UPnP configureren op je Mikrotik router
Universal Plug and Play configureren op je Mikrotik router is zeker geen moeilijke opgave. Alles gebeurt automatisch en dit is gevaarlijk voor je router en netwerk. Gebruik Universal Plug and Play niet als een constant openstaande service. Dit omdat UPnP een groot veiligheidsrisico met zich meebrengt. Kwaadwilligen zien Universal Plug and Play namelijk als een hulpmiddel om je netwerk binnen te dringen. Een zwakheid in UPnP maakt het mogelijk om verschillende aanvallen uit te voeren. Een artikel hierover kan je hier lezen. Maar hoe kan je nu UPnP op een verantwoordelijke manier gebruiken. Lees dit artikel verder en bekijk de door mij aangemaakte video tutorial. Wil je meer lezen over de beveiliging van je Mikrotik router daar heb ik ook een blogpost over gemaakt met als titel "Mikrotik router beveiligen".
Wat is en doet Universal Plug and Play precies
Universal Plug and Play of anders gezegd "UPnP" is een reeks netwerkprotocollen waarmee netwerkapparaten, zoals pc's, printers, camera's, internet gateways, accespoints en mobiele apparaten naadloos elkaars aanwezigheid op het netwerk kunnen ontdekken. Met deze techniek is het mogelijk om netwerkservices automatisch op te zetten voor gegevensuitwisseling. Universal Plug and Play opent automatisch de nodige netwerkpoorten om een communicatie tot stand te brengen. Deze hulpvolle techniek opent de nodige poorten die nodig zijn om bijvoorbeeld een server te bereiken die ergens op het internet bereikbaar is. Een tweede voorbeeld wat Universal Plug and Play kan doen is het opzetten van een peer to peer netwerk. UPnP doet aan geautomatiseerde port forwarding.
Er is een voorwaarde indien je de UPnP techniek wil gebruiken
Wat wil ik hier mee zeggen. Je Mikrotik router ondersteund deze techniek maar het netwerktoestel die verbonden is met je router moet deze ook ondersteunen. Dit omdat er een wederzijdse communicatie moet gebeuren tussen de router en het netwerktoestel. Een voorbeeld hiervan is een Playstation4 die UPnP ondersteund. Maar ook de meeste IP-camera's en dergelijk meer ondersteunen deze techniek. Normaal gezien zie je op de doos van het toestel het UPnP logo staan. Doch let zeer goed op met deze techniek. Lees verder wat je kan doen om toch voordeel te halen uit UPnP.
Kwaadwilligen kunnen UPnP gemakkelijk misbruiken
Kwaadwillige mensen kunnen de kwetsbare Universal Plug and Play techniek misbruiken. En dit door de router te gaan vragen om een bepaalde poort te openen. Dit kan door middel van software te gebruiken die communiceert met je router alsof deze uw netwerktoestel is. Er is nog een zeer belangrijk punt die je moet weten is, dat UPnP geen enkele vorm van authenticatie nodig heeft. Dit wil zeggen dat er poorten kunnen geopend worden zonder dat het vragende toestel zich moet bekent maken. Dit is verontrustend, is het niet? Hier kan je alvast een tool downloaden die onderzoekt of er UPNP op bepaalde toestellen op uw netwerk actief zijn.
Zie Mikrotik Universal Plug and Play als tijdelijk hulpmiddel
Zie Universal Plug and Play als een tijdelijke oplossing. Eens deze techniek zijn werk heeft gedaan kan je in de Mikrotik firewall NAT de door UPnP aangemaakte NAT-regels kopiëren en opslaan. Het best is dan ook bij het commentaar venster de regel een andere naam te geven. Door bijvoorbeeld het woord UPnP dat vooraan de commentaar staat te verwijderen. Dit doet niets aan de configuratie maar dan weet je welke poorten je statisch hebt ingegeven of niet. Daarna kan je de UPnP terug gaan uitschakelen. Zo kunnen de kwaadwilligen geen manipulaties uitvoeren op je Mikrotik router door de Universal Plug and Play te gaan triggeren. Als je uw Mikrotik router volledig wil beveiligen zie een andere blogpost op deze website. Andere onderwerpen kan je zien op mijn YouTube kanaal.
Configuratie uitgevoerd met een RB3011
RouterOS versie | 6.47.8 |
Firmware | 6.47.8 |
Indien je verstandig gebruik maakt van Mikrotik Universal Plug and Play zal geen enkele kwaadwillige een netwerkpoort automatisch kunnen openen.
Zo kan je met een gerust hart je Mikrotik router gebruiken en dit op een veilige manier. Ik toon de Universal Plug and Play configuratie op de bridge interface doch dit kan ook op een afzonderlijke ethernet poort of VLAN-interface. Er is één voorwaarde aan verbonden. De interface moet genat zijn naar het externe netwerk dit is alles. Ik wens je veel plezier toe met de UPnP configuratie.