Universal Plug and Play (UPnP) – forbrugervenlig?

Jeg har skrevet dette indlæg efter at have bokset med et hjemmenetværk med forskellige UPnP-aware enheder tilsluttet. Det fungerede sådan set fint indtil brugeren besluttede sig for at tilføje et UPnP-aware IP-kamera til hjemmenetværket. Det gik galt fordi der allerede var flere andre UPnP-aware enheder tilsluttet. Derfor måtte jeg dykke lidt ned i hvad UPnP præcist er og hvad der sker, når det anvendes.

UPnP anvender den kendte TCP/IP-protokol til at transportere data mellem enheder forbundet i hjemmenetværket. Teknologien understøttes af stort set alle styresystemer og kan anvendes af næsten alle typer netværksforbundne enheder, uanset om de er trådløst eller kabelforbundet til netværket.

Kort sagt betyder UPnP, at det er simpelt (zero-configuration og automatic discovery) for forbrugeren at tilkoble PC’ere, Webcams, printere, spillekonsoller, netværksharddiske, trådløse enheder eller andet tilbehør til hjemmenetværket og få det til at fungere sammen.

UPnP består af et sæt standarder, der er defineret af UPnP forum. Målet med UPnP er at tillade enheder simpelt og automatisk at oprette forbindelse til andre UPnP-enheder på hjemmenetværket, når der er behov for datadeling, kommunikation eller underholdning.

Forkortelsen UPnP er afledt af plug-and-play (PnP), som er en teknologi der muliggør dynamisk tilslutning af enheder direkte til en computer. UPnP er ikke direkte relateret til tidligere plug-and-play teknologier. UPnP-enheder er plug-and-play i den forstand at de, når de tilkobles et netværk, automatisk annoncerer deres netværksadresse og understøttede enheds- og servicetyper, så klienter på netværket straks kan begynde at anvende UPnP-enheden.

Hvorfor er UPnP måske ikke så smart – endnu

Som udgangspunkt indeholder UPnP protokollen ingen validering af andre UPnP enheder. Det betyder at UPnP-enheder forbinder sig til hinanden uden at skulle godkendes af hinanden først. Hvis man ønsker denne sikkerhed i UPnP-enheder så skal de være indbygget som ekstra godkendelses- og valideringsmekanismer fra producentens side og disse mekanismer findes endnu både som standard og ikke-standard løsninger.
Desværre er der mange UPnP-enheder på markedet som endnu ikke indeholder godkendelses- og valideringsmekanismer. Som udgangspunkt antager man at forbrugerens UPnP-enheder på hjemmenetværket og dets brugere er 100% troværdige.

Man har blandt andet konstateret at routere og firewalls som anvender UPnP IGD protokollen er sårbare overfor angreb på grund af den manglende sikkerhed. Der er konstateret programmer som via Adobe Flash er i stand til at generere bestemte trafiktyper, som tillader angriberen at kontrollere en internetrouter, hvis forbrugeren besøger bestemte ondsindede hjemsider. Hele routerens opsætning kan herefter ændres efter behag af angriberen.

Hvad gør jeg så?

Ja, der er den mulighed at deaktivere UPnP-understøttelsen i netværksenhederne, specielt bør den deaktiveres på internetrouteren. Den anden mulighed er selvfølgelig at lade være med at gøre noget og så vil man på et tidspunkt opleve Murphy’s lov som siger noget i retning af at hvis noget kan gå galt, så vil det gå galt.
Deaktiveringen af UPnP-understøttelse har den konsekvens, at de UPnP-enheder der tilsluttes hjemmenetværket ikke nødvendigvis fungerer ud-af-boksen sammen med andre UPnP-enheder, men kan kræve lidt manuel opsætning først. Specielt hvis man har flere UPnP-enheder på hjemmenetværket vil der være større sandsynlighed for at noget ikke fungerer.
Det betyder desværre også at en hel del forbrugere står fuldkommen på bar bund, hvis tingene ikke fungerer med det samme. Her må man så ty til lidt opsøgende arbejde på internettet og i produktmanualer eller via diverse IT-kyndige nørder i ens familie eller omgangskreds.

Min konklusionen er: deaktiver UPnP på din internetrouter, men behold det aktivt på dine øvrige enheder i hjemmenetværket. Hvis du ønsker adgang til en UPnP-enhed på hjemmenetværket fra internettet, så lav konfigurationen manuelt. Det er vigtigt at tænke sikkerhed.