Филе из брандмауэра: новые уязвимости в UPnP подставили всю Cеть

upnp-ubuntu-linux-000.jpgТехнология UPnP представляет собой набор протоколов для автоматической настройки сетевых устройств, прежде всего бытового назначения. Действительно, вашим домашним совсем не обязательно становиться администраторами, чтобы подключить к сети очередной гаджет или настроить сетевую программу. Поэтому важно обеспечить поддержку UPnP на ключевых узлах сети, в первую очередь на роутере.

В частности UPnP позволяет автоматически открывать необходимые для сетевых приложений порты на роутере, что в домашних условиях актуально для торрент-клиентов и некоторых сетевых игр, делая работу с сетью абсолютно прозрачной для конечных пользователей. 

В данной статье мы добавим поддержку UPnP для домашнего медиа-сервера, настроку которого мы рассматривали здесь.

Для чего это нужно? Простой пример: запустим Помощник настройки популярного торрент-клиента uTorrent и выполним тест сети:

upnp-ubuntu-linux-001-thumb-450x359-3415.jpgРезультаты теста сообщают нам, что порт для внешних подключений не открыт, а следовательно вы не сможете раздавать уже загруженные торренты. Конечно можно открыть нужный порт вручную, но зачем, если можно настроить поддержку UPnP.

Перед написанием данного материала мы изучили, что пишут в русскоязычном сегменте сети по этому поводу и пришли к неутешительному выводу: с сайта на сайт кочует один и тот-же материал и тот неправильный. К сожалению авторы большинства ресурсов не утруждают себя пониманием публикуемых инструкций, не говоря о их проверке на практике. 

Но не стоит расстраиваться, все гораздо проще, чем кажется. Для поддержки UPnP в Linux, в нашем случае это Ubuntu Server 12.04 LTS, предназнечен пакет linux-igd который мы и установим:

sudo apt-get install linux-igd

После установки откроем конфигурационный файл /etc/default/linux-igd и укажем внешний и внутренний интерфейсы, в нашем случае:

EXTIFACE=eth0INTIFACE=eth1

Теперь запустим службу:

sudo service linux-igd start

При первом запуске вы можете получить ошибку, связанную с log-файлом, в этом случае выполните данную команду еще раз.

Собственно на этом настройка UPnP закончена. Чтобы убедиться, что все работает как надо, запустим тест сети в торрент-клиенте повторно:

upnp-ubuntu-linux-002-thumb-450x361-3418.jpgОтлично, теперь пользователи могут как качать, так и раздавать торренты, причем настройка необходимых правил на роутере произошла без всякого вмешательства со стороны администратора. 

Можем проверить таблицу iptables, чтобы посмотреть какие правила были добавлены:

iptables -L

upnp-ubuntu-linux-003-thumb-450x250-3421.jpgКак видим добавились две цепочки разрешающие транзитные пакеты для нашего домашнего ПК (192.168.30.192) от любого источника по протоколам tcp и udp приходящие на порт 32575, что соответствует настройкам торрент-клиента.

Включаем UPnP на роутере

Если у вас нет желания вручную открывать порты для различных сервисов на своём роутере, то можно попробовать в деле UPnP. Данная технология имеет как достоинства (простота использования, высокая скорость обмена данными), так и недостатки (пробелы в системе безопасности). Поэтому подходите к включению UPnP обдуманно и осознанно.

Включение UPnP на роутере

Для того чтобы задействовать функцию UPnP на своём роутере, необходимо войти в веб-интерфейс и внести изменения в конфигурацию маршрутизатора. Сделать это несложно и вполне по силам любому владельцу сетевого оборудования. В качестве примера рассмотрим такую операцию на роутере TP-Link. На маршрутизаторах других брендов алгоритм действий будет похожим.

  1. В любом интернет-обозревателе вводим в адресной строке IP-адрес роутера. Обычно он указан на этикетке с тыльной стороны устройства. По умолчанию чаще всего применяются адреса и , далее нажимаем клавишу Enter.
  2. В окне аутентификации набираем в соответствующих полях действующие имя пользователя и пароль доступа к веб-интерфейсу. В заводской конфигурации эти величины одинаковы: . Затем жмём на кнопку «OK».

528146bf176724d84254d59f086d3103.png

В блоке расширенных настроек маршрутизатора ищем раздел «Переадресация NAT» и переходим в него для внесения изменений в конфигурацию роутера.

edac92ca9ea0ee12203958a2cf9ed150.png

Включение UPnP на компьютере

С конфигурацией маршрутизатора мы разобрались и теперь нужно задействовать службу UPnP на ПК, подключенном к локальной сети. Для наглядного примера возьмём ПК с Windows 8 на борту. В других версиях самой распространенной операционной системы наши манипуляции будут аналогичными с незначительными отличиями.

  1. Щёлкаем правой кнопкой мыши по кнопке «Пуск» и в появившемся контекстном меню выбираем графу «Панель управления», куда и перемещаемся.

8b57afa3830402441f594d15c8f19cae.png

На странице «Сеть и интернет» кликаем ЛКМ по разделу «Центр управления сетями и общим доступом».

b3176d44810f8d30de45a1f0c6e9608f.png

В следующем окне жмём по строке «Изменить дополнительные параметры общего доступа». Мы почти добрались до цели.

d244ccd97e1f404e6af513e71af3c83a.png

В свойствах текущего профиля включаем сетевое обнаружение и автоматическую настройку на сетевых устройствах. Для этого ставим галочки в соответствующих полях. Жмём на значок «Сохранить изменения», перезагружаем компьютер и пользуемся технологией UPnP в полной мере.

В заключение обратите внимание на одну важную деталь. В некоторых программах, например uTorrent, также необходимо будет настроить использование UPnP

Но полученные результаты могут вполне оправдать ваши усилия. Поэтому дерзайте! Удачи!

Настройка UPnP в маршрутизаторах Keenetic c микропрограммой V2

Какие порты можно использовать для minecraft. Настройка подключения к серверу. Порты для Майнкрафта

В нашем примере мы рассмотрим, как настроить эту службу в интернет-центре с микропрограммой V2 для автоматической работы проброса портов.

В веб-конфигураторе устройства зайдите в меню Система > Компоненты и убедитесь, что установлен компонент Служба UPnP.

Рассмотрим пример проверки работы UPnP при помощи торрент-клиента uTorrent. Запустите программу и зайдите в меню Настройки > Конфигурация.

В поле Порт входящих соединений укажите номер порта, который будет использовать ваш торрент-клиент (в нашем примере это порт 41924), и убедитесь, что служба UPnP разрешена для использования клиенту (установлена галочка в поле Переадресация UPnP). Также убедитесь, что не стоит галочка в поле Случайный порт при запуске, чтобы программа использовала только тот порт, который указан в настройках.

Проверить, открыт ли порт, можно на одном из сайтов в Интернете, который предоставляет такой сервис. Например, можно воспользоваться таким сервисом на сайте: zyxel.ru/openport.

Укажите номер порта и нажмите кнопку Проверить.

Если указанный порт открыт, это означает, что служба UPnP интернет-центра работает.

Внимание! В момент проверки порта приложение, использующее порт, должно быть активно (в нашем примере это программа uTorrent), иначе ответ будет отрицательным. 

Примечание.

Если компонент микропрограммы Служба UPnP в меню Система > Компоненты установлен, но UPnP не работает, то рекомендуем выполнить следующие действия:

Зайдите в режим командной строки Windows. Введите команду telnet  (в нашем примере это telnet 192.168.1.1) и нажмите клавишу Enter для подключения к интерфейсу командной строки (CLI) интернет-центра.

Введите логин (Login) и пароль (Password) вашего интернет-центра (по умолчанию используются admin и 1234).

В командной строке интернет-центра нужно указать интерфейс Home и включить службу UPnP командами:

upnp lan Home     (назначаем интерфейс для службы)service upnp     (включаем службу)

Затем сохраните настройки, выполнив команду:

system config-save (сохраняем конфигурацию)

Диалог в командной строке будет выглядеть следующим образом:

В случае необходимости можно отключить службу UPnP командами:

no service upnp     (отключаем службу)system config-save     (сохраняем конфигурацию)

Информацию о том, как включить клиента службы Telnet и TFTP в операционных системах Windows Vista/7/8, можно найти в статье «Включение служб Telnet и TFTP в Windows Vista/7/8″.

Настройка перенаправления портов

Варфрейм порты 4950 и 4955 как включить

Ну вот, всё готово, теперь настраиваем перенаправление.

Банальный DMZ

Настройка DMZ — операция в буквально два движения мышкой.

Идем на вкладку NAT/QOS — DMZ.

Включаем DMZ и указываем IP порта, куда направлять ВСЕ входящие сообщения.

Роутер будет перезагружен, а статический IP присвоен вашему компьютеру.

Включение UPnP в Skype

Теперь рассмотрим пример популярной программы для общения с использованием IP-телефонии Skype. Здесь тоже используется технология UPnP. Что это такое применительно к самому приложению? Это та же система для установления связи с другим устройством. Намного ведь приятнее общаться с друзьями, видя их изображение, скажем, на большом экране телевизионной панели.

Включение UPnP производится очень просто. Здесь нужно зайти в основные настройки программы и выбрать дополнительные параметры, после чего использовать меню «Соединение». В нем имеется специальное поле включения UPnP, напротив которого и нужно поставить галочку, а затем сохранить изменения.

Настройка UPNP

Пользователю роутера Mikrotik доступно несколько настроек, конфигурацию которых можно выполнить прямо в программе. Перечислим некоторые из них.b0d80bd6ca6ae1743058fd57ec8f1964.png

enabled. Базовая настройка, позволяющая включить функцию UPNP.

allow-disable-external-interface. Эту опцию можно включить или выключить, по умолчанию включена.

Определяет, разрешено ли пользователям отключать внешний интерфейс маршрутизатора Mikrotik. Этот функционал требуется по стандарту, поскольку позволяет пользователям отключать внешний интерфейс без какой-либо процедуры аутентификации и дополнительной настройки. Но иногда эта функция становится нежелательной во время работы UPNP, поскольку стандарт был разработан в основном для домашних пользователей в целях настройки собственных локальных сетей. Поэтому существует возможность отключить эту установку.

show-dummy-rule. Эту опцию можно включить или выключить, по умолчанию включена.

Она обеспечивает обходной путь для некоторых функций, которые неправильно обрабатывают UPNP (при этом, например, появляются сообщения об ошибках). Эта опция даёт серверу инструкцию отправлять необходимый сигнал программным клиентам, которые выдают ошибку при работе с UPNP.

interface. Отображает название интерфейса, в котором работает процесс сейчас.

type. Указывает тип интерфейса. Внешний (external) — интерфейс, которому назначен глобальный IP-адрес. Внутренний (internal) — локальный интерфейс маршрутизатора, к которому подключаются клиенты.

forced-external-ip. Позволяет указать, какой именно публичный IP-адрес следует включить, если на внешнем интерфейсе доступно несколько IP-адресов.

Как настроить UPnP

Чтобы ответить на вопрос как настроить UPnP, необходимо включить данную службу описанным способ выше, затем проверить ее состояние в роутере и в сетевых программах, которые хотите использовать. В программе достаточно поставить галочку напротив пункта «UPnP». Для этого зайдите в меню «Настройки» программы, для некоторых программ этот пункт будет в подменю «Дополнительные настройки» или в подменю «Соединение». Затем проверить успешность обращения к роутеру в секции Лог(и).

Для упрощенной настройки UPnP можно воспользоваться специальными программами. Одна из них, которая подходит для данной цели — это UPnP Test Program. Если после всей настройки UPnP работает плохо или, как оказалось, данная служба не поддерживается роутером, уберите галочку в пункте «UPnP » и делайте настройку порта в ручную.

В этой статье вы познакомитесь с важным и полезным функционалом UPNP и научитесь включать его на роутере на примере устройства компании Mikrotik. Маршрутизаторы Mikrotik завоевали множество положительных отзывов от пользователей, причём он приобрёл популярность как среди администраторов, так и среди обычных пользователей домашних сетей.

Роутеры производства Mikrotik поддерживают универсальную технологию PlugandPlay для упрощения прямого сетевого подключения персональных компьютеров и различных сетевых устройств. Архитектура UPNP расшифровывается как UniversalPlugandPlay (универсальная технология прямого подключения устройств) и обеспечивает обмен данными между любыми двумя устройствами под управлением контролирующей аппаратуры сети.

Функция UPNP полностью независима от физических носителей. Она поддерживает работу в сети путём автоматического обнаружения аппаратуры без использования какой-либо начальной настройки. Благодаря этому, устройство способно динамически присоединяться к сети. Наличие DHCP и DNS серверов не является обязательным, но они могут использоваться, если присутствуют в сети. UPNP реализует простое, но мощное решение, позволяющее пользователю получить полноценную двухстороннюю поддержку одноранговой сети.

Обычно первоначальная настройка маршрутизатора, которая выполнена по умолчанию, отвечает всем возможным требованиям для большинства пользователей. Описание этой конфигурации приведено на обратной стороне коробки, а также в онлайн-руководстве на сайте производителя.

Аппаратное подключение выполняется следующим образом. Подключите кабель Ethernet к порту ether1, а остальные порты на роутере — к локальной сети (LAN). По умолчанию маршрутизатор Mikrotik защищён конфигурацией брандмауэра, поэтому о вопросах дополнительной защиты данных на начальных этапах можно не беспокоиться.

ae11752a52e1c5c7d3fa95dbebef0c31.jpg

В начальной системе настройки клиент DHCP находится в интерфейсе WAN (ether1), остальные порты считаются вашей локальной сетью с DHCP-сервером, который настроен для автоматической конфигурации адресов на клиентских устройствах. Чтобы подключиться к маршрутизатору, необходимо настроить ваш компьютер на приём настроек DHCP и подключить Ethernet-кабель к одному из LAN-портов (проверьте нумерацию портов вашего устройства и переднюю панель маршрутизатора).

How to Set it Up

Step One: Set Up Your UPnP Server

For the purposes of this tutorial, I’ll use XBMC as my server, since it works on Windows, Mac OS X, and Linux, and is pretty simple to set up. As mentioned above, if you’d prefer to use a different UPnP server, you have other options, as well. If you don’t already have XBMC, grab it here.

Advertisement

Launch XBMC and head into Settings > Network. Under «Services», you should see an option for Sharing Video and Music Libraries through UPnP. Select that box, and head back to the main menu.

Advertisement

If, for example, you want to share videos with another UPnP-capable device, just head into the Videos section of XBMC and choose «Add Source». Tab over to Browse, navigate to the folder on your hard drive where you store your media and hit OK. That folder will now be indexed by XBMC and automatically shared to any UPnP-capable device on your network.

Step Two: Set Up Your UPnP-Capable Device (If Necessary)

Advertisement

Most devices should discover UPnP servers automatically, which is what makes it so easy. For example, if you have a PlayStation 3, you should just be able to navigate to the Video section and see your computer pop right up as a new source. You can then browse your shared folders right from there. If you don’t see your shared folder on your device, check the settings and make sure UPnP is enabled, as some do not come with it enabled automatically. XBMC users, for example, will have to hit «Add Source» again and choose UPnP device to detect devices on the network. Check your device’s manual if you don’t just see it pop up.

Step Three: Enjoy Your Glorious Streaming Media

That’s it! UPnP is one of the easiest ways to share media around your house, and it only takes a few minutes to set up. Remember that whenever you want to access your media, you’ll need your server program (in this case XBMC) running on your main machine.

Advertisement

Hopefully this helps you get started and save you the trouble of constantly transferring all those files. Enjoy your UPnP!

P.S. Got your own favorite UPnP server that we didn’t mention? Having trouble getting it working on your device? Every server and every device is a little different, so share your experiences and help each other out in the comments.

Advertisement

Advertisement

package upnp

— TCP and UDP protocols are forwarded together.

Package Files

type IGD struct {     // contains filtered or unexported fields }
func Discover() (*, )

Discover is deprecated; use DiscoverCtx instead.

func DiscoverCtx(ctx context.) (*, )
func Load(rawurl ) (*, )
func (d *) Clear(port ) 

Clear un-forwards a port, removing it from the router’s port mapping table.

func (d *) ExternalIP() (, )

ExternalIP returns the router’s external IP.

func (d *) Forward(port , desc ) 
func (d *) IsForwardedTCP(port ) (, )

IsForwardedTCP checks whether a specific TCP port is forwarded to this host

func (d *) IsForwardedUDP(port ) (, )

IsForwardedUDP checks whether a specific UDP port is forwarded to this host

func (d *) Location() 

Location returns the URL of the router, for future lookups (see Load).

Path Synopsis
goupnp goupnp is an implementation of a client for various UPnP services.
goupnp/dcps/internetgateway1 Client for UPnP Device Control Protocol Internet Gateway Device v1.
goupnp/httpu
goupnp/scpd
goupnp/soap
goupnp/ssdp

Технические элементы

Технология UPnP ориентирована на домашние сети, сети малых предприятий и прочие сети компактных размеров. Она обеспечивает обмен данными между любыми двумя устройствами, находящимися под контролем какого-либо управляющего устройства сети. Технология UPnP действует независимо от используемой операционной системы, физической среды передачи данных или языка программирования.

UPnP поддерживает сети нулевой конфигурации и автоматическое обнаружение устройств: устройство присоединяется к сети в динамическом режиме, получает IP-адрес, по запросу сообщает о своих возможностях и собирает информацию о наличии и возможностях других устройств. Присутствие серверов DHCP и DNS необязательно; они могут использоваться только в случае, если будут доступны в сети. Более того, устройство может автоматически выйти из сети, и это не приведёт к каким-либо нарушениям в её работе.

Технология UPnP опирается на весь опыт развития Интернета, в ней активно используются многие его компоненты, в том числе , TCP , UDP , HTTP и XML . Проект развития UPnP предусматривает многостороннее сотрудничество заинтересованных компаний в области создания стандартных протоколов управления устройствами (DCP). Как и в случае интернета, эти стандарты будут основываться на протоколах проводного доступа, имеющих декларативный характер, составленных на языке XML и поддерживающих связь через протокол HTTP.

Технология UPnP с точки зрения потребителя

Простота, возможность выбора и повышение эффективности работы. Сетевые продукты, использующие технологию Universal Plug and Play, заработают сразу, как только будут физически подключены к сети. UPnP поддерживает практически все технологии сетевых инфраструктур, как проводные, так и беспроводные. В их число, в частности, входят: кабельный Ethernet, беспроводные сети Wi-Fi (IEEE802.11B), порт IEEE 1394 («Firewire »), сети на основе телефонных линий и сети на основе линий электропитания. Подключение всех этих устройств и персонального компьютера друг к другу упростит пользователям доступ к новейшим службам и приложениям.

Клиентские программы могут быть не только для пользователей персональных компьютеров (такие как Windows Media Player), но и вшитыми в аппаратные устройства (мультимедийные сетевые плееры, мобильные телефоны и т. п.).

Для Linux написано мало серверных программ, из которых наиболее известна MediaTomb (http://mediatomb.cc/), управление которой осуществляется средствами веб-интерфейса.

Вместо послесловия

Вот мы вкратце и рассмотрели тему «UPnP: что это такое?». Здесь указаны наиболее распространенные ситуации и правила настройки и работы с домашним медиасервером. Естественно, можно использовать и любые другие утилиты, однако изначальные принципы настройки и включения практически у всех UPnP-клиентов одинаковы. Если изучить хотя бы пару простейших программ, разобраться с остальными труда не составит.

Для того что бы ответить на вопрос что такое UPnP можно прочитать общепринятую теорию. UPnP — это служба (набор сетевых протоколов), направленная на автоматическую настройку сетевых устройств в домашней и корпоративной сетях. Это архитектура многоранговых соединений между компьютерами и устройствами, которые находятся как дома, так и на работе. UPnP основан на различных стандартах и технологиях интернета, одними из которых являются TCP/IP, HTTP и XML.

Основное предназначение UPnP – это поиск и подбор определенных параметров для доступа к локальной или глобальной сети, чтобы, к примеру, не вводить IP-адрес и указывать порт. Использование UPnP позволило сделать настройку подключения к интернету для большинства пользователя простой.

По сути данная технологи позволяет присоединять устройства к сети в динамическом режиме (получение IP-адреса). Когда пользователь настраивает роутер, то самый простой способ получить доступ к интернету — это в параметрах настройки выбрать динамический IP-адрес. В этом случае и будет использована технология UPnP.

Данная технология используется на любых устройствах компьютерного типа, с любыми операционными системами. Самым популярным является использование на персональных стационарных компьютерах с операционными системами Windows XP и Windows 7. Ниже показано как включить, проверить и настроить UPnP для операционной системы Windows 7.

В современных компьютерах есть очень важная служба Plug and Play, которая отвечает за автоматическое распознавание новых устройств. Пользователю не требуется каждый раз вручную прописывать их включение в системе. Именно она, при подключении флешки в гнездо USB, дает сигнал операционной системе, что пора дать ей драйвера и начать с ней работать.

Свое развитие технология получила в Universal Plug and Play (UPnP). В этом случае объединены разные виды сетевых протоколов (правил), с помощью которых интеллектуальные устройства подключаются к сети. И поскольку работа основывается на единых протоколах, необходимость вручную устанавливать драйвера или корректировать конфигурацию сети отпадает.

Новые разработки в данном направлении публикуются на форуме Universal Plug and Play Forum, участники которого являются членами открытого объединения представителей этой отрасли.

Для получения всех преимуществ от использования Universal Plug and Play, следует включить ее поддержку на всех устройствах объединенных в локальную сеть, и сетевых приложениях.

Как включить на компьютере Windows

В Windows 7, 8, 10, Universal Plug and Play отвечает за сетевое обнаружение компьютера. Чтобы ее включить, необходимо зайти в ПускПанель управленияСеть и ИнтернетЦентр управления сетями и общим доступомИзменить дополнительные параметры общего доступа (ссылка слева). В появившемся списке профилей поставить галочку напротив «Включить сетевое обнаружение». Сохранить изменения.upnp_chto_eto_takoe1.jpg

Также можно использовать программу UPnP Wizard, предназначенную для тунелирования. Она упрощает настройку и проброс портов в Windows и на маршрутизаторах.

Активация UPnP в роутере

По умолчанию в большинстве современных маршрутизаторов уже включена служба UPnP. Для проверки необходимо в браузере перейти на страницу веб-конфигуратора роутера по адресу 192.168.1.1 или 192.168.0.1 (если параметры не стандартные, следует ввести свои значения). Далее в зависимости от производителя следуйте указаниям:

  • TP-Link: в разделе Forwarding (Переадресация), подразделе UpnP — установить в поле «Status» значение «Enabled (Включено)»;upnp_chto_eto_takoe2.jpg
  • D-Link: во вкладке Параметров — Расширенные настройки (Advanced) — Расширенные сетевые настройки (Advanced Network) устанавливаем флажок возле «Enable UPnP»;upnp_chto_eto_takoe3.jpg
  • ASUS: необходимо зайти в ПараметрыДополнительные настройкиИнтернет — Вкладка «Подключение» — напротив «Включить UpnP» поставить флажок на «Да»;upnp_chto_eto_takoe4.jpg
  • Zyxel: на странице «Общие настройки», нажать «Изменить набор компонентов» — поставить галочку «Установлен» в поле «Служба UPnP».upnp_chto_eto_takoe5.jpg

  Настраиваем маршрутизатор D-Link DIR-300 для провайдера ТТК

Благодаря включению этой службы отпадает необходимость в ручном перенаправлении (пробросе) портов, т.к. это теперь происходит автоматически.

Включение в Skype

Начиная с версии 3.8 (на момент выхода статьи актуальная версия 8.40.0.70) в Skype внедрен собственный протокол Plug and Play. Он работает по умолчанию и возможность его включения/отключения отсутствует.

Настройка торрент-клиента

Рассмотрим на примере самого популярного клиента μTorrent. В окне НастройкаНастройка программыСоединение, должны быть отмечены галочками «Переадресация UPnP» и «Переадресация NAT-PMP».upnp_chto_eto_takoe6.jpg

При внесении изменений сохраняем корректировки, нажав на кнопку «Применить».

Как видно из всего вышесказанного, главное преимущество Plug and Play – это простота настройки. Теперь можно быстро настроить устройства на единую работу в общей локальной сети.

Читайте также:

Используемые источники:

  • https://interface31.ru/tech_it/2013/05/nastraivaem-upnp-na-linux-routere.html
  • https://sksmonitoring.ru/sety/upnp.html
  • http://composs.ru/chto-takoe-upnp/

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации