Nettverkssikkerhet – 14 verktøy som beskytter deg og ruteren din

Du vet den greia som er koblet til bredbåndsstikket ditt? Den har Wi-Fi-nøkkelen trykt på seg, og du starter den på nytt når bredbåndet dør.

Ruteren er den viktigste elektroniske enheten i hjemmet ditt, og styrer hva som kan passere inn og ut av hjemmenettverket.

Den er portvakten mellom det trygge interne nettverksmiljøet og det uregulerte internettets ville vesten – og det er ofte forsømt og ekstremt usikkert.

Din ydmyke hjemmerouter

Dessverre er de fleste rutere som internettleverandørene (ISP-er) leverer som en del av kontrakten din, designet og levert med fokus på budsjett, ikke effektivitet og sikkerhet. Selv enheter som kan gjøre en grei jobb, har sannsynligvis usikre standardkonfigurasjoner eller bakdører og feilaktig fastvare – engelsk firmware”.

Alle moderne rutere har brannmurfunksjonalitet. Hvor enkelt det er for brukeren å få tilgang til brannmuren og endre innstillingene, varierer fra produsent til produsent. I noen tilfeller kan brukeren ikke engang se brannmurinnstillingene. De leveres som en svart boks, konfigurert i et format som passer alle.

De som tillater endringer i konfigurasjonen, forteller sjelden sluttbrukerne at det er mulig. Selv i de sjeldne tilfellene der brukeren blir informert om hvordan han eller hun får tilgang til brannmurinnstillingene, er det sjelden hjemmebrukere som benytter seg av dette.

Hvis det uregulerte Internett er ville vesten, er brannmuren din sheriffen. Den må være riktig utstyrt og ha tilstrekkelige fullmakter til å utføre sin rolle. Ellers kan hvem som helst eller hva som helst ta seg inn i nettverket ditt.

Og det kan inkludere arbeidsgiveren din.

Les den lille skriften

Mange organisasjoner skriver i ansettelseskontrakter, retningslinjer for akseptabel bruk eller retningslinjer for IT-sikkerhet at de forbeholder seg retten til å skanne alt som er koblet til bedriftens nettverk. Det høres greit nok ut. Det er deres nettverk, og de må sørge for at det er sikkert. Selvsagt skal de sjekke hva som er koblet til det.

Men med den utbredte overgangen til hjemmearbeid som følge av covid-19-pandemien, er det flere ansatte enn noensinne som kobler seg til bedriftsnettverket fra hjemmenettverket. Bedriftene bruker programvare for portskanning og penetrasjonstesting til å undersøke nettverket på jakt etter sårbarheter, akkurat slik trusselaktører gjør.

Hvis arbeidsgiverne dine oppdager sårbarheter i ruteren og nettverket ditt hjemme, vil de selvsagt ikke infisere deg med ransomware. Men vissheten om at noen har testet ruterens forsvarsverk – den digitale ekvivalenten til å rasle med dørene, prøve vinduene og lete etter nøkkelen under matten – kan likevel gi deg en følelse av ubehag og bitterhet.

Det første spørsmålet du sikkert stiller, er om de har lov til å gjøre det. Hvis det er nedfelt i en policy eller et kontraktsdokument som du er underlagt, og du ble introdusert for den relevante policyen under introduksjonen og når den ble endret og utgitt på nytt, ja, da kan de gjøre det. Uten en slik erklæring kan de ikke gjøre det. Det er ulovlig å utføre portskanning og penetrasjonstesting i noens nettverk uten deres samtykke, selv om du har gode hensikter.

Derfor sier vi at du må lese det som står med liten skrift. En slik erklæring kan være gjemt i et policydokument som gjelder for deg. Men selv om det er slik at organisasjonen din kan gjøre dette, ville det være høflig og respektfullt av dem å varsle deg først.

Det er ikke vanskelig å sende ut en kort melding om at det skal utføres en godartet ekstern skanning av hjemmearbeidernes nettverk for å sikre at de er sikre nok til å koble seg til bedriftsnettverket. Og det gjør en stor forskjell for arbeidsmoralen. Men dessverre blir en slik forklaring ofte ikke gitt i det hele tatt.

Slik gjør du din ruter sikrere

Uansett hvem som prøver å ta seg inn, hva kan du gjøre for å styrke forsvaret og gjøre ruteren din så ugjennomtrengelig som mulig? Hva du kan gjøre, avhenger av produsenten og modellen av ruteren din, men det bør være noe for alle på denne listen.

Administrasjonsgrensesnittet, menyene og innstillingene varierer fra merke til merke og modell til modell, så vi kan ikke gi deg en trinnvis veiledning. Men det bør ikke være så vanskelig å finne de riktige innstillingene i ruteren din for elementene på listen vår – hvis du har tilgang til dem. Hvis Internett-leverandøren din har låst enheten og hindret deg i å få tilgang til de viktige innstillingene, se punkt 1.

1. Er ruteren din fra internett-leverandøren dårlig?

Generelt er rutere som leveres av internett-tilbydere, mindre sikre enn rutere som selges direkte til forbrukere – ofte av de samme produsentene. Det er vanlig med hardkodede bakdører, og sikkerhetsoppdateringer og oppgraderinger av fastvaren kommer ofte mye senere enn rettelser og oppdateringer for modeller som selges direkte til forbrukerne. Årsaken er at fastvaren i rutere som leveres av internett-leverandører, er tilpasset den aktuelle leverandøren, og de trenger tilpassede oppdateringer.

Det er ingenting i veien for å kjøpe din egen ruter og bruke den i stedet. Behold den du har fått fra internett-leverandøren, og bruk den som reserve. Hvis du har problemer med bredbåndet ditt og lurer på om det er et problem med ruteren eller den eksterne bredbåndsinfrastrukturen, kan du sette inn ruteren fra internett-leverandøren og se om problemet forsvinner. Hvis det gjør det, er det ruteren som er problemet, hvis ikke er det et eksternt problem.

2. Endre standard administratorpassord

Siden mange rutere forlater fabrikken med standard administratorpassord, er dette en åpen dør for trusselaktører. Skanneprogramvaren deres vil forsøke å identifisere ruterens merke og modell – ved å undersøke metadataene i ruterens svar på undersøkelsene – og slå opp standard administratorlegitimasjon.

Første gang du kobler til ruteren for å konfigurere den, bør du endre administratorpassordet til et sikkert og robust passord. Eller, enda bedre, til en passordfrase, for eksempel tre ord forbundet med tegnsetting. Og når du først er i gang, sørg for at administratorens nettgrensesnitt ikke er tilgjengelig fra internett. Du skal ikke fjernadministrere ruteren din, så ikke gi noen andre muligheten til det.

3. Bruk en ruter som støtter VPN

Hvis du absolutt trenger ekstern tilgang til ruteren din, bør du bruke en ruter som støtter VPN-tilkoblinger (Virtual Private Network). Begrens VPN-tilkoblinger til de som står på en liste over godkjente IP-adresser eller til et IP-adresseområde. Hvis du vet at du kan få behov for VPN-tilgang til ruteren fra kontoret, bør du legge til kontoret ditt på listen over IP-adresser som er godkjent.

4. Gå inkognito, selv hjemme

Selv når du kobler til ruteren fra nettverket ditt, er det lurt å bruke anonym surfing, inkognitomodus eller det navnet nettleseren din bruker for å surfe med hukommelsestap. På denne måten lagrer ikke nettleseren din legitimasjon eller IP-adresser som andre kan bruke på datamaskinen din for å få tilgang til ruteren.

La aldri nettleseren huske påloggingsinformasjonen til ruteren. Det er opp til deg å huske dem og skrive dem inn hver gang. Eller bruk en passordbeskyttet passordadministrator.

5. Godta bare tilkoblinger fra en bestemt IP-adresse

Noen rutere kan bindes slik at de godtar administratortilkoblinger fra én lokal IP-adresse og avviser tilkoblinger fra andre steder. Hvis du skal gjøre dette, bør du bruke en IP-adresse som ikke er en del av DHCP-poolen (Dynamic Host Configuration Protocol). For, hvis datamaskinen mister IP-adressen, leaser den og får tildelt en ny IP-adresse – av ruteren! – så får du ikke tilgang til ruteren.

6. Bruk et robust Wi-Fi-passord

Velg et robust Wi-Fi-passord og bruk enhetens sterkeste krypteringsinnstilling. De nyeste ruterne kan støtte Wi-Fi Protected Access 3 (WPA3), men de fleste er begrenset til Wi-Fi Protected Access 2 (WPA2).

7. Slå av WPS

Slå av Wi-Fi Protected Setup (WPS). Hensikten med WPS var å gjøre det enklere for ikke-tekniske brukere å konfigurere Wi-Fi og koble til Wi-Fi-nettverk. Den ble sjelden brukt og inneholdt en sårbarhet som gjorde det mulig for trusselaktører å kompromittere Wi-Fi-nettverk.

Oppdateringer og rettelser ble lansert, men ikke alle modeller ble oppdatert, og ikke alle produsenter reagerte på problemet. Det er tryggest å slå den av og bruke en kablet tilkobling for konfigurering.

8. Slå av tjenester du ikke bruker

Rutere støtter alle mulige protokoller og tilkoblingstyper. Du trenger dem sannsynligvis ikke, så det er bare å stenge dem ned. Jo færre dører og vinduer en bygning har, desto vanskeligere er det for en innbruddstyv å komme seg inn. Det samme gjelder ruteren din. Steng alle porter og åpne bare de du bruker. Jo færre tilkoblingstyper den godtar, desto tryggere er du.

Du kan slå av tjenester som Ping, Telnet, Universal Plug and Play (UPnP), Secure Shell (SSH) og Home Network Administration Protocol (HNAP).

9. Ikke bruk skybasert ruteradministrasjon

Hvis ruteren din støtter dette, bør du slå den av. Du vil ikke at ruteren skal snakke med produsentens sky (en. “cloud”). Det legger enda et lag mellom deg og ruteren som du må stole på. Du skal administrere ruteren lokalt, så slå av denne funksjonen.

10. Oppdater ruteren regelmessig

Du er vant til å få oppdateringer til datamaskinen din, og smarttelefonen din får oppdateringer og rettelser etter hvert som sårbarheter oppdages og utbedres. Nøyaktig den samme prosessen skjer også med ruteren din. Det er en manuell prosess for de fleste rutere, men noen kan stilles inn til å “ringe hjem” med jevne mellomrom og se etter oppdateringer.

Hvis du skal gjøre manuelle oppdateringer, bør du sjekke produsentens supportside for ruteren din. En gang i måneden er sannsynligvis nok.

11. Kontroller Wi-Fi-tilgang

Mange rutere lar deg konfigurere en liste over enhetsidentiteter som kalles MAC-adresser (Media Access Control). Disse er unike for hver enkelt enhet i nettverket. Det betyr at bare gjenkjente og autoriserte enheter kan koble seg til Wi-Fi-nettverket.

Konfigurer et gjeste-Wi-Fi for besøkende hvis ruteren din tillater det. Det gir besøkende Wi-Fi-tilgang til Internett uten å avsløre eller eksponere andre enheter i nettverket.

12. Segmenter nettverket

Noen rutere av forbrukerkvalitet har mulighet til å konfigurere virtuelle lokale nettverk (VLAN) inne i andre nettverk. Du kan for eksempel isolere IoT-enheter (Internet of Things) fra resten av nettverket.

IoT-enheter er notorisk usikre. Mange av dem bryter de mest grunnleggende sikkerhetstiltakene, som å eksponere seg for Internett med ubeskyttede protokoller og administratorpassord som ikke kan endres. Å holde dem adskilt i et eget VLAN er en god måte å holde dem i sjakk på.

13. Endre DNS-innstillingene

Endre innstillingene for domenenavnsystemet slik at de ikke bruker standardverdiene fra Internett-leverandøren.

Velrespekterte tjenester du kan bruke er:

  • OpenDNS: 208.67.220.220 or 208.67.222.222
  • Google DNS: 8.8.8.8 or 8.8.4.4
  • Cloudflare: 1.1.1.1 or 1.0.0.1

14. Vurder tilpasset fastvare for ruteren din

Avanserte brukere kan vurdere å fjerne produsentens fastvare (en. “firmware”) og erstatte den med et gratis alternativ med åpen kildekode. Disse er vanligvis basert på Linux- eller Berkeley Software Distribution (BSD)-distribusjoner. De kan være sikrere, mer omfattende og konfigurerbare enn produsentens standardfastvare, og støtter ofte VPN-protokoller.

To av de mest kjente er OpenWRT og DD-WRT, men det finnes mange andre alternativer. Disse samfunnsstøttede prosjektene er ofte raskere enn produsentene til å lansere oppdateringer og rettelser.

La oss være helt klare på det: Det krever teknisk ekspertise å “flashe” fastvaren. Hvis du gjør det på en ruter innenfor supportsyklusen, vil det gjøre garantien ugyldig. Og i verste fall kan du “bricke” enheten og gjøre den helt ubrukelig. Sørg for at du vet hva du gjør før du går i gang eller søker teknisk assistanse.

Oppsummert

Ruteren er bindeleddet mellom deg og omverdenen – det er derfor avgjørende å være oppmerksom på dette området når det gjelder nettsikkerhet!

Avhengig av hvilke nettverks- og tilkoblingsbehov du har, hvilket merke ruteren er av, hvor fleksibel ruteren og brannmurinnstillingene er, og hvor teknisk komfortabel du er, bør du gjennomføre så mange av disse trinnene som mulig for å sikre hjemmet ditt mot digitale angrep.

Og snoking fra arbeidsgiverne dine!

Marshall Gunnell

Marshall er en erfaren teknisk forfatter og spillentusiast basert i Tokyo. Han er en profesjonell ordkunstner med hundrevis av artikler publisert på VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier, og mye mer. Hans skriving har nådd et massivt publikum på over 70 millioner lesere.