Slik får du sikrere hjemmenettverk
Bedre sikkerhet hvis du endrer konfigurasjonen for ruteren. Her er oppskriften.
Nå ruteren
Første steg for å gjøre endringer for ruteren i ditt nettverk er å logge på administrasjons-grensesnittet.
For en del nyere rutere finnes det administrasjonsprogramvare som kan gjøres under Windows og OS X for å administrere ruteren. Det mest vanlige er imidlertid å måtte logge inn på ruterens administrasjonsgrensesnitt.
Ruteren vil normalt være satt opp med ip-adressen 192.168.0.1 , 192.168.1.1 eller 10.0.0.1 . Dette vil framkomme av dokumentasjonen. Fra dokumentasjonen kan man også finne brukernavnet og passordet for innlogging.
En alternativ løsning vil være å kjøre kommandoen ipconfig /all fra kommandolinjen. Denne kommandoen vil liste ut tilkoblingsinformasjon for alle nettverksforbindelsene til pc-en. For forbindelsen som benyttes til ruteren skal man se etter "Default gateway"-ip-adressen.
Ip-adressen skriver man inn i adressefeltet i nettleseren – på samme måte som når du skal nå en hvilken som helst webside.
Og et generelt tips: Før du starter å prøve ut innstillinger i ruteradministrasjonen som du ikke helt hva er, sjekk dokumentasjonen....
Tjenester du ikke trenger?
I forrige uke kunne vi avsløre hvordan tusenvis av rutere fra Asus står med åpen ftp-tilgang. Dette var ikke et teknisk problem med ruterne, men feilkonfigurasjon gjort av brukerne. Omfanget er imidlertid så stort at man klart kan kunne si at Asus har gjort en dårlig jobb i brukergrensesnittet. Mange av disse brukere er nok ikke klar over at de har ftp aktivt – en del vet kanskje ikke hva ftp er. De har fiklet med innstillingene uten å vite hva de egentlig gjorde. Kanskje har de også testet funksjonen og glemt å slå den av.
Mange rutere har i dag forskjellig skyfunksjonalitet. Kanskje prøvde man funksjonaliteten da man nettopp hadde kjøpt ruteren. Det kan også være at det tilbys fjerntilgang til nettverket via VPN, gjestenettverk, nedlastingsklienter for fildelingsnettverk og mer til. Hvis det er funksjonalitet man i praksis ikke bruker, bør man deaktivere det for å unngå at sikkerhetshull knyttet til funksjonene kan utnyttes.
En del rutere vil ha enkel brannmur-funksjonalitet, gjerne referert til som "SPI Firewall". Dette bør være aktivert, men vær obs på at dette er ikke en løsning som erstatter personlig brannmur på pc-ene.
Riktig kryptering og et godt passord
Fortsatt blir vi overrasket over å se at det er de som kjører med åpne trådløse nettverk eller nettverk beskyttet med WEP-teknologi – en teknologi som vil kunne hackes i løpet av få minutter. Tro ikke at funksjonalitet som skjult SSID eller MAC-adresse-filter gir økt sikkerhet når du har en dårlig beskyttelse for tilkobling. En SSID er egentlig bare et alias for ruterens MAC-adresse, som uansett blir synlig og det er enkelt å sniffe opp MAC-adressen til andre klienter i området og sette opp falsk MAC-adresse på pc-en man skal bruke for å hacke nettverket.
For tilkobling til trådløsnettet bør du bruke WPA2. For en del moderne rutere er det også WPA2-AES som er teknologien som gir best ytelse.
WPA2 kan la seg hacke. Hvor god sikkerheten blir, er avhengig av hvor godt passord man benytter. Dette igjen handler ikke bare om hvorvidt det vil være enkelt for noen å gjette seg fram til ditt passord. Det handler mer om hvor vidt det er enkelt for en datamaskin å gjette seg fram til passordet ditt. Passordet du benytter bør ha minimum 12 tegn og være en kombinasjon av store og små bokstaver, tall og tegn. For å gjøre det enkelt å huske kan man benytte kombinasjon av flere ord kombinert med tall og tegn. Hvis norske bokstaver godtas i passordet, kan det også være en fordel å benytte.
LES OGSÅ:
Skift admin-passordet
Mange rutere har et standard passord for admin-brukeren på ruteren. Ofte er dette standardpassordet "admin", "password" eller "1234". Bytt dette ut med et godt passord.
I utgangspunktet må man være tilkoblet nettverket for at man skal kunne aksessere administrasjonssidene. Men det er tilfeller der dette administrasjonspassordet er knyttet opp i mot tjenester som kjøres på ruteren og som kan aksesseres via internett. Vi har også sett tilfeller med bakdører på rutere for å aksessere dem via internett selv om slik fjernadministrasjon er avslått. Det har også vært tilfeller av malware som har prøvd å rekonfigurere rutere gjennom å bruke standard innlogging.
LES OGSÅ:
Slå av WPS
WPS står for Wi-Fi Protected Setup og er en teknologi som skal gjøre det enklere å koble enheter opp mot trådløsnettverket. I stedet for et passord kan metoder som en åttesifret pinkode, tilkoblingsknapp eller NFC benyttes for å koble en enhet til trådløsnettet.
WPS er imidlertid ikke regnet som sikkert. Allerede i 2011 ble det klart at svært mange rutere/aksesspunkt på kort tid vil la seg hacke gjennom bruk av WPS. En pinkode på åtte siffer skulle i utgangspunktet gi 100 000 kodekombinasjoner. Det er ikke så mye for datamaskiner å gjette seg fram til, men verre er det at det i praksis er langt færre kombinasjoner. Det siste sifferet er kun et kontrollsiffer og koden er delt opp i to segmenter, der man først sjekker de fire første sifrene og deretter de tre neste. I praksis blir dette 11 000 kodekombinasjoner.
På de fleste nyere rutere er det lagt opp til at ruteren etter for eksempel tre forsøk med feil kode ikke tillater nye forsøk på for eksempel en halvtime. Dette vil gjøre at det tar lengre tid normalt sett å hacke seg inn. Det er imidlertid mange rutere – inkludert modeller som fortsatt er i salg – som tillater at man kan prøve nye innloggingskoder kontinuerlig til man slipper inn.
Vi anbefaler at deaktiverer WPS og i stedet benytter tradisjonell passordinnlogging – med et godt passord. For en del rutere har det kommet programvareoppdateringer som gir en noe bedre WPS-implementasjon.
Mer informasjon rundt problemene med WPS kan du lese i denne artikkelen.
Trenger du UPnP?
UPnP er en teknologi der tjenester/programmer/enheter kan sende konfigurasjonsønsker til ruteren. Dette er en vanlig løsning å benytte når ruteren skal settes opp til å kunne ta i mot trafikk som er initialisert utenfra. For eksempel hvis du bruker ip-telefoni/ip-telefoni-adapter vil den normalt sett sende en forespørsel via UPnP for å få åpnet porten den trenger å motta samtaler.
En annen vanlig bruk av UPnP hos mange er bittorrent-klienter, hvor bedre ytelse oppnås hvis man enten manuelt setter opp en port for klienten eller at den får gjort dette via UPnP. Noen spill vil også kunne utnytte UPnP for automatisk oppsett i forhold til nettspilling.
UPnP gir imidlertid en del sikkerhetsmessige utfordringer. Det vi blant annet ser er at en del har skrivere, overvåkningskameraer og NAS-lagringsenheter som har eksponert seg mot nettet via UPnP, og det uten at man nødvendigvis i praksis bruker de tjenestene som har blitt eksponert. Skremmende er det også å se at slike tjenester kan være satt opp uten passord – og det er kanskje gjort med hensikt, fordi brukeren tror at tjenesten kun er tilgjengelig på hans lokalnettverk.
Tidligere var det mange rutere som ble levert med UPnP deaktivert, men etter hvert er det blitt vanlig at dette er aktivert som standard. Bakgrunnen for dette kan nok ha vært klager om at for eksempel bittorrent var tregt for mange eller at andre rutere kanskje var "bedre" fordi en del tjenester fungerte uten at man trengte å gjøre noe som helst.
Man har også sett malware/virus som har utnyttet UPnP.
Alternativet til UPnP blir at man må gjøre manuelle portinnstillinger/NAT-innstillinger på ruteren for en del tjenester. For svært mange er det ikke tjenester i bruk som vil kreve noe spesiell konfigurasjon av ruteren, og UPnP kan da godt deaktiveres.
LES OGSÅ:
Oppdater firmware
Ruterens operativsystem/styringssystem referes gjerne til som "firmware". De fleste rutere er basert på en enkel Linux-løsning. Gjennom oppdatering av firmware kan det være at produsenter kommer med endringer som forbedrer elementer som ytelse, sikkerhet og stabilitet. Det kan også være at ny funksjonalitet blir lagt til.
For eksempel ble det i fjor avdekket at en rekke nye rutere hadde store, alvorlige sikkerhetshull. Det gikk da ikke lang tid før flere aktører hadde på plass opppdatert firmware som skulle rette dette. Det samme så vi i forrige uke når problemene med Asus' ftp-løsning ble avdekket – etter noen dager hadde Asus på plass en oppdatering til sin nyeste modell som skulle forhindre av brukerne gjorde tabbene som mange hadde gjort.
Hvordan firmware oppdateres er det visse variasjoner i. På mange nyere rutere er det et valg i administrasjonsgrensesnittet som man kan bruke for å sjekke om det er kommet nye oppdateringer, samt eventuelt velge å laste ned og installere disse. Hos noen aktører må man inn på nedlastingene de har på sine websider og manuelt laste ned oppdateringen, før man så bruker oppdateringsvalget i administrasjonsgrensesnittet for å laste opp oppdateringen til ruteren.
På noen rutere kan det ved enkelte oppdateringer være nødvendig å lagre alle ruterens innstillinger før firmware oppdateres. Etter oppdateringen kan innstillingsfilen lastes inn på nytt for å få tilbake gammelt oppsett. Merk også at noen rutere kan ha forskjellige firmware-versjoner avhengig av verdensdel den skal benyttes i.
En del produsenter er ikke flinke til å komme med oppdateringer etter at et produkt har gått ut av salg. I noen tilfeller hvor det er kjente problemer med en ruter, kan det være at en tredjeparts firmware kan gjøre en bedre jobb. Dette er en opsjon for mer erfarne brukere. Aktuelle løsninger for en del rutere kan være for eksempel DD-WRT, Tomato og OpenWRT. Tidligere har vi sett på en del av mulighetene DD-WRT gir i denne artikkelen .
En bedre DNS?
DNS står for Domain Name System og er tjenesten som på internett gjør koblingene mellom domenenavn og ip-adressene til serverne. Normalt sett har internettleverandøren en egen DNS-tjener og ruteren blir i utgangspunktet satt opp til å bruke denne.
Gjennom tjenester som OpenDNS kan man få forbedringer i forhold til sikkerhet for alle enhetene koblet på nettverket. Gjennom en OpenDNS-konto kan man for eksempel velge at sider som er kjent for å inneholde pornografi, piratkopiert programvare, vold, phisingforsøk og mer til blokkeres.
Aktører som D-Link og Netgear har valg i administrasjonsgrensesnittet for å ta i bruk OpenDNS. På andre rutere må man sette opp en konto hos OpenDNS og mer manuelt sette opp DNS-ip-adressen i ruteradministrasjonen.
Mer informasjon om OpenDNS kan du lese denne guiden .
Sjekk tilkoblede enheter
Mistenker du at noen er tilkoblet nettverket ditt? De fleste rutere har en oversikt over enheter som er tilkoblet og som har vært tilkoblet. Vær oppmerksom på at en inntrenger på nettverket som også har tilgang til ruterens administrasjon, kan slette denne informasjonen. Informasjonen kan også være tildels vanskelig å dekode.
I ruteroppsettet vil det i utgangspunktet stå MAC-adressen til enheter som har vært tilkoblet. Enhver enhet (mobiltelefon, pc, nettbrett og så videre) vil ha hver sin unike MAC-adresse. Riktignok kan MAC-adressen forfalskes.
I tillegg til MAC-adressen vil det stå hvilke ip-adresser enhetene har, samt i noen tilfeller også et enhetsnavn som vil gjøre det enklere å identifisere enheten.
En del sikkerhetsprogrammer vil også gi varsler når nye pc-er eller andre enheter blir koblet til lokalnettverket. En del rutere har også funksjonalitet for å overvåre sanntidstrafikk.
