就像照明开关或ON按钮，通用随插即用(Universal Plug and Play，UPnP)和谈是终端用户在收集设备平常利用中最常常利用的，但也是常常被忽视的。与广义的即插即用不合，UPnP承诺收集设备经由过程IP彼此连接，而不需要终端用户的任何建设。例如，当用户插进一台计较机到以太网LAN，UPnP是最有可能用于设备发现的和谈。

　　简单地把设备插进，不需要终端用户进行任何建设便可让它正常运作，这能给终端用户带来更好的体验。但是，UPnP和谈最大年夜的优势可能也是其最大年夜的弱点。缝隙治理供给商Rapid7的研究人员发现，数百万终端用户设备会响应来自互联网的UPnP发现要求，这个简单而深切的发现进步了人们对UPnP安然风险的熟谙。所以对企业来讲，UPnP安然吗?

　　UPnP安然风险

　　凡是环境下，UPnP是连络动态主机建设和谈(DHCP)办事器利用，当然它其实不必然需要这个办事器。在DHCP为中间的架构中，终端用户可能经由过程任何收集承诺的媒介插进设备，假定该终端设备启用了DHCP，该设备将会当即广播简单办事发现和谈动静，以定位DHCP办事器。

　　假定DHCP办事器被找到，将会进行信息互换，终端设备将分派一个IP地址。假定DHCP没有被找到，终端设备凡是会被建设为承诺它主动建设IP地址，但不克不及与收集上一样也是主动建设IP地址的其他设备相冲突。

　　当来自互联网的合法利用法度试图进进某个的收集时，UPnP供给端口映照功能，承诺这些设备在防火墙穿过收集地址转换机制。这凡是在简单对象拜候和谈(SOAP)呵护下进行，UPnP这个基于 XML 的和谈与HTTP动静连络利用毫无标题问题。之前人们觉得UPnP带来良多便当，而不是缝隙， 但是Rapid7对该功能进行了研究，其研究成果引发安然专业人士的发急。这类发急首要环绕两个首要标题问题。

　　起首， HTTP动静几近都是经由过程TCP端口80来互换。在企业级的防火墙凡是会承诺端口80的收集流量，启事在于大年夜大都连接互联网的企业收集都有某种Web办事器可供公家拜候，所以TCP端口80凡是是开放的。

　　其次，UPnP不是特定供给商的和谈，所以，任何修复法度、减缓或更新不是来自某个集中存储库而随后推送到终端用户处。这些修复法度将由不合供给商发布，但在向后兼容性、跨平台功能和整体功能等标题问题上，很少有人往解决。

　　这看起来很毒手。从企业的角度来看，明智的收集治理员应当在可行的环境下，禁用所有UPnP功能。除非治理员的收集要利用收集德律风(VoIP )或其他需要端口转发的办事(例如收集地址转换、SSH通道等)，不然都应当禁用UPnP来避免不需要的风险，直到在收集和IT安然行业的巨擘合作提出可行解决编制。