки зрения конфиденциальности.

Кто-то идет на охрану, а кто-то нет. Кто мы такие, чтобы судить? Но если вы создаете безопасное соединение между двумя устройствами с помощью переадресации портов, вы ставите под угрозу удобство. UPnP, с другой стороны, предлагает удобство, но не гарантирует безопасность. Это может стать настоящей дилеммой! Мы предлагаем переадресацию портов, потому что вы никогда не должны рисковать личной безопасностью.

Узнайте больше о переадресации портов.

Наиболее распространенное использование UPnP:

UPnP — лучший способ избежать установки драйверов на компьютер и быстрее установить соединение между устройствами.Теперь, когда вы знаете, как работает UPnP, давайте обсудим распространенные варианты использования в вашей повседневной жизни. Вот некоторые из них: 

  • Управление интеллектуальными устройствами дома, такими как Amazon Echo, термостатами или Smart Ring Lights;
  • Подключение Xbox и других игровых консолей для потоковой передачи онлайн-игр;
  • Обмен большими мультимедийными файлами, такими как видео или фотографии;
  • Воспроизведение видео через несколько интернет-устройств;
  • Создание стабильного соединения между вашим устройством и игровым сервером;

Лучше ли UPnP для онлайн-игр?

UPnP похож на автоматическое сопоставление двух устройств в Интернете.Вы должны использовать UPnP для подключения к любому серверу или устройству. Но, как мы уже говорили ранее, UPnP не влияет в режиме реального времени на вашу задержку, скорость интернета или пропускную способность. Короче говоря, если ваше интернет-соединение медленное, UPnP не заставит его работать волшебным образом быстрее.

Однако вы можете поддерживать стабильное соединение с игровыми серверами P2P в течение более длительного времени через UPnP. Вы не можете играть в определенные игры на маршрутизаторе NAT, если ваш UPnP отключен или отключен. Мы не предлагаем включать UPnP и протыкать дыры в вашем брандмауэре NAT, потому что вы хотите играть в игры со 100 другими людьми.Безопасность важнее развлечений.

Как UPnP решает обход NAT

UPnP также помогает решить проблему NAT Traversal . Часто случается так, что NAT меняет IP-адрес внутреннего компьютера на NAT-устройство. Когда адреса не совпадают, принимающий компьютер часто сбрасывает пакет, что приводит к проблемам в p2p файлообменнике и использовании приложений VoIP.

Решением этой проблемы является протокол Internet Gateway Device, реализованный через UPnP.Этот протокол позволяет точке управления UPnP выполнять различные действия. Добавляя сопоставление портов, контроллер UPnP может включить обход IGD от внешнего адреса к внутреннему клиенту.

Является ли UPnP безопасным или рискованным?

UPnP небезопасен из-за множества проблем с безопасностью! Представьте себе: вы открываете порты, чтобы позволить входящим внешним устройствам подключаться к вашему устройству и обходить брандмауэр NAT. Это открыто подвергает ваш компьютер или любое другое устройство нежелательным подключениям и даже хакерам.

Предположим на мгновение, что UPnP действительно безопасен, но вредоносное ПО или DDoS-атаки могут перехватить соединение и таким образом украсть всю вашу личную информацию. Кроме того, хост может видеть все IP-адреса подключенных устройств, поэтому ваша конфиденциальность отправляется в мусоропровод.

Как только хакеры проникнут в вашу сеть, они смогут:

  1. Получить удаленный доступ к вашему устройству и другим устройствам, подключенным к той же сети;
  2. Может получить доступ к вашей конфиденциальной информации;
  3. Внедрение вредоносных программ на ваши устройства;
  4. Скрывать вредоносные действия, используя ваш роутер в качестве прокси, и выполнять различные попытки кражи ваших банковских реквизитов, фишинговые атаки, DDoS.Эти атаки будут выглядеть так, как будто они исходят от вас, а не от хакеров, из-за механизма прокси, реализованного хакерами.

Совет : Однако вы можете снизить риски безопасности, связанные с UPnP, используя надежный интернет-брандмауэр или надстройку для переадресации портов, а также время от времени используя программное обеспечение для обнаружения вредоносных программ. Не забудьте также обновить роутер. Если вы живете исключительно для того, чтобы играть в игры, всегда используйте платные серверы для дополнительной безопасности.

Проблемы с UPnP

UPnP может быть удобным для конечного пользователя, но с ним связано несколько рисков, которыми может воспользоваться любой хакер. Хотя первоначально предполагалось, что UPnP будет работать только в локальной сети, большинство производителей маршрутизаторов теперь включают UPnP по умолчанию. Это означает, что эту функцию теперь можно обнаружить в глобальной сети, что приводит к проблемам с безопасностью.

Основная проблема с UPnP заключается в том, что он не требует аутентификации или авторизации .Хотя это добавляет много удобства для нас, это также очень рискованно. Это позволяет хакерам находить лазейки в вашей сети и с легкостью получать удаленный доступ к вашим устройствам.

Хакер может легко отправить запрос UPnP на ваш маршрутизатор, и маршрутизатор откроет порт при любой необходимости авторизации. Затем хакер может взломать устройства и установить на них вредоносное ПО или украсть личную информацию. Хакеры также могут начать использовать вашу сеть в качестве прокси-сервера для выполнения вредоносных атак в Интернете, таких как DDoS и фишинговые атаки.

Также были случаи, когда упомянутое выше решение NAT Traversal использовалось для взлома маршрутизаторов с помощью UPnP. Существуют даже инструменты, позволяющие использовать этот метод в интересах хакера и сделать маршрутизатор уязвимым для угроз.

Отслеживание IGMP и Уязвимость обратного вызова — две другие опасные уязвимости, связанные с UPnP.

Что произойдет, если я отключу UPnP на своем маршрутизаторе?

Прежде чем мы перейдем к ответу на этот вопрос, вы должны знать, что многие маршрутизаторы поставляются с предустановленной настройкой конфигурации UPnP.Итак, вы должны сначала проверить, отключен ли UPnP. Теперь вернемся к вопросу. Если вы отключите UPnP на маршрутизаторе, вы не сможете играть в некоторые определенные игры и не сможете подключаться к другим устройствам, совместимым с UPnP.

Отключение UPnP может помешать вам присоединиться к большому игровому серверу ( Fortnite , Minecraft , или Call of Duty ) и защитить ваше домашнее устройство и IP-адрес. В целях домашней безопасности и конфиденциальности не включайте UPnP, особенно если вы работаете в корпоративной среде.

Плюсы и минусы UPnP

Вот преимущества и недостатки UPnP.

Плюсы :
  • Обеспечивает реальную совместимость Plug and Play.
  • Upnp используется для обхода NAT или пробивания брандмауэра.
  • Он поддерживается различными известными поставщиками и компаниями, такими как Microsoft и Intel, что делает его отраслевым стандартом.
  • UPnP — идеальная архитектура для домашних устройств и сетей.

Родственные: Типы NAT

Минусы :
  • Контрольные точки не требуют аутентификации.Следовательно, любая программа на вашем компьютере может запросить переадресацию порта UPnP.
  • UPnP не имеет официальной реализации. Следовательно, у каждого маршрутизатора есть свое применение; многие развертывания содержат ошибки или открывают путь для вредоносных программ.
  • Любая вредоносная программа в вашей сети может использовать UPnP так же, как и законная программа.

Как защитить себя?

Защита от злоумышленников имеет большое значение в современном крайне уязвимом цифровом мире.Чтобы защитить себя от уязвимостей маршрутизатора UPnP , вот ваши варианты:

  • Включить UPnP-UP (универсальная технология Plug and Play — профиль пользователя)

Этот параметр обеспечивает аутентификацию и авторизацию для устройств и приложений UPnP. Хотя это не безотказный метод, это шаг к тому, чтобы защитить себя.

Некоторые устройства не полностью поддерживают эту функцию, и, несмотря на то, что она включена, они могут продолжать предполагать, что другие устройства, подключающиеся к вашему маршрутизатору, надежны.

  1. Отключить UPnP

Другой способ — полностью отключить UPnP. Однако, прежде чем вы начнёте это делать, рекомендуется проверить, не подвергается ли ваш маршрутизатор эксплойтам UPnP.

Часто задаваемые вопросы

Зачем мне UPnP для PS4?

UPnP помогает изменить тип NAT со строгого NAT на открытый NAT на консоли PS4 или Xbox. Включить UPnP просто, так как его можно включить через маршрутизатор.

Атер Овайс Атер Овайс — энтузиаст технологий и кибербезопасности.Он является активным сторонником конфиденциальности и безопасности в Интернете, следуя технологическим тенденциям и их влиянию на современную цифровую эпоху.

Как заставить работать UPnP?

Как заставить работать UPnP?

Как включить UPnP?

  1. Подключите компьютер к сети Wi-Fi маршрутизатора (или подключите компьютер к порту LAN маршрутизатора с помощью кабеля Ethernet). В адресной строке браузера введите 192.168.0.1.
  2. Выберите Дополнительные функции > Настройки сети > UPnP.UPnP включен по умолчанию, но вы можете включить или выключить UPnP.

Как добавить устройство в UPnP?

Чтобы включить или отключить Universal Plug and Play:

  1. Запустите веб-браузер с компьютера или мобильного устройства, подключенного к сети вашего маршрутизатора.
  2. Имя пользователя — admin. Пароль по умолчанию — пароль.
  3. Выберите ДОПОЛНИТЕЛЬНЫЕ > Расширенные настройки > UPnP. Отобразится страница UPnP.
  4. Установите или снимите флажок Включить UPnP.

Как работает маршрутизатор UPnP?

UPnP предполагает, что сеть использует Интернет-протокол (IP), а затем использует HTTP поверх IP для предоставления описания устройства/службы, действий, передачи данных и событий. Устройства UPnP работают по принципу «подключи и работай» в том смысле, что при подключении к сети они автоматически устанавливают рабочие конфигурации с другими устройствами.

Безопасно ли помещать Xbox в демилитаризованную зону?

Хотя консоли обычно безопасно размещать в демилитаризованной зоне, они не будут защищены мерами безопасности вашего маршрутизатора.Если у вас есть опасения по поводу безопасности вашей сети, мы не рекомендуем это устранение неполадок. Мы настоятельно рекомендуем не использовать DMZ для ПК!

Насколько плоха DMZ?

Неплохо включить DMZ. Обычно не рекомендуется добавлять компьютеры или серверы в DMZ. IMO, следует добавить только консоли (xbox, ps3), кабельные приставки, телевизоры и некоторые устройства, о которых вам не нужно беспокоиться о взломе. dmz — это просто IP-адрес, на который не влияет брандмауэр вашего маршрутизатора.

Должен ли я использовать DMZ для ps4?

Хотя консоли обычно безопасно размещать в демилитаризованной зоне, вы должны знать, что они не будут защищены мерами безопасности вашего маршрутизатора в демилитаризованной зоне. Если у вас есть опасения по поводу безопасности сети, в которой вы находитесь, мы рекомендуем вам не применять это средство устранения неполадок.

Должен ли я включить UPnP для Xbox?

UPnP позволяет приложениям автоматически перенаправлять порты, избегая хлопот ручной переадресации портов.” Хотя они часто достигают одного и того же конечного результата, UPnP позволяет консоли беспрепятственно запрашивать порт, а не требует ввода конкретных номеров портов вручную.

Какие порты должны быть открыты для игр?

Эти порты должны быть открыты для работы Xbox Live:

  • Порт 88 (UDP)
  • Порт 3074 (UDP и TCP)
  • Порт 53 (UDP и TCP)
  • Порт 80 (TCP)
  • Порт 500 (UDP)
  • Порт 3544 (UDP)
  • Порт 4500 (UDP)

.

Leave a comment