我正面临一个严重的难题(至少对我而言)。是否在我的网络上禁用 UPnP。我了解风险,受感染的计算机可能会在我的防火墙上打一个洞,然后可能会出现更多感染。我会禁用 UPnP,但我网络上的人不够精明,无法访问路由器 IP,并设置转发端口,以便他们的东西可以工作。但他们有相当安全的浏览习惯。不要点击奇怪的链接或“你赢了”按钮。(uBlock 确实对此有所帮助,手机除外)。所有 Mac/Windows 设备、android 和 chromebook 上的防病毒软件。由于各种原因,我并不总是能够长时间从事网络工作。
所以正如标题所说,打开 UPnP 会给我带来多大的风险?(这不是一个商业网络,运行连接外部世界的服务器,只是一个建筑物中几个人的简单网络。
奖励:我刚刚意识到 UPnP 已经在我的路由器上运行了至少五年,但还没有发生任何事情。我知道过去什么都不代表将来什么都没有,但我想我会提到它。
在大多数情况下,UPnP 的身份验证模型是“我收到一个 UPnP 数据包了吗?是吗?很酷,我会照它说的做”。这通常被认为是可接受的(至少在家庭环境中)的原因是 UPnP 服务器只侦听被认为是受信任的内部网络。
如果您的威胁模型包含可以访问您的网络的攻击者,那么 UPnP 就会出现问题。许多路由设备通过 UPnP 支持广泛的配置,包括 DNS 设置和路由表,如果被恶意配置,可能会对您的流量发起中间人攻击。
您会看到危险的 UPnP 配置的常见地方是提供免费 WiFi 的小型酒店和企业。路由器通常是处于默认状态的消费设备,启用了 UPnP,因此任何人都可以配置它们,因为根据业务需求,不受信任的人可以访问网络。
如果您不希望有很多未知程序需要动态端口转发,那么在很大程度上关闭 UPnP 是有意义的。您还应该验证当您在设置页面上禁用 UPnP时它实际上已关闭;有许多消费者路由器的情况,其中 UPnP 禁用功能要么根本不起作用,要么仅更改引导配置以在下次引导时不启动 UPnP 而不停止现有的 UPnP 守护程序。
如果您担心 UPnP 但确实需要它进行管理,请找到一种将 UPnP 侦听器移动到管理 VLAN 而不是主 VLAN 的方法。
风险完全取决于您的风险偏好以及您的说服力与安全性之间的权衡。
正如您所指出的,将其打开确实会增加风险,将其关闭更安全。但是失去了便利,您也已经确定了这一点。只有您和您的客户才能评估哪个更重要。
如果您想要更多安全性,请务必将其关闭。我总是默认关闭它,这与大多数制造商相反。如果我找到需要它的人,我会启用它并解释风险。我发现很多网络,当然是小型办公室网络,没有它也能正常工作