پروتکل UPnP چیست؟ + بررسی جامع

برای ارتباط با یک دستگاه از بیرون شبکه داخلی، مثلا از طریق اینترنت می‌توان از پروتکلی به نام UPNP استفاده کنیم. با استفاده از فعال سازی UPNP در سمت مودم و دستگاه تحت شبکه (در شبکه داخلی) امکان دسترسی به صورت اتوماتیک فراهم خواهد شد. هنگامی که NAT (Network Addess Translation) در مودم در حال انجام است، UPNP پورت‌های مورد استفاده در NAT  را مدیریت می‌کند.

در شبکه‌های کامپیوتری معمولا دستگاه‌هایی هستند که به دیگر دستگاه‌های زیر دسته در شبکه خود سرویس‌ ارائه می‌دهند، دستگاه‌های سرویس دهنده در شبکه را سرور می گویند. اغلب لازم است هم در شبکه داخلی و هم در خارج از شبکه (از طریق اینترنت) به این سرورها دسترسی داشت. تجهیزاتی مانند سرورهای مالی، دستگاه ساعت زنی، دستگاه ضبط دوربین مدار بسته و … از این موارد هستند. برای دسترسی به سرورها از طریق اینرنت از روش‌هایی مانند DMZ و پورت فورواردینگ استفاده می‌شود.

طراحی DMZ هنگامی که ما فقط یک سرور برای انتقال به بیرون از شبکه داریم کاربرد دارد و وقتی در شبکه چند دستگاه نیاز است به بیرون فوروارد شود از پورت فورواردینگ استفاده می‌کنیم. مثلا وقتی که قرار است در یک شبکه یک شرکت علاوه بر سرور مالی، سیستم دوربین مدار بسته نیز به بیرون از شبکه فوروارد شود.

نکته اصلی این است که در برخی مودم‌ها (مانند برخی مودم‌های فیبر نوری) به هردلیلی امکان پورت فورواردینگ وجود ندارد. در این مواقع، استفاده از UPnP گره‌گشا راه حل مشکل خواهد بود. لازم به ذکر است جهت انتقال تصویر دوربین مدار بسته با استفاده از این قابلیت باید در بخش تنظیمات دستگاه و مودم قابلیت UPnP را فعال کنیم. در ادامه در مورد UPNP بیشتر صحبت خواهیم کرد.

ابتدا به اختصار به NAT می‌پردازیم.

NAT چیست؟

NAT که مخفف عبارت Network Addess Translation به معنی “ترجمه آدرس شبکه” است. ما در شبکه محلی خود به هر تجهیز یک آدرس داخلی از رنج شبکه خود مانند “192.168.1.1” تا “192.168.1.254” (254 آدرس مجزا) اختصاص می‌دهیم. تجهیزات با دریافت درست آدرس آی پی، گت وی و DNS در رنج مشخص شده، از طریق مودم به شبکه اینترنت وصل شوند.

مودم نیز وقتی به شبکه اینترنت وصل می‌شود یک آی پی اینترنتی از شبکه اینترنت دریافت می‌کند که با استفاده از آن می‌تواند با شبکه تبادل داده انجام دهد. حال مودم با استفاده از قابلیت NAT کاری می‌کند تا همه تجهیزات در شبکه داخلی (با آدرس 192.168.1.1 تا 192.168.1.254) با یک آی پی اینترنتی بتوانند به اینترنت وصل شوند. در اینجا ست که نرم افزارهای مختلف که درخواست ارتباط با اینترنت را دارند، از طریق پورت‌های نرم افزاری از یکدیگر تفکیک می‌شوند. در حقیقت NAT به سمت سرور یا وب سایت اینترنتی انجام خواهد شد. به این شکل تجهیزات در شبکه داخلی به اینترنت وصل می‌شود.

حال اگر کاربر بخواهد از طریق اینترنت به دستگاهی در شبکه داخلی وصل شود، در این صورت NAT  به مقصد دستگاه مورد نظر ما در شبکه داخلی از سمت اینترنت انجام خواهد شد. به این عمل در مودم پورت فورواردینگ می‌گویند.

پورت فورواردینگ در مودم اینترنتی

با توضیح بالا می‌دانیم آی پی اینترنتی همه تجهیزات در شبکه داخلی مشابه است. با این توضیح اگر کاربر بخواهد از سمت اینترنت با دستگاهی در شبکه داخلی ارتباط برقرار کند، در اینترنت درخواستی را به سمت مودم (با استفاده از آی پی اینترنتی آن) ارسال می‌کند. درخواست ارسالی کاربر دو بخش دارد، یکی آی پی مودم که در خواست را در اینترنت تا مودم می‌رساند و بخش دیگر پورت دستگاه در شبکه داخلی است که کاربر را به دستگاه مورد نظر در شبکه داخلی وصل می‌کند. مودم باید بداند کاربر با درخواستی که دارد با کدام دستگاه در شبکه داخلی قصد ارتباط را دارد، این امر را از روی جدول‌های پورت فورواردینگ خود متوجه می‌شود.

کاربر سمت اینترنت درخواست ارتباط با پورت مورد نیاز را ارسال می‌کند. این درخواست در مودم دریافت می‌شود که حاوی درخواست ارتباط با پورت مشخص شده‌ای (عددی بین 1 تا 65535) مثلا 45000 است. ما از قبل در مودم باید مشخص کرده باشیم که پورت درخواست شده مثلا پورت 45000 مربوط به کدام دستگاه و با چه آدرس آی پی داخلی است و پورت داخلی متناطر آن چیست. حال مودم با در اختیار داشتن این اطلاعات، کاربر اینترنتی را به دستگاهی در شبکه داخلی وصل می‌کند. به کل این فرآند پورت فورواردینگ می‌گویند.

در تصویر زیر نحوه پورت فورواردینگ در مودم نشان داده شده است.

عکس :جدول پورت فورواردینگ – کامل کردن دستی توسط کاربر

نحوه انجام پورت فورواردینگ در مودم

پورت فورواردینگ در مودم از روی یک جدول که در مودم ثبت شده است انجام می‌گیرد. این جدول می‌تواند به صورت دستی از طریق کاربر تکمیل شده باشد و یا به صورت اتوماتیک توسط قابلیتی به نام UPNP که مخفف عبارت Universal Plug and Play است شکل گرفته باشد. در ادامه پروتکل UPNP را بررسی خواهیم کرد.

UPnP چیست؟

UPnP یا (Universal Plug and Play) یک پروتکل شبکه است که به برنامه‌ها و دستگاه‌ها اجازه می‌دهد در مودم، به طور خودکار پورت‌ها را باز کند تا با بیرون از شبکه ارتباط برقرار کنند. UPnP به پیکربندی خاصی نیاز ندارد و فقط کافی است آن را در  مودم و دستگاه مورد نظر فعال کنیم. پس از فعال سازی این قابلیت ادامه کار به صورت اتوماتیک انجام خواهد شد. در واقع می‌توانید یک دستگاه جدید به شبکه خود اضافه کنید و به طور خودکار عمل پورت فورواردینگ آن انجام خواهد شد و می‌توانید از بیرون از شبکه خود (اینترنت) و با پورتی که از بخش UPnP در اختیار دارید به دستگاه خود متصل شوید. معمولا شماره پورت مورد استفاده در UPNP هم می‌تواند به صورت دستی توسط کاربر تعیین گردد و هم می‌تواند توسط خود مودم انتخاب گردد.

عکس :جدول پورت فورواردینگ – کامل کردن اتوماتیک توسط UPNP

UPnP در تنظیمات مودم چیست؟

اگر UPnP در مودم شما فعال باشد، دستگاه‌های مختلف می‌توانند به صورت خودکار پورت‌ها را باز کرده و اطلاعات لازم برای اتصال به این دستگاه‌ها را ارسال کنند. این کار برای برخی از برنامه‌ها و بازی‌ها که به انتقال داده با استفاده از این پروتکل، نیاز دارند استفاده می شود. با این حال، به علت مسائل امنیتی، برخی از کاربران ترجیح می‌دهند UPnP را غیرفعال کنند و پورت‌ها را به صورت دستی با استفاده از پورت فورواردینگ تنظیم کنند.

پروتکل UPnP چگونه کار می کند؟

از نظر پیکربندی پروتکل UPnP پیکربندی خاصی نیاز ندارد و کافی است تیک فعال سازی ان را بزنید. با فعال شدن قابلیت UPNP در مودم و دستگاه در شبکه داخلی امکان برقرای ارتباط با دستگاه از طریق پورت اختصاص داده شده امکان پذیر می‌گردد.

دستگاه تحت شبکه با اتصال به شکه به مودم درخواست تخصیص آی پی داخلی را ارسال می‌کند. با دریافت آی پی از مودم و اتصال صحیح با شبکه، با استفاده از پروتکل UPNP پورت‌های مورد استفاده دز تجهیز به مودم معرفی می‌شود. مودم با دریافت این پورت‌ها، پورت‌هایی را به عنوان پورت خارجی به آنها اختصاص می‌دهد. کاربر با استفاده از آن پورت‌های اختصصاص داده شده می‌تواند از بیرون از شبکه با تجهیز داخل شبکه ارتباط برقرار کند.

توضیح دقیق تر

پروتکل UPnP به زبانی ساده، یک روشی برای انجام پورت فورواردینگ اتوماتیک است. در این پروتکل ابتدا UPNP در مودم فعال می‌شود، در این صورت مودم درخواست‌های UPNP که دریافت کند را بررسی می‌کند. برای اینکه یک تجهیز بتواند از پروتکل UPNP استفاده کند باید این قابلیت در آن فعال شده باشد. در این صورت دستگاه بعد از درخواست آی پی آدرس در شبکه، در قدم بعدی درخواست استفاده از پروتکل UPNP را به سمت مودم ارسال می‌کند. در این درخواست، پورت‌های مورد استفاده توسط دستگاه به مودم اعلام می‌گردد. مودم این پورت‌ها را دریافت کرده و در ارتباط با دستگاه، پورت‌های متناظری را به آنها اختصاص داده و به سمت بیرون شبکه فوروارد می‌گردد.

UPnP برای چه مواردی استفاده می شود؟

• اتصال ایکس باکس و سایر کنسول های بازی مانند نینتندو سوییچ و پلی استیشن برای برقراری ارتباط در بازی های آنلاین.
• نظارت از راه دور خانه توسط دوربین مدار بسته، می‌توانید از UPnP برای اتصال به دوربین‌های خانگی خود از راه دور استفاده کنید.
• دستیارهای خانه دیجیتال مانند Echo dots.
• دستگاه‌های اینترنت اشیا برای اتوماسیون خانگی بی‌سیم مانند روشنایی هوشمند، ترموستات‌ها و قفل‌های هوشمند.
• استریم کردن داده ها با استفاده ار یک مدیا سرور
• و …

آیا پروتکل UPnP امن است؟

به طور خلاصه: خیر!

در ابتدا قرار بود UPnP فقط در سطح LAN کار کند، به این معنی که فقط دستگاه های موجود در شبکه می توانستند به یکدیگر متصل شوند. با این حال، بسیاری از تولیدکنندگان روتر اکنون UPnP را به طور پیش فرض فعال و آنها را از شبکه WAN قابل کشف می‌کنند که این امر در مواردی منجر به مشکلات امنیتی می شود.

UPnP از احراز هویت یا مجوز برای اکثر دستگاه‌ها استفاده نمی‌کند، با این فرض که دستگاه‌هایی که سعی در اتصال به آن دارند قابل اعتماد هستند و از شبکه محلی شما می‌آیند. این بدان معنی است که هکرها می توانند Backdoor شبکه شما را پیدا کنند. به عنوان مثال، آنها می توانند روتر شما را در شبکه کشف کنند و سپس وانمود کنند که یک Xbox هستند. آنها یک درخواست UPnP را به روتر شما ارسال می کنند و روتر پورت را باز می کند.

از زمان اختراع پروتکل Universal Plug and Play در سال 1999، نگرانی هایی در مورد مسائل امنیتی این فناوری وجود داشته است. آژانس F.B.I حتی یک هشدار رسمی در مورد سوء استفاده های احتمالی از فناوری UPnP و دستگاه های IoT صادر کرد. گواه این هشدار، از حملات سایبری که از طریق فناوری UPnP رخ داده است تأیید شده است.

برخی از حملات سایبری معروف و مرتبط:

• Flash UPnP Attack
• Mirai Botnet
• Pinkslipbot

حملات بالا، همگی با استفاده از پورت های باز روتر شما انجام می پذیرند.

نمودار زیر رایج ترین دستگاه‌ها با UPnP فعال را در مقایسه با تعداد کل دستگاه‌های تحلیل‌شده در هر دسته نشان می‌دهد. همانطور که می بینید، روترها در حملات UPnP، بیشترین آمار را دارند.

در نهایت، UPnP باید فعال باشد یا غیرفعال؟

پاسخ کوتاه: غیر فعال …

برای محافظت از امنیت شبکه خود باید UPnP را غیرفعال کنید. فعال بودن UPnP باعث می شود شبکه شما و دستگاه‌های متصل به آن ایمنی کمتری را داشته باشند و در را به روی هکرها باز بگذارند.

همانطور که پیشتر اشاره شد، روشن ماندن پروتکل UPnP شما را در معرض تهدیدات و نفوذ هکرها قرار می‌دهد. درست است که استفاده از UPnP می تواند برای شما راحتی به همراه داشته باشد، چرا که به راحتی و با کمترین پیکربندی دسترسی مورد نظر ما ایجاد می‌شود. اما ارزش ریسک را ندارد. اگر همچنان می‌خواهید پورت‌های روتر خود را باز کنید، به‌جای تکیه بر UPnP به عنوان یک راه‌حل طولانی‌مدت و دائمی، می‌توانید این کار را به‌صورت دستی و به‌صورت موردی انجام دهید.

در اکثر مودم‌‌ها شما میتوانید پورت فوروارد خود را به صورت دستی (در صورت وجود این قابلیت) انجام دهید و از وصل شدن پورت‌هایی غیر از پورت‌هایی که خودمان تعیین کرده‌ایم، جلوگیری کنیم. در صورت پشتیبانی نکردن مودم یا دستگاه از قابلیت پورت فوروارد، به ناچار می توان از UPnP به عنوان آخرین راه حل با قبول کردن ریسک فعال سازی آن، استفاده کرد.

عکس:نبود گزینه پورت فورواردینگ در برخی از مودم ها

فعال سازی UPNP در دستگاه هایک ویژن

در بسیاری از موارد هدف از پیاده سازی سیستم نظارت تصویری، نظارت بر محیط از طریق اینرنت است. در صورتی که مودمی داشته باشیم که بخش پورت فورواردینگ در آن وجود ندارد استفاده از پروتکل UPNP می‌تواند مشکل را حل کند. با فعال سازی UPNP در مودم و سپس در دستگاه DVR می‌توان به راحتی بدون نیاز به تنظیمات زیادی عمل پورت فورواردینگ و انتقال تصویر از طریق اینترنت را انجام داد.

در شکل زیر مراحل فعال سازی UPNP در مودو هوآوی مدل EG8145V5 نشان داده شده است. توجه داشته باشید که در همه مودم‌ها تقریبا فعال سازی با همین روش انجام می‌گیرد، البته با کمی تفاوت جزئی:

عکس : فعال سازی UPNP در مودم هوآوی

در مرحله بعد باید قابلیت UPNP را در دستگاه DVR/NVR فعال کنیم. برای این کار مراحل را مطابق عکس زیر دنبال می‌کنیم.

عکس : فعال سازی UPNP در DVR/NVR هایک ویژن

توجه کنید که اینکه چه پورتی برای انتقال به بیرون انتخاب شود باید به صورت دستی باشد و نه اتوماتیک، چرا که با روشن و خاموش شدن مودم پورت متناظر اختصاص یافته تغییر خواهد کرد و ارتباط کاربر با دستگاه قطع خواهد شد. ازاینرو باید مطابق شکل زیر بعد از پورت انجام کامل UPNP حالت انتخاب پورت در دستگاه هایک ویژن دستی انتخاب گردد.

عکس : تعیین دستی پورت متناظر خارجی برای دستگاه هایک ویژن

اگر UPnP روتر خاموش باشد چه اتفاقی می افتد؟

اگر UPnP را به طور کلی خاموش کنید که البته به طور پیش فرض هم خاموش است، روتر شما همه درخواست‌های برای ارتباط با شبکه داخلی را دریافتی را نادیده می‌گیرد. بنابراین (در صورت نیاز) باید فوروادر کردن پورت‌های دستگاه‌ها را به صورت دستی تنظیم کنید. این بدان معناست که روتر دیگر به طور خودکار پورت های شبکه LAN شما را باز نمی‌کند و حتی درخواست‌های قانونی را نادیده می‌گیرد. در این شرایط باید به صورت دستی و با استفاده از پورت فورواردینگ نیاز خود را برطرف کنید.