UPnP configureren op je Mikrotik router
MikroTik UPNP configuratie begrijpen. Universal Plug and Play (UPnP) configureren op je Mikrotik router lijkt eenvoudig, maar is niet zonder risico. Hoewel UPnP automatisch poorten opent voor toepassingen zoals games of IP-camera’s, vormt het tegelijk een serieus beveiligingsprobleem. UPnP laat applicaties toe om zonder tussenkomst van de gebruiker poort forwarding in te stellen. Dat is handig, maar net daardoor wordt het vaak misbruikt door hackers en malware. UPnP is dus geen dienst die je permanent actief moet laten op je router.
Waarom is UPnP gevaarlijk?
Een kwetsbaarheid in UPnP kan misbruikt worden om:
Wat is Universal Plug and Play (UPnP) en wat doet het?
Universal Plug and Play (UPnP) is een verzameling netwerk protocollen waarmee apparaten in een netwerk, zoals computers, printers, IP-camera’s, internet gateways, toegangspunten en mobiele toestellen automatisch elkaars aanwezigheid kunnen detecteren en verbindingen kunnen opzetten zonder tussenkomst van de gebruiker. Dankzij UPnP kunnen apparaten:
Hoe werkt UPnP?
Wanneer een toepassing bijvoorbeeld een game, media server of app een internet verbinding nodig heeft, kan UPnP automatisch de juiste poorten openen op je router. Hierdoor kan het verkeer zonder blokkades tussen het lokale netwerk en het internet vloeien. Enkele concrete voorbeelden van wat UPnP mogelijk maakt:
UPnP is dus handig, maar net deze automatische port forwarding vormt een risico als het verkeerd of onveilig wordt gebruikt.
Welke netwerk techniek zit achter UPnP
Universal Plug and Play (UPnP) is ontworpen om apparaten automatisch met elkaar te laten communiceren binnen een lokaal netwerk, zonder handmatige configuratie. Dit gebeurt grotendeels op laag 3 (netwerklaag), maar begint met een detectie fase op laag 2 (datalink) via multicast.
1. Netwerklaag (L3) en communicatieprotocol
UPnP werkt op basis van IP protocollen (laag 3), en maakt gebruik van de volgende kerntechnologieën:
Fase | Protocol | Netwerklaag | Poort |
|---|---|---|---|
Ontdekking | SSDP (Simple Service Discovery Protocol) | L3 (UDP over IP) | UDP 1900 |
Beschrijving | HTTP over TCP/IP | L3 | willekeurig |
Controle | SOAP over HTTP | L3 | Afhankelijk |
Gebeurtenissen | GENA (Generic Event Notification Architecture) | L3 | Afhankelijk |
Presentatie | HTTP webinterface | L3 | Afhankelijk |
UPnP boodschappen en flow
De typische communicatie verloopt als volgt:
Device description
Control request
Eventing en monitoring (optioneel)
Presentation
Op welke laag werkt UPnP?
Component | Netwerklaag | Uitleg |
|---|---|---|
SSDP Discovery | L3 (IP/UDP) | Multicastverkeer naar 239.255.255.250:1900 |
Beschrijvingen | L3 (TCP/IP) | HTTP requests voor XML device info |
Poortaanvragen | L3 (TCP/IP) | SOAP over HTTP voor controle |
Verkeer zelf | L3 (NAT) | Router past firewall/NAT aan, waardoor poorten openstaan voor IP-verkeer |
Initialisatie | L2/L3 | Vereist dat alle apparaten op hetzelfde subnet zitten (géén routing) |
MikroTik UPnP werkt dus primair op laag 3, maar vereist dat apparaten zich in hetzelfde broadcast domein bevinden vaak een VLAN of bridge dus er is ook een impliciete afhankelijkheid van layer 2. De MikroTik UPnP
Voorwaarde om Universal Plug en Play te gebruiken op je Mikrotik router
Als je de UPnP techniek wil gebruiken, moet je aan één belangrijke voorwaarde voldoen: Niet alleen je Mikrotik router moet UPnP ondersteunen, maar ook het netwerk apparaat dat ermee communiceert. UPnP werkt namelijk op basis van wederzijdse communicatie tussen de router en het netwerk toestel. Beide moeten het protocol ondersteunen om automatisch poorten te kunnen openen en gebruiken.
Belangrijke opmerking voor Mikrotik gebruikers
Op Mikrotik werkt UPnP alleen op interfaces die:
Voorbeelden van UPnP-compatibele apparaten
Meestal herken je compatibele toestellen aan het UPnP logo op de verpakking of in de handleiding. Belangrijk: Gebruik UPnP met de nodige voorzichtigheid. Het gemak van automatische poort openingen brengt ook beveiligingsrisico’s met zich mee. Lees daarom zeker verder hoe je UPnP veilig en verantwoord gebruikt op je Mikrotik router.
UPnP kan eenvoudig misbruikt worden door kwaadwilligen
Hoewel Universal Plug and Play (UPnP) bedoeld is om netwerkconfiguratie te vereenvoudigen, is het ook een populair doelwit voor hackers. Kwaadwilligen kunnen via software je router benaderen alsof ze een legitiem netwerktoestel zijn, en zo automatisch poorten laten openen. Dit doen ze door UPnP verzoeken te sturen naar je router, die deze zonder controle uitvoert.
Waarom is dit zo gevaarlijk?
Het grote probleem is dat UPnP geen enkele vorm van authenticatie vereist. Dat betekent dat een toestel geen gebruikersnaam of wachtwoord moet opgeven om poorten te openen. De router vertrouwt blindelings op het verzoek zelfs als het van buiten je netwerk komt (bij foutieve configuratie).
Poorten worden geopend zonder dat het vragende toestel zich hoeft te identificeren. Dat maakt UPnP bijzonder kwetsbaar.
Gebruik UPnP op je Mikrotik router als tijdelijk hulpmiddel
Zie Universal Plug and Play (UPnP) niet als een permanente oplossing, maar eerder als een tijdelijk hulpmiddel. Zodra UPnP zijn werk heeft gedaan en de nodige poorten automatisch heeft geopend, kun je deze instellingen handmatig overnemen.
Hoe pak je dat aan?
Op die manier voorkom je dat kwaadwilligen nog via UPnP poorten kunnen openen of misbruiken. Je behoudt wel de functionaliteit die je tijdelijk nodig had, maar dan in een veel veiligere en stabielere configuratie. Wil je je Mikrotik router volledig beveiligen? Lees dan ook mijn blogpost:
Mikrotik router beveiligen.
UPnP configuratie op MikroTik
- 1Klik in het linker menu op IP.
- 2Scrol in het vervolgmenu helemaal naar beneden en klik op UPnP.
Opgelet: schakel UPnP nog niet meteen in! Configureer eerst zorgvuldig de juiste interface.
- 1Klik als eerste op de knop interfaces.
Uitleg bij het UPnP venster
Instelling | Betekenis |
|---|---|
✅ Enabled | Schakel UPnP in nadat je een veilige interface hebt gekozen. |
⬜ Allow To Disable External Interface | Laat clients toe om de externe interface uit te schakelen |
☑️ Show Dummy Rule | Geeft een lege NAT regel weer, handig voor debugging of test opstellingen. |
🔘 Interfaces (rechtsonder) | Klik hier om de interne en externe interface te definiëren. |
Tip: Gebruik bij voorkeur enkel een bridge of VLAN interface als interne interface en een NAT interface als extern.
UPnP Interface Instellingen Zo stel je de juiste interface in
- 1Klik op het blauwe plusteken om een nieuwe UPnP interface aan te maken.
- 2Kies de juiste interface. In dit voorbeeld is dat bridge_lan
- 3Selecteer het type interface door het bolletje "internal" zwart te maken. Daarop komen de UPnP aanvragen (meestal LAN)
- 4Klik op OK.
- 1Klik terug op het blauwe plusteken om een nieuwe UPnP interface aan te maken.
- 2Kies de WAN interface. In dit voorbeeld is dat ether1_wan. Dit is de interface naar je internet verbinding.
- 3Selecteer het type interface door het bolletje "external" zwart te maken.
- 4Klik op OK.
UPnP configuratie op MikroTik overzicht
Je UPnP instellingen zijn nu correct geconfigureerd op je MikroTik router. Maar let op: de sleutel tot veilig gebruik is beperking in tijd. Sluit dit venster.
- 1Schakel Universal Plug and Play in door enable aan te vinken.
- 2Klik vervolgens op "OK" UPnP is nu ingeschakeld en actief.
Tot slot: veilig gebruik maken van UPnP op je Mikrotik router
Wanneer je verstandig omgaat met Universal Plug and Play op je Mikrotik router, geef je hackers geen kans om automatisch netwerkpoorten te openen. Zo kun je met een gerust hart gebruik maken van deze techniek op een gecontroleerde en veilige manier. In mijn voorbeeld toon ik hoe je UPnP configureert op de bridge interface, maar je kan deze functionaliteit net zo goed toepassen op een aparte Ethernet poort of VLAN interface.
Veel succes en plezier met het configureren van UPnP op je Mikrotik router! Wil je het stap voor stap zien? Bekijk dan zeker mijn video tutorial of andere blogposts op deze site.
Blijf op de hoogte van nieuwe video tutorials
