Upnp igd что это в роутере: что такое в роутере и как его включить на Вашем устройстве?

Содержание

что такое в роутере и как его включить на Вашем устройстве?

В современных компьютерах есть очень важная служба Plug and Play, которая отвечает за автоматическое распознавание новых устройств. Пользователю не требуется каждый раз вручную прописывать их включение в системе. Именно она, при подключении флешки в гнездо USB, дает сигнал операционной системе, что пора дать ей драйвера и начать с ней работать.

Свое развитие технология получила в Universal Plug and Play (UPnP). В этом случае объединены разные виды сетевых протоколов (правил), с помощью которых интеллектуальные устройства подключаются к сети. И поскольку работа основывается на единых протоколах, необходимость вручную устанавливать драйвера или корректировать конфигурацию сети отпадает.

Новые разработки в данном направлении публикуются на форуме Universal Plug and Play Forum, участники которого являются членами открытого объединения представителей этой отрасли.

Для получения всех преимуществ от использования Universal Plug and Play, следует включить ее поддержку на всех устройствах объединенных в локальную сеть, и сетевых приложениях.

Как включить на компьютере Windows

В Windows 7, 8, 10, Universal Plug and Play отвечает за сетевое обнаружение компьютера. Чтобы ее включить, необходимо зайти в ПускПанель управленияСеть и ИнтернетЦентр управления сетями и общим доступомИзменить дополнительные параметры общего доступа (ссылка слева). В появившемся списке профилей поставить галочку напротив «Включить сетевое обнаружение». Сохранить изменения.

Также можно использовать программу UPnP Wizard, предназначенную для тунелирования. Она упрощает настройку и проброс портов в Windows и на маршрутизаторах.

Простейшая утилита для создания домашнего медиасервера

Собственно, вот мы и подошли к основному вопросу настройки и включения UPnP-сервера. Для начала, как уже понятно, нужно определиться с программой (UPnP-клиентом). В качестве самой простой, не требующей ручной настройки утилиты можно посоветовать Samsung PC Share Manager.

В этой программе практически все настройки автоматизированы, определение устройств и способа подключения не требует участия пользователя, но единственное, что потребуется, это указание папок общего доступа с хранящимися в них файлами мультимедиа. По умолчанию приложение выбирает свои параметры, но предпочитаемые программой директории можно удалить или задать вместо них собственные.

Тут важно проверить, открыт ли к ним тот самый общий доступ. Делается это из меню свойств, которое вызывается правым кликом на директории. Ну а после запуска сервер UPnP включится автоматически, и произойдет синхронизация всех устройств, на данный момент присутствующих в домашней сети. Иногда может потребоваться внести программу в список исключений файрволла.

Единственным недостатком приложения, пожалуй, можно назвать только невозможность просмотра онлайн телевидения или прослушивания радио. Воспроизвести можно исключительно контент, хранящийся в папках общего доступа.

Активация UPnP в роутере

По умолчанию в большинстве современных маршрутизаторов уже включена служба UPnP. Для проверки необходимо в браузере перейти на страницу веб-конфигуратора роутера по адресу 192.168.1.1 или 192.168.0.1 (если параметры не стандартные, следует ввести свои значения). Далее в зависимости от производителя следуйте указаниям:

Как настроить роутер Микротик

Благодаря включению этой службы отпадает необходимость в ручном перенаправлении (пробросе) портов, т.к. это теперь происходит автоматически.

Что такое UPnP?

Это протокол, который позволяет приложениям и другим устройствам в вашей сети автоматически открывать и закрывать порты для подключения друг к другу. Например, если вы решили подключить принтер ко всем устройствам в доме без UPnP, то вам потребуется сделать это вручную, уделяя внимание каждому отдельному девайсу. Но благодаря UPnP можно автоматизировать этот процесс. UPnP предлагает нулевую конфигурацию, что означает, что ни одно из устройств в вашей сети не нуждается в ручной настройке для обнаружения нового устройства. С поддержкой UPnP они могут автоматически подключаться к сети, получать IP-адрес, находить другие устройства в сети и подключаться к ним, и это очень удобно.

Для чего используется UPnP?

  • Игры. Подключение Xboxes и других игровых приставок для потоковой передачи онлайн игр;
  • Дистанционное видеонаблюдение. Вы можете использовать UPnP для подключения к домашним камерам, когда находитесь не дома;
  • Цифровые голосовые помощники;
  • Устройства IOT, такие как интеллектуальное освещение, смарт-замки и т.д.;
  • Потоковая передача мультимедиа;

Настройка торрент-клиента

Рассмотрим на примере самого популярного клиента μTorrent. В окне НастройкаНастройка программыСоединение, должны быть отмечены галочками «Переадресация UPnP» и «Переадресация NAT-PMP».

При внесении изменений сохраняем корректировки, нажав на кнопку «Применить».

Как видно из всего вышесказанного, главное преимущество Plug and Play – это простота настройки. Теперь можно быстро настроить устройства на единую работу в общей локальной сети.

Почему UPnP небезопасен?

Первоначально предполагалось, что UPnP будет работать только на уровне локальной сети, что означает, что устройства только в вашей сети могут подключаться друг к другу. Однако многие производители маршрутизаторов теперь включают UPnP по умолчанию, что делает их доступными для обнаружения из WAN, а это приводит к многочисленным проблемам безопасности.

UPnP не использует аутентификацию или авторизацию (только некоторые устройства), предполагая, что устройства, пытающиеся подключиться к нему, являются надежными и поступают из вашей локальной сети. Это означает, что хакеры могут найти бэкдоры в вашей сети. Например, они отправят UPnP-запрос на ваш маршрутизатор и он откроет им порт без лишних вопросов.

Как только хакер получит доступ к сети, он сможет:

  • Получить удаленный доступ к другим устройствам, подключенным к той же сети;
  • Установить вредоносное ПО на ваши устройства;
  • Украсть вашу конфиденциальную информацию;
  • Использовать ваш маршрутизатор в качестве прокси-сервера для сокрытия других вредоносных действий в интернете. Они могут использовать его для распространения вредоносных программ, кражи информации о кредитных картах и проведения фишинговых атак или атак типа DDoS. Использование вашего маршрутизатора в качестве прокси означает, что все эти атаки будут выглядеть так, будто они исходят от вас, а не от хакера.

Source Target — что это на Asus?

В некоторых роутерах Asus дополнительно имеется пункт. Source Target — это веб-порт «http» для доступа к программе или IP устройству через браузер. В данное поле имеет смысл вписать то же самое, что и в «Локальный»

Теперь что мы имеем? Набрав в строке браузера из локальной сети https://192. 168.1.225:1010, роутер понимает, что у него задано в настройках перенаправления данного порта и автоматически отправляет на внутренний адрес устройства, и мы попадаем в изображение с программы Вебкам.

Управление папками DLNA-сервера

Добавление папок в список доступных для просмотра на телевизоре производится через настройки штатного проигрывателя Windows Media. Запустите его из меню Пуск или воспользовавшись поисковой строкой.

Далее слева в разделе «Библиотека» кликните правой кнопкой мыши по пункту «Видео» и выберите «Управление видеотекой».

В открывшемся окне вы увидите список уже расшаренных папок, правда, пока здесь находится только один системный каталог. Нажмите справа «Добавить» и найдите свою папку с фильмами. Кликните «Добавить папку», а потом «OK».

Фильмы из новой директории появятся в видеотеке, а значит их можно будет просмотреть на телевизоре через DLNA.

Если нужно изменить настройки медиа-сервера, здесь же в Windows Media откройте пункт меню «Поток» и выберите «Дополнительные параметры потоковой передачи…»

Заключение

Мы подробно рассмотрели один из рабочих механизмов потоковой передачи данных между двумя устройствами в одной локальной сети. Технология DLNA позволяет смотреть фильмы с компьютера на телевизоре, не используя дополнительные съемные носители. Однако соединение такого типа подвержено разного рода сбоям, особенно если подключение производится беспроводным способом, через сеть Wi-Fi. Также проблемы могут возникать при передаче видео высокой четкости, для которого требуется канал соответствующей пропускной способности.

Если вы настроили DLNA-сервер, но стабильности его работы достичь не получается, то придется использовать другие способы соединения устройств. Проверенный вариант – это обычные флеш-накопители и портативные жесткие диски.

  • 0поделились
  • 0Facebook
  • 0Twitter
  • 0VKontakte
  • 0Odnoklassniki

Использование программы «Домашний медиасервер»

Другое дело — использование более серьезного приложения Home Media Server (российская разработка). Тут, правда, в настройках придется покопаться.

Хотя автоматическое определение и включено, в некоторых случаях придется добавить устройства вручную. Так, например, программа четко определяет искомый компьютерный терминал, на котором установлена, а также маршрутизатор, отвечающий за соединение. Если нужно передать сигнал, скажем, на телевизионную приставку IPTV с последующей трансляцией на телевизионную панель, IP- или MAC-адрес устройства придется вводить самому.

Далее — вопрос транскодирования. В большинстве случаев выбирается режим «Фильмы (основной)», но если в системе установлена специальная утилита Ace Stream (один из компонентов Ace Player), лучше задействовать именно ее.

С общими папками здесь тоже все просто, а вот по вопросу телевещания опять придется напрячь мозги. Так, например, для просмотра торрент-телевидения, нужно будет пройти регистрацию на определенном ресурсе, после чего скачать с него так называемые подкасты, которые необходимо внести в список, а затем обновить. Только после этого можно будет смотреть телепрограммы.

Попутно стоит отметить, что и на телевизионной приставке придется вручную включить использование сервера UPnP. Чаще всего для его задействования используется режим LAN. Может быть и другой, все зависит только от модификации самой приставки.

А вообще, настроек в программе очень много. С основными можно разобраться без проблем. Но если требуется использование каких-либо дополнительных параметров, придется потратить определенное время. Зато потом пользователь получает в свое распоряжение мощнейший инструмент синхронизации устройств любого типа. Попутно отметим, что для мобильных устройств может потребоваться установка специальных приложений и активация UPnP. Без этого ни о какой синхронизации и речи быть не может.

Да, и обратите внимание вот еще на что. В отличие от предыдущей утилиты, включение сервера производится только в ручном режиме при помощи специальной кнопки запуска или, если требуется, перезапуска.

См. также

Wikimedia Foundation . 2010 .

Смотреть что такое «UPnP» в других словарях:

    UPnP

    — UPnP, Universal Plug and Play … Universal-Lexikon

    UPNP

    UPnP

    — Universal Plug and Play Pile de protocoles 7 Application 6 Présentation 5 Session 4 Tr … Wikipédia en Français

    UpNp

    — Universal Plug and Play Pile de protocoles 7 Application 6 Présentation 5 Session 4 Tr … Wikipédia en Français

    UPNP

    UPnP

    — Universal Plug and Play (UPnP) dient zur herstellerübergreifenden Ansteuerung von Geräten (Stereoanlagen, Router, Drucker, Haussteuerungen) über ein IP basierendes Netzwerk, mit oder ohne zentrale Kontrolle durch ein Residential Gateway. Es… … Deutsch Wikipedia

    Upnp

    — Universal Plug and Play (UPnP) dient zur herstellerübergreifenden Ansteuerung von Geräten (Stereoanlagen, Router, Drucker, Haussteuerungen) über ein IP basierendes Netzwerk, mit oder ohne zentrale Kontrolle durch ein Residential Gateway. Es… … Deutsch Wikipedia

    Universal Plug and Play универсальная автоматическая настройка сетевых устройств. Реализация технологии автоматической настройки сети Linux и Windows. Состоит из набора сопутствующих протоколов. Содержание 1 Что такое UPnP? 2 Что означает… … Википедия

    UPNP

    — abbr. Universal Plug N Play (PNP) Syn: UPnP …

    UPnP

    — abbr. Universal Plug N Play (PNP) Syn: UPNP … United dictionary of abbreviations and acronyms

23 марта 2020 в 11:13

  • Сетевые технологии

Ранее я много раз слышал, что UPnP каким-то образом умеет самостоятельно открывать порты (производить Port Forwarding на роутере) по запросу от хоста из локальной сети. Однако, то, каким именно образом это происходит, и какие протоколы для этого используются, доселе было покрыто для меня пеленой тумана.

В данной статье я хочу кратко рассказать, как работают два механизма для проброса портов, а именно NAT Port Mapping Protocol

и
Internet Gateway Device (IGD) Protocol
, входящий в набор протоколов UPnP. К своему удивлению я обнаружил, что в рунете информация по данному вопросу более чем скудна, что и сподвигло меня на написание данной заметки.

Для начала приведу краткий FAQ:

Q: Для чего нужны данные протоколы?

A: Для формирования на маршрутизаторе правила проброса определенного TCP/UDP порта (Port Forwarding) не вручную, а «автоматически», т.е. по запросу от хоста во внутренней сети.

Q: Как это реализуется?

A: Устройство за NAT отправляет маршрутизатору запрос с указанием внутреннего и внешнего номеров портов и типа протокола (TCP/UDP). Если указанный внешний порт свободен, маршрутизатор формирует у себя правило трансляции и рапортует запросившему компьютеру об успешном выполнении запроса.

Q: Проводится ли на маршрутизаторе аутентификация/авторизация запросов на открытие порта?

A: Нет, не проводится.

Теперь же рассмотрим работу данных протоколов более подробно (под катом).

Port Mapping Protocol

NAT-PMP описан в RFC 6886. Для своей работы он использует UDP-порт сервера 5351.
Рассмотрим работу протокола на конкретном примере — торрент-клиенте Vuze 5.7 для Windows 7.

Примечание: NAT-PMP во Vuze по умолчанию выключен. Его необходимо активировать в настройках плагинов.

1. Запускаем Wireshark. В строке фильтра вводим nat-pmp

2. Запускам Vuze. 3. Останавливаем перехват пакетов, смотрим результаты.

У меня получилось следующее:

Первые 2 это запрос внешнего адреса маршрутизатора и ответ с указанием этого самого адреса. Не будем на них подробно останавливаться и лучше рассмотрим, как происходит маппинг портов на примере пакетов 3-4.

Здесь мы видим, что запрашивается проброс внешнего UDP порта 48166 на такой же внутренний порт. Интересно, что внутри протокола не указывается адрес хоста, на который должна происходить трансляция (Inside Local в терминологии Cisco). Это означает, что маршрутизатор должен взять адрес источника пакета из IP-заголовка и использовать его в качестве Inside Local.

Параметр Requested Port Mapping Lifetime

ожидаемо означает время жизни записи в таблице трансляций.

Как мы видим, маршрутизатор предполагаемо создал запрашиваемую трансляцию и ответил кодом Success

. Параметр
Seconds Since Start of Epoch
означает время с момента инициализации таблицы трансляций (т.е. с момента последней перезагрузки роутера).

Маппинг TCP-портов происходит точно также и отличается только значением поля Opcode

.

После того, как приложение прекратило использовать данные порты, оно может послать маршрутизатору запрос на удаление трансляции. Главное отличие запроса на удаление от запроса на создание заключается в том, что параметр Lifetime

устанавливается в ноль.

Вот что произойдет, если мы закроем Vuze.

На этом рассмотрение NAT-PMP закончено, предлагаю перейти к несколько более «мудреному» UPnP IGD.

Internet Group Device Protocol

Для обмена своими сообщениями данный протокол использует SOAP.
Однако, в отличие от NAT-PMP, IGD не использует фиксированный номер порта сервера, поэтому перед тем, как обмениваться сообщениями, нужно сперва этот порт узнать. Делается это при помощи протокола SSDP (данный протокол является частью UPnP и используется для обнаружения сервисов).

Запускаем торрент-клиент. Он формирует SSDP-запрос и отсылает его на мультикастовый адрес 239.255.255.250.

Маршрутизатор формирует ответ и отправляет его уже юникастом:

Внутри ответа мы можем увидеть URL для взаимодействия с маршрутизатором по протоколу IGD.

Далее Vuze подключается к маршрутизатору по указанному URL и получает XML с информацией о данном устройстве, в том числе содержащую набор URI для управления некоторыми функциями маршрутизатора. После того, как нужный URI найден в rootDesc.xml, Vuze отправляет SOAP-запрос на содание NAT-трансляции по найденному URI.

Примечание: до того, как запросить создание трансляции, Vuze заставил маршрутизатор перечислить все имеющиеся Port Forwarding»и. Для чего это было сделано, я могу лишь догадываться.

SOAP-запрос на создание трансляции UDP-порта:

Как говорилось ранее, нужный URI (идет сразу после POST) Vuze взял из rootDesc.xml. Для добавления трансляции используется функция с названием AddPortMapping

.

Также можно отметить, что, в противоположность NAT-PMP, Inside Local-адрес указывается внутри самого протокола.

Аналогично NAT-PMP, при закрытии торрент-клиента маппинги проброшенных портов удаляются. Делается это функцией DeletePortMapping

:

Можно заметить, что для удаления правила достаточно указать только тип протокола (UDP) и номер внешнего порта, не указывая остальные параметры.

Заключение

В данной статье мы рассмотрели два достаточно простых способа по созданию на домашнем роутере правил Port Forwarding по команде от хоста из локальной сети. Остается лишь отметить, что если вы считаете работу данных протоколов угрозой безопасности вашей домашней сети, то их можно попытаться выключить (хотя, конечно, гораздо лучше доверить вопросы безопасности утилите, которая для этого предназначена — файрволу). В случае моего Zyxel Giga II, на котором, к слову, и проводились все тесты, это делается CLI-командой no service upnp (примечательно, что в веб-интерфейсе опция включения/отключения UPnP отсутствует).

Выводим видео с Windows 10 на телевизор: быстрый и простой способ

Видеоролик, фильм, практически любую видеозапись можно вывести с компьютера на телевизор в несколько кликов мышкой. Включите телевизор. Убедитесь, что он подключен к интернету (к вашему роутеру).

На компьютере открываем папку с видео, и правой кнопкой мыши нажимаем на файл, который хотим воспроизвести на телевизоре (Smart TV). Дальше наводим курсор на пункт «Передать на устройство». Там должен появится наш телевизор. Если там надпись «Поиск устройств…», то нужно немного подождать. Оставьте открытое меню, или попробуйте через пару секунд. Как вы можете видеть на скриншоте ниже, у меня Windows 10 нашла два телевизора: LG и Philips.

Выбираем телевизор. Сразу появится окно управления проигрывателем. В нем вы сможете управлять воспроизведением видео на телевизоре, добавлять другие файлы в список воспроизведения, будете видеть информацию по телевизору и т. д.

На телевизоре сразу начнется воспроизведение запущенного фильма.

Мы только что запустили просмотр видео с компьютера на телевизор по технологии DLNA. Как видите, все работает. И все это без проводов, по воздуху. Кончено, если у вас оба устройства подключены по Wi-Fi.

Как включить upnp на роутере, самостоятельно

Прежде всего – что такое UPNP? Это – служба Universal Plug and Play, позволяющая автоматически находить и настраивать любые устройства в локальной сети. Сначала – рассмотрим, как включить upnp на роутере, затем – на компьютере. Все популярные программы: uTorrent, ICQ, Skype – корректно работают с этой службой, в них нужно просто «включить» UPNP… Все остальные настройки (портов и IP-адресов для работы программ), система «берет на себя». То есть, настраивать ничего не придется, в каждой новой программе – включается UPNP, и роутер – выдает «адрес» и «порт». Впрочем, все – по порядку.
Что даст вашей локальной «сети» включение UPNP? Высокую скорость работы на торрентах, без необходимости настраивать роутер. Технологию UPNP «понимают» большинство современных программ. Отсутствует необходимость в проброске портов. Вручную же, настраивать сопоставление портов для каждой программы – сложно; а без него, не будет реакции на «внешнюю» сеть (важно для FTP-server, Skype, ICQ).

Чтобы включить службу UPNP, сначала – внесем изменения в настройки роутера.

Настраиваем роутер

Зайдите в web-интерфейс вашего роутера. Нужна вкладка с «дополнительными настройками». На примере dir-300: «Advanced Network» ->«Advanced».

Web интерфейс роутера


Установив одну галочку «Enable UPNP», сохраните настройки с перезагрузкой («Save Settings»).
На D-link 500T, нужно включить UPnP (вкладка «Advanced» – > «UPnP») и DHCP-1-34 (и, затем – жать «Apply»).

Web интерфейс роутера D-link 500T


Смысл, в общем, понятен: в большинстве роутеров, сервис включается одной галочкой («UPNP»), с сохранением данных и перезагрузкой. Другие примеры – будут рассмотрены дальше.

Изменяем настройки на компьютере

В «Панель управления», в меню «Сетевых подключений» – нужен пункт «Дополнительные компоненты»:

Сетевые подключения


В новом окне, смотрим «состав» «Сетевых служб»:

Компоненты Windows


Здесь – как раз и включается «интерфейс UPNP».

Пользовательский интерфейс UPNP


Жмем «ОК». Затем «Далее». Ждем какое-то время (до завершения установки):

Мастер настройки


После которой, среди «Сетевых подключений» – появится новое («Шлюз Интернета»):

Окно “сетевые подключения”


На этом, настройка – завершена. Аналогичные действия, выполняем на каждом компьютере.
Примечание: иногда, чтобы сервис начал работать, требуется перезагрузка ПК.

Настройка программ

В завершении, мы должны настроить «на сервис» и сами программы.

Например, пусть это будет u-Torrent:

Настройка программы u-Torrent


В меню «Настройки» – нажать «Настройки Программы». Выбрать «Соединение». И настройть – как на рисунке. После «ОК» -> «Применить», торрент будет работать c UPNP.
Убедиться в чем – можно, перейдя к «Свойствам» соединения в «Шлюзе»:

Контекстное меню


В «Свойствах», нужно нажать «Параметры»:

Параметры подключения – Свойство


В которых, мы видим, что правило для «u-Torrent» – появилось автоматически:

Дополнительные параметры


Примечание: если u-Torrent установлен на нескольких «станциях» сети, в каждом u-Torrent-е, вы задаете «свой» порт:

Настройка портов


К примеру, возможны значения: 64400, 64399, и т.д. Притом, ни в коем случае не нужно задействовать «Случайный порт».
Настройка клиента u-Torrent – завершена.

Приступим к настройке программы Skype:

Настройка клиента Skype


Вот как настроить UPNP в «Скайп» (включив одну галочку – «UPNP»). В результате, получим локальную сеть, которая работает так.

Схема подключения


Ваша программа, станет доступна из внешней сети по «внешнему» IP-адресу (в паре «внешний» IP: ее «порт»). Следить нужно только за тем, чтобы значения «порта» – не пересекались (в разных программах; на разных ПК). Пожалуй, это – единственное, что от пользователя требуется.
Дополнительно: включение в роутерах сервиса «UPNP»

В Zyxel keenetic (v1):

Web интерфейс Zyxel keenetic


Вкладка «Домашняя сеть» -> «UPNP», нужна галочка – «Разрешить». Нажав «Сохранить», вы сохраните настройки без перезагрузки (которая, вроде бы, не обязательна).

Или, в dir-620:

Web интерфейс dir-620


Здесь UPNP – на последней закладке «Сети» (ставим галочку, сохраняем, перезагружаем).

В Zyxel-е 330 W-EE:

Web интерфейс Zyxel-е 330 W-EE


Ставим галочку (вкладка «WAN»), и – сохраняем настройки («Save»).
Список моделей – можно дополнить (оставив свое сообщение в «комментариях»). Надеемся, вся информация – будет полезна нашим читателям. Предыдущая

AsusПодключение периферии к usb на wifi роутере

Следующая

РоутерКак защитить свой роутера от взлома?

UPnP – что это такое, опасность использования, как включить и отключить

Всем привет!  Сегодня мы поговорим про функцию UPnP (Universal Plug and Play) – что это такое, для чего нужна эта функция, и как она включается (или выключается) на роутере. Давайте рассмотрим конкретный пример – представим, что у нас есть домашняя сеть с роутером. В ней есть подключенные устройства – не важно какие, это могут быть телефоны, планшеты, телевизоры, принтеры или IP-камеры.

Все они подключены к маршрутизатору (роутеру), который также аналогично подключен к глобальной сети интернет. В итоге у нас есть:

  • Локальная сеть всех домашних устройств (LAN).
  • Интернет от провайдера или глобальная сеть всех устройств в мире (WAN).
  • И домашний Wi-Fi роутер, который связывает две эти сети.

Для того, чтобы в локальной сети все устройства работали нормально, обнаруживали друг друга и быстро подключались, и нужна технология UPnP. В противном случае всем этим телефонам, планшетам и телевизорам нужно было вручную прописывать настройка и открывать порты. Во время подключения таких устройств, на них постоянно открываются и закрываются порты – прям как на морском берегу для кораблей.

Например, вы решили посмотреть с телевизора фильм, находящийся на компьютере. Тогда нужна технология DLNA, которая позволяет передавать видео в потоковом режиме. При подключении к компьютеру, он в свою очередь открывает определенный порт. В общем, если бы не было у нас UPnP, то для каждого подключения к любому устройству дома вам нужно было бы прописывать вручную настройки, открывать или закрывать порты.

Про порты вы можете более детально почитать тут.

UPnP в глобальной сети

Мы рассмотрели понятие на примере домашней сети, но ведь не все используют прямое подключение в локальной сетке. Обычно к роутеру подключаются, чтобы выйти в интернет. И тут также включается функция UPnP, которая при запросе в интернет к определенному серверу также открывает определенные порты.

Например, всем известный uTorrent также использует эту технологию, и она должна по умолчанию быть включена на роутере. Когда мы включаем эту программу, она делает запрос в интернет и открывает порт для данного потока информации.

По сути UPnP открывает и закрывает порты для внешних запросов, для тех устройств, которые и делали эти запросы в интернет. Я думаю с понятием мы разобрались. Но бывают проблемы, когда данная функция выключена на роутере. Тогда некоторые программы, игры, утилиты не будут работать на компьютере или телефоне. Также могут быть проблемы с подключением игровых приставок тип Xbox или PlayStation.

Но существует и «обратная сторона монеты». Как вы понимаете, при запросе к серверу при подключении открываются порты на ваше устройство. Понятное дело, что данным подключением могут воспользоваться хакеры и взломщики. Для обычного пользователя шанс, конечно, не велик, но все же… В интернатах до сих пор идут «холивары» по поводу того, надо ли отключать UPnP или нет. Поэтому отключать функцию или включать – решать вам. Но как я и говорил ранее, при выключенном UPnP нужно будет для отдельных программ или устройств делать ручной проброс портов на роутере.

Далее я расскажу, как включить UPnP, отключить и настроить на вашем домашнем маршрутизаторе.

Вход в интерфейс роутера

Нам нужно попасть в Web-интерфейс аппарата – для этого с подключенного устройства к локальной сети нужно открыть браузер и вписать в адресную строку IP или DNS адрес роутера. Данный адрес находится на этикетке под роутером. Чаще всего используют 192.168.1.1. или 192.168.0.1. Если у вас будут какие-то проблемы со входом в маршрутизатор – смотрите инструкцию тут.

Далее инструкции будут немного отличаться в зависимости от модели роутера.

D-Link

Старая прошивка

«Дополнительно» – «UPnP IGD».

Новая прошивка

«Расширенные настройки» – «UPnP IGD» – включаем галочку.

TP-Link

Новая прошивка

«Дополнительные настройки» – «NAT переадресация» – далее выбираем нашу функцию и включаем её в дополнительном окне.

Старая прошивка

Переходим в раздел «Переадресация», находим UPnP и включаем.

ASUS

«Интернет» – «Подключение» – тут уже должен быть выбран один из типов подключения, найдите нужную строку и включите функцию.

ZyXEL Keenetic

Новая прошивка

«Общие настройки» – кликаем «Изменить набор компонентов» – далее нам нужно найти данную службу и убедиться, что она установлена. Также её можно удалить.

Старая прошивка

Netis

Включить функцию можно на вкладке «Переадресация».

LinkSys

«Administration» – «Management» – листаем в самый низ.

В нужно разделе переводим в состояние: «Enable» (Включено) или «Disable» (Выключено).

Tenda

Версия 1, 2, 3

Нужная функция находится в «Расширенных настройках».

Версия 4

Слева в меню выбираем «Advanced».

Листаем в самый низ и включаем функцию в режим «Enable».

что такое в роутере и как его включить на Вашем устройстве?

При настройке сети часто появляется вопрос по поводу функции UPnP — что такое в роутере, как работает, и какие риски несет для пользователя ее включение. Ниже рассмотрим назначение опции, как ее активировать, отключать и настраивать. Поговорим о преимуществах и недостатках, а также опасности для пользователя Сети.

Что такое UPnP

Для начала разберемся с терминологией — в чем суть UPnP в роутер, и что это такое. UPnP (Universal Plug and Play) — это расширение, с помощью которого программа на ПК может подать запрос к роутеру на упомянутом языке, а после перенаправить на себя порт. Архитектура построена на базе действующих технологий Интернет-сети и стандартов, среди которых XML, HTTP, TCP/IP и другие.

Простыми словами, UPnP — протокол, позволяющий программам и другим устройствам сети открывать или закрывать порты для подключения. К примеру, для коммутации МФО ко всему оборудованию в квартире придется вбивать настройки для каждого девайса отдельно.

Для чего он нужен

С помощью службы UPnP происходит автоматическое перенаправление портов. Такая опция используется в Скайпе, торрент-клиентах, XBOX Live и т. д.  После включения функции автоматически задает требуемый набор правил NAT и межсетевого экрана, что экономит время пользователя на настройку.

Для нормальной работы UPnP должна быть активна не только в роутере, но и в приложении, для которого осуществляется проброс портов. Правила для переадресации формируются в автоматическом режиме путем подачи запроса через механизм рассматриваемой службы. Установленные правила работают только в период сессии и исключительно для хоста, с которого идет запрос. После окончания сессии правило убирается.

Включение UPnP в роутере необходимо в следующих случаях:

  1. подключение игровых приставок для передачи онлайн-игр;
  2. организация видеонаблюдения на расстоянии;
  3. применением цифровых голосовых помощников;
  4. подключение умных замков;
  5. потоковая передача мультимедиа и т. д.

Зная особенности UPnP IGD, и что это в роутере, можно быстро активировать опцию и использовать ее возможности для соединения нескольких устройств без ввода настроек вручную.

Как пользоваться: включение, отключение, настройка

Применение UPnP подразумевает три этапа — активация нужной функции в роутере, ее включение на ПК (если требуется), а также настройка в приложении. Рассмотрим каждый подробнее.

Включение в роутере

Для начала рассмотрим, как включить UPnP на роутере, если служба не активирована по умолчанию или была выключена ранее.

Инструкция к действию (на примере TP-Link):

  • Войдите в любой веб-обозреватель и вбейте в адресной строке IP роутера. Информацию для входа можно найти на этикетке в нижней части устройств.
  • В поле идентификации введите логин и пароль. Если ранее пользователь не вносил изменения, достаточно два раза ввести admin.

  • Переместитесь в раздел Дополнительные настройки и найдите необходимые данные.
  • В блоке расширенных настроек найдите пункт Переадресация NAT и войдите в него для внесения правок в установки роутера.
  • В появившемся меню найдите название службы UPnP и кликните по ней.
  • Переместите ползунок в правую сторону и тем самым включите опцию на роутере.

В дальнейшем можно отключить функцию UPnP, сделав те же самые шаги. Разница только в том, что на завершающем этапе тумблер нужно будет перевести влево.

Для разных роутеров настройка может отличаться. В частности, в ZyXEL необходимо перейти в раздел Домашняя сеть, а далее найти отметку UPnP и установить галочку Разрешить, а после сохранить изменения.

Включение на ПК

После внесения настроек в роутере необходимо изменить конфигурацию и на компьютере. Ниже рассмотрим пример для ПК с установленной на нем ОС Виндовс 8. В остальных версиях принцип действия такой же, но с небольшими особенностями.

Для включения UPnP сделайте следующее:

  • Кликните правой кнопкой на Пуск, а в появившемся окне найдите ссылку Панель управления. Перейдите в этот раздел.
  • Направляйтесь в секцию Сеть и Интернет, где найдите необходимые настройки.

  • На странице Сеть и Интернет жмите левой кнопкой по ссылке Центр управления сетями…

  • Выберите строчку изменения дополнительных параметров общего доступа и жмите на ее.

  • В свойствах профиля включите сетевое обнаружение, а также автонастройку на сетевом оборудовании.

  • Сохраните изменения и перезапустите компьютер.

Теперь функция включена в роутере и на компьютере.

Настройка программ

Для пользования службой необходимо настроить на сервис используемые программы. Здесь все зависит от того, какое ПО вы планируете использовать. Рассмотрим несколько вариантов:

  • Торрент-клиент. Войдите в настройки ПО, выберите Соединение, а после этого Настроить. На следующем этапе жмите ОК и Применить, чтобы торрент работал только с UPnP.

Убедитесь в правильности ввода информации. Для этого войдите в Свойства соединения в Шлюзе, кликните на кнопку Параметры и убедитесь в появлении правила для uTorrent. Если торрент установлен на двух и более «станциях», для каждой программы задается свой порт. В дальнейшем ни в коем случае нельзя использовать случайное значение.

  • Скайп. Войдите в настройки Скайпа и перейдите в раздел соединения. Там уберите отметку с пункта Enable UPnP. В дальнейшем необходимо следить, чтобы параметры порта не пересекались.

По похожему принципу можно настроить и другие программы для работы с UPnP.

Плюсы и минусы использования

В любой технологии можно найти преимущества и недостатки. В том числе UPnP.

Плюсы:

  1. Высокая скорость обмена между P2P-клиентами. Этот показатель давно перешагнул за отметку в 100 Мбит/с.
  2. Легкость настройки. После включения UPnP на роутере, ПК и в других программах больше не нужно вручную настраивать порты. Эта работа происходит в автоматическом режиме, что экономит время.

Минусы:

  • Ошибки в программе. Режим UPnP работает много лет, поэтому разработчики постоянно занимаются его усовершенствованием. Главные проблемы удалось убрать в течение первых лет деятельности. Несмотря на это, риск ошибок программирования все еще остается. Этим могут воспользоваться злоумышленники для обхода защиты.
  • Подключение к общественной сети. При соединении с такой сетью человек должен быть внимательным, чтобы избежать потери конфиденциальной информации. Подключение к общественной сети — всегда риск.

Несмотря на ряд недостатков, технология считается одной из самых востребованных в роутере. Не удивительно, что многие пользователи часто включают ее на постоянной основе.

Безопасно ли использование UPnP

При появлении технологии планировалось, что UPnP будет функционировать на локальном уровне для подключения устройств внутри сети. Но некоторые производители включили опцию в роутерах по умолчанию, что делает устройство доступным из WAN, а это ведет к уязвимости в сфере безопасности. Во время работы UPnP не применяется авторизация или аутентификация. Считается, что все подключаемые устройства имеют высокую степень надежности.

Хакеры пользуются такой уязвимостью и могут найти слабые места в сети. Распространенная ситуация — отправка UPnP запроса на роутер с последующем открытием порта. После подключения к сети злоумышленник получает доступ к другому оборудованию, находящемуся в сети. В дальнейшем он может установить вирус, украсть конфиденциальные сведения или использовать маршрутизатор в роли прокси-сервера. Негативных сценариев много. При этом выявить хакера трудно, ведь, по сути, атаки идут изнутри сети.

Для защиты можно использовать следующие методы:

  1. Активируйте UPnP-UP на роутере, подразумевающий авторизацию и аутентификацию. Минус в том, что такой режим многие устройства не поддерживают.
  2. Отключите опцию вообще. В таком случае придется вносить настройки вручную, но при этом можно быть уверенным в безопасности.

UPnP для роутера — удобная функция, упрощающая процесс настройки портов. Но нужно помнить о рисках и предусмотреть дополнительные способы защиты.

Что такое UPnP

Изначальное предназначение технологии Plug and Play заключалось в автоматическом обнаружении новых устройств операционной системой Windows ранних версий. Plug and Play – была своеобразной меткой Microsoft, так часто упоминала о данной технологии реклама компании. Сегодня Plug and Play переживает свое второе рождение и имеет совсем иной характер.

Сегодня речь идет об автоматическом обнаружении любых интеллектуальных устройств подключенных к сетям, как правило, построенным на базе Wi-Fi роутеров. Новая технология получила название UPnP и продвигается некоммерческой ассоциацией под названием «Universal Plug and Play Forum». Что такое UPnP пока еще знают не все, и мы поставили себе целью рассказать об этой интересной концепции нашим читателям.

UPnP представляет собой универсальный высокоуровневый протокол обмена информацией между устройством и сетью, являющийся надстройкой над протоколами более низкого уровня, такими, например, как TCP/IP. Протокол существенно использует формат данных XML, поэтому является довольно универсальным и получившим широкое распространение в среде производителей коммуникационных устройств типа маршрутизаторов.

Предпосылки к возникновению

Одной из предпосылок к широкому распространению технологии upnp оказалась необходимость поддержки механизма трансляции сетевых адресов под именем NAT. NAT – это довольно простая штука. Что это такое, можно понять из следующего примера: если у вас есть домашняя сеть с десятью подключенными к ней устройствами, то при помощи NAT им всем можно задать один IP-адрес.

К сожалению, данная идея не очень хорошо согласуется с принципами работы роутеров и организация NAT требует настройки пользователем. Технология UPnP призвана решить эту и некоторые другие проблемы.

Организация даже простейшего FTP-сервера для доступа к файловым ресурсам сети извне потребует переназначения портов (т.н. портфорвардинга – что это такое, посмотрите в сети) на роутере. UPnP избавит вас от этой головной боли. Для подключения к сети сетевых игрушек и пиринговых клиентов не понадобится править настройки маршрутизатора – портфорвардинг будет производиться без ручного вмешательства. Разумеется, такие перспективы открываются только перед владельцами маршрутизаторов с поддержкой UPnP. Да и самой такой поддержки мало – нужно еще включить UPnP на вашем устройстве. О том, как это делается, мы расскажем ниже.

Настройка протокола

Чтобы включить поддержку UPnP на вашем маршрутизаторе, необходимо воспользоваться его веб-интерфейсом, доступным по стандартному для большинства таких устройств адресу: http://192.168.0.1. От вас потребуется ввести пароль и после того, как это будет сделано, вы получите возможность править любые настройки аппарата. Включить Universal Plug and Play на маршрутизаторе D-Link можно так, как показано на картинке:

Т.е. перейти в меню «Advanced Network» в панели слева и включить соответствующую галочку в панели справа. Такое простое действие позволить задействовать всю мощь рассматриваемой технологии. Чтобы убедиться в том, что все работает как требуется и активировать протокол на уровне ОС — отправляйтесь в окошко «Сетевое окружение» Windows и щелкните по ссылке «Показывать значки для сетевых UpnP-устройств» (она расположена на панели слева). Вам будет предложено открыть ряд портов встроенного файерволла – согласитесь с этим.

что такое в роутере и как его включить на Вашем устройстве?


ZyXEL — компания, разрабатывающая различное сетевое оборудование, среди которого числятся и маршрутизаторы. Модели ZyXEL Keenetic Lite, Keenetic 4G, II, а также версии Viva, Extra и Giga настраиваются при помощи специального ПО. В роутере, использующемся для организации локальной сети, есть такая функция как межсетевой экран, которая защищает все устройства сети от нежелательных подключений из Интернета. Но если на компьютере работают программы или игры, требующие объединения многих участников, то появляется необходимость приема запросов из глобальной сети. Для этого делают проброс портов на роутере ZyXEL Keenetic, что еще называют «перенаправлением».

UPnP в глобальной сети

Мы рассмотрели понятие на примере домашней сети, но ведь не все используют прямое подключение в локальной сетке. Обычно к роутеру подключаются, чтобы выйти в интернет. И тут также включается функция UPnP, которая при запросе в интернет к определенному серверу также открывает определенные порты.

Например, всем известный uTorrent также использует эту технологию, и она должна по умолчанию быть включена на роутере. Когда мы включаем эту программу, она делает запрос в интернет и открывает порт для данного потока информации.

По сути UPnP открывает и закрывает порты для внешних запросов, для тех устройств, которые и делали эти запросы в интернет. Я думаю с понятием мы разобрались. Но бывают проблемы, когда данная функция выключена на роутере. Тогда некоторые программы, игры, утилиты не будут работать на компьютере или телефоне. Также могут быть проблемы с подключением игровых приставок тип Xbox или PlayStation.

Но существует и «обратная сторона монеты». Как вы понимаете, при запросе к серверу при подключении открываются порты на ваше устройство. Понятное дело, что данным подключением могут воспользоваться хакеры и взломщики. Для обычного пользователя шанс, конечно, не велик, но все же… В интернатах до сих пор идут «холивары» по поводу того, надо ли отключать UPnP или нет. Поэтому отключать функцию или включать – решать вам. Но как я и говорил ранее, при выключенном UPnP нужно будет для отдельных программ или устройств делать ручной проброс портов на роутере.

Далее я расскажу, как включить UPnP, отключить и настроить на вашем домашнем маршрутизаторе.

Принцип работы UPnP

Принцип работы Universal Plug and Play – открытие и закрытие портов для подключения между собой разных программ и приложений, установленных на IT-устройствах. Чтобы не заниматься настройкой каждого девайса отдельно, UPnP автоматизировал этот процесс.

Разберемся в переадресации портов. Все умные устройства, в одном месте соединяются в единую локальную сеть. Все они работают через роутер, который подключен уже к глобальной сети Интернет. Таким образом, между домашней и глобальной сетью посредником выступает WiFi-роутер.

Universal Plug and Play необходим, чтобы все телефоны, компьютеры, телевизоры и прочие гаджеты работали нормально, открывали навстречу друг другу свои «порты», как автоматические двери без помощи рук.

UPnP располагает нулевой конфигурацией. То есть, каждый объект, находящийся в локальной сети через маршрутизатор не надо настраивать отдельно. С помощью умного сервиса Universal Plug and Play этот процесс связи автоматизирован, и все объекты в сети без дополнительных настроек вручную определяются в общей сети, находят и подключаются к другим компьютерным гаджетам.

Персональные компьютеры в своих базовых настройках уже имеют функцию Universal Plug and Play. Именно, за счет нее, при подключении любой флешки, ПК автоматически распознает и дает прочитать данное USB-устройство.

В Universal Plug and Play объединены несколько сетевых протоколов вместе. За счет этого разные интеллектуальные устройства подключаются друг к другу автоматически, что позволяет избежать установки драйверов для каждого девайса отдельно и отпадает необходимость исправлять конфигурации сетей.

Для автоматического распознавания всех устройств, необходимо активировать протокол UPnP на всех гаджетах сети, объединенных в систему.

Вход в интерфейс роутера

Нам нужно попасть в Web-интерфейс аппарата – для этого с подключенного устройства к локальной сети нужно открыть браузер и вписать в адресную строку IP или DNS адрес роутера. Данный адрес находится на этикетке под роутером. Чаще всего используют 192.168.1.1. или 192.168.0.1. Если у вас будут какие-то проблемы со входом в маршрутизатор – смотрите инструкцию тут.

Далее инструкции будут немного отличаться в зависимости от модели роутера.

Что такое переадресация портов?

Чтобы понять, что такое UPnP, нужно сначала разобраться, что такое переадресация портов. Она используется для установления прямого подключения между домашним устройством или сервером и удаленным устройством. Например, вы можете подключить ноутбук к видеокамере и следить за ним, пока находитесь вдали. Как это работает? Все ваши домашние устройства, включая маршрутизатор, вместе создают локальную сеть (LAN). Все, что находится за пределами локальной сети, например, серверы сайта или компьютер вашего друга, расположено в глобальной сети (WAN). Как правило, никто за пределами вашей локальной сети не может получить доступ к устройствам в вашей сети, если вы не позволите им воспользоваться переадресацией портов.

D-Link

Старая прошивка
«Дополнительно» – «UPnP IGD».

Новая прошивка

«Расширенные настройки» – «UPnP IGD» – включаем галочку.

TP-Link

Новая прошивка

«Дополнительные настройки» – «NAT переадресация» – далее выбираем нашу функцию и включаем её в дополнительном окне.

Старая прошивка

Переходим в раздел «Переадресация», находим UPnP и включаем.

Настройка программ

В завершении, мы должны настроить «на сервис» и сами программы.

Например, пусть это будет u-Torrent:

В меню «Настройки» – нажать «Настройки Программы». Выбрать «Соединение». И настройть – как на рисунке. После «ОК» -> «Применить», торрент будет работать c UPNP.

Убедиться в чем – можно, перейдя к «Свойствам» соединения в «Шлюзе»:

В «Свойствах», нужно нажать «Параметры»:

В которых, мы видим, что правило для «u-Torrent» – появилось автоматически:

Примечание: если u-Torrent установлен на нескольких «станциях» сети, в каждом u-Torrent-е, вы задаете «свой» порт:

К примеру, возможны значения: 64400, 64399, и т.д. Притом, ни в коем случае не нужно задействовать «Случайный порт».

Настройка клиента u-Torrent – завершена.

Приступим к настройке программы Skype:

Вот как настроить UPNP в «Скайп» (включив одну галочку – «UPNP»). В результате, получим локальную сеть, которая работает так.

Ваша программа, станет доступна из внешней сети по «внешнему» IP-адресу (в паре «внешний» IP: ее «порт»). Следить нужно только за тем, чтобы значения «порта» – не пересекались (в разных программах; на разных ПК). Пожалуй, это – единственное, что от пользователя требуется.

Дополнительно: включение в роутерах сервиса «UPNP»

В Zyxel keenetic (v1):

Вкладка «Домашняя сеть» -> «UPNP», нужна галочка – «Разрешить». Нажав «Сохранить», вы сохраните настройки без перезагрузки (которая, вроде бы, не обязательна).

Или, в dir-620:

Здесь UPNP – на последней закладке «Сети» (ставим галочку, сохраняем, перезагружаем).

В Zyxel-е 330 W-EE:

Ставим галочку (вкладка «WAN»), и – сохраняем настройки («Save»).

Список моделей – можно дополнить (оставив свое сообщение в «комментариях»). Надеемся, вся информация – будет полезна нашим читателям.

ZyXEL Keenetic

Новая прошивка

«Общие настройки» – кликаем «Изменить набор компонентов» – далее нам нужно найти данную службу и убедиться, что она установлена. Также её можно удалить.

Старая прошивка

  1. Находим раздел «Система» (значок шестеренки).
  1. Вверху нажимаем на вкладку «Обновление», и в списке убедитесь, чтобы была включена служба.

  1. Если вы хотите выключить её – то убираем галочку. Если вы хотите её включить – то ставим галочку. Также если в столбце «Состояние» есть надпись: «Доступно обновление», то даже если функция включена, то её стоит обновить.

  1. Чтобы изменения вступили в силу, пролистываем в самый низ списка и нажимаем на кнопку «Установить».

UPnP на компьютере

Активация сервиса на компьютере

Вторым этапом активации протокола UPnP является изменение конфигурации на ПК. Для всех операционных систем Windows алгоритм действий аналогичен.

Последовательность действий на ПК для включения протокола UPnP:

После проделанных манипуляций, необходимо сохранить изменения и перезагрузить компьютер.

Настройки программ на ПК для работы UPnP

Чтобы программы на компьютере также автоматически подключались к устройствам сети через UPnP, необходимо им правильно настроить. Рассмотрим алгоритм настройки для программ «Торрент» и «Скайп».

u-Torrent

  • Правой кнопкой мышки в меню выбрать «НАСТРОЙКИ»
  • Вкладка «ПРОГРАММЫ»
  • Слева выбрать «СОЕДИНЕНИЕ»
  • В правой части окна настроить порт следующим образом: Порт входящих соединений: «64400»
  • Кликнуть в окошки рядом с: «ПЕРЕАДРЕСАЦИЯ UPnP», «ПЕРЕАДРЕСАЦИЯ NAT-PMP» и «В ИСКЛЮЧЕНИЯ БРАНДМАУЭРА»
  • Тип протокола-сервера в всплывающем меню выбрать: «(НЕТ)».
  • Нажать внизу окна кнопки «ОК» и «ПРИМЕНИТЬ»
  • Программа «Торрент» будет связываться с устройствами в сети через UPnP автоматически.

    Проверить, что программа «Торрент» работает с UPnP, можно пройдя по вкладкам: «СВОЙСТВА» – «ШЛЮЗ ИНТЕРНЕТА» – «СОСТОЯНИЕ» – «СВОЙСТВА» – «ПАРАМЕТРЫ».

    Skype

    Скайп внедрил в свою программу собственный протокол UPnP. В последних версиях этого сервиса связи, открытый доступ объектов сети к программе Skype заложен в программу по умолчанию. В более ранних версиях, подключить UPnP можно поставив соответствующую галочку в контекстном меню «НАСТРОЙКИ».

    Настройки UPnP для прочих компьютерных программ схожи. Подробные инструкции представлены на официальных сайтах разработчиков соответствующих программ.

    LinkSys

    «Administration» – «Management» – листаем в самый низ.

    В нужно разделе переводим в состояние: «Enable» (Включено) или «Disable» (Выключено).

    В UPnP IGD, в чем разница между пинхолом брандмауэра и отображением портов?



    В UPnP IGD есть 2 службы «WANPPPConnection» (или WanIPConnection) и WANIPv6FirewallControl, которые имеют методы, которые выглядят похожими:

    • AddPinhole
    • Добавить (Любой)PortMapping

    Оба принимают сходные аргументы (remote/internal host/port, протокол, время аренды).

    Мне было интересно, в чем же разница между ними ? Управление FW, по-видимому, является исключительным для IPv6, в то время как PortMapping, по-видимому, допускает как v4, так и v6, так в чем же реальная разница ? Есть ли другое поведение ?

    router upnp
    Поделиться Источник Dennis     13 декабря 2016 в 03:56

    1 ответ


    • Преимущества uPNP/IGD перед носками?

      Мне любопытно, почему он более распространен. Есть ли у него лучший API? Я помню, как давным-давно, когда я впервые узнал о NAT (я использовал его для совместного использования модема dialup 14.4kbps), я думал, что когда-нибудь в каждом доме будет маршрутизатор с включенным NAT, но для того, чтобы…

    • Python UPnP/реализация клиента IGD?

      Я ищу реализацию с открытым исходным кодом клиента UPnP в Python и, более конкретно, его части устройства интернет-шлюза (IGD). На данный момент мне удалось найти только UPnP Media серверных реализаций в таких проектах, как PyMediaServer , PyMedS , BRisa или Coherence . Я уверен, что мог бы…



    2

    (Типичный) брандмауэр IPv4, встроенный в интернет-маршрутизатор, имеет один адрес IPv4 в интернете, на своем интерфейсе WAN. Устройства на LAN позади него обычно используют частные адреса диапазона. Это означает, что они недоступны из интернета. Если служба на устройстве должна быть доступна из интернета, маршрутизатор должен быть проинструктирован перенаправить входящий трафик с одного из своих портов на интерфейсе WAN на порт на устройстве LAN. Это называется «port forwarding,» с использованием функции NAPT (преобразование сетевых адресов и портов) маршрутизатора.

    На IPv6 маршрутизаторам предоставляется не один адрес на интерфейсе WAN, а целый префикс. Все устройства на LAN имеют общедоступные маршрутизируемые адреса. Нет необходимости в переводе адресов и портов на маршрутизаторе. Однако брандмауэр в маршрутизаторе может быть настроен так, чтобы блокировать все входящие соединения. В этом случае брандмауэр маршрутизатора должен быть проинструктирован пропускать трафик через определенные порты по определенным протоколам на определенные адреса LAN. Это называется «pinhole» в стандарте UPnP-IGD.

    Поделиться Wouter Cloetens     06 мая 2017 в 19:56


    Похожие вопросы:


    Эмуляция роутера UPnP

    Я хочу добавить в приложение опцию автоматической переадресации портов (Nat Traversal). Я знаю, что это можно сделать с помощью UPnP (в частности, той части, которая взаимодействует с устройством,…


    Обход Nat: UPnP / IGD vs NAT-PMP

    Я пишу приложение P2P и хотел бы избежать необходимости для пользователей вручную настраивать переадресацию портов. Я немного сбит с толку, так как, похоже, существуют два разных протокола для…


    В чем разница между UPnP AV и DLNA?

    Правильно ли я думаю, что если я соответствую DLNA 1.5, то я внедрил UPnP AV? Что дает мне DLNA, кроме указания минимальных требований к формату? Разве DLNA не построен поверх UPnP? Я точно знаю,…


    Преимущества uPNP/IGD перед носками?

    Мне любопытно, почему он более распространен. Есть ли у него лучший API? Я помню, как давным-давно, когда я впервые узнал о NAT (я использовал его для совместного использования модема dialup…


    Python UPnP/реализация клиента IGD?

    Я ищу реализацию с открытым исходным кодом клиента UPnP в Python и, более конкретно, его части устройства интернет-шлюза (IGD). На данный момент мне удалось найти только UPnP Media серверных…


    есть разница между DLNA и UPnP?

    Я знаю, что DLNA-это подмножество UPnP. Я прочитал этот пост: What’s разница между UPnP AV и DLNA? Но я все еще не могу ясно понять. Есть ли какие-либо функции внутри DLNA? как определить это…


    Автоматическая переадресация портов (UPnP ?) C++

    Оговорка : Я внимательно прочитал все подобные темы здесь и сделал поиск в google. Никто из них не ответил на мои вопросы, поэтому я хотел бы накопить информацию в этой теме. P.S. Я может быть не…


    в чем разница между видимостью и отображением в css?

    Я путаюсь с этими двумя терминами, которые используются в CSS. В чем разница между видимостью и отображением в CSS?


    В чем разница между отображением запроса spring и отображением url?

    Я наткнулся на этот вопрос после прочтения журнала моего приложения spring boot в режиме отладки. При запуске While spring RequestMappingHandlerMapping является Looking for request mappings in…


    ESP8266 UPnP переадресация портов — IoT

    Можно ли использовать протокол UPNP для автоматической переадресации портов на маршрутизаторе с помощью ESP8266? Мне нужно иметь доступ к моему модулю ESP8266, даже когда я нахожусь вдали от дома. В…

    rfc6970

     Инженерная группа Интернета (IETF) М. Букадар
    Запрос комментариев: 6970 France Telecom
    Категория: Стандарты Track R. Penno
    ISSN: 2070-1721 D. Wing
                                                                       Cisco
                                                                   Июль 2013
    
    
                         Универсальный Plug and Play (UPnP)
     Устройство интернет-шлюза - функция взаимодействия протокола управления портами
                                 (IGD-PCP IWF)
    
    Абстрактный
    
       В этом документе описывается поведение универсального Plug and Play.
       (UPnP) Устройство Интернет-шлюза - Взаимодействие протоколов управления портами
       Функция (IGD-PCP IWF).UPnP IGD-PCP IWF должен быть
       встроены в маршрутизаторы в помещениях клиента (CP) для обеспечения прозрачности
       Управление NAT в средах, где UPnP IGD используется на стороне LAN
       и PCP используется на внешней стороне маршрутизатора CP.
    
    Статус этой памятки
    
       Это документ Internet Standards Track.
    
       Этот документ является продуктом Инженерной группы Интернета.
       (IETF). Он представляет собой консенсус сообщества IETF. Оно имеет
       получил публичное рецензирование и был одобрен к публикации
       Инженерная группа управления Интернетом (IESG).Дополнительная информация о
       Интернет-стандарты доступны в разделе 2 RFC 5741.
    
       Информация о текущем статусе этого документа, исправлениях,
       а о том, как оставить отзыв, можно узнать по адресу
       http://www.rfc-editor.org/info/rfc6970.
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 1] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
    Уведомление об авторских правах
    
       Авторские права (c) IETF Trust 2013 г. и лица, указанные в качестве
       авторы документа.Все права защищены.
    
       Этот документ подпадает под действие BCP 78 и Правового регулирования IETF Trust.
       Положения, касающиеся документов IETF
       (http://trustee.ietf.org/license-info) действует на дату
       публикация этого документа. Пожалуйста, просмотрите эти документы
       внимательно, поскольку они уважительно описывают ваши права и ограничения
       к этому документу. Компоненты кода, извлеченные из этого документа, должны
       включить упрощенный текст лицензии BSD, как описано в Разделе 4.e
       Правовые положения Trust и предоставляются без гарантии, как
       описано в упрощенной лицензии BSD.Оглавление
    
       1. Введение ............................................... ..... 3
          1.1. Требования Язык ...................................... 3
       2. Сокращения ............................................... ......... 4
       3. Модель архитектуры .............................................. 4
       4. UPnP IGD-PCP IWF: Обзор ...................................... 6
          4.1. UPnP IGD-PCP: переменные состояния .............................. 6
          4.2. IGD-PCP: Методы ........................................... 7
          4.3. UPnP IGD-PCP: ошибки ....................................... 8
       5. Технические характеристики IGD-PCP IWF ................................ 9
          5.1. Обнаружение сервера PCP ....................................... 9
          5.2. Управление межсетевым экраном ................................... 10
          5.3. Таблица сопоставления портов ........................................ 10
          5.4. Функция взаимодействия без NAT в IGD .............. 10
          5.5. NAT встроен в IGD................................... 11
          5.6. Создание сопоставления ........................................ 12
               5.6.1. AddAnyPortMapping () ................................ 12
               5.6.2. AddPortMapping () ................................... 13
          5.7. Листинг один или набор сопоставлений .......................... 16
          5.8. Удалить одно или набор сопоставлений: DeletePortMapping () или
               DeletePortMappingRange () .................................. 16
          5.9. Обновление сопоставления ........................................ 19
          5.10. Быстрое восстановление ........................................... 20
       6. Соображения безопасности ........................................ 21
       7. Благодарности ............................................... .21
       8. Ссылки ............................................... ...... 22
          8.1. Нормативные ссылки ...................................... 22
          8.2. Информационные ссылки .................................... 22
    
    
    
    
    
    
    
    Boucadair, et al.Стандарты Track [Страница 2] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
    1. Введение
    
       Спецификация протокола управления портами (PCP) [RFC6887] обсуждает
       реализация функций управления NAT, которые зависят от Carrier Grade
       Устройства NAT, такие как семейство адресов Dual-Stack Lite (DS-Lite)
       Маршрутизатор перехода (AFTR) [RFC6333] или NAT64 [RFC6146]. В
       среды, в которых универсальный шлюз для подключения к Интернету
       (UPnP IGD) используется в локальной сети, функция взаимодействия
       между UPnP IGD и PCP должен быть встроен в IGD
       (см. пример, показанный на рисунке 1).UPnP IGD-PCP
       Взаимодействие управления UPnP
          Точечная функция PCP-сервер
            | IGD |
            | | |
            | (1) AddPortMapping () | |
            | -----------------------> | |
            | | (2) Запрос PCP MAP |
            | | --------------------------> |
            | | |
    
                              Рисунок 1: Пример потока
    
       В этом документе рассматриваются две конфигурации:
    
       o В IGD не встроена функция NAT (раздел 5.4). Это
          требуется, например, при развертывании DS-Lite или NAT64.
    
       o IGD включает функцию NAT (раздел 5.5).
    
       Функция взаимодействия UPnP IGD-PCP (UPnP IGD-PCP IWF) поддерживает
       локальная таблица сопоставления, в которой хранятся все активные сопоставления, созданные
       внутренние контрольные точки IGD. Этот выбор дизайна ограничивает количество
       сообщений PCP для обмена с сервером PCP.
    
       Триггеры для деактивации UPnP IGD-PCP IWF из IGD и
       использование режима только PCP выходит за рамки этого документа.Соображения, связанные с сосуществованием UPnP IGD-PCP
       Функция взаимодействия и прокси-сервер PCP [PCP-PROXY] выходят за рамки.
    
    1.1. Требования Язык
    
       Ключевые слова «ДОЛЖНЫ», «НЕ ДОЛЖНЫ», «ОБЯЗАТЕЛЬНО», «ДОЛЖНЫ», «НЕ ДОЛЖНЫ»,
       «ДОЛЖЕН», «НЕ ДОЛЖЕН», «РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и «ДОПОЛНИТЕЛЬНО» в этом
       документ следует интерпретировать, как описано в RFC 2119 [RFC2119].
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 3] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
    2.Аббревиатуры
    
       В этом документе используются следующие сокращения:
    
          DS-Lite - двойной стек Lite
          IGD - Интернет-шлюз
          IGD: 1 - номенклатура форума UPnP для версии 1 IGD [IGD1]
          IGD: 2 - номенклатура форума UPnP для версии 2 IGD [IGD2]
          IWF - функция взаимодействия
          NAT - преобразование сетевых адресов
          PCP - протокол управления портами
          UPnP - универсальный Plug and Play
    
    3. Модель архитектуры
    
       Напоминаем, что на рисунке 2 показана модель архитектуры в том виде, в каком она была принята.
       на форуме UPnP [IGD2].На рисунке 2 следующий UPnP
       используется терминология:
    
       o «Клиент» относится к хосту, расположенному в локальной сети.
    
       o «IGD Control Point» - это устройство, использующее UPnP для управления IGD.
          (Интернет-шлюз).
    
       o IGD - маршрутизатор, поддерживающий UPnP IGD. Обычно это NAT или
          брандмауэр.
    
       o «Хост» - это удаленный узел, доступный в Интернете.
    
                    + ------------- +
                    | IGD Control |
                    | Точка | ----- +
                    + ------------- + | + ----- + + ------ +
                                        + --- | | | |
                                            | IGD | ------- | Хост |
                                        + --- | | | |
                    + ------------- + | + ----- + + ------ +
                    | Клиент | ----- +
                    + ------------- +
    
                             Рисунок 2: Модель UPnP IGD
    
       Эта модель недействительна, когда PCP используется для контроля, например,
       NAT операторского класса (он же Provider NAT), в то время как внутренние узлы продолжают
       используйте UPnP IGD.В таких сценариях на Рисунке 3 показана обновленная модель.
    
    
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 4] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
       + ------------- +
       | IGD Control |
       | Точка | ---- +
       + ------------- + | + ----- + + -------- + + ------ +
                          + --- | IGD- | | Провайдер | | Удаленный |
                              | PCP | ------ | NAT | - <Интернет> --- | Хост |
                          + --- | IWF | | | | |
       + ------------- + | + ----- + + -------- + + ------ +
       | Локальный хост | ---- +
       + ------------- +
                            Сторона LAN Внешняя сторона
       <====== UPnP IGD ==============> <===== PCP =====>
    
                     Рисунок 3: Модель взаимодействия UPnP IGD-PCP
    
       В обновленной модели, изображенной на рисунке 3, один или два уровня NAT
       можно встретить в пути к данным.Ведь помимо
       NAT операторского класса, IGD может включать функцию NAT (рисунок 4).
    
       + ------------- +
       | IGD Control |
       | Точка | ---- +
       + ------------- + | + ----- + + -------- + + ------ +
                          + --- | IGD- | | Провайдер | | Удаленный |
                              | PCP | ------ | NAT | - <Интернет> --- | Хост |
                          + --- | IWF | | | | |
       + ------------- + | + ----- + + -------- + + ------ +
       | Локальный хост | ---- + NAT1 NAT2
       + ------------- +
    
                          Рисунок 4: Сценарий каскадного NAT
    
       Чтобы обеспечить успешное взаимодействие между UPnP IGD и PCP,
       функция взаимодействия встроена в IGD.В модели определено
       на рисунке 3 все серверные функции UPnP IGD, клиент PCP
       [RFC6887] и функция взаимодействия UPnP IGD-PCP встроены в
       IGD. В остальной части документа «IGD-PCP IWF» относится к
       Функция взаимодействия UPnP IGD-PCP, которая включает клиент PCP
       функциональность.
    
       Без участия IGD-PCP IWF точка управления IGD
       получит внешний IP-адрес и номер порта, у которых есть
       ограниченный объем и не может использоваться для связи с хостами
       расположен за NAT2 (т.е.е., присвоенные IGD, а не те
       назначается NAT2, как показано на рисунке 4).
    
       UPnP IGD-PCP IWF отвечает за создание правильно сформированного PCP
       сообщение из полученного сообщения UPnP IGD, и наоборот.
    
    
    
    Boucadair, et al. Стандарты Track [Страница 5] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
    4. UPnP IGD-PCP IWF: обзор
    
       Предоставлены три таблицы для определения соответствия между
       UPnP IGD и PCP:
    
       (1) Раздел 4.1 обеспечивает отображение между состояниями WANIPConnection
            переменные и параметры PCP;
    
       (2) Раздел 4.2 посвящен соответствию поддерживаемых
            методы;
    
       (3) В разделе 4.3 перечислены сообщения об ошибках PCP и соответствующие им сообщения.
            Сообщения об ошибках IGD.
    
       Обратите внимание, что некоторые улучшения были интегрированы в WANIPConnection,
       как описано в [IGD2].
    
    4.1. UPnP IGD-PCP: переменные состояния
    
       Ниже перечислены только переменные состояния UPnP IGD, применимые к
       IGD-PCP IWF:
    
       ExternalIPAddress: Внешний IP-адрес
          Переменная только для чтения со значением из последнего ответа PCP, или
          пустая строка, если ничего еще не получено.Это состояние хранится
          на основе IGD-Control-Point.
    
       PortMappingNumberOfEntries: управляется локально UPnP IGD-PCP IWF.
    
       PortMappingEnabled:
          PCP не поддерживает отключение динамического преобразования NAT, поскольку
          первоначальная цель PCP - облегчить прохождение Carrier Grade
          NAT. Поддержка такой функции для каждого абонента может перегрузить
          NAT операторского класса.
          Допускается только «1»: т.е. функция взаимодействия UPnP IGD-PCP
          ДОЛЖЕН отправить обратно ошибку, если указано значение, отличное от 1.PortMappingLeaseDuration: запрошенное время жизни сопоставления
          В IGD: 1 [IGD1] значение 0 означает бесконечность; в IGD: 2 это
          переназначен на максимальное значение IGD 604800 секунд [IGD2]. PCP позволяет
          для максимального значения 4294967296 секунд.
          Функция взаимодействия UPnP IGD-PCP имитирует длинные и ровные
          бесконечное время жизни с использованием обновлений (см. раздел 5.9). Поведение
          UPnP IGD-PCP IWF в случае неудачного обновления
          в настоящее время не определено (см. Раздел 5.9).
    
    
    
    
    
    
    Boucadair, et al.Стандарты Track [Страница 6] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
          IGD: 1 не определяет поведение в случае потери состояния; IGD: 2
          не требует, чтобы это состояние сохранялось в стабильном хранилище, т.е.
          позволить состоянию пережить сбросы / перезагрузки. UPnP IGD-PCP
          Функция взаимодействия ДОЛЖНА поддерживать поведение IGD: 2.
    
       RemoteHost: IP-адрес удаленного узла
          Обратите внимание, что IGD: 2 допускает доменное имя, которое должно быть разрешено в
          IP-адрес.Сопоставляется с полем IP-адреса удаленного узла
          ФИЛЬТР опция.
    
       ExternalPort: номер внешнего порта
          Сопоставляется с полем «Предлагаемый внешний порт» в сообщениях MAP.
    
       InternalPort: номер внутреннего порта
          Сопоставляется с полем «Внутренний порт» в сообщениях MAP.
    
       PortMappingProtocol: Протокол
          Сопоставляется с полем протокола в сообщениях MAP. Обратите внимание, что UPnP
          IGD поддерживает только TCP и UDP.
    
       InternalClient: внутренний IP-адрес
          Обратите внимание, что IGD: 2 допускает доменное имя, которое должно быть разрешено в
          IP-адрес.Сопоставляется с полем внутреннего IP-адреса
          THIRD_PARTY вариант.
    
       PortMappingDescription: не поддерживается в базовом PCP.
          Если локальный клиент PCP поддерживает опцию PCP для передачи
          описание (например, [PCP-DESCR-OPT]), эту опцию СЛЕДУЕТ использовать для
          передать описание отображения.
    
       SystemUpdateID (только IGD: 2): управляется локально UPnP IGD-PCP
          IWF.
    
       A_ARG_TYPE_PortListing (только IGD: 2): управляется локально UPnP
          IGD-PCP IWF.
    
    4.2. IGD-PCP: Методы
    
       IGD: 1 и IGD: 2 методы, применимые к взаимодействию UPnP IGD-PCP
       Обе функции перечислены здесь.GetGenericPortMappingEntry (): этот запрос не передается на PCP.
          сервер.
    
          Функция взаимодействия IGD-PCP поддерживает список активных
          сопоставления, созданные на сервере PCP внутренними хостами. Видеть
          Раздел 5.7 для получения дополнительной информации.
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 7] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
       GetSpecificPortMappingEntry (): MAP с опцией PREFER_FAILURE.Этот запрос передается на сервер PCP путем выдачи MAP-запроса.
          с опцией PREFER_FAILURE. РЕКОМЕНДУЕТСЯ использовать короткие
          время жизни (например, 60 секунд).
    
       AddPortMapping (): КАРТА
          См. Раздел 5.6.2.
    
       AddAnyPortMapping () (только IGD: 2): MAP
          См. Раздел 5.6.1.
    
       DeletePortMapping (): MAP с параметром Requested Lifetime, равным 0.
          См. Раздел 5.8.
    
       DeletePortMappingRange () (только IGD: 2): MAP с запрошенным временем жизни
          установлен на 0.
          Индивидуальные запросы выдаются IGD-PCP IWF.Видеть
          Раздел 5.8 для более подробной информации.
    
       GetExternalIPAddress (): КАРТА
          Это можно узнать из любого активного сопоставления. Если нет
          активные сопоставления, IGD-PCP IWF МОЖЕТ запросить кратковременное сопоставление
          (например, в службу Discard (TCP / 9 или UDP / 9) или какой-либо другой
          порт). Однако по истечении срока действия этого сопоставления последующее неявное
          или явное динамическое сопоставление может быть сопоставлено с другим
          внешний IP-адрес. См. Раздел 11.6 [RFC6887] для получения дополнительной информации.
          обсуждение.GetListOfPortMappings (): дополнительную информацию см. В Разделе 5.7.
          Функция взаимодействия IGD-PCP поддерживает список активных
          сопоставления, созданные на сервере PCP. Взаимодействие IGD-PCP
          Функция обрабатывает этот запрос локально.
    
    4.3. UPnP IGD-PCP: ошибки
    
       В этом разделе перечислены коды ошибок PCP и соответствующие UPnP IGD.
       коды. Коды ошибок, характерные для IGD: 2, помечены соответствующим образом.
    
       1 UNSUPP_VERSION: 501 «ActionFailed»
    
       2 NOT_AUTHORIZED: IGD: 1 718 «ConflictInMappingEntry» / IGD: 2 606
          «Действие не разрешено»
    
       3 MALFORMED_REQUEST: 501 «ActionFailed»
    
    
    
    
    
    
    Boucadair, et al.Стандарты Track [Страница 8] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
       4 UNSUPP_OPCODE: 501 «ActionFailed»
          [RFC6887] позволяет настроить сервер PCP для отключения
          поддержка кода операции MAP, но IGD-PCP IWF не может работать в
          эта ситуация.
    
       5 UNSUPP_OPTION: 501 «ActionFailed»
          Этот код ошибки может быть получен, если PREFER_FAILURE не поддерживается.
          на сервере PCP. Обратите внимание, что PREFER_FAILURE не является обязательным для
          поддержка, но AddPortMapping () не может быть реализована без нее.6 MALFORMED_OPTION: 501 «ActionFailed»
    
       7 NETWORK_FAILURE: 501 «ActionFailed»
    
       8 NO_RESOURCES: IGD: 1 501 «ActionFailed» / IGD: 2 728
          "NoPortMapsAvailable"
          Не отличить от USER_EX_QUOTA.
    
       9 UNSUPP_PROTOCOL: 501 «ActionFailed»
    
       10 USER_EX_QUOTA: IGD: 1 501 «ActionFailed» / IGD: 2 728
          "NoPortMapsAvailable"
          Не отличить от NO_RESOURCES.
    
       11 CANNOT_PROVIDE_EXTERNAL: 718 «ConflictInMappingEntry» (см.
          Раздел 5.6.2) или 714 «NoSuchEntryInArray» (см. Раздел 5.8).
    
       12 ADDRESS_MISMATCH: 501 «ActionFailed»
    
       13 EXCESSIVE_REMOTE_PEERS: 501 «ActionFailed»
    
    5. Спецификация IGD-PCP IWF
    
       В этом разделе рассматриваются сценарии с NAT или без NAT в IGD.
    
       В данной спецификации предполагается, что сервер PCP настроен на
       принять код операции MAP.
    
       IGD-PCP IWF обрабатывает "Mapping Nonce" так же, как и любой PCP.
       клиент [RFC6887].
    
    5.1. Обнаружение сервера PCP
    
       IGD-PCP IWF реализует один из методов обнаружения, указанных в
       [RFC6887] (напр.g., DHCP [PCP-DHCP-OPT]). Взаимодействие IGD-PCP
       Функция ведет себя как клиент PCP при обмене данными с подготовленным
       Сервер (ы) PCP.
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 9] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
       Если IGD не назначен адрес IPv4 / префикс IPv6 или IGD
       невозможно определить, должен ли он связываться с вышестоящим сервером PCP,
       НЕ ДОЛЖНА активироваться функция взаимодействия IGD-PCP.Если IGD определяет, что он должен установить связь с
       вышестоящий сервер PCP (например, из-за конфигурации DHCP или наличия
       ранее был связан с сервером PCP), "501 ActionFailed"
       сообщение об ошибке возвращается запрашивающей точке управления IGD, если
       IGD-PCP IWF не может установить связь с этим сервером PCP.
       Обратите внимание, что IGD-PCP IWF переходит к проверке сообщения PCP и
       повторная передача выполняется так же, как и для любого клиента PCP [RFC6887].
    
    5.2. Контроль межсетевого экрана
    
       Чтобы настроить политики безопасности, которые будут применяться к входящим и
       исходящий трафик, UPnP IGD может использоваться для управления локальным межсетевым экраном
       двигатель.Поэтому для этой цели не требуется IGD-PCP IWF.
    
       Использование IGD-PCP IWF для управления восходящим PCP-управляемым
       брандмауэр выходит за рамки этого документа.
    
    5.3. Таблица сопоставления портов
    
       IGD-PCP IWF ДОЛЖЕН хранить локально все сопоставления, созданные
       внутренние контрольные точки IGD на сервере PCP. Все сопоставления ДОЛЖНЫ
       храниться в постоянном хранилище.
    
       После получения ответа PCP MAP от сервера PCP IGD-PCP
       Функция взаимодействия ДОЛЖНА извлекать вложенное отображение и ДОЛЖНА
       сохраните его в локальной таблице сопоставления.Таблица локального сопоставления - это
       образ таблицы сопоставления, поддерживаемый сервером PCP для
       данный подписчик.
    
       Каждая запись сопоставления, хранящаяся в локальной таблице сопоставления, связана
       со временем жизни, как описано в [RFC6887]. Дополнительные соображения
       специфические для функции взаимодействия IGD-PCP, обсуждаются в
       Раздел 5.9.
    
    5.4. Функция взаимодействия без NAT в IGD
    
       Если в IGD не встроен NAT, содержимое полученного
       Сообщения WANIPConnection и PCP не изменяются IGD-PCP.
       Функция взаимодействия (т.е., содержимое сообщений WANIPConnection
       отображаются в сообщения PCP (и отображаются обратно) в соответствии с
       Раздел 4.1).
    
    
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 10] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
    5.5. NAT встроен в IGD
    
       Когда NAT встроен в IGD, IGD-PCP IWF обновляет содержимое
       отображения сообщений, полученных от точки управления IGD. Эти
       сообщения будут содержать IP-адрес и / или номер порта, принадлежащие
       внутренний хост.IGD-PCP IWF ДОЛЖЕН обновлять такие сообщения с помощью
       IP-адрес и / или номер порта, принадлежащий внешнему интерфейсу
       IGD (т.е. после операции NAT1, как показано на рисунке 4).
    
       IGD-PCP IWF перехватывает все сообщения WANIPConnection, отправленные
       Контрольная точка IGD. Для каждого такого сообщения IGD-PCP IWF затем
       генерирует один или несколько соответствующих запросов (см. разделы 4.1, 4.2,
       и 4.3) и отправляет их на подготовленный сервер PCP.
    
       Каждый запрос, отправленный IGD-PCP IWF на сервер PCP, ДОЛЖЕН отражать
       информация о сопоставлении, как предписано в первом NAT.Особенно,
       внутренний IP-адрес и / или номер порта запросов
       заменяется IP-адресом и / или номером порта, назначенным
       NAT ИГД. Для обратного пути IGD-PCP IWF перехватывает PCP
       ответные сообщения и генерирует ответные сообщения WANIPConnection.
       Содержимое сгенерированных ответных сообщений WANIPConnection:
       установить следующим образом:
    
       o Внутренний IP-адрес и / или номер порта, изначально заданные
          Контрольная точка IGD и хранящаяся в IGD NAT используются для обновления
          соответствующие поля в полученных ответах PCP.o Внешний IP-адрес и номер порта не изменяются
          Функция взаимодействия IGD-PCP.
    
       o Запись сопоставления NAT в IGD обновляется в результате
          каждый запрос PCP.
    
       Время жизни отображений, созданных в IGD, ДОЛЖНО быть
       один, назначенный оконечным сервером PCP. В любом случае
       время жизни НЕ ДОЛЖНО быть меньше, чем время, назначенное завершающим
       PCP-сервер.
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 11] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
    5.6. Создание сопоставления
    
       Для создания сопоставления можно использовать два метода: AddAnyPortMapping () и
       AddPortMapping ().
    
    5.6.1. AddAnyPortMapping ()
    
       Когда точка управления IGD выдает вызов AddAnyPortMapping (), это
       запрос получен IGD. Затем запрос передается на
       IGD-PCP IWF, который генерирует запрос PCP MAP (см. Раздел 4.1 для
       отображение между параметрами WANIPConnection и PCP).
    
       Если IGD-PCP IWF не может отправить запрос MAP на свой сервер PCP,
       он следует поведению, определенному в разделе 5.1.
    
       После получения ответа PCP MAP от сервера PCP
       соответствующий метод UPnP IGD возвращается запрашивающему IGD
       Контрольная точка (содержание сообщений соответствует
       рекомендации, перечисленные в Разделе 5.5 или Разделе 5.4, в соответствии с
       развернутый сценарий). Пример потока показан на рисунке 5.
    
       Если от сервера PCP получена ошибка PCP, соответствующий
       Код ошибки WANIPConnection (см. Раздел 4.3) генерируется
       IGD-PCP IWF и отправляется запрашивающей точке управления IGD.Если
       возвращается ошибка короткого времени жизни (например, NETWORK_FAILURE,
       NO_RESOURCES), PCP IWF МОЖЕТ повторно отправить тот же запрос PCP.
       сервер через 30 секунд. Если получен отрицательный ответ, ошибка
       затем передается в запрашивающую точку управления IGD.
    
          Обсуждение: Некоторые приложения (например, uTorrent, Vuze, eMule) ждут
          90 секунд или более для ответа после отправки запроса UPnP.
          Если возникает ошибка короткого срока службы, повторная отправка запроса может привести к
          на положительный ответ сервера PCP.Контрольные точки IGD
          поэтому не осведомлены о временных ошибках.
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 12] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
                                   UPnP-PCP
       Взаимодействие управления UPnP
          Точечная функция PCP-сервер
            | | |
            | (1) AddAnyPortMapping () | |
            | ExternalPort = 8080 | |
            | ------------------------> | |
            | | (2) Запрос PCP MAP |
            | | Предлагаемый внешний порт = 8080 |
            | | ----------------------------> |
            | | |
            | | (3) Ответ PCP MAP |
            | | Назначенный внешний порт = 6598 |
            | | <---------------------------- |
            | (4) AddAnyPortMapping () | |
            | ReservedPort = 6598 | |
            | <------------------------ | |
    
                    Рисунок 5: Пример потока: AddAnyPortMapping ()
    
    5.6.2. AddPortMapping ()
    
       Специальная опция под названием «PREFER_FAILURE» определена в [RFC6887] для
       переключить поведение в сообщении запроса PCP. Этот вариант
       вставляется IGD-PCP IWF при отправке запросов к PCP
       сервер, только если конкретный внешний порт запрашивается IGD
       Контрольная точка.
    
       После получения AddPortMapping () от точки управления IGD
       IGD-PCP IWF ДОЛЖЕН генерировать запрос PCP MAP со всеми запрошенными
       информация о сопоставлении, указанная точкой управления IGD, если нет NAT
       встроен в IGD или обновлен, как указано в Разделе 5.5. В
       кроме того, IGD-PCP IWF ДОЛЖЕН вставить параметр PREFER_FAILURE в
       сгенерированный запрос PCP.
    
       Если IGD-PCP IWF не может отправить запрос MAP на свой сервер PCP,
       он следует поведению, определенному в разделе 5.1.
    
       Если запрошенный внешний порт недоступен, сервер PCP будет
       отправить ответ об ошибке CANNOT_PROVIDE_EXTERNAL:
    
       1. Если возвращается ошибка короткого срока службы, IGD-PCP IWF МОЖЕТ повторно отправить
           тот же запрос к серверу PCP через 30 секунд без
           передача ошибки в контрольную точку IGD.IGD-PCP IWF МОЖЕТ
           повторяйте этот процесс, пока не получите положительный ответ или
           достигнут максимальный предел повторных попыток. Когда максимальный предел повторных попыток
           достигнута, IGD-PCP IWF передает отрицательное сообщение IGD
           Контрольная точка с кодом ошибки ConflictInMappingEntry.
    
    
    
    Boucadair, et al. Стандарты Track [Страница 13] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
           Максимальный предел повторных попыток зависит от реализации; по умолчанию
           значение равно 2.2. Если возвращается ошибка длительного срока службы, IGD-PCP IWF передает
           отрицательное сообщение в контрольную точку IGD с
           ConflictInMappingEntry в качестве кода ошибки.
    
       Контрольная точка IGD может отправить новый запрос с другим
       запрошенный номер внешнего порта. Этот процесс обычно повторяется
       контрольной точкой IGD до тех пор, пока не будет получен положительный ответ или
       достигнут максимальный предел повторных попыток.
    
       Если сервер PCP может создать или обновить сопоставление с
       запрошенный внешний порт, он отправляет положительный ответ IGD-PCP
       IWF.После получения ответа от сервера PCP IGD-PCP
       IWF сохраняет возвращенное сопоставление в своей локальной таблице сопоставления и отправляет
       соответствующий положительный ответ на запрос IGD Control
       Точка. Этот ответ прекращает обмен.
    
       На рисунке 6 показан пример обмена потоком, который происходит, когда
       Сервер PCP удовлетворяет запрос от IGD-PCP IWF. Рисунок 7
       показывает обмен сообщениями, когда запрошенный внешний порт не
       имеется в наличии.
    
                                  UPnP-PCP
       Взаимодействие управления UPnP
          Точечная функция PCP-сервер
            | | |
            | (1) AddPortMapping () | |
            | ExternalPort = 8080 | |
            | -----------------------> | |
            | | (2) Запрос PCP MAP |
            | | Предлагаемый внешний порт = 8080 |
            | | PREFER_FAILURE |
            | | ----------------------------> |
            | | |
            | | (3) Ответ PCP MAP |
            | | Назначенный внешний порт = 8080 |
            | | <---------------------------- |
            | (4) AddPortMapping () | |
            | ExternalPort = 8080 | |
            | <----------------------- | |
    
                     Рисунок 6: Пример потока (положительный ответ)
    
    
    
    
    
    
    
    Boucadair, et al.Стандарты Track [Страница 14] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
                                  UPnP-PCP
       Взаимодействие управления UPnP
          Точечная функция PCP-сервер
            | | |
            | (1) AddPortMapping () | |
            | ExternalPort = 8080 | |
            | -----------------------> | |
            | | (2) Запрос PCP MAP |
            | | Предлагаемый внешний порт = 8080 |
            | | PREFER_FAILURE |
            | | ----------------------------> |
            | | (3) Ответ PCP MAP |
            | | CANNOT_PROVIDE_EXTERNAL |
            | | <---------------------------- |
            | (4) Ошибка: | |
            | ConflictInMappingEntry | |
            | <----------------------- | |
            | (5) AddPortMapping () | |
            | ExternalPort = 5485 | |
            | -----------------------> | |
            | | (6) Запрос PCP MAP |
            | | Предлагаемый внешний порт = 5485 |
            | | PREFER_FAILURE |
            | | ----------------------------> |
            | | (7) Ответ PCP MAP |
            | | CANNOT_PROVIDE_EXTERNAL |
            | | <---------------------------- |
            | (8) Ошибка: | |
            | ConflictInMappingEntry | |
            | <----------------------- | |
                                     ....
            | (а) AddPortMapping () | |
            | ExternalPort = 6591 | |
            | -----------------------> | |
            | | (b) Запрос PCP MAP |
            | | Предлагаемый внешний порт = 6591 |
            | | PREFER_FAILURE |
            | | ----------------------------> |
            | | (c) Ответ PCP MAP |
            | | CANNOT_PROVIDE_EXTERNAL |
            | | <---------------------------- |
            | (d) Ошибка: | |
            | ConflictInMappingEntry | |
            | <----------------------- | |
    
                     Рисунок 7: Пример потока (отрицательный ответ)
    
    
    
    
    
    Boucadair, et al.Стандарты Track [Страница 15] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
          Примечание. Согласно некоторым экспериментам, некоторая контрольная точка UPnP 1.0
          реализации, например uTorrent, просто попробуйте тот же внешний порт
          несколько раз (обычно 4 раза), а затем сбой, если порт
          в использовании. Также обратите внимание, что некоторые приложения используют
          GetSpecificPortMappingEntry (), чтобы определить,
          существуют.
    
    5.7. Перечисление одного или набора сопоставлений
    
       Чтобы перечислить активные сопоставления, точка управления IGD может выдать
       GetGenericPortMappingEntry (), GetSpecificPortMappingEntry () или
       GetListOfPortMappings ().
    
       Методы GetGenericPortMappingEntry () и GetListOfPortMappings () ДОЛЖНЫ
       НЕ передаваться на сервер PCP, поскольку поддерживается локальное сопоставление.
       IGD-PCP IWF.
    
       После получения GetSpecificPortMappingEntry () от элемента управления IGD
       Дело в том, что IGD-PCP IWF ДОЛЖЕН сначала проверить, есть ли внешний порт
       номер используется запрашивающей точкой управления IGD.Если внешний
       порт уже используется запрашивающей точкой управления IGD,
       IGD-PCP IWF ДОЛЖЕН отправить обратно запись сопоставления, соответствующую запросу.
       Если нет, IGD-PCP IWF ДОЛЖЕН передать серверу PCP запрос MAP,
       с коротким временем жизни (например, 60 секунд), включая PREFER_FAILURE
       вариант. Если IGD-PCP IWF не может отправить запрос MAP своему PCP
       server, он следует поведению, определенному в Разделе 5.1. Если
       запрошенный внешний порт используется, будет отправлено сообщение об ошибке PCP
       сервером PCP в IGD-PCP IWF, указывая
       CANNOT_PROVIDE_EXTERNAL как причина ошибки.Затем IGD-PCP IWF
       передает отрицательное сообщение в контрольную точку IGD. Если порт
       не используется, отображение будет создано сервером PCP и
       положительный ответ будет отправлен обратно в IGD-PCP IWF. Один раз
       полученный IGD-PCP IWF, он ДОЛЖЕН передать отрицательное сообщение на
       Контрольная точка IGD с указанием NoSuchEntryInArray в качестве кода ошибки, поэтому
       что точка управления IGD знает, что запрошенное отображение не существует.
    
    5.8. Удалить одно или набор сопоставлений: DeletePortMapping () или
          DeletePortMappingRange ()
    
       Контрольная точка IGD запрашивает удаление одного или списка
       сопоставления с помощью функции DeletePortMapping () или DeletePortMappingRange ().В IGD: 2 мы предполагаем, что IGD применяет соответствующие меры безопасности.
       политики, чтобы определить, имеет ли контрольная точка права на
       удалить одно или несколько сопоставлений. Если авторизация не удалась, "606
       Код ошибки «Действие не авторизовано» возвращается запрашивающему
       Контрольная точка.
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 16] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
       Когда DeletePortMapping () или DeletePortMappingRange () получает
       IGD-PCP IWF, он сначала проверяет, должны ли быть запрошенные сопоставления
       удаленные присутствуют в локальной таблице сопоставления.Если нет сопоставления
       соответствие запросу найдено в локальной таблице, код ошибки
       отправлено обратно в контрольную точку IGD: "714 NoSuchEntryInArray" для
       DeletePortMapping () или "730 PortMappingNotFound" для
       DeletePortMappingRange ().
    
       На рисунке 8 показан пример контрольной точки IGD, запрашивающей удаление
       отображение, которое не создается в локальной таблице IWF.
    
                                   UPnP-PCP
       Взаимодействие управления UPnP
          Точечная функция PCP-сервер
            | | |
            | (1) DeletePortMapping () | |
            | ------------------------> | |
            | | |
            | (2) Ошибка: | |
            | NoSuchEntryInArray | |
            | <------------------------ | |
            | | |
    
                       Рисунок 8: Локальное удаление (IGD-PCP IWF)
    
       Если сопоставление совпадает в локальной таблице, запрос на удаление MAP PCP
       сгенерировано.Если в IGD не включен NAT, IGD-PCP IWF использует
       входные аргументы, включенные в DeletePortMapping (). Если NAT
       включен в IGD, IGD-PCP IWF вместо этого использует соответствующий IP
       адрес и номер порта, назначенные локальным NAT.
    
       Если IGD-PCP IWF не может отправить запрос MAP на свой сервер PCP,
       он следует поведению, определенному в разделе 5.1.
    
       При получении положительного ответа от сервера PCP IGD-PCP
       IWF обновляет свою локальную таблицу сопоставления (т. Е. Удаляет соответствующие
       запись) и уведомляет контрольную точку IGD о результате
       операция удаления.Как только запрос на удаление PCP MAP получен
       сервер PCP удаляет соответствующую запись. КАРТА PCP
       Ответ SUCCESS отправляется обратно, если удаление соответствующего
       запись прошла успешно; в противном случае сообщение об ошибке PCP, содержащее
       соответствующая причина ошибки (см. раздел 4.3) отправляется обратно в
       IGD-PCP IWF.
    
    
    
    
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 17] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
       Если используется DeletePortMappingRange (), IGD-PCP IWF выполняет поиск в
       его локальная таблица сопоставления для получения отдельных сопоставлений, созданных
       запрашивающей контрольной точкой (т.д., авторизационные проверки), что
       соответствуют диапазону сигнализируемых портов (т. е. внешний порт находится в пределах
       Аргументы «StartPort» и «EndPort» функции DeletePortMappingRange ()). Если
       сопоставление не найдено, отправляется код ошибки «730 PortMappingNotFound»
       к точке управления IGD (рисунок 9). Если одно или несколько сопоставлений
       обнаружено, IGD-PCP IWF генерирует отдельные запросы на удаление MAP PCP
       соответствующие этим сопоставлениям (см. пример, показанный на рисунке 10).
    
       IGD-PCP IWF МОЖЕТ отправить положительный ответ запрашивающему IGD.
       Control Point без ожидания получения всех ответов от PCP
       сервер.UPnP-PCP
       Взаимодействие управления UPnP
          Точечная функция PCP-сервер
            | | |
            | (1) DeletePortMappingRange () | |
            | StartPort = 8596 | |
            | EndPort = 9000 | |
            | Протокол = UDP | |
            | -----------------------------> | |
            | | |
            | (2) Ошибка: | |
            | PortMappingNotFound | |
            | <----------------------------- | |
            | | |
    
             Рисунок 9: Пример потока: ошибка при обработке
                             DeletePortMappingRange ()
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    Boucadair, et al.Стандарты Track [Страница 18] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
       На рисунке 10 показаны обмены, которые происходят, когда IWF получает
       DeletePortMappingRange (). В этом примере только два сопоставления, имеющие
       номер внешнего порта в диапазоне 6000-6050 сохраняется в
       местный стол. IWF отправляет два запроса MAP для удаления этих
       сопоставления.
    
                                        UPnP-PCP
       Взаимодействие управления UPnP
          Точечная функция PCP-сервер
            | | |
            | (1) DeletePortMappingRange () | |
            | StartPort = 6000 | |
            | EndPort = 6050 | |
            | Протокол = UDP | |
            | -----------------------------> | |
            | | |
            | | (2a) Запрос PCP MAP |
            | | Протокол = UDP |
            | | внутренний IP-адрес |
            | | внутренний порт |
            | | внешний IP-адрес |
            | | внешний порт = 6030 |
            | | Запрошенное время жизни = 0 |
            | | -------------------------> |
            | | |
            | | (2b) Запрос PCP MAP |
            | | Протокол = UDP |
            | | внутренний IP-адрес |
            | | внутренний порт |
            | | внешний IP-адрес |
            | | внешний порт = 6045 |
            | | Запрошенное время жизни = 0 |
            | | -------------------------> |
            | | |
            | (3) Положительный ответ | |
            | <----------------------------- | |
            | | |
    
                  Рисунок 10: Пример DeletePortMappingRange ()
    
    5.9. Обновление карты
    
       Из-за несовместимости отображения времени жизни между UPnP
       IGD и PCP, IGD-PCP IWF ДОЛЖЕН моделировать длинные и даже бесконечные
       жизни. Действительно, для запросов с запрошенным бесконечным
       PortMappingLeaseDuration, IGD-PCP IWF ДОЛЖЕН установить Запрошенный
       Срок действия соответствующего запроса PCP на 4294967296. Если
       PortMappingLeaseDuration не бесконечен, IGD-PCP IWF ДОЛЖЕН установить
    
    
    
    Boucadair, et al. Стандарты Track [Страница 19] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
       Запрошенное время жизни соответствующего запроса PCP к тому же
       значение как PortMappingLeaseDuration.Кроме того, IGD-PCP
       Функция взаимодействия ДОЛЖНА поддерживать дополнительный таймер, установленный для
       изначально запрошенный PortMappingLeaseDuration. После получения
       положительный ответ от сервера PCP, IGD-PCP IWF передает
       соответствующий ответ UPnP IGD на запрашивающую точку управления IGD
       с PortMappingLeaseDuration, установленным на то же значение, что и у
       первоначальный запрос. Затем IGD-PCP IWF ДОЛЖЕН периодически обновлять
       построил сопоставление PCP до истечения PortMappingLeaseDuration.Ответы, полученные при обновлении сопоставления, НЕ ДОЛЖНЫ передаваться на
       точка управления IGD.
    
       Если во время обновления отображения обнаружена ошибка, IGD-PCP
       Функция межсетевого взаимодействия не имеет средств информирования контрольной точки IGD.
       ошибки.
    
    5.10. Быстрое восстановление
    
       Когда IGD-PCP IWF совмещен с DHCP-сервером, состояние
       поддерживаемая IGD-PCP IWF ДОЛЖНА обновляться с использованием состояния в
       локальный DHCP-сервер. В частности, если срок действия IP-адреса истекает или
       выпущенный внутренним хостом, IGD-PCP IWF ДОЛЖЕН удалить все
       сопоставления, привязанные к этому внутреннему IP-адресу.При изменении внешнего IP-адреса IGD-PCP IWF
       IGD-PCP IWF МОЖЕТ обновить поддерживаемые им сопоставления. Это может быть
       достигается только в том случае, если полная таблица состояний поддерживается IGD-PCP IWF.
       Если квота порта на сервере PCP не превышена, IGD-PCP IWF
       получит новый внешний IP-адрес и номера портов. IGD-PCP
       У IWF нет средств уведомления внутренних контрольных точек IGD о
       изменение внешнего IP-адреса и номеров портов. Устаревшие сопоставления
       будут обслуживаться сервером PCP до истечения срока их службы.Примечание. Если происходит изменение адреса, протоколы, чувствительные к
          изменение адреса (например, TCP) вызовет сбой.
    
       [RFC6887] определяет процедуру для сервера PCP для уведомления PCP
       клиенты изменений, связанных с поддерживаемыми им сопоставлениями. Когда
       получено незапрашиваемое ОБЪЯВЛЕНИЕ, IGD-PCP IWF делает одно или несколько
       Запросы MAP с параметром PREFER_FAILURE для переустановки своего
       сопоставления. Если сервер PCP не может создать запрошенные сопоставления
       (сигнализируется ответом об ошибке CANNOT_PROVIDE_EXTERNAL),
       IGD-PCP IWF не имеет средств уведомления внутренних контрольных точек IGD о
       любые изменения внешнего IP-адреса и номеров портов.Boucadair, et al. Стандарты Track [Страница 20] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
       Незапрошенные ответы PCP MAP, полученные от сервера PCP, обрабатываются
       как любой нормальный ответ MAP. Если в ответе указано, что
       внешний IP-адрес или порт изменились, IGD-PCP IWF не имеет средств
       уведомления внутренней точки управления IGD об этом изменении.
    
       Дальнейший анализ сценариев отказа PCP для IGD-PCP
       Функции взаимодействия обсуждаются в [PCP-FAILURE].6. Соображения безопасности
    
       IGD: ДОЛЖНЫ быть выполнены 2 требования к контролю доступа и уровни авторизации.
       применяется по умолчанию [IGD2]. Когда используется IGD: 2, работа от имени
       третьей стороны ДОЛЖНЫ быть разрешены, только если аутентификация и
       используется авторизация [IGD2]. Когда доступен только IGD: 1,
       НЕ ДОЛЖНЫ быть разрешены операции от имени третьей стороны.
    
       В этом документе определяется процедура создания сопоставлений PCP для третьих лиц.
       сторонние устройства, принадлежащие одному абоненту. Средства для
       предотвращение создания злоумышленником сопоставлений от имени
       третья сторона должна быть включена, как описано в разделе 13.1 из
       [RFC6887]. В частности, параметр THIRD_PARTY НЕ ДОЛЖЕН быть включен.
       если только сеть, по которой должны отправляться сообщения PCP, не полностью
       доверенные - например, списки управления доступом (ACL), установленные на
       Клиент PCP, сервер PCP и сеть между ними, чтобы
       эти ACL разрешают связь только от доверенного клиента PCP к
       PCP-сервер.
    
       Контрольная точка IGD, которая выдает AddPortMapping (),
       AddAnyPortMapping () или GetSpecificPortMappingEntry () в
       более короткие временные рамки создадут много картографических записей на PCP
       сервер.Способы избежать исчерпания ресурсов порта
       (например, квота порта, как описано в разделе 17.2 [RFC6887]) СЛЕДУЕТ
       быть включенным.
    
       Соображения безопасности, обсуждаемые в [RFC6887] и [Sec_DCP]
       следует принимать во внимание.
    
    7. Благодарности
    
       Авторы выражают благодарность Ф. Фонтену, К. Жаккне, X. Дэну,
       Г. Черногория, Д. Талер, Р. Тирумалесвар, П. Селкирк, Т. Лимон,
       В. Гурбани и П. Йи за их обзор и комментарии.
    
       Ф. Дюпон участвовал в создании предыдущих версий этого документа.Спасибо
       обращайтесь к нему за его подробными отзывами и комментариями.
    
    
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 21] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
    8. Ссылки
    
    8.1. Нормативные ссылки
    
       [IGD1] UPnP Forum, "WANIPConnection: 1 шаблон службы
                  Версия 1.01 ", ноябрь 2001 г., .
    
       [IGD2] UPnP Forum, "WANIPConnection: 2 Service", сентябрь 2010 г.,
                  .
    
       [RFC2119] Брэднер, С., «Ключевые слова для использования в RFC для обозначения
                  Уровни требований », BCP 14, RFC 2119, март 1997 г.
    
       [RFC6887] Wing, D., Cheshire, S., Boucadair, M., Penno, R., and P.
                  Селкирк, «Протокол управления портом (PCP)», RFC 6887,
                  Апрель 2013.
    
    8.2. Информативные ссылки
    
       [PCP-DESCR-OPT]
                  Букадаир, М., Пенно, Р., и Д. Винг, "Описание PCP"
                  Вариант », Работа в процессе, май 2013 г.[PCP-DHCP-OPT]
                  М. Букадар, Р. Пенно и Д. Винг, «Параметры DHCP для
                  протокол управления портами (PCP) », Работа в процессе,
                  Март 2013 г.
    
       [PCP-FAILURE]
                  Букадар, М. и Р. Пенно, "Анализ портового контроля
                  Сценарии отказа протокола (PCP) ", Работа в процессе,
                  Май 2013.
    
       [PCP-PROXY]
                  Букадаир, М., Пенно, Р., и Д. Винг, Port Control
                  Протокол (PCP) Proxy Function », Работа в процессе,
                  Июнь 2013.[RFC6146] Багнуло, М., Мэтьюз, П., и И. ван Бейнум, "Stateful
                  NAT64: сетевой адрес и преобразование протокола из IPv6
                  Клиенты к серверам IPv4 », RFC 6146, апрель 2011 г.
    
    
    
    
    
    
    
    
    Boucadair, et al. Стандарты Track [Страница 22] 

    RFC 6970 UPnP IGD-PCP IWF Июль 2013 г.
    
    
       [RFC6333] Дюран, А., Дромс, Р., Вудят, Дж., И Ю. Ли,
                  "Широкополосное развертывание Dual-Stack Lite после IPv4
                  Исчерпание ", RFC 6333, август 2011 г.[Sec_DCP] Форум UPnP, «Защита устройств: 1 услуга», февраль 2011 г.,
                  .
    
    Адреса авторов
    
       Мохамед Букадаир
       France Telecom
       Ренн 35000
       Франция
    
       Электронная почта: [email protected]
    
    
       Рейнальдо Пенно
       Cisco Systems, Inc.
       170 West Tasman Drive
       Сан-Хосе, Калифорния 95134
       США
    
       Электронная почта: [email protected]
    
    
       Дэн Винг
       Cisco Systems, Inc.
       170 West Tasman Drive
       Сан-Хосе, Калифорния 95134
       США
    
       Электронная почта: dwing @ cisco.ком
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    Boucadair, et al. Стандарты Track [стр. 23]
     

    UPnP / IGD - домашний помощник


    Интеграция upnp позволяет собирать сетевую статистику с вашего маршрутизатора, такую ​​как входящие / исходящие байты и входящие / исходящие пакеты. Эта информация предоставляется протоколом UPnP / Internet Gateway Device (IGD), если он включен на вашем маршрутизаторе.

    В настоящее время Home Assistant поддерживает следующие типы устройств:

    • Sensor - позволяет получать сетевую статистику с вашего маршрутизатора, такую ​​как входящие / исходящие байты и входящие / исходящие пакеты.

    Обратите внимание, что на вашем маршрутизаторе должны быть включены UPnP или NAT-PMP, чтобы эта интеграция работала.

    Конфигурация

    Добавление UPnP / IGD в экземпляр Home Assistant может быть выполнено через пользователя. интерфейс, используя эту кнопку Моя:

    UPnP / IGD может быть автоматически обнаружен Home Assistant. Если экземпляр был найден, он будет отображаться как «Обнаружен» , который вы можете выбрать, чтобы правильно настроить далеко.

    Шаги ручной настройки

    Если ничего не обнаружено автоматически, не волнуйтесь! Вы можете настроить ввод интеграции вручную:

    • Перейдите к своему экземпляру Home Assistant.
    • На боковой панели щелкните Конфигурация .
    • В меню конфигурации выберите: Интеграции .
    • В правом нижнем углу нажмите на Добавить интеграцию , кнопка.
    • В списке найдите и выберите «UPnP / IGD» .
    • Следуйте инструкциям на экране, чтобы завершить настройку.

    Ручная настройка

    В качестве альтернативы вы можете использовать YAML, добавив следующий раздел в конфигурацию .yaml файл:

      # Пример записи configuration.yaml
    upnp:
      

    Переменные конфигурации

    local_ip строка (необязательно)

    Локальный IP-адрес компьютера, на котором запущен Home Assistant.

    По умолчанию:

    Попытаться автоматически определить IP-адрес хоста.

    Устранение неполадок

    Если Home Assistant не может обнаружить устройство UPnP, это может быть связано с тем, что локальный IP-адрес компьютера, на котором запущен Home Assistant, не был автоматически определен правильно.Чтобы предотвратить это, вы можете добавить опцию local_ip в вашу конфигурацию UPnP:

      # Пример configuration.yaml с установленным local_ip
    upnp:
      local_ip: 192.168.1.2
      
    Помогите нам улучшить нашу документацию
    Предложите изменение этой страницы или оставьте / просмотрите отзыв об этой странице.

    UPnP Hacks: взлом IGD

    Профиль UPnP Internet Gateway Device (IGD) реализован на многих маршрутизаторах. и широкополосный кабельный или ADSL-модемы. В профиле есть несколько подпрофилей.Многие из эти профили - не что иное, как контейнеры для одного или нескольких других подпрофили. Что касается безопасности, есть несколько профилей, которые интересно:

    • LANHostConfigManagement
    • WANIPConnection / WANPPPConnection
    The Профиль LANHostConfigManagement позволяет программа для запроса и, возможно, установки различных параметров конфигурации для, для например DNS, DHCP и другие. Профили WANIPConnection и WANPPPConnection позволяют программам адаптировать правила брандмауэра, среди других вещей.

    Профиль LANHostConfigManagement позволяет программам запрашивать и устанавливать локальные настройки маршрутизатора, такие как DNS и DHCP. Профиль определяет несколько методов, которые представляют интерес для злоумышленник:

    • SetDNSServer
    • DeleteDNSServer
    • SetIPRouter
    • DeleteIPRouter
    Эти методы должны позволить злоумышленнику полностью перенастроить маршрутизатор по сети. В соответствии со стандартом они обязаны внедрять. Однако на практике эти методы либо не реализованы, возвращают ошибку при вызове или UPnP и DNS / DHCP / маршрутизация не связаны с системой UPnP.Никогда не болит хотя бы проверить.

    Такие программы, как Live Messenger, удаленная помощь Windows, X-Box live, различные сетевые консоли и игры, а также довольно много клиентов Bittorrent используют действия, которые определены в подпрофилях IGD WANPPPConnection (ADSL-модемы) и WANIPConnection (IP-маршрутизаторы), чтобы упростить использование сеть. Благодаря этим действиям профиль IGD решает фундаментальную проблему. трансляции сетевых адресов (NAT): вы не можете легко использовать предопределенный порт больше, если вы используете NAT.Если этот порт требуется более чем одной программе, если только вы использовать что-то вроде прокси. В качестве примера предположим, что Live Messenger иметь фиксированный порт для передачи файлов. Если вы находитесь за NAT с несколькими людьми, кто все хочет передавать файлы с помощью Live Messenger, в то же время у вас есть проблема. Вот почему многие программы динамически выделяют порт, чтобы избежать конфликтует с другими программами.

    Для этого программы используют следующие действия, доступные в UPnP IGD профиль:

    • AddPortMapping :: добавляет отображение портов в конфигурацию брандмауэра
    • DeletePortMapping :: удаляет существующий portmapping
    Эти действия реализованы как запросы SOAP, как объяснено в другом месте.

    Хорошо настроенная программа сначала запрашивает отображение порта. и удаляет отображение портов, когда оно больше не нужно. Многие стеки UPnP имеют был протестирован только с программами, которые хорошо себя ведут, поэтому многие ошибки остаются незамеченными. В Остальная часть этой страницы объясняет, где и почему программное обеспечение выходит из строя.

    AddPortMapping

    Команда AddPortMapping SOAP - это команда, с помощью которой клиент в сети может запросить, чтобы брандмауэр открыл конкретный порт и перенаправляет его клиенту. Параметры для команды являются:

    • NewRemoteHost
    • NewExternalPort
    • NewProtocol
    • NewInternalPort
    • NewInternalClient
    • NewEnabled
    • NewPortMappingDescription
    • NewLeaseDuration
    Параметр NewRemoteHost можно использовать чтобы ограничить отображение портов только для одного внешнего хоста, но на практике это никогда не использовался.NewExternalPort Параметр используется для указания порта TCP или UDP на стороне WAN маршрутизатора. который следует переадресовать. Этот параметр нельзя оставлять пустым, в противном случае ошибка возвращается, потому что команда больше не имеет смысла. В Параметр NewProtocol может принимать два значения: UDP или TCP. Новый Внутренний Порт Параметр указывает порт на клиентском компьютере, на который поступает весь входящий трафик. на NewExternalPort для протокола указанный NewProtocol должен быть перенаправлен на. НовыйВнутреннийКлиент Параметр устанавливает клиентский компьютер, на который должен отправляться трафик.Параметр NewEnabled сообщает маршрутизатору, отображение портов должно быть включено. На практике всегда установлено значение True. В Параметр NewPortMappingDescription: удобочитаемая строка, описывающая соединение. Используется в сормовой паутине интерфейсы маршрутизаторов, чтобы пользователь мог видеть, какая программа использует какой порт. В последний параметр - NewLeaseDuration, который сообщает маршрутизатору, как долго должно быть активным отображение портов. Поскольку большинство программ не знаю этого заранее, он часто устанавливается в 0, что означает «неограниченно».

    DeletePortMapping

    Команда SOAP DeletePortMapping занимает три параметры:

    • NewRemoteHost
    • NewExternalPort
    • NewProtocol
    The три параметра описывают отображение портов, которое следует удалить. Ценности параметры такие же, как для команды AddPortMapping.

    Спецификации профиля IGD позволяют любой контрольной точке не использовать AddPortMapping для перенаправления портов на другие машины в локальной сети.Хотя это может быть удобно, это действительно простой способ открывать файловые серверы, принтеры и другие машины / устройства извне Мир.

    Справедливым решением было бы запретить контрольной точке запрашивать для переадресации портов на другой IP-адрес, кроме своего собственного. Это сделает устройство не совместимо с UPnP IGD (строго говоря), но я почти уверен, что каждое приложение / устройство, зависящее от переадресации портов, не сломается, так как эти приложения / устройства запрашивают перенаправление портов только на себя.

    Во многих реализациях проверка ошибок не реализована должным образом. Параметры в AddPortMapping запрос часто не проверяется, чтобы увидеть, действительно ли значения там делают смысл. Чтобы сделать его более интересным, программа, обрабатывающая эти запросы почти всегда выполняются с полными системными привилегиями, особенно на маршрутизаторы на базе Linux. Полные системные привилегии необходимы для изменения правила брандмауэра, активные в системе. Это превращает глючный UPnP внедрение (большинство из них) в тикающую цифровую бомбу замедленного действия.

    Непроизвольная луковая маршрутизация / перенаправление порта

    Некоторые стеки не проверяют, действительно ли параметр NewInternalClient является IP-адресом в локальной сети. Эти стеки позволяют указать маршрутизируемый IP-адрес вместо частный адрес в локальной сети. Межсетевой экран на маршрутизаторе будет выполнять NAT на входящие пакеты для указанного порта и протокола и отправить их в любой Указан NewInternalClient. Если это внешний IP-адрес, которого нет в локальной сети, пакеты будут отправляться туда когда кто-то подключается к роутеру из WAN.Маршрутизатор эффективно превратился в непреднамеренный луковый маршрутизатор, поскольку почти все устройства имеют удаленные ведение журнала через системный журнал отключено по умолчанию, и соединения трудно отследить способ.

    Аналогичным образом, если услуга, такая как веб-сайт или почтовый сервер, развернутый на машине в локальной сети, с маршрутизатором с поддержкой UPnP впереди, с напрямую в эту службу, возможно, сначала удастся удалить это переадресовать, а затем перенаправить порт на другой сервер с поддельным почтовым сервером или Веб-сайт.

    В некоторых устройствах можно сделать внутренний веб-сервер самого роутера, доступного внешнему миру. Если пользователь по умолчанию и пароль все еще там (что довольно часто), это дает кому-то полное удаленное управление самим роутером.

    Выполнение команд оболочки на маршрутизаторах на базе Linux

    Другие стеки выполняют меньше проверок, но просто предполагают, что все, что указано в NewInternalClient - это всегда IP адрес. Значение параметра извлекается из запроса SOAP и просто передается сценариям, запущенным на маршрутизаторе.Эти программы в случае маршрутизатора на базе Linux, работающего с полными привилегиями root. Иногда эти программы представляют собой простую оболочку Борна или сценарии bash, выполняющие команда, иногда это программы C, которые создают команду оболочки, которая затем выполняется с помощью system () системный вызов. Один стек даже доходит до использования PHP-подобного веб-сайта, который создает сценарии оболочки, которые затем выполняются.

    Используя некоторые простые программирование сценария оболочки с использованием обратных кавычек (часто используемый метод для присвоения вывод программы в переменную в обычных сценариях оболочки) можно выполнять команды на маршрутизаторе.В зависимости от стека может быть ограничения на место, чтобы ограничить длину NewInternalClient максимальной длиной строки, представляющей Адрес IPv4 (4 * 3 цифры, + 3 * 1 точка = 15 символов). Это все еще оставляет достаточно места для команд, например, для перезагрузки маршрутизатора. У других роутеров есть ограничение в 255 символов или без ограничения вообще.

    Решения

    Очень простое решение, которое исправит вышеупомянутые ошибки: проверьте Вход. В C доступно несколько стандартных функций, которые могут помочь проверить действительность адреса для предотвращения подделки, например inet_aton ().Проверяет, является ли IP-адрес, указанный в NewInternalClient, действительным адресом LAN тоже не должно быть слишком сложно реализовать.

    Использование system () в программах на C для вызова iptables для сопоставления портов немного глупо, если вы понимаете, что:

    • использование system () означает создание дополнительного процесса, а
    • там являются вполне допустимыми альтернативами, такими как libiptc, которые решат за вас множество проблем. Говорящий насчет libiptc, дорогой Broadcom, пожалуйста уважайте лицензию этой библиотеки.
    Конечно, весь ввод должен быть не только NewInternalClient в AddPortMapping, но и все параметры для всех функций SOAP.

    Что такое UPnP? | NordVPN

    Что такое переадресация портов?

    Чтобы понять, что такое UPnP, вы должны сначала понять переадресацию портов. Переадресация портов используется для установления прямого соединения между вашим домашним устройством или сервером и удаленным устройством. Например, вы можете подключить свой ноутбук к домашней камере и следить за ними, пока вас нет.

    Как это работает? Все ваши домашние устройства, включая маршрутизатор, вместе создают так называемую локальную сеть (LAN). Все, что находится за пределами локальной сети, например серверы веб-сайтов или компьютер вашего друга, находится в глобальной сети (WAN). Обычно никто за пределами вашей локальной сети не может получить доступ к устройствам в вашей сети, если вы не разрешите им использовать переадресацию портов.

    Что такое UPnP?

    Universal Plug and Play (UPnP) - это протокол, который позволяет приложениям и другим устройствам в вашей сети автоматически открывать и закрывать порты для соединения друг с другом.Например, если вы хотите подключить принтер ко всем в вашей семье без UPnP, вам нужно будет подключить принтер к каждому устройству. UPnP автоматизирует это.

    UPnP предлагает нулевую конфигурацию, что означает, что ни одно из устройств в вашей сети не требует ручной настройки для обнаружения нового устройства. Устройства с поддержкой UPnP могут автоматически присоединяться к сети, получать IP-адрес, а также находить и подключаться к другим устройствам в вашей сети, что делает это очень удобным.

    Для чего используется UPnP?

    • Игры.Подключение Xbox и других игровых консолей, таких как Nintendo Switch, для потоковой передачи онлайн-игр;
    • Удаленное наблюдение за домом. Вы можете использовать UPnP для подключения к домашним камерам, пока вас нет;
    • Цифровые домашние помощники, такие как Echo dots;
    • Устройства Интернета вещей для беспроводной домашней автоматизации, такие как интеллектуальное освещение, термостаты с управлением через Интернет и интеллектуальные замки;
    • Потоковое содержимое с медиа-сервера;
    • Потоковое видео через устройства интернет-телевидения, такие как Roku Stick или Apple TV.

    UPnP лучше для игр?

    UPnP, безусловно, упрощает игровой процесс. Вместо того, чтобы вручную определять номер порта для каждого устройства или онлайн-игры, UPnP сделает это за вас. Однако, если вы решите пойти по маршруту ручной переадресации портов, есть онлайн-руководства о том, как открыть определенные порты для определенных игр и устройств.

    Некоторые утверждают, что ручная переадресация портов лучше для скорости вашего интернет-соединения, поскольку UPnP вызывает задержку. Но так ли это на самом деле? Это маловероятно, но когда дело доходит до игр, это может увеличить задержку вашего соединения, но не должно повлиять на скорость загрузки.

    Почему UPnP небезопасен?

    Первоначально предполагалось, что UPnP будет работать только на уровне локальной сети, а это означает, что только устройства в вашей сети могут подключаться друг к другу. Однако многие производители маршрутизаторов теперь включают UPnP по умолчанию, что делает их обнаруживаемыми в глобальной сети, что приводит ко многим проблемам с безопасностью.

    UPnP не использует аутентификацию или авторизацию (только некоторые устройства), предполагая, что устройства, пытающиеся подключиться к нему, заслуживают доверия и поступают из вашей локальной сети. Это означает, что хакеры могут найти лазейки в вашей сети.Например, они могут обнаружить ваш маршрутизатор в более широкой сети, а затем притвориться Xbox. Они отправят запрос UPnP на ваш маршрутизатор, и маршрутизатор откроет порт - без вопросов.

    Как только хакер появляется в сети, он может:

    • Получить удаленный доступ к другим устройствам, подключенным к той же сети;
    • Установите вредоносное ПО на свои устройства;
    • Украсть вашу конфиденциальную информацию;
    • Используйте свой маршрутизатор в качестве прокси-сервера, чтобы скрыть другие вредоносные действия в более широкой сети.Они могут использовать его для распространения вредоносных программ, кражи информации о кредитных картах и ​​выполнения фишинговых атак или атак типа «отказ в обслуживании» (DDoS). Использование вашего маршрутизатора в качестве прокси-сервера означает, что все эти атаки будут выглядеть так, как будто они исходят от вас, а не от хакера.

    Как защитить себя

    Когда дело доходит до уязвимостей маршрутизатора UPnP, есть два варианта, которые вы можете выбрать, чтобы защитить себя.

    Во-первых, вы можете включить UPnP-UP (Universal Plug and Play - User Profile), который обеспечивает механизмы аутентификации и авторизации для устройств и приложений UPnP.Однако это не надежный метод, так как многие устройства не поддерживают его полностью и могут предположить, что другие устройства, подключенные к вашему маршрутизатору, заслуживают доверия.

    Другой более безопасный метод - полностью отключить UPnP. Прежде чем вы это сделаете, рекомендуется проверить, уязвим ли ваш маршрутизатор для эксплойтов UPnP. Вам также следует подумать, хотите ли вы отказаться от удобства UPnP и сможете ли вы настраивать свои устройства вручную. Для этого могут потребоваться некоторые технические ноу-хау.

    Что произойдет, если я отключу UPnP на своем маршрутизаторе?

    Если вы полностью отключите UPnP, ваш маршрутизатор будет игнорировать все входящие запросы, поэтому вам придется настраивать устройства вручную. Это означает, что маршрутизатор больше не будет автоматически открывать порты в вашей локальной сети, игнорируя даже законные запросы.

    Это не означает, что вы не сможете подключаться к устройствам в сети или к онлайн-играм. Но хлопот будет больше. Вам придется вручную настроить правила переадресации портов для каждого конкретного соединения, что потребует больше времени, усилий и технических знаний.Тем не менее, есть онлайн-руководства, которые помогут вам выполнить перенаправление конкретных портов.

    Чтобы получать больше новостей и советов по кибербезопасности, подпишитесь на нашу ежемесячную рассылку новостей ниже!

    Что такое UPnP и насколько он безопасен?

    Universal Plug and Play (UPnP) - это то, с чем все мы, вероятно, сталкивались, даже не осознавая этого. Если вы когда-либо покупали новый принтер и замечали, что ваш компьютер, телефон и планшет могут автоматически распознавать устройство, вы использовали UPnP.Если вам нравится играть эту песню со своего телефона немного громче, транслируя ее на Alexa или какой-либо другой беспроводной динамик, это UPnP.

    Часто в сочетании с другим широко используемым аббревиатурой IoT (Интернет вещей) UPnP был разработан просто для того, чтобы сделать связь между устройствами более простой и удобной. Короче говоря, UPnP помогает автоматизировать процесс обнаружения устройств и подключения к сети.

    Однако, учитывая рост числа утечек данных и рост числа людей, заботящихся о безопасности, безопасен ли UPnP? Во-первых, нам нужно вкратце объяснить, как это работает.

    Получите бесплатное руководство, объясняющее, как смягчить кибератаки

    Спасибо за загрузку.

    Пожалуйста, проверьте свою электронную почту (включая папку со спамом) на предмет ссылки на технический документ!

    Как работает UPnP?

    С точки зрения потребителя, UPnP - самая простая вещь в мире.Вы приносите домой новое устройство, подключаете его к сети, и внезапно все другие устройства в этой сети могут обмениваться данными с ним автоматически. Вся грязная работа выполняется за кадром. Если бы мы разбили его и посмотрим, что происходит на самом деле, мы бы увидели следующее:

    1. Устройство подключается к сети
    2. Устройство получает IP-адрес
    3. Устройство получает имя и отображается под этим именем в сети
    4. Устройство обращается к другим устройствам в сети и обменивается данными

    Важно отметить, что IP-адрес не является обязательным условием для UPnP, поскольку многие устройства, связанные с Интернетом вещей (например, умные лампочки и умные кофемашины), могут обмениваться данными через Bluetooth или радиочастотную идентификацию (RFID).

    Опасность UPnP

    Многие утверждают, что UPnP по своей природе небезопасен. Это протокол, который предназначен для автоматического открытия портов в брандмауэре и позволяет постороннему получить доступ к размещенному серверу на локальном компьютере, который защищен этим брандмауэром.

    Это можно сравнить с установкой промышленного замка на дверь, охраняющего все ваши ценные вещи, и оставления ключа в замке для всех.

    В этом смысле UPnP делает брандмауэры бесполезными.Любой троян, например, может настроить прослушивающий сервер IRC, сервер RAT или что-то столь же вредоносное и запросить, чтобы брандмауэр открыл порт. В общем, не идеально.

    Риски безопасности UPnP

    Существует ряд общих рисков безопасности, связанных с UPnP, на которые многие ссылаются, рекомендуя отключить UPnP.

    Интересно, что в 2001 году Национальный центр защиты инфраструктуры ФБР рекомендовал пользователям отключать UPnP из-за переполнения буфера в Windows XP.Многие люди ссылаются на эту рекомендацию, когда ссылаются на то, почему UPnP потенциально опасен.

    Однако эта проблема на самом деле не имеет ничего общего с самим UPnP, и после того, как ошибка была исправлена ​​патчем безопасности, NIPC быстро исправил свои рекомендации.

    Baldy реализовал UPnP на маршрутизаторах

    Многие проблемы, связанные с угрозами UPnP, могут быть связаны с проблемами безопасности во время внедрения. Исторически сложилось так, что производители маршрутизаторов плохо защищали свои реализации UPnP, что часто приводило к тому, что маршрутизатор не проверял вход должным образом.Таким образом, вредоносные приложения могут легко использовать плохие реализации UPnP для выполнения команд или перенаправления сетевого трафика.

    Вредоносное ПО, использующее UPnP

    Распространенные вредоносные программы, такие как трояны, вирусы, черви и другие, могут использовать UPnP после заражения компьютера в вашей локальной сети. UPnP может позволить таким программам обходить протоколы безопасности и программное обеспечение, которые обычно блокирует маршрутизатор. UPnP по сути предполагает, что все программы легитимны, и позволяет им перенаправлять порты.Это серьезная проблема, которая беспокоит многих, и, к сожалению, если она является камнем преткновения для вас, вам, вероятно, придется отключить UPnP.

    Флэш-атака UPnP

    Можно подумать, что только вредоносное ПО может злоупотреблять UPnP таким образом, но атака Flash UPnP, похоже, опровергает эту идею. Если вам нужно было получить доступ к веб-сайту, на котором запущен конкретный Flash-апплет, этот апплет может отправлять запросы на ваш маршрутизатор для переадресации портов. К счастью, если это произойдет с вами, наличие брандмауэра предотвратит использование злоумышленником каких-либо уязвимостей в ваших сетевых службах.

    Однако на некоторых маршрутизаторах апплеты Flash могут вызвать серьезные повреждения, если изменить основной DNS-сервер с помощью запроса UPnP. Это может привести к перенаправлению вашего трафика на другой веб-сайт, создавая безграничные возможности для кражи данных и мошенничества.

    Следует ли отключать UPnP?

    В конечном счете, это вопрос мнения. UPnP удобен, но имеет некоторые довольно серьезные недостатки безопасности, некоторые из которых не могут быть устранены с помощью решений безопасности. Мы рекомендуем отключить UPnP, если вы вообще не используете переадресацию портов.Если вы время от времени используете переадресацию портов, вам следует рассмотреть возможность пересылки без использования UPnP, что вполне возможно.

    Пользователи с интенсивной переадресацией портов должны будут принять решение. Вы готовы отказаться от безопасности ради удобства UPnP? Вероятность того, что вас скомпрометируют через UPnP, довольно мала, но последствия могут быть большими. В конце концов, все зависит от вас!

    Являются ли опасения по поводу безопасности UPnP законными?

    Хотя обычно рекомендуется отключить UPnP на маршрутизаторе (что многие делают из принципиальных соображений), некоторые задаются вопросом, необходимо ли это.Когда UPnP впервые появился в 2011 году, возникли некоторые вопиющие проблемы с реализацией, которые позволяли выполнять настройку из Интернета. Это означало, что любой мог открыть на нем любой порт. Однако за последнее десятилетие программные уязвимости маршрутизаторов неоднократно исправлялись с учетом требований безопасности.

    Таким образом,

    UPnP не представляет опасности по своей сути, если на вашем маршрутизаторе установлена ​​последняя версия прошивки и установлены все последние обновления прошивки, а на подключенных устройствах нет вредоносных программ. UPnP становится проблемой, если подключенное устройство заражено вредоносным ПО, поскольку оно может распространиться на ваши локальные устройства.Однако в этом случае большинству вредоносных программ вообще не требуется, чтобы для этого был включен UPnP.

    Итак, что вы можете сделать?

    Вы можете отключить UPnP на своем маршрутизаторе, если хотите спокойствия. Однако в большинстве случаев, если злоумышленник хочет проникнуть внутрь вашей сети и нанести ущерб, ему не нужен UPnP для этого. На самом деле кибератаки сейчас настолько распространены, что вопрос не в том, случится ли это с вами, а в том, когда.

    Многие ИТ-команды и люди, разбирающиеся в технологиях, ненавидят идею признания поражения перед кибератаками.Но печальная правда заключается в том, что злоумышленники всегда смогут обойти защиту безопасности.

    Итак, что вы можете сделать?

    Вы можете следить за тем, что злоумышленники ищут в первую очередь, за данными. Контролируйте взаимодействие с данными с помощью платформы Lepide Data Security Platform, которая может обнаруживать аномалии и сообщать об изменениях, вносимых в важные файлы и папки, включая события копирования.

    Чтобы получить представление о том, как Lepide Data Security Platform помогает отслеживать поведение пользователей с файлами и папками, запланируйте демонстрацию решения сегодня.

    Если вам это понравилось, вам также может понравиться ...

    Объяснение служб UPnP, SSDP и переадресации портов | Rapid7

    Это была ночь перед Рождеством,
    , когда по всему дому,
    Ни одно существо не шевелилось, даже мышь.
    Чулки осторожно повесили у камина,
    в надежде, что Святой Николай скоро будет там.

    Это может быть способ начать свое праздничное настроение,
    , но прежде чем вы начнете, позвольте мне сообщить вам.
    Боюсь, что каникулы я провожу совсем по-другому.
    Как хакер в белой шляпе с аплодисментами UPnP.

    И так как вы, возможно, не в курсе,
    позвольте мне поделиться с вами тем, что я узнал,
    , чтобы вы также могли заботиться,
    , как переносить вперед с праздничным приветствием UPnP.

    Universal Plug and Play (UPnP) - это услуга, которая существует у нас в течение многих лет и используется для автоматизации обнаружения и настройки сетевых и коммуникационных сервисов между устройствами в вашей сети.В рамках сегодняшнего обсуждения этот пост в блоге будет охватывать только службы переадресации портов, а также расскажет о скрипте Python, который вы можете использовать для начала изучения этой службы.

    Службы переадресации портов UPnP обычно включены по умолчанию на большинстве потребительских маршрутизаторов с выходом в Интернет с трансляцией сетевых адресов (NAT), поставляемых поставщиками интернет-услуг (ISP) для поддержки сетей IPv4. Это сделано для того, чтобы устройства во внутренней сети могли автоматизировать настройку необходимых функций переадресации портов TCP и UDP на маршрутизаторе с выходом в Интернет, чтобы устройства в Интернете могли подключаться к службам во внутренней сети.

    Итак, первое, что я хотел бы сказать по этому поводу, это то, что если вы не используете приложения или системы, такие как игровые системы в Интернете, которые требуют этой функции, я бы рекомендовал отключить ее на вашем маршрутизаторе с выходом в Интернет. Почему? Потому что он использовался злоумышленниками для дальнейшего взлома сети, открывая доступ к портам во внутренние сети через вредоносное ПО. Так что, если он вам не нужен, вы можете устранить риск, отключив его. Это лучший способ уменьшить ненужное воздействие.

    Чтобы все это работало, UPnP использует протокол обнаружения, известный как Simple Service Discovery Protocol (SSDP). Эта служба обнаружения SSDP для UPnP представляет собой службу UDP, которая отвечает на порт 1900 и может быть перечислена путем широковещательной рассылки сообщения M-SEARCH через многоадресный адрес 239.255.255.250. Это сообщение M-SEARCH вернет информацию об устройстве, включая URL-адрес и номер порта для файла описания устройства «rootDesc.xml». Вот пример возвращенного ответа M-SEARCH от маршрутизатора NETGEAR Wi-Fi в моей сети:

    Чтобы отправить многоадресное сообщение M-SEARCH, вот простой скрипт Python:

      # простой скрипт для перечисления UPNP устройства
     
    импортный сокет
     
    # Тело сообщения M-Search
    MS = \
        'М-ПОИСК * HTTP / 1.1 \ г \ п '\
        'HOST: 239.255.255.250: 1900 \ r \ n' \
        'ST: upnp: rootdevice \ r \ n' \
        'MX: 2 \ r \ n' \
        'MAN: "ssdp: discover" \ r \ n' \
        '\ r \ n'
     
    # Настроить UDP-сокет для многоадресной рассылки
    SOC = socket.socket (socket.AF_INET, socket.SOCK_DGRAM, socket.IPPROTO_UDP)
    SOC.settimeout (2)
     
    # Отправить сообщение M-Search на многоадресный адрес для UPNP
    SOC.sendto (MS.encode ('utf-8'), ('239.255.255.250', 1900))
     
    # прослушать и записать возвращенные ответы
    пытаться:
        в то время как True:
            данные, адрес = SOC.recvfrom (8192)
            печать (адрес, данные)
    кроме розетки.тайм-аут:
            проходить
      

    Следующим шагом будет доступ к файлу rootDesc.xml. В этом случае это доступно на моем устройстве через http://192.168.2.74:5555/rootDesc.xml. Глядя на ответ M-SEARCH выше, мы видим, что IP-адрес rootDesc.xml - 169.254.39.187. 169.254. *. * Известен как автоматический частный IP-адрес. Нередко можно увидеть адрес в этом диапазоне, возвращаемый запросом M-SEARCH. Попытка получить к нему доступ не удастся, потому что он неверен. Чтобы получить доступ к файлу rootDesc.xml, вам нужно будет использовать истинный IP-адрес устройства, который в моем случае был 192.168.2.74 и был показан в заголовке ответа сообщения M-SEARCH.

    После возврата rootDesc.xml вы увидите список некоторых очень интересных вещей, но в данном случае нас интересует только переадресация портов. Если доступна служба переадресации портов, она будет указана в файле rootDesc.xml как тип службы WANIPConnection, как показано ниже:

    Вы можете открыть WANIPCn.xml в той же службе http и в том же местоположении порта TCP, из которого вы получили rootDesc.xml файл. Файл WANIPCn.xml определяет различные доступные действия, и он часто включает следующие примеры действий:

    • AddPortMapping
    • GetExternalIPAddress
    • DeletePortMapping
    • GetStatusInfo
    • GetGenericPortMappingEntry
    • GetSpec84 каждое из этих действий
    • быть списком аргументов. Этот список аргументов определяет значения аргументов, которые могут быть отправлены через сообщения протокола простого доступа к объектам (SOAP) на управляющий URL-адрес по адресу http: // 192.168.2.74: 5555 / ctl / IPConn, который используется для настройки параметров или получения статуса на устройстве маршрутизатора. SOAP - это спецификация обмена сообщениями, в которой для обмена информацией используется формат расширяемого языка разметки (XML).

      Ниже представлена ​​пара захваченных сообщений SOAP, первое из которых показывает AddPortMapping. Это настроит сопоставление портов на маршрутизаторе с IP-адресом 192.168.1.1. В этом случае добавляется порт TCP 1234, и он настроен для сопоставления интернет-стороны маршрутизатора с внутренним IP-адресом 192.168.1.241, поэтому любой, кто подключается к TCP-порту 1234 на внешнем IP-адресе маршрутизатора, будет подключен к порту 1234 на внутреннем хосте по адресу 192.168.1.241.

      В следующем захваченном сообщении SOAP показано действие DeletePortMapping, используемое для удаления сопоставления портов, созданного в приведенном выше сообщении SOAP:

      В заключение этого простого введения в службы UPnP, SSDP и переадресации портов я настоятельно рекомендую вам это сделать. не экспериментируйте на своем личном маршрутизаторе с выходом в Интернет или модеме DSL, где вы можете повлиять на состояние безопасности вашей домашней сети.Но я рекомендую вам настроить тестовую среду. Это легко сделать с помощью любого обычного домашнего маршрутизатора или точки доступа Wi-Fi с услугами маршрутизатора. Их часто можно купить использованными, или у вас может даже быть один, который вы обновили. Удивительно, насколько просто изменить маршрутизатор с помощью этих служб UPnP путем отправки сообщений SOAP, и я надеюсь, что вы воспользуетесь этим введением и поиграете с этими службами, чтобы еще больше расширить свои знания в этой области. Если вам нужны дополнительные инструменты для экспериментов со службами переадресации портов, вы можете использовать UPnP IGD SOAP Port Mapping Utility в Metasploit для создания и удаления этих сопоставлений портов.

      Но я слышал, как он воскликнул, прежде чем он скрылся из виду-
      Счастливого Рождества всем и всем хорошей ночи UPnP

      НИКОГДА НЕ ПРОПУСТИТЕ БЛОГ

      Получайте самые свежие истории, опыт и новости о безопасности сегодня.

      Подписаться

      Другие блоги HaXmas

      Открытие портов для NAT с использованием NAT-PMP и UPnP IGD / Sudo Null IT News

      Раньше я много раз слышал, что UPnP каким-то образом может независимо открывать порты (выполнять перенаправление портов на маршрутизаторе) по запросу от хост из локальной сети.Однако то, как именно это происходит и какие протоколы для этого используются, до сих пор оставалось для меня завесой тумана.

      В этой статье я хочу кратко описать, как работают два механизма переадресации портов, а именно NAT Port Mapping Protocol и Internet Gateway Device (IGD) Protocol , который является частью набора протоколов UPnP. К своему удивлению, я обнаружил, что информации по этому поводу в Рунете более чем скудно, что и побудило меня написать эту заметку.

      Для начала дам краткий FAQ:

      Q: Для чего нужны эти протоколы?
      A: Чтобы создать правило для перенаправления определенного порта TCP / UDP (перенаправление портов) на маршрутизаторе, не вручную, а «автоматически», то есть по запросу от хоста во внутренней сети.

      Q: Как это реализовано?
      A: Устройство за NAT отправляет маршрутизатору запрос с указанием номеров внутренних и внешних портов и типа протокола (TCP / UDP).Если указанный внешний порт свободен, маршрутизатор формирует для себя правило широковещательной передачи и сообщает запрашивающему компьютеру об успешном завершении запроса.

      Q: Проверяет ли маршрутизатор / авторизует запросы на открытие порта?
      A: Нет, не проводился.

      Теперь рассмотрим подробнее работу этих протоколов (под катом).

      Протокол сопоставления портов

      NAT-PMP описан в RFC 6886. Для своей работы он использует порт UDP сервера 5351.

      Рассмотрим протокол на конкретном примере - торрент-клиент Vuze 5.7 для Windows 7.

      Примечание: NAT-PMP в Vuze по умолчанию отключен. Его необходимо активировать в настройках плагина.

      1. Запустите Wireshark. В строке фильтра введите nat-pmp
      2. Запускает Vuze.
      3. Остановите захват пакетов, посмотрите результаты.

      Получил следующее:

      Всего видим 6 пакетов (3 запроса и 3 ответа).

      Первые 2 - это запрос внешнего адреса маршрутизатора и ответ, указывающий этот адрес.Мы не будем на них подробно останавливаться и лучше рассмотрим, как происходит отображение портов на примере пакетов 3-4.

      Запрос:

      Здесь мы видим, что сделан запрос на переадресацию внешнего UDP-порта 48166 на тот же внутренний порт. Интересно, что протокол не указывает адрес хоста, на который должна происходить трансляция (Inside Local в терминологии Cisco). Это означает, что маршрутизатор должен взять адрес источника пакета из IP-заголовка и использовать его как внутренний локальный.

      Ожидается, что параметр Срок действия запрошенного сопоставления портов будет означать время жизни записи в таблице преобразования.

      Ответ:

      Как мы видим, маршрутизатор предположительно создал запрошенную широковещательную рассылку и ответил кодом Success . Параметр секунд с начала эпохи означает время, прошедшее с момента инициализации таблицы трансляции (т. Е. С момента последней перезагрузки маршрутизатора).

      Сопоставление портов TCP происходит точно так же и отличается только значением поля Opcode .

      После того, как приложение перестанет использовать эти порты, оно может отправить запрос маршрутизатору на удаление широковещательной рассылки.
      Основное различие между запросом на удаление и запросом на создание заключается в том, что параметр Lifetime установлен в ноль.

      Вот что произойдет, если мы закроем Vuze.

      Запрос:

      Ответ:

      Это конец обзора NAT-PMP; Предлагаю перейти к несколько более сложному UPnP IGD.

      Протокол интернет-группы устройств

      Этот протокол использует SOAP для обмена сообщениями.

      Однако, в отличие от NAT-PMP, IGD не использует фиксированный номер порта сервера, поэтому перед обменом сообщениями вы должны сначала узнать этот порт. Это делается с использованием протокола SSDP (этот протокол является частью UPnP и используется для обнаружения служб).

      Запускаем торрент клиент. Он генерирует запрос SSDP и отправляет его на многоадресный адрес 239.255.255.250.

      Маршрутизатор формирует ответ и отправляет его уже одноадресно:

      Внутри ответа мы видим URL для взаимодействия с маршрутизатором по протоколу IGD.

      Затем Vuze подключается к маршрутизатору по указанному URL-адресу и получает XML с информацией об этом устройстве, включая набор URI для управления некоторыми функциями маршрутизатора. После того, как нужный URI найден в rootDesc.xml, Vuze отправляет запрос SOAP для создания трансляции NAT для найденного URI.

      Примечание: перед тем, как запросить создание широковещательной рассылки, Vuze заставил маршрутизатор перечислить все доступные перенаправления портов. Почему это было сделано, могу только догадываться.

      SOAP-запрос для создания трансляции порта UDP:

      Как упоминалось ранее, Vuze взял требуемый URI (сразу после POST) из rootDesc.xml. Чтобы добавить перевод, используйте функцию под названием AddPortMapping .

      Также можно отметить, что, в отличие от NAT-PMP, внутренний локальный адрес указывается внутри самого протокола.

      Аналогично NAT-PMP, при закрытии торрент-клиента удаляются сопоставления перенаправленных портов. Это делается функцией DeletePortMapping :

      Вы можете заметить, что для удаления правила достаточно указать только тип протокола (UDP) и номер внешнего порта, без указания остальных параметров.

      Заключение

      В этой статье мы рассмотрели два довольно простых способа создания правил переадресации портов на домашнем маршрутизаторе с помощью команды с хоста в локальной сети. Остается только заметить, что если вы считаете работу этих протоколов угрозой безопасности вашей домашней сети, вы можете попробовать отключить их (хотя, конечно, гораздо лучше доверить вопросы безопасности утилите, которая для этого предназначен - межсетевой экран). В случае с моим Zyxel Giga II, на котором, кстати, проводились все тесты, это делается с помощью CLI-команды no service upnp (примечательно, что опция включения / отключения UPnP недоступна в веб интерфейс).

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *