Wat is UPnP? En wat zijn de gevaren?
UPnP en Port Forwarding
Voordat we uitleggen wat UPnP is, is het belangrijk dat je bekend bent met het begrip ‘port forwarding’. Dit wordt gebruikt om een directe verbinding tussen je apparaat thuis en een apparaat op afstand op te zetten. Je verbindt een poort op een apparaat door, zodat deze publiek beschikbaar wordt. Je kunt bijvoorbeeld je beveiligingscamera doorverbinden, zodat je deze op afstand kunt bekijken. Wanneer je dat doet, is het belangrijk dat je een veilig wachtwoord op je camera zet, zodat niet iedereen zomaar mee kan kijken.
Al je apparaten thuis, zitten in een zogenaamd LAN. Dat staat voor ‘Local Area Network’. Dat houdt in dat de apparaten die lokaal op hetzelfde netwerk verbonden zijn, met elkaar kunnen praten. Maar apparaten buiten het netwerk, kunnen dat niet. Niemand buiten je LAN-netwerk kan daarom bij je apparaten. Dat kan alleen als je dat toestaat, door port forwarding te gebruiken.
Wat is UPnP?
UPnP staat voor ‘Universal Plug & Play’. Dit staat apps en apparaten op je netwerk toe om poorten te openen en te sluiten als ze met elkaar verbinden. Zo hoef je dus zelf geen poorten door te sturen. Op deze manier kun je bijvoorbeeld een printer delen met ieder apparaat in hetzelfde netwerk. Zonder UPnP moet je op ieder apparaat apart de printer installeren. Nu doet de computer dat automatisch.
Het mooie van UPnP is dat je het niet hoeft in te stellen. Het gaat helemaal vanzelf. Apparaten met UPnP kunnen automatisch verbinden met een netwerk, een IP-adres aanvragen en andere apparaten vinden. Over het algemeen is dat heel handig, maar het kent ook enkele beveiligingsrisico’s.
Op Windows wordt UPnP ook wel network discovery genoemd. Het komt er op neer dat apparaten elkaar automatisch vinden. Je kunt dit in het configuratiescherm van Windows aan en uit zetten, via de volgende stappen:
- Open het Configuratiescherm;
- Klik op ‘Netwerk en Internet’;
- Klik op ‘Netwerkcentrum’;
- Klik op ‘Geavanceerde instellingen voor delen wijzigen’ in het linkermenu;
- Klik op ‘Netwerkdetectie uitschakelen’ om UPnP uit te schakelen.
- Klik op ‘Wijzigingen opslaan’.
Port forwarding uitgelegd
Port forwarding noemen we ook wel eens ‘port mapping’. Je schakelt een poort van een bepaald apparaat, met een bepaald IP-adres door. Daarmee deel je deze met het grote internet. Het voordeel hiervan is dat het apparaat overal bereikbaar wordt. Dat is ook meteen het nadeel, want ongenode gasten kunnen het apparaat dan ook bereiken.
Een voorbeeld: je beveiligingscamera heeft als IP-adres 192.168.1.70 en gebruikt poort 80 om het bedieningspaneel beschikbaar te maken. In je router ga je naar ‘port forwarding’. Je typt er in dat je poort 80 van 192.168.1.70 wilt delen. Na het opslaan, wordt poort 80 publiek beschikbaar. Als je wilt, kun je poort 80 ook delen als een andere poort. Je kunt bijvoorbeeld poort 80 van het eerder genoemde IP aanbieden als poort 7000 op een publiek IP. Daarmee is het al minder logisch dat dit een webserver is. Het nadeel blijft dat de camera nu gedeeld is voor het hele internet. Hackers kunnen proberen je wachtwoord te kraken en binnen te komen. Dan kan iedereen meekijken.
Met een UPnP router of UPnP modem hoef je dit allemaal niet in te stellen. Ieder apparaat wordt dan standaard beschikbaar gesteld aan het internet. Je kunt port forwarding en UPnP niet tegelijkertijd gebruiken. Je zult dus een keuze moeten maken: of handmatig poorten invoeren, of alle apparaten standaard beschikbaar maken.
Waarom UPNP gebruiken?
UPnP gebruiken is ontzettend handig. Je hoeft niet te klooien met poorten, configuraties en allerlei lastige technische zaken. Vooral gamers hebben voordeel van UPnP. Het maakt je gaming ervaring een stuk makkelijker. Met UPnP hoef je geen poortnummers op te sporen en toe te voegen. Dat doet het protocol al voor je.
UPnP wordt gebruikt voor verschillende toepassingen:
- Gaming: Xboxes en andere consoles, zoals de Nintendo Switch, verbinden automatisch. Je kunt dan ook online games streamen;
- Domotica: Je kunt met UPnP al je apparaten beheren op afstand;
- Beveiligingscamera’s: Bekijk je camera onderweg, op je werk of waar dan ook, om te zien wat er in huis gebeurt;
- Digital home assistants, zoals Echo dots;
- Om content te streamen met een mediaserver;
- Video’s streamen met bijvoorbeeld een Roku stick of een Apple TV;
Port forwarding of port triggering?
Port forwarding en port triggering lijken wel wat op elkaar, maar ze verschillen in functie. Wanneer je port forwarding gebruikt, is de poort altijd open. Dat betekent dat apparaten buiten het netwerk altijd verbinding kunnen maken met de poort.
Wanneer je gebruik maakt van port triggering, wordt een poort alleen geopend als daar om gevraagd wordt door iets buiten het netwerk. De poort blijft lang genoeg open om een antwoord te sturen, en gaat na verloop van tijd weer dicht. Daardoor is het bijna onmogelijk voor apparaten buiten het netwerk om poorten te openen.
Toch wordt port triggering niet vaak gebruikt. Dat komt door de beperkte werking ervan. Je verbinding sluit namelijk steeds weer af. Een constante stroom data bekijken (zoals een beveiligingscamera) gaat daardoor niet.
UPNP veilig? Verre van!
Helaas is UPnP gebruiken niet de veiligste oplossing om apparaten met elkaar te verbinden. Eigenlijk is deze techniek alleen geschikt voor lokale netwerken. Dat houdt in dat alleen apparaten op hetzelfde lokale netwerk met elkaar kunnen verbinden. Veel fabrikanten van routers hebben UPnP standaard ingeschakeld. Daardoor is apparatuur ook beschikbaar voor apparaten van buitenaf, oftewel apparaten op het grote boze internet.
Dat levert beveiligingsrisico’s op, want UPnP gebruikt geen authenticatie. Het gaat ervan uit dat alle apparaten standaard veilig en betrouwbaar zijn. Dat is niet altijd het geval. Hackers kunnen daardoor gebruik maken van zogenaamde backdoors (achterdeurtjes). Dat werkt zo: een hacker vindt je router op het internet en meldt zich aan als een gameconsole. De hacker stuurt een UPnP-verzoek alsof het een gameconsole is. De router denkt: “Hé, een gameconsole, die kan ik wel vertrouwen!”, en staat de verbinding toe. De poort wordt geopend zonder vragen te stellen. Daarmee is je beveiliging dus erg zwak.
Gevaren van UPNP
UPnP aanzetten levert dus zonder meer beveiligingsrisico’s op. Wat kan een hacker hiermee? Hackers kunnen middels UPnP:
- Toegang krijgen tot de hele router en alle aangesloten apparaten;
- Gevoelige informatie ontfutselen;
- Schadelijke software op het netwerk of op je apparatuur installeren;
- Ransomware uitrollen op het netwerk, waardoor je bestanden worden versleuteld en je losgeld moet betalen om je bestanden terug te krijgen;
- Je router als proxy gebruiken. Daarmee worden illegale activiteiten gemaskeerd. Het lijkt alsof jij de crimineel bent, in plaats van de hacker zelf. Jouw verbinding kan onderdeel worden van DDoS-aanvallen of phishing mails verzenden.
UPNP aan of uit?
Wanneer je UPnP toch wilt gebruiken, kun je beter het veiligere UPnP-UP gebruiken. Dat is UPnP met een gebruikersprofiel. Je moet dan eerst inloggen voordat je toegang krijgt. Dat is nog steeds niet waterdicht. Apparaten gaan er nog steeds vanuit dat alle binnenkomende verbindingen veilig zijn. Daardoor kunnen er alsnog backdoors zijn.
Wil je echt goed beveiligd zijn? Dan kun je UPnP het best helemaal uitzetten. Controleer dan eerst of je router kwetsbaar is voor UPnP-inbraken. Laten we eerlijk zijn: UPnP is best erg handig, maar het is niet veilig. Verkies je liever veiligheid boven gebruikersgemak? Of neem je andere maatregelen om jezelf beter te beschermen? Apparaten verbinden zonder UPnP vereist namelijk wel wat technische kennis. Dus zet je UPnP aan of uit?
UPNP uitschakelen: een goed idee?
Na het lezen van deze pagina heb je waarschijnlijk het idee dat het beter is om UPnP uit te schakelen. Als je dat doet, negeert je router alle binnenkomende verzoeken. Dat houdt ook in dat je apparaten die je wel wilt toestaan, handmatig moet verbinden en toestaan. Je router stopt met het automatisch openen van poorten op je lokale netwerk. Daardoor worden ook legitieme verzoeken afgeslagen.
Gelukkig betekent dat niet dat je helemaal geen apparaten meer op je netwerk kunt aansluiten. Het kost alleen wat meer moeite. Je moet voor ieder apparaat handmatig regels aanmaken. Dat kost wat tijd en inspanning, en je hebt technische kennis nodig. Heb je deze kennis niet? Dan vind je online heel veel tutorials die je uitleggen hoe je veilig te werk gaat.
Als je het aan ons vraagt, raden we je aan UPnP niet te gebruiken. Een veiliger netwerk is wel wat inspanning waard. Je kunt al een goede eerste stap zetten door een VPN te gebruiken.
Alternatieven voor UPNP
In principe is zijn er twee alternatieven voor UPnP, en dat is het eerder besproken portforwarding en een lokale VPN gebruiken. Je schakelt UPnP dan helemaal uit. Daarmee verhoog je de beveiliging van je netwerk.
Lokale VPN
Je kunt aan de slag gaan met een lokale VPN opzetten. In tutorials op internet vind je hoe je je eigen VPN-aanbieder wordt. Je hoeft dan geen poorten open te stellen aan het internet. In plaats daarvan verbind je je jouw apparatuur met een lokale VPN. Deze VPN stel je beschikbaar aan het internet. Je logt beveiligd in, op bijvoorbeeld je computer of smartphone. Zo kun je, net alsof je in je eigen netwerk thuis zit, verbinding maken met de apparatuur op je netwerk. Je kunt er alleen mee verbinden als je gebruik maakt van de VPN.
Je kunt dit bijvoorbeeld realiseren met OpenVPN. Op de website van OpenVPN vind je een uitgebreide handleiding met hoe je je eigen OpenVPN server opzet en verbinding maakt met de client.
Beter beveiligd met een online VPN
Wil je in het algemeen aan de slag met de beveiliging? Werk dan met een VPN. Een VPN maakt verbinding met het internet aan de hand van versleuteling. Op die manier kunnen alleen geautoriseerde partijen de informatie begrijpen. Zie het als een tunnel tussen jouw apparaat en het wereldwijde internet. Doordat de data die erdoor gaat versleuteld is, kunnen hackers de data niet aftappen of aanpassen. Je data wordt een geheime code.
Alle apparaten die verbinding maken met de VPN, stellen coderingssleutels in. Die sleutels worden gebruikt om de informatie die gedeeld wordt, te ontsleutelen en te begrijpen. Daardoor wordt je verbinding iets trager, maar wel veel veiliger.
Het effect van coderen is dat je verbinding privé blijft. Ook als je verbinding maakt met het openbare internet. Daarnaast kun je op deze manier veilige verbindingen leggen op grote afstand. Bedrijven gebruiken nog regelmatig een VPN om bedrijfsapplicaties te delen met thuiswerkers, op een veilige manier.
Gebruik je de VPN op je gehele router? Dit stel je in via de configuratie van je router. De VPN-gegevens voor je router kun je opvragen bij de VPN-aanbieder. Wanneer je VPN op je gehele router gebruikt, worden alle apparaten die je erop aansluit verbonden met de VPN. Dus ook de beveiligingscamera of domotica in huis. Zo internet je een stuk veiliger.
Portforwarding en VPN’s?
Veel aanbieders staan standaard geen portforwarding toe. Dat heeft wederom te maken met de veiligheid. Als je portforwarding zou toestaan met een VPN, is het veiligheidseffect van een VPN een stuk minder. Je creëert namelijk alsnog achterdeurtjes om voorbij de VPN te gaan.
Stel dat je een VPN hebt om je verbinding te beveiligen. Je data is versleuteld, je provider wordt niet gedeeld en niemand weet waarvan je verbinding maakt. Je besluit een poort te forwarden, wat je met sommige VPN’s kunt doen. Nu heb je een pad naar je systeem gemaakt, dat kan worden bewandeld, voorbij de hekken van de VPN. Daardoor is je VPN opeens zo lek als een mandje.
UPnP brengt ook veiligheidsrisico’s met zich mee, en wordt daarom niet ondersteund door VPN’s. In januari 2019 misbruikte een groep hackers de kwetsbaarheden in UPnP routers om Chromecasts, smart TV’s en Google Homes standaard te abonneren op een YouTube-kanaal. Dat is nog niet zo erg, maar het idee dat een hacker jouw apparaten kan besturen, geeft je natuurlijk de rillingen.
Daarnaast trekt UPnP en port forwarding hackers aan als vliegen op stroop. Je netwerk wordt opeens gewild voor botnets, spamcampagnes en zelfs DDoS-aanvallen. En dat is dan nog apart van alle pogingen om malware te installeren, je data te stelen en je apparaten te benaderen.
Gebruik daarom een VPN zoals deze bedoeld is: om privé-apps beschikbaar te stellen binnen hetzelfde versleutelde netwerk. Gebruik niet alsnog port forwarding of UPnP. Op die manier haal je het meeste profijt uit het gebruiken van een VPN.