UPnP: handig voor apparaten, of toch een beveiligingsrisico
Veel apparaten die we thuis of op kantoor gebruiken, moeten verbinding kunnen maken met andere apparaten of diensten op internet. Denk aan beveiligingscamera’s, NAS-systemen, spelcomputers, mediaspelers, printers en slimme apparaten.
Om de installatie zo eenvoudig mogelijk te maken, ondersteunen veel van deze apparaten UPnP. Daarmee kunnen apparaten zichzelf automatisch aanmelden op het netwerk en in sommige gevallen zelfs instellingen in de router aanpassen.
Dat klinkt handig, en dat is het soms ook. Toch brengt UPnP beveiligingsrisico’s met zich mee. Vooral wanneer apparaten zonder controle poorten naar het internet kunnen openen.
Wat is UPnP?
UPnP staat voor Universal Plug and Play. Het is een verzameling netwerkprotocollen waarmee apparaten elkaar automatisch kunnen vinden en met elkaar kunnen communiceren.
Het idee is simpel: je sluit een apparaat aan en het werkt zonder dat je zelf ingewikkelde netwerkinstellingen hoeft in te voeren.
Een televisie kan bijvoorbeeld automatisch een mediaserver op een NAS vinden. Een printer kan zichtbaar worden op computers in hetzelfde netwerk en een spelcomputer kan aan de router vragen om bepaalde netwerkpoorten te openen.
UPnP werd eind jaren negentig ontwikkeld als standaard om apparaten van verschillende fabrikanten eenvoudiger met elkaar te laten samenwerken. De techniek was vooral bedoeld voor thuisnetwerken en kleine kantooromgevingen, waar gebruiksgemak belangrijker was dan uitgebreide toegangscontrole.
Hoe werkt UPnP?
Normaal gesproken blokkeert een router inkomende verbindingen vanaf het internet. Dat is een belangrijk onderdeel van de beveiliging van je netwerk.
Wanneer een apparaat vanaf internet bereikbaar moet zijn, kun je in de router handmatig een poort doorsturen. Dit noemen we port forwarding.
Met UPnP hoeft dat niet handmatig. Een apparaat of programma kan zelf tegen de router zeggen:
Ik heb poort 5000 nodig. Stuur verkeer op deze poort maar door naar mijn IP-adres.
De router maakt vervolgens automatisch een regel aan.
In feite geeft de router een apparaat dus toestemming om zelf een opening in de firewall te maken.
Welke informatie geeft een apparaat aan de router?
Via UPnP kunnen apparaten informatie delen over hun aanwezigheid en mogelijkheden. Een apparaat kan bijvoorbeeld laten weten:
- welk type apparaat het is;
- welke diensten het aanbiedt;
- op welk intern IP-adres het bereikbaar is;
- welke netwerkpoorten het gebruikt;
- welke protocollen nodig zijn;
- hoelang een ingestelde poortregel actief moet blijven.
Voor automatische installatie en apparaatdetectie kan dat bijzonder handig zijn. Het probleem ontstaat wanneer een apparaat ook zonder duidelijke toestemming de beveiligingsconfiguratie van de router kan aanpassen.
Je ziet als gebruiker meestal niet direct dat dit gebeurt.
Waarom kan UPnP een beveiligingsrisico zijn?
Het grootste probleem van UPnP is het vertrouwen dat aan apparaten binnen het lokale netwerk wordt gegeven.
Veel implementaties gaan ervan uit dat ieder apparaat binnen het netwerk betrouwbaar is. Voor het openen van een poort is vaak geen gebruikersnaam, wachtwoord of bevestiging van de beheerder nodig.
Dat betekent dat niet alleen een legitieme camera of spelcomputer een poort kan openen. Schadelijke software op een computer of een slecht beveiligd IoT-apparaat kan dat mogelijk ook.
CISA waarschuwt dat UPnP de configuratie van een netwerk eenvoudiger maakt, maar tegelijkertijd een beveiligingsrisico vormt wanneer apparaten automatisch netwerktoegang kunnen regelen.
Een besmet apparaat kan zelf een poort openen
Stel dat een computer, camera of NAS wordt besmet met malware. Wanneer UPnP is ingeschakeld, kan de malware proberen automatisch een poort op de router te openen.
Hierdoor kan het besmette apparaat mogelijk rechtstreeks vanaf internet bereikbaar worden.
De aanvaller hoeft dan niet eerst handmatig de router binnen te dringen. Het apparaat binnen het netwerk heeft de benodigde opening zelf aangemaakt.
Oude apparaten blijven een risico
Camera’s, NAS-systemen en andere slimme apparaten worden vaak jarenlang gebruikt. Helaas ontvangen deze apparaten niet altijd even lang beveiligingsupdates.
Een apparaat kan via UPnP keurig een poort openen, terwijl de achterliggende webinterface of netwerkdienst een ernstig beveiligingslek bevat.
UPnP veroorzaakt het lek dan niet zelf, maar maakt de kwetsbare dienst wel makkelijker bereikbaar vanaf internet.
Er zijn door de jaren heen meerdere beveiligingslekken gevonden in UPnP-implementaties van routers en andere netwerkapparaten. Sommige kwetsbaarheden maakten zelfs het uitvoeren van opdrachten zonder authenticatie mogelijk.
UPnP hoort niet vanaf internet bereikbaar te zijn
UPnP is in principe bedoeld voor communicatie binnen het lokale netwerk.
Wanneer een router of ander apparaat de UPnP-dienst per ongeluk ook aan de internetzijde beschikbaar stelt, wordt het risico veel groter. Aanvallers kunnen dan proberen de dienst rechtstreeks vanaf internet te misbruiken.
De Britse overheid adviseert daarom om UPnP niet onnodig aan het internet bloot te stellen en de functie goed te beheren of uit te schakelen wanneer deze niet nodig is.
Zijn camera’s en NAS-systemen door UPnP direct onveilig?
Niet automatisch.
Een camera of NAS met UPnP-ondersteuning hoeft niet direct onveilig te zijn. Het hangt af van:
- de kwaliteit van het apparaat;
- de softwareversie;
- de instellingen;
- de beveiliging van de aangeboden dienst;
- de manier waarop de fabrikant UPnP heeft ingebouwd;
- de vraag of er daadwerkelijk poorten worden geopend.
Het risico zit vooral in de combinatie van automatisch geopende poorten, verouderde software en zwakke beveiliging.
Een moderne NAS met actuele software, sterke wachtwoorden, multifactorauthenticatie en een goed ingerichte firewall kan relatief veilig worden gebruikt. Maar een oude camera met een standaardwachtwoord en een automatisch geopende beheerpoort vormt een veel groter risico.
Is handmatig een poort openen altijd veiliger?
Handmatige port forwarding is niet automatisch veilig.
Wanneer je zelf een poort opent naar een slecht beveiligde camera, heb je uiteindelijk hetzelfde probleem: de camera is vanaf internet bereikbaar.
Het voordeel van handmatige configuratie is vooral dat je bewust een keuze maakt. Je weet welke poort wordt geopend, naar welk apparaat het verkeer gaat en waarom de regel nodig is.
Je kunt de toegang bovendien beperken en de regel verwijderen zodra deze niet meer nodig is.
Bij UPnP wordt die beslissing voor een groot deel door het apparaat of de applicatie genomen.
Laat je UPnP aanstaan of kun je het beter uitschakelen?
Mijn algemene advies is eenvoudig:
Gebruik je UPnP niet bewust? Schakel het dan uit.
In veel netwerken blijft UPnP ingeschakeld omdat het standaard aanstond op de router. De gebruiker weet vaak niet dat de functie actief is en heeft deze mogelijk helemaal niet nodig.
Wanneer na het uitschakelen alles gewoon blijft werken, was UPnP waarschijnlijk niet noodzakelijk.
Er zijn situaties waarin UPnP wel praktisch kan zijn. Spelcomputers en bepaalde communicatieprogramma’s kunnen bijvoorbeeld problemen krijgen met online verbindingen wanneer ze geen poorten mogen openen.
In een thuisnetwerk kun je er daarom voor kiezen UPnP te gebruiken wanneer:
- je precies weet welke apparaten er gebruik van maken;
- alle apparaten regelmatig updates ontvangen;
- onbekende apparaten geen toegang tot het netwerk krijgen;
- je router volledig is bijgewerkt;
- UPnP alleen aan de LAN-zijde beschikbaar is;
- je regelmatig controleert welke poorten zijn geopend.
Voor camera’s, NAS-systemen en zakelijke apparatuur zou ik terughoudender zijn.
Wat is een veiliger alternatief?
Wanneer je op afstand toegang nodig hebt tot een camera, NAS of ander systeem, is een VPN-verbinding meestal een betere oplossing.
Met een VPN maak je eerst een beveiligde verbinding met het thuis- of bedrijfsnetwerk. Daarna benader je de apparaten alsof je lokaal aanwezig bent.
De beheerinterface van de camera of NAS hoeft dan niet rechtstreeks aan het internet te worden aangeboden.
Andere mogelijkheden zijn:
- een VPN op de router;
- WireGuard of OpenVPN;
- een beveiligde clouddienst van de fabrikant;
- een reverse proxy met goede toegangsbeveiliging;
- handmatige port forwarding naar één streng beveiligde dienst;
- een zero-trust-oplossing waarbij toegang per gebruiker en apparaat wordt gecontroleerd.
Ook bij deze oplossingen blijven updates, sterke wachtwoorden en multifactorauthenticatie belangrijk.
Advies voor professionele omgevingen
Binnen een professioneel netwerk zou UPnP normaal gesproken uitgeschakeld moeten zijn, tenzij er een aantoonbare en gecontroleerde reden is om het te gebruiken.
Een bedrijfsnetwerk hoort niet afhankelijk te zijn van apparaten die zelfstandig firewallregels kunnen aanpassen.
In een professionele omgeving wil je juist dat wijzigingen:
- vooraf worden goedgekeurd;
- worden vastgelegd;
- herleidbaar zijn naar een beheerder;
- beperkt zijn tot noodzakelijke systemen;
- regelmatig worden gecontroleerd;
- automatisch kunnen worden gemonitord.
IoT-apparaten zoals camera’s, televisies, printers en gebouwbeheersystemen kunnen daarnaast beter in een apart netwerk of VLAN worden geplaatst. Wanneer een van deze apparaten wordt overgenomen, kan de aanvaller niet direct bij werkstations, servers en andere belangrijke systemen komen.
Hoe controleer je of UPnP actief is?
Log in op de beheeromgeving van je router. De instelling staat meestal onder een van de volgende onderdelen:
- Netwerkinstellingen;
- Geavanceerde instellingen;
- NAT;
- Port forwarding;
- Firewall;
- LAN;
- UPnP;
- Internet Gateway Device of IGD.
Controleer ook of er een overzicht beschikbaar is van automatisch geopende poorten.
Zie je regels die je niet herkent? Zoek dan eerst uit naar welk intern IP-adres ze verwijzen. Schakel niet direct apparaten uit die noodzakelijk zijn, maar controleer welk apparaat de regel heeft aangemaakt en waarom.
Na het uitschakelen van UPnP kun je testen of je camera’s, NAS, spelcomputer en andere toepassingen nog normaal functioneren.
Conclusie
UPnP is bedacht om netwerken eenvoudiger te maken. Apparaten kunnen elkaar automatisch vinden en hoeven niet voor iedere toepassing handmatig te worden ingesteld.
Dat gebruiksgemak heeft echter een keerzijde. Apparaten kunnen mogelijk zonder toestemming poorten op de router openen. Wanneer zo’n apparaat slecht beveiligd, verouderd of besmet is, kan hierdoor onbedoeld een ingang vanaf internet ontstaan.
Voor een spelcomputer in een goed onderhouden thuisnetwerk kan UPnP een aanvaardbaar gemak zijn. Voor camera’s, NAS-systemen, servers en professionele netwerken is het verstandiger om kritischer te kijken.
Gebruik je UPnP niet bewust, dan kun je het beter uitschakelen.
Heb je externe toegang nodig, kies dan bij voorkeur voor een VPN of een andere oplossing waarbij jij zelf bepaalt wie toegang krijgt. Een netwerk wordt niet veiliger door zoveel mogelijk verbindingen mogelijk te maken, maar door alleen open te stellen wat echt noodzakelijk is.




