Du vet den där saken som är ansluten till ditt bredbandsuttag? Den har Wi-Fi-nyckeln tryckt på sig, och du startar om den när ditt bredband dör.
Din router är den viktigaste elektroniska enheten i ditt hem, eftersom den kontrollerar vad som kan passera in och ut från ditt hemnätverk.
Den är portvakten mellan din trygga interna nätverksmiljö och det oreglerade internets vilda västern – och den är ofta försummad och extremt osäker. Här får du information om hur du skyddar din router från digitala attacker.
Din enkla router för hemmet
Tyvärr är de flesta routrar som levereras av Internetleverantörer (ISP) som en del av ditt avtal utformade och levererade med fokus på budget, inte effektivitet och säkerhet. Även enheter som skulle kunna göra ett hyfsat jobb har sannolikt osäkra standardkonfigurationer eller till och med bakdörrar och buggig firmware.
Alla moderna routrar har brandväggsfunktionalitet. Hur lätt det är för användaren att få åtkomst till brandväggen och ändra inställningarna varierar från tillverkare till tillverkare. I vissa fall kan användaren inte ens se brandväggens inställningar. De levereras som en svart låda, konfigurerade i ett format som passar alla.
De som tillåter ändringar i konfigurationen berättar sällan för sina slutanvändare att det är möjligt. Även i de sällsynta fall där användaren informeras om hur man kommer åt brandväggsinställningarna utnyttjar de inhemska användarna sällan detta.
Om det oreglerade internet är vilda västern, är din brandvägg sheriffen. Den måste vara rätt utrustad och ha rätt befogenheter för att kunna utföra sin roll korrekt. Annars kan vem som helst eller vad som helst ta sig in i ditt nätverk.
Och det kan inkludera din arbetsgivare.
Läs det finstilta
Många organisationer inkluderar ett avsnitt i anställningsavtal, sin policy för godtagbar användning eller sin IT-säkerhetspolicy om att de förbehåller sig rätten att skanna allt som är anslutet till företagets nätverk. Det låter ju rimligt. Det är deras nätverk och de måste hålla det säkert. Naturligtvis kommer de att kontrollera vad som är anslutet till det.
Men i och med den omfattande övergången till hemarbete till följd av covid-19-pandemin ansluter fler anställda än någonsin tidigare till företagets nätverk från sina hemnätverk. Organisationer använder programvara för portskanning och penetrationstestning för att undersöka ditt nätverk och leta efter sårbarheter precis som hotaktörer gör.
Om dina arbetsgivare upptäcker sårbarheter i din router och ditt nätverk hemma kommer de naturligtvis inte att infektera dig med ransomware. Men vetskapen om att någon har testat din routers försvar – den digitala motsvarigheten till att skramla med dörrarna, prova fönstren och leta efter nyckeln under mattan – kan ändå få dig att känna dig obekväm och upprörd.
Den första frågan du säkert ställer dig är om de har rätt att göra så. Om det är inskrivet i en policy eller ett avtalsdokument som du styrs av, och du fick ta del av den relevanta policyn under din introduktion och när den ändrades och utfärdades på nytt, ja, då får de göra det.
Utan en sådan förklaring, nej, det kan de inte. Det är olagligt att utföra portskanning och penetrationstester i någons nätverk utan att först ha fått deras godkännande, även om dina avsikter är goda.
Det är därför vi säger att du ska läsa det finstilta. En sådan förklaring kan finnas undangömd i ett policydokument som gäller för dig. Men även om det är så att din organisation kan göra detta, skulle det bara vara artigt och respektfullt av dem att varna dig först.
En kort kommuniké som förklarar att en godartad fjärrskanning kommer att utföras på hemarbetarnas nätverk för att säkerställa att de är tillräckligt säkra för att ansluta till företagets nätverk är inte svår att sammanställa. Och det gör en enorm skillnad för arbetsmoralen. Men tyvärr är det vanligt att en sådan förklaring inte ges alls.
Så gör du din router säkrare
Oavsett vem som försöker ta sig in, vad kan du göra för att stärka ditt försvar och göra din router så ogenomtränglig som möjligt? Vad du kan göra beror på tillverkaren och modellen av din router, men det bör finnas åtminstone något på den här listan för alla.
Det administrativa gränssnittet, menyerna och inställningarna varierar från fabrikat till fabrikat och modell till modell, så vi kan inte ge dig en steg-för-steg-guide. Men att hitta lämpliga inställningar i din router för objekten i vår lista borde inte vara alltför knepigt – om du får komma åt dem. Om din Internetleverantör har låst enheten och hindrat dig från att komma åt de kritiska inställningarna, se punkt 1.
1. Är din ISP-router skräp?
I allmänhet är routrar som tillhandahålls av Internetleverantörer mindre säkra än de som säljs direkt till konsumenter – ofta av samma tillverkare. Hårdkodade bakdörrar är vanliga, och säkerhetskorrigeringar och uppgraderingar av inbyggd programvara kommer ofta mycket senare än korrigeringarna och korrigeringarna för de modeller som säljs direkt till konsumenter. Det beror på att den inbyggda programvaran i routrar som tillhandahålls av Internetleverantörer är anpassad för just den Internetleverantören, och de behöver anpassade korrigeringar.
Det finns inget som hindrar att du köper en egen router och använder den istället. Behåll den som din Internetleverantör skickade till dig och använd den som reserv. Om du har problem med ditt bredband och undrar om det är ett problem med routern eller ett problem i den externa bredbandsinfrastrukturen, kan du sätta in ISP-routern och se om problemet försvinner. Om det gör det är problemet med din router, om det inte gör det är problemet externt.
2. Ändra standardlösenordet för administratör
Eftersom många routrar lämnar fabriken med standardadministratörslösenord är det en öppen dörr för hotaktörer. Deras skanningsprogramvara kommer att försöka identifiera routerns märke och modell – genom att undersöka metadata i routerns svar på deras sonderingar – och leta upp standardadministratörens autentiseringsuppgifter.
Första gången du ansluter routern för att konfigurera den ska du ändra administratörslösenordet till ett säkert och robust lösenord. Eller ännu hellre en lösenfras, t.ex. tre ord som är sammankopplade med skiljetecken. Och när du ändå håller på, se till att administratörens webbgränssnitt inte är tillgängligt från internet. Du kommer inte att utföra fjärradministration på din router, så ge inte någon annan chansen.
3. Använd en router som stöder VPN
Om du verkligen, verkligen behöver ha fjärråtkomst till din router, använd en router som stöder VPN-anslutningar (Virtual Private Network). Begränsa VPN-anslutningar till de som finns på en lista över godkända IP-adresser eller till ett IP-adressintervall. Om du vet att du kan behöva VPN-ansluta till din router från ditt kontor lägger du till ditt kontor bland de vitlistade IP-adresserna.
4. Gå inkognito även hemma
Även när du ansluter till din router inifrån ditt nätverk är det bra att använda anonym surfning, inkognitoläge eller vilket namn din webbläsare använder för minneslös surfning. På så sätt cachar inte webbläsaren några autentiseringsuppgifter eller IP-adresser som andra kan använda på din dator för att komma åt din router.
Låt aldrig webbläsaren komma ihåg autentiseringsuppgifterna för routern. Det är upp till dig att komma ihåg dem och ange dem varje gång. Eller använd en lösenordsskyddad lösenordshanterare.
5. Acceptera endast anslutningar från en specifik IP-adress
Du kan binda vissa routrar så att de accepterar administratörsanslutningar från en enda lokal IP-adress och avvisar anslutningar från alla andra platser. Om du ska göra detta bör du använda en IP-adress som inte ingår i DHCP-poolen (Dynamic Host Configuration Protocol). Om datorn förlorar sin IP-adress, leasar och tilldelas en ny IP-adress – av din router! – kommer du inte att kunna komma åt routern.
6. Använd ett robust Wi-Fi-lösenord
Välj ett robust Wi-Fi-lösenord och använd enhetens starkaste krypteringsinställning. De nyaste routrarna kan ha stöd för Wi-Fi Protected Access 3 (WPA3), men de flesta är begränsade till Wi-Fi Protected Access 2 (WPA2).
7. Stäng av WPS
Stäng av Wi-Fi Protected Setup (WPS). Syftet med WPS var att göra det enklare för icke-tekniska användare att konfigurera Wi-Fi och ansluta till Wi-Fi-nätverk. Det användes sällan och innehöll en sårbarhet som gjorde det möjligt för hotaktörer att kompromettera Wi-Fi-nätverk.
Patchar och korrigeringar rullades ut, men inte alla modeller patchades och inte alla tillverkare svarade på problemet. Det är säkrast att stänga av den och använda en trådbunden anslutning för konfiguration.
8. Stäng av tjänster som du inte använder
Routrar stöder alla möjliga typer av protokoll och anslutningstyper. Det är nästan säkert att du inte behöver dem, så stäng av dem. Ju färre dörrar och fönster en byggnad har, desto svårare är det för en inbrottstjuv att ta sig in. Samma sak gäller din router. Stäng alla portar och öppna bara dem du använder. Ju färre anslutningstyper den accepterar, desto säkrare blir du.
Du kan stänga av tjänster som Ping, Telnet, Universal Plug and Play (UPnP), Secure Shell (SSH) och Home Network Administration Protocol (HNAP).
9. Använd inte molnbaserad routerhantering
Om din router stöder detta ska du stänga av den. Du vill inte att din router ska prata med tillverkarens moln. Det placerar ytterligare ett lager mellan dig och routern som du måste lita på. Du kommer att administrera din router lokalt, så stäng av detta.
10. Uppdatera din router regelbundet
Du är van vid att få uppdateringar till din dator, och din smartphone får patchar och korrigeringar när sårbarheter upptäcks och åtgärdas. Exakt samma process sker även med din router. Det är en manuell process för de flesta routrar, men vissa kan ställas in så att de “ringer hem” med jämna mellanrum och söker efter uppdateringar.
Om du ska göra manuella uppdateringar bör du kontrollera tillverkarens supportwebbsida för din router. En gång i månaden är förmodligen tillräckligt.
11. Kontrollera Wi-Fi-åtkomst
Många routrar låter dig konfigurera en lista med enhetsidentiteter som kallas MAC-adresser (Media Access Control). Dessa är unika för varje nätverksansluten enhet. Det innebär att endast kända och auktoriserade enheter kan ansluta till ditt Wi-Fi.
Ställ in ett gäst-Wi-Fi för besökare om din router tillåter det. Det ger besökare Wi-Fi-åtkomst till internet utan att avslöja eller exponera någon annan enhet i ditt nätverk.
12. Segmentera ditt nätverk
Vissa routrar i konsumentklass har möjlighet att konfigurera VLAN (Virtual Local Area Networks) inuti andra nätverk. Du kan t.ex. isolera IoT-enheter (Internet of Things) från resten av ditt nätverk.
IoT-enheter är ökända för att vara osäkra. Många av dem bryter mot de mest grundläggande säkerhetsåtgärderna, som att exponera sig mot internet med oskyddade protokoll och oföränderliga administratörslösenord. Att hålla dem åtskilda i ett eget VLAN är ett bra sätt att skydda dem.
13. Ändra dina DNS-inställningar
Ändra inställningarna för ditt domännamnssystem så att de inte använder de standardvärden som tillhandahålls av din Internetleverantör.
Väl respekterade tjänster som du kan använda är:
- OpenDNS: 208.67.220.220 eller 208.67.222.222
- Google DNS: 8.8.8.8 eller 8.8.4.4
- Cloudflare: 1.1.1.1 eller 1.0.0.1
14. Överväg anpassad firmware för din router
Avancerade användare kan överväga att helt rensa ut tillverkarens firmware och ersätta den med ett gratis alternativ med öppen källkod. Vanligtvis är dessa baserade på Linux eller Berkeley Software Distribution (BSD). De kan vara säkrare, mer kompletta och konfigurerbara än tillverkarens standardfirmware och har ofta inbyggt stöd för VPN-protokoll.
Två av de mest kända är OpenWRT och DD-WRT, men det finns många andra alternativ. Dessa community-stödda projekt är ofta snabbare än tillverkarna på att släppa patchar och korrigeringar.
Låt oss vara tydliga. Att “flasha” den inbyggda programvaran kräver teknisk expertis. Om du gör det på en router inom dess supportcykel kommer garantin att ogiltigförklaras. Och om det absolut värsta händer “brickar” du din enhet och gör den helt obrukbar. Se till att du vet vad du gör innan du går vidare eller söker teknisk hjälp.
Slutsatsen om verkyg för att skydda din router
Din router är nexuspunkten mellan dig och omvärlden – uppmärksamhet på detta område är avgörande för webbsäkerheten!
Beroende på dina nätverks- och anslutningsbehov, routerns märke, routerns och brandväggsinställningarnas flexibilitet och din nivå av teknisk bekvämlighet kan du tillämpa så många av dessa steg som möjligt och skydda ditt hem från digitala attacker.
Och snokande från dina arbetsgivare!