18.2  Universal Plug-and-Play (UPnP)

WinRoute obsahuje podporu protokolu UPnP (Universal Plug-and-Play). Tento protokol umožňuje klientské aplikaci (např. Microsoft MSN Messenger) detekovat firewall a vyžádat si otevření (mapování) potřebných portů z Internetu na příslušný počítač v lokální síti. Toto mapování je vždy pouze dočasné — platí buď do uvolnění portů samotnou aplikací (pomocí zpráv protokolu UPnP) nebo do vypršení určitého časového limitu.

Požadovaný port nesmí kolidovat s žádným existujícím mapovaným portem a s žádným komunikačním pravidlem povolujícím přístup z Internetu na firewall. Při nesplnění těchto podmínek bude UPnP požadavek na mapování portu zamítnut.

Konfigurace podpory protokolu UPnP

Konfigurace UPnP se provádí v sekci Konfigurace → Další volby, záložka Bezpečnostní volby.

Nastavení podpory UPnP (sekce Konfigurace → Další volby, záložka Bezpečnostní volby)

Obrázek 18.3. Nastavení podpory UPnP (sekce Konfigurace → Další volby, záložka Bezpečnostní volby)


Povolit UPnP

Zapnutí funkce UPnP.

Upozornění

Je-li WinRoute provozován na operačním systému Windows XP, Windows Server 2003, Windows Vista nebo Windows Server 2008, pak se před zapnutím funkce UPnP přesvědčte, že nejsou spuštěny tyto systémové služby:

  • Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery Service)

  • Hostitel zařízení UPnP (Universal Plug and Play Device Host)

Pokud ano, vypněte je a zakažte jejich automatické spuštění. Tyto dvě služby obsluhují protokol UPnP ve Windows, a proto nemohou být spuštěny současně s funkcí UPnP ve WinRoute.

Poznámka: Instalační program WinRoute uvedené služby detekuje a nabízí jejich zastavení a zakázání.

Zaznamenat pakety

Po zapnutí této volby budou do záznamu Filter (viz kapitola 22.9  Záznam Filter) zaznamenány všechny pakety procházející přes porty mapované pomocí UPnP.

Zaznamenat spojení

Po zapnutí této volby budou do záznamu Connection (viz kapitola 22.5  Záznam Connection) zaznamenána všechna spojení procházející přes porty mapované pomocí UPnP.

Upozornění

UPnP představuje nejen užitečnou funkci, ale také poměrně značnou bezpečnostní hrozbu — zejména v síti s velkým počtem uživatelů může dojít k téměř nekontrolovatelnému ovládání firewallu. Správce WinRoute by měl dobře zvážit, zda je důležitější bezpečnost nebo funkčnost aplikací vyžadujících UPnP.

Pomocí komunikačních pravidel (viz kapitola 7.3  Definice vlastních komunikačních pravidel) je také možné omezit používání UPnP pouze z vybraných IP adres nebo pouze určitým uživatelům.

Příklad:

Komunikační pravidla pro povolení UPnP vybraným počítačům

Obrázek 18.4. Komunikační pravidla pro povolení UPnP vybraným počítačům


První pravidlo povolí používání UPnP pouze ze skupiny IP adres Klienti UPnP. Druhé pravidlo zakáže používání UPnP ze všech ostatních počítačů (IP adres).