UPnP configureren op je Mikrotik router

Universal Plug and Play configureren op je Mikrotik router is zeker geen moeilijke opgave. Maar gebruik Universal Plug and Play niet als een constant openstaande service. Dit omdat UPnP een groot veiligheidsrisico met zich meebrengt. Kwaadwilligen zien Universal Plug and Play namelijk als een hulpmiddel om je netwerk binnen te dringen. Een zwakheid in UPnP maakt het mogelijk om verschillende aanvallen uit te voeren. Een artikel hierover kan je hier lezen. Maar hoe kan je nu UPnP op een verantwoordelijke manier gebruiken. Lees dit artikel verder en bekijk de door mij aangemaakte video tutorial. Wil je meer lezen over de beveiliging van je Mikrotik router daar heb ik ook een blogpost over gemaakt met als titel "Mikrotik router beveiligen". 

Wat is en doet Universal Plug and Play precies

Universal Plug and Play of anders gezegd "UPnP" is een reeks netwerkprotocollen waarmee netwerkapparaten, zoals pc's, printers, camera's, internet gateways, accespoints en mobiele apparaten naadloos elkaars aanwezigheid op het netwerk kunnen ontdekken. Met deze techniek is het mogelijk om netwerkservices automatisch op te zetten voor gegevensuitwisseling. Universal Plug and Play opent automatisch de nodige netwerkpoorten om communicatie tot stand te brengen.
Deze hulpvolle techniek opent de nodige poorten die nodig zijn om bijvoorbeeld een server te bereiken die ergens op het internet bereikbaar is. Een tweede voorbeeld wat Universal Plug and Play kan doen is het opzetten van een peer to peer netwerk. UPnP doet aan geautomatiseerde port forwarding. 

Er is een voorwaarde indien je de UPnP techniek wil gaan gebruiken

Wat wil ik hier mee zeggen. Je Mikrotik router ondersteund deze techniek maar het netwerktoestel die verbonden is met je router moet deze ook ondersteunen. Dit omdat er een wederzijdse communicatie moet gebeuren tussen de router en het netwerktoestel. Een voorbeeld hiervan is een Playstation4 die UPnP ondersteund.
Maar ook de meeste IP-camera's en dergelijk meer ondersteunen deze techniek. Normaal gezien zie je op de doos van het toestel het UPnP logo staan.    

Opgelet! kwaadwilligen kunnen UPnP gemakkelijk gaan misbruiken

Kwaadwillige mensen kunnen de kwetsbare Universal Plug and Play techniek gaan misbruiken. En dit door de router te gaan triggeren om een bepaalde poort te gaan openen. Dit kan door middel van software te gebruiken die communiceert met je router alsof deze uw netwerktoestel is. Er is nog een zeer belangrijk punt die je moet weten is dat UPnP geen enkele vorm van authenticatie nodig heeft. Dit wil zeggen dat er poorten kunnen geforward worden zonder dat het vragende toestel zich moet bekent maken. Hier kan je alvast een tool downloaden die onderzoekt of er UPNP op bepaalde toestellen op uw netwerk actief zijn.

Zie Mikrotik Universal Plug and Play als een tijdelijk hulpmiddel

Zie Universal Plug and Play als een tijdelijke oplossing. Eens deze techniek zijn werk heeft gedaan kan je in de Mikrotik firewall NAT de door UPnP aangemaakte NAT-regels kopiëren en opslaan. Het beste is dan ook bij het commentaar venster de regel een andere naam te geven.  Door bijvoorbeeld het woord upnp dat vooraan de commentaar staat te gaan verwijderen. Dit doet niets aan de configuratie maar dan weet je welke poorten je statisch hebt ingegeven of niet.
Daarna kan je de UPnP terug gaan uitschakelen. Zo kunnen de kwaadwilligen geen manipulaties uitvoeren op je Mikrotik router door de Universal Plug and Play te gaan triggeren. Als je uw Mikrotik router volledig wil gaan beveiligen zie een andere blogpost op deze website. Andere onderwerpen kan je zien op mijn YouTube kanaal.

Indien je verstandig gebruik maakt van Mikrotik Universal Plug and Play zal er geen enkele kwaadwillige een netwerkpoort automatisch kunnen openen.
Zo kan je met een gerust hart je Mikrotik router gaan gebruiken. Ik toon de Universal Plug and Play configuratie op de bridge interface doch dit kan ook op een afzonderlijke ethernet poort of VLAN interface. Er is één voorwaarde aan verbonden. De interface moet genat zijn naar het externe netwerk dit is alles.