就像照明開關(guān)或者ON按鈕，通用隨插即用(Universal Plug and Play，UPnP)協(xié)議是終端用戶在網(wǎng)絡(luò)設(shè)備日常使用中最常用的，但也是經(jīng)常被忽視的。與廣義的即插即用不同，UPnP允許網(wǎng)絡(luò)設(shè)備通過IP相互連接，而不需要終端用戶的任何配置。例如，當用戶插入一臺計算機到以太網(wǎng)LAN，UPnP是最有可能用于設(shè)備發(fā)現(xiàn)的協(xié)議。

簡單地把設(shè)備插入，不需要終端用戶進行任何配置就可以讓它正常運作，這能給終端用戶帶來更好的體驗。然而，UPnP協(xié)議最大的優(yōu)勢可能也是其最大的弱點。漏洞管理供應(yīng)商Rapid7的研究人員發(fā)現(xiàn)，數(shù)百萬終端用戶設(shè)備會響應(yīng)來自互聯(lián)網(wǎng)的UPnP發(fā)現(xiàn)請求，這個簡單而深刻的發(fā)現(xiàn)提高了人們對UPnP安全風險的認識。所以對企業(yè)來說，UPnP安全嗎?

UPnP安全風險

通常情況下，UPnP是結(jié)合動態(tài)主機配置協(xié)議(DHCP)服務(wù)器使用，雖然它并不一定需要這個服務(wù)器。在DHCP為中心的架構(gòu)中，終端用戶可能通過任何網(wǎng)絡(luò)允許的媒介插入設(shè)備，如果該終端設(shè)備啟用了DHCP，該設(shè)備將會立即廣播簡單服務(wù)發(fā)現(xiàn)協(xié)議消息，以定位DHCP服務(wù)器。

如果DHCP服務(wù)器被找到，將會進行信息交換，終端設(shè)備將分配一個IP地址。如果DHCP沒有被找到，終端設(shè)備通常會被配置為允許它自動配置IP地址，但不能與網(wǎng)絡(luò)上同樣也是自動配置IP地址的其他設(shè)備相沖突。

當來自互聯(lián)網(wǎng)的合法應(yīng)用程序試圖進入某個的網(wǎng)絡(luò)時，UPnP提供端口映射功能，允許這些設(shè)備在防火墻穿過網(wǎng)絡(luò)地址轉(zhuǎn)換機制。這通常在簡單對象訪問協(xié)議(SOAP)保護下進行，UPnP這個基于 XML 的協(xié)議與HTTP消息結(jié)合使用毫無問題。以前人們認為UPnP帶來很多便利，而不是漏洞， 然而Rapid7對該功能進行了研究，其研究結(jié)果引起安全專業(yè)人士的恐慌。這種恐慌主要圍繞兩個主要問題。

首先， HTTP消息幾乎都是通過TCP端口80來交換。在企業(yè)級的防火墻通常會允許端口80的網(wǎng)絡(luò)流量，原因在于大多數(shù)連接互聯(lián)網(wǎng)的企業(yè)網(wǎng)絡(luò)都有某種Web服務(wù)器可供公眾訪問，所以TCP端口80通常是開放的。

其次，UPnP不是特定供應(yīng)商的協(xié)議，所以，任何修復程序、緩解或者更新不是來自某個集中存儲庫而隨后推送到終端用戶處。這些修復程序?qū)⒂刹煌?yīng)商發(fā)布，但在向后兼容性、跨平臺功能和整體功能等問題上，很少有人去解決。

這看起來很棘手。從企業(yè)的角度來看，明智的網(wǎng)絡(luò)管理員應(yīng)該在可行的情況下，禁用所有UPnP功能。除非管理員的網(wǎng)絡(luò)要使用網(wǎng)絡(luò)電話(VoIP )或其他需要端口轉(zhuǎn)發(fā)的服務(wù)(例如網(wǎng)絡(luò)地址轉(zhuǎn)換、SSH通道等)，否則都應(yīng)該禁用UPnP來避免不必要的風險，直到在網(wǎng)絡(luò)和IT安全行業(yè)的巨頭合作提出可行解決辦法。