现代技术被不安全的功能、安全漏洞和一般的疏忽所困扰。例如,闪存驱动器可以携带键盘记录器,浏览器可能有开放的后门,Windows不断地更新安全补丁,而安全漏洞是一个持续的新闻特征。
通用即插即用(UPnP)是一项技术进步,也有其缺点。这是一项方便的技术,但这种方便可能会使你的系统因多种原因而变得脆弱。
那么,什么是UPnP,为什么它对你的网络安全是危险的?
什么是通用即插即用?
从技术上讲,UPnP是一种网络协议(或实际上是一组网络协议)。这些协议概述了一种特定的通信方法,各种设备可以用来立即在网络上相互通信。在大多数情况下,它是由设备用来发现该特定网络上的其他设备。现在,UPnP非常普遍,你可能已经在不知不觉中使用了它(尽管它的使用正在非常、非常缓慢地减少)。
仍然对UPnP感到困惑?想一想一台打印机。第一步是将打印机实际连接到你的网络(尽管现在可以通过Wi-Fi完成)。在过去,你必须手动搜索它并进行设置,以便其他网络设备能够找到该打印机。但今天,由于有了UPnP,这种情况会自动发生,甚至有一些方法可以将你的有线打印机转换成无线打印机。
一旦连接,网络上的设备就可以通过发送和接收数据继续相互沟通。计算机可以告诉打印机打印文件,媒体中心传输音频数据,移动设备可以将自己安装在计算机上,等等。这种可能性是无穷无尽的。
因此,有 "即插即用 "的说法。你插上设备,就可以立即开始玩(即使用它),而不需要涉足设置和配置的噩梦,这使得它成为当今最方便的网络技术之一。有一点需要注意的是,由于其固有的安全问题,UPnP主要用于住宅网络,而不是商业网络。
UPnP是否有安全风险?
十多年来,UPnP在安全方面的漏洞一直受到抨击。美国联邦调查局和国土安全部都建议用户禁用其UPnP设置,以最大限度地减少其损害或暴露的风险。在互联网上粗略地搜索一下 "UPnP漏洞",就会得到大量说明UPnP危险性的结果。
而且,在你开始认为这些UPnP缺陷只影响旧硬件之前,请再想想。
虽然自2008年推出以来,已经有许多UPnP漏洞被发现,但最后一个重大的UPnP漏洞是在2020年被发现的。CallStranger UPnP漏洞实际上允许攻击者绕过安全限制,有可能允许数据被盗。然后,在2022年初,安全公司Akami更新了其UPnProxy报告(UPnProxy漏洞是在2018年首次发现的),并提供了关于Eternal Silence UPnP漏洞的信息,暴露了全球数百万台路由器。
为什么UPnP是一个安全风险?
那么,UPnP到底有什么问题?为什么UPnP会导致安全问题?
嗯,由于UPnP自动打开端口并授权端口转发连接,它假定每个连接设备都是值得信赖的。现在,不需要安全专家就能意识到这可能成为一个重大风险。因此,虽然大多数路由器会阻止恶意连接,但一个配置不良的UPnP路由器可能会通过一个有敌意的传入连接,允许访问你的网络。
但这只是UPnP成为安全问题的一种方式。另一个危险是,恶意软件在感染一个设备后,很容易利用UPnP在网络中移动。使用UPnP连接到受感染设备的其他设备遭受到与配置不良的路由器相同的问题;所有设备和连接都是合法的,因此是值得信赖的。
UPnP也曾在一些最大的DDoS攻击中出现。例如,巨大的Mirai僵尸网络利用暴露的物联网设备(其中许多设备使用UPnP以方便配置)来放大其攻击力,利用僵尸网络将网站打到离线。在这一点上,我们得出了另一个UPnP问题:许多物联网设备依赖UPnP进行配置,但不能升级,或者不能改变其配置以移除或禁用UPnP。如果不在其他地方进行适当的配置,依赖UPnP的物联网设备仍将是一个问题。
如何关闭UPnP
通常情况下,UPnP漏洞可归结为两个主要问题。
- 编程错误。实 际UPnP代码中的疏忽被利用,使其能够通过注入执行有害代码。
- 意外暴露: 虽然UPnP的目的是使网络上的设备容易被该网络上的其他设备发现,但不幸的是,一些UPnP控制接口可以暴露在公共互联网上,让恶意用户找到并获得对私人设备的访问。
鉴于这两个问题的规模,你可以理解为什么大多数UPnP建议都围绕着关闭该功能。然而,有如此多的设备利用UPnP,而且每种类型的设备都有制造商,我们不可能涵盖所有设备的禁用说明。你最好的选择是在互联网上搜索你的设备,在你的搜索查询中包括 "禁用UPnP "这一短语。
通常,要禁用路由器上的UPnP,你要在浏览器地址栏中输入路由器的IP地址,然后登录到路由器的配置设置。一旦你获得访问权,你通常会寻找一个高级设置或配置菜单。UPnP设置通常与路由器的端口转发选项归类,所以这是一个开始寻找的好地方。
然而,你不必急于关闭它。一个正确配置的路由器,一个最新的并定期接受固件更新的路由器,不应该有任何UPnP的问题。计算你的风险是问题的另一部分。
你应该禁用UPnP吗?
就安全缺陷而言,UPnP是最容易处理的缺陷之一。至少,在大多数情况下。在大多数设备上,关闭UPnP简直就是弹指一挥间的事。然而,正如你所看到的,一些设备不具备这种功能,最常影响的是物联网设备。
现在,这并不是说你不应该使用物联网和智能设备。相反,它们工作得非常出色,有这么多的功能,难怪大多数人把它们部署在整个家里。只要确保正确配置你的网络其他部分以保护它们,并花点时间在其他连接的设备上禁用UPnP。
