NETTVERKSRUTER

Har du ikke skrudd til sikkerheten på wifi-ruteren din? Slik gjør du det

Følger du disse relativt enkle rådene, reduserer du faren for dataangrep i hjemmet.

Wifi-ruteren din er ikke ferdig konfigurert nå du får den. Det er mye du bør gjøre for å forbedre sikkerheten.
Wifi-ruteren din er ikke ferdig konfigurert nå du får den. Det er mye du bør gjøre for å forbedre sikkerheten. Illustrasjonsfoto: Colourbox/Alexander Kharchenko
Harald BrombachHarald BrombachNyhetsleder
19. feb. 2022 - 05:00
Comments icon
Kommenter

Har du koblet koketoppen, sikringsskapet eller TV-en din til internett? Har du kontroll på hvilke konsekvenser det kan få dersom disse enhetene blir utnyttet i angrep? Det hjelper nemlig lite å ha verdens best sikrede nettverk dersom én av enhetene som er tilkoblet, kan fungere som en bakdør til nettverket. 

I denne artikkelen skal vi se på hvordan mange både kan forbedre sikkerheten i nettverket sitt og redusere skadepotensialet fra angrep via de nettverkstilkoblede dingsene – ved hjelp av relativt enkle innstillinger på nettverksruteren de har i hjemmet.

Elisabet Haugsbø
White hat-hacker Elisabet Haugsbø er opptatt av at flere skal forbedre sikkerheten på nettverksruteren de har hjemme hos seg selv. Foto: Mikkel Moe/Tekna

Vi har fått med oss Elisabet Haugsbø til å lage disse rådene. Haugsbø jobber i dag som datasjef i stiftelsen C4IR Ocean, men har også flere års erfaring som etisk hacker i blant annet DNV, hvor hun jobbet med penetrasjonstesting for industrien. Hun er dessuten visepresident i fagforeningen Tekna og har et entusiastisk forhold til sin egen, private nettverksruter. 

Vurder å kjøpe din egen ruter

Selv om det finnes unntak, er det langt fra alltid at ruteren som følger med internettabonnementet tilbyr alle de valgmulighetene som kreves for å sikre nettverket på en tilstrekkelig måte.

Veldig mange vil derfor være tjent med å kjøpe sin egen ruter. Da får man bedre kontroll og bedre sikkerhet og i tillegg også ofte bedre wifi-fart og -dekning. 

Nettverksruter

  • Enhet som sender datatrafikk mellom ulike nettverk, for eksempel mellom det åpne internett og det lukkede lokalnettverket du har hjemme.
  • Kan til en viss grad sørge for at uønsket trafikk ikke kommer inn i lokalnettet, men dette krever ofte endringer i oppsettet.
  • Støtter vanligvis tilkobling av enheter både trådløst (wifi) og med kabel (ethernet).
  • Vet du ikke hvilken boks hjemme som er ruteren, bør du nok innkalle familiens «tekniske avdeling» til en gjennomgang.

Nettverksrutere er tilgjengelige fra noen få hundrelapper og opp til mange tusen kroner. De aller billigste er ofte relativt gamle modeller, men fra 500 kroner og oppover kan man få rutere som støtter det meste og som fortsatt kommer til å holdes oppdatert av leverandøren i en god del år framover. Er du derimot også ute etter avansert funksjonalitet, eller topp fart i hele villaen, må du betydelig opp i pris. Men grunnprinsippene for sikkerhet er likevel de samme. 

Stort utvalg, men mye er ganske likt

Selv om det finnes hundrevis av ruterprodukter på markedet, er det sjelden de helt store forskjellene i det grunnleggende oppsettet. Stort sett har de et webbasert brukergrensesnitt som man får tilgang til ved å koble en PC eller mobil enhet til ruteren og taste IP-adressen som ruteren har i det interne nettverket, inn i adressefeltet til en nettleser. I veldig mange tilfeller er denne IP-adressen enten 10.0.0.1 eller 192.168.1.1, men det finnes unntak.

I denne artikkelen tar vi utgangspunkt i at du har en ruter som allerede er tatt i bruk, men at du i stor grad benytter standardinnstillingene. Når man konfigurerer en helt ny ruter for første gang, blir man ofte møtt av en veiviser som sørger for at flere av de tiltakene vi nå skal presentere, allerede er på plass. Men kanskje ikke alt, så sjekk gjerne punkt for punkt. 

I denne saken viser vi skjermbilder fra brukergrensesnittet til ruteren Asus RT-AX56, som vi har fått låne fra Asus til dette formålet. Det var litt tilfeldig at det ble akkurat denne, men den gjorde nytten. Det dreier seg om en moderne ruter til en relativt fornuftig pris – mellom 1500 og 2000 kroner i flere norske nettbutikker. Ruteren har et webbasert brukergrensesnitt som er temmelig identisk med det man også finner i Asus-rutere som har en del år på baken.

I Asus-brukergrensesnittet er det en hovedmeny til venstre. Det meste av innstillingene vi skal endre på, finnes under seksjonen «Avansert innstilling». Klikker man på et av valgene her, kommer man til en ny side, hvor det ofte er en undermeny eller fanerekke på toppen. I de fleste tilfeller er det langt oppe på siden oppgitt hvor i sidehierarkiet man til enhver tid befinner seg, slik som dette: 

Hovedmenyen til venstre og undermenyen på toppen i webgrensesnittet til en Asus-ruter.
Tittelen på sidene under avanserte innstillinger (her: Administrasjon - System) forteller hvor i hierarkiet siden hører hjemme, altså under Administrasjon i hovedmenyen og System i undermenyen. Skjermbilde: Digi.no

Har du en ruter fra en annen leverandør, vil du sannsynligvis finne igjen de samme innstillingene også på denne. Men det webbaserte brukergrensesnittet vil nok være bygget opp på en annen måte, og innstillingene kan ha andre navn. Så noe leting må du nok regne med.

Tiltakene vi presenterer i denne saken, er ikke sortert etter viktighet. Med mindre du har et gjennomtenkt behov for noe annet, bør du følge alle sammen. Har du ikke tid til å gå gjennom alt akkurat nå, kan du fortsette med resten senere.

Les også

Endre brukernavnet og passordet

Vi kan begynne med noe helt grunnleggende, nemlig brukernavnet og passordet du benytter i nettleseren for å få tilgang til alle innstillingene til ruteren.

– Når du kjøper en ruter, kommer denne med fabrikkinnstillinger. Disse innstillingene ligger åpne på nett i ruterens brukermanual, eller på leverandørens hjemmesider. Dette betyr at alle med tilgang til brukermanualen eller internett ved brukernavnet og passordet til din ruter, med mindre du endrer på dette når du setter den opp hjemme hos deg selv. Og hvorfor er dette ille? Du kan se på ruteren som døra til ditt hjemmenett. Den som har tilgang til ruteren din, har også tilgang til det du har på ditt hjemmenett, forklarer Haugsbø.

Aller verst er det med rutere hvor både brukernavnet og passordet er «admin». Dette er trolig det første en angriper vil forsøke. Andre rutere kan ha et relativt unikt brukernavn og passord som er skrevet på en lapp som er klistret på ruteren. Dette er selvfølgelig bedre enn et passord alle kan finne, men bare så lenge verken håndverkere eller gjester aldri får være alene med ruteren i så mye som noen få sekunder. 

Så bytt ut både brukernavnet og passordet med noe du selv finner på. Velg et godt passord du ikke har brukt noe sted tidligere.

Endre påloggingsnavn og passord på en Asus-ruter.
Under Administrasjon->System på Asus-ruteren kan du endre navnet og passordet du benytter for å logge deg inn på webgrensesnittet til ruteren. Skjermbilde: Digi.no

Ikke glem brannmuren

Mange nettverksrutere (kanskje alle?) kommer med en innebygget brannmur. 

– En brannmur er der, som navnet tilsier, for å holde farlige ting borte fra hjemmenettet ditt. Noen rutere blir levert med brannmuren aktivert (på), men de fleste blir levert med denne skrudd av. Dette betyr at du som eier må sørge for å skru den på, forteller Haugsbø. 

Brannmuren skanner nettverkspakkene som dataene sendes med både til og fra hjemmenettet. Basert på dette kan brannmuren blokkere uønsket trafikk. Den vil med standardoppsettet normalt slippe gjennom alle nettverksforespørsler som startes på innsiden av ruteren – i hjemmenettverket, men den vil blokkere de fleste nettverksforespørsler som startes andre steder og kommer fram til ruteren via internett.

Dette er et godt utgangspunkt, men da må brannmuren altså være på. 

Hvilken funksjonalitet og egenskaper brannmuren har ut over dette, varierer fra produkt til produkt og kommer ikke til å bli gjennomgått her. Det grunnleggende rådet fra Haugsbø er at man egentlig bør sperre for alt og bare åpne opp (hviteliste) det man faktisk ønsker at skal slippe gjennom. 

– Men det kan fort være vanskelig å vite hva som skal hvitelistes, for da vil en jo blokkere alt som ikke står på listen og ende opp med en mye mer sikker, men rigid løsning, sier hun,

Les også

Endre nettverksnavnet, og skjul det gjerne

Trådløse (wifi-)nettverk må ha et navn (SSID – Service Set IDentifier). Når du skal koble mobilen eller PC-en til et wifi, får du gjerne opp en liste med navnene til de wifi-nettene som er tilgjengelige der du er. I likhet med brukernavnet og passordet kan ruteren ha en standardinnstilling for dette.

– SSID-en er ofte navnet til leverandøren av ruteren og kanskje deler av modellnummeret. Dette gir en mulig angriper informasjon om hva slags ruter du har, og dermed også: 1) hvilke fabrikkinnstillinger den leveres med og 2) hvilke typer angrep som kan fungere for denne spesifikke ruteren, forteller Haugsbø. 

– Det er ingen grunn til å gi en angriper denne informasjonen direkte. Derfor anbefales det å skifte navnet på ruteren din når du setter den opp.

Man bør da velge et navn som ikke kan brukes til identifisering av hvem som eier nettverket. For eksempel bør du ikke inkludere adressen din i navnet. 

Enda litt sikrere er det om du skrur av kringkastingen av wifi-navnet, i alle fall i perioder du ikke selv har behov for å koble flere enheter til nettverket. Dette gjør det vanskeligere for potensielle angripere å oppdage wifi-nettet ditt. Enhetene som allerede er tilkoblet nettverket, kjenner igjen nettverket på andre måter. 

Når du senere skal legge til en ekstra enhet, kan du midlertidig skru på kringkastingen av navnet på nytt. Men de fleste enheter lar deg også taste inn navnet manuelt, noe som egentlig gjør kringkastingen unødvendig. 

Innstillinger for SSID/nettverksnavnet på en Asus-ruter.
Under Trådløst->Generelt på Asus-ruteren finner du blant annet innstillinger for navnet til ruterens hoved-wifi-nett og muligheten til å skjule kringkastingen av det. Navnet vi har valgt her, er nok ikke det smarteste å bruke. Skjermbilde: Digi.no

Deaktiver svar på ping

De fleste rutere svarer på ping, som er en relativt enkel nettverkskommando som blant annet kan brukes til å sjekke om det er noe aktivitet bak en IP-adresse. Dersom noen sender et ping til din ruter, vil ruteren sende et «ekko» tilbake, omtrent som når for eksempel en ubåt sender en kort lydbølge (også ofte kalt ping) med aktiv sonar for å registrere objekter under vannet.

– I likhet med å endre navnet på det trådløse nettet, vil det å skru av svar på ping gjøre det litt vanskeligere å få ut informasjon om nettverket ditt og det som eventuelt befinner seg der. Dersom dette ikke er noe du egentlig trenger eller bruker, kan du skru det av, råder Haugsbø.

Deaktivering av svar på pingforespørsler fra WAN (internett) på Asus-ruteren.
Deaktivering av svar på pingforespørsler fra internettsiden (WAN) av ruteren kan gjøres under brannmurinnstillingene på Asus-ruteren. Skru gjerne også på DoS-beskyttelsen, dersom ruteren tilbyr dette. Det er ikke gjort i dette tilfellet. Skjermbilde: Digi.no
Les også

Skru av fjerntilgangen

Mange rutere åpner for fjerntilgang til brukergrensesnittet, altså via internett og ikke bare fra hjemmenettet. Dersom noen kjenner brukernavnet og passordet ditt, kan de da få full tilgang til å endre ruterinnstillingene dine, selv om de kanskje sitter på den andre siden av kloden.  På enkelte rutere er slik tilgang aktivert i fabrikkinnstillingene.

– Må du ha tilgang til ruteren din fra utsiden? For en slik tilgang lager også en mulig inngang for inntrengere. Denne innstillingen er ofte skrudd av, men det er best å sjekke at det er tilfellet, mener Haugsbø. 

– Husk at hvis noen får tilgang til ruteren din, har de også tilgang til resten av tingene som er koblet til ditt nett, advarer hun.

Under Administrasjon->System på Asus-ruteren kan man skru av eller på tilgangen til å endre innstillingene på ruteren via internett (WAN).
Under Administrasjon->System på Asus-ruteren kan man skru av eller på fjerntilgangen til å endre innstillingene til ruteren. Dette bør være skrudd av med mindre du er sikker på at du må ha tilgang til å gjøre dette. Skjermbilde: Digi.no

De viktige oppdateringene

De fleste nyere nettverksrutere for forbrukermarkedet kjører et Linux-basert operativsystem. Et operativsystem er i de fleste tilfeller temmelig kompleks programvare, og rett som det er blir det oppdaget feil i slike systemer. Derfor kommer de fleste ruterleverandører med oppdateringer til den såkalte fastvaren («firmware update») til ruteren, gjerne flere ganger i året. Da fjernes sårbarheter som kan gi uvedkommende tilgang, og kanskje inkluderer oppdateringen andre nyttige forbedringer også. 

Uansett er slike oppdateringer svært viktige å installere. Politiets sikkerhetstjeneste opplyste tidligere i februar at det har skjedd angrep mot norske borgere det siste året hvor svak rutersikkerhet har blitt utnyttet (for abonnenter). Slike oppdateringer kan installeres manuelt, men på mange rutere kan det også gjøres automatisk.

– Jeg anbefaler på det det sterkeste å sjekke at automatisk oppdatering står på, slik at ruteren din alltid har nyeste versjon av fastvaren, sier Haugsbø. 

På mange rutere kan man velge når på døgnet oppdateringen eventuelt skal skje, slik at man unngår at ruteren starter på nytt mitt under et viktig videomøte. 

Alternativet er å gjøre det manuelt, men da må du huske å gjøre det – i alle fall en gang i måneden. 

Under Administrasjon->Fastvareoppdatering på Asus-ruteren kan man skru av eller på autooppdatering av fastvaren til ruteren.
Under Administrasjon->Fastvareoppdatering på Asus-ruteren kan man skru av eller på autooppdatering av fastvaren til ruteren. Med mindre du husker å gjøre dette jevnlig selv, er dette noe som bør være skrudd på. På denne ruteren kan man også velge tidspunktet. Foto: Digi.no

Tingenes internett

Det siste punktet i denne gjennomgangen handler om ikke å slippe usikre enheter inn på hjemmenettet ditt. 

– Mange av dingsene du har hjemme, har enten en app eller kommuniserer på en eller annen måte med andre enheter på internett. Dette betyr at de også kan være mål for eventuelle inntrengere, fordi de kan få tilgang til nettet ditt via en av disse dingsene, sier Haugsbø. 

Dette har skjedd med mange, både privatpersoner og virksomheter. I noen tilfeller har dette blitt omtalt av pressen. Haugsbø nevner blant annet et norsk smarthus og temperaturmåleren i det nye akvariet til et kasino i USA. Begge deler ble hacket.

Wifi-ruteren Asus RT-AX56U.
Ruteren vi har brukt i saken, Asus RT-AX56U, støtter all den sikkerhetsfunksjonaliteten vi hadde planlagt å omtale. Vi har ikke testet hvor god den er på andre områder. Foto: Harald Brombach

Haugsbø nevner også at det ofte er kan være vanskelig å finne ut hvordan for eksempel hvitevarer egentlig kommuniserer over internett, det vil si hvilke nettverksprotokoller som benyttes og hvordan de kommuniserer med appen. Selv har hun forsøkt å finne dette i databladene til flere platetopper, kjøleskap og vaskemaskiner. Blant disse var det bare enkelte av platetoppene som inkluderte informasjon om dette.

– Det står hvor mye strøm de trekker og hva slags motor de har, men sjelden noe om hva slags nettverks- eller sikkerhetsprotokoller som benyttes. Dette er jo også en del av systemet, sier hun litt oppgitt. 

Neste gang du skal kjøpe en app-styrt hvitevare, kan du jo spørre selgeren hvilken modell hen anbefaler ut fra et IT-sikkerhetsperspektiv. 

– Jeg mener at vi som forbrukere må være litt mer kritiske. Vi får ikke den rette informasjonen på denne typen produkter, sier Haugsbø.

– Ettersom det er lite konstruktivt ikke å ha dingser i hjemmet, er anbefalingen i stedet å ha dem på et isolert nettverk. Dersom en av disse dingsene blir hacket, har ikke inntrengeren automatisk tilgang til alt, men bare det som befinner seg i akkurat dette nettverket, sier Haugsbø.

Ett eller flere gjestenett for dingser

De fleste nettverksrutere har i dag mulighet til å sette opp ett eller flere gjestenett. Gjestenettene gir full tilgang til internett, men ikke til enhetene som er koblet til andre wifi-nett på ruteren eller til enhetene som er tilkoblet ruteren med nettverkskabel. De er altså isolert.

Haugsbø mener det kan være lurt å sette opp flere gjestenett, eller IoT-nett (Internet of Things) om du vil, slik at de ulike dingsene får mer begrenset tilgang til andre dingser. 

– Samtidig kan du også sette opp et dedikert gjestenettverk der alle gjester kan logge seg på. Dermed unngår du at gjester får tilgang til solcellepanelet ditt eller kan spre virus som de kanskje har (uten å vite det) til ditt nett og dine dingser. 

På Asus-ruteren er det mulig å sette opp en rekke separate gjestenett.
På Asus-ruteren vi har lånt, er det mulig å sette opp en rekke separate gjestenett på enten 2,4 eller 5 GHz-båndet. Dette gjøres under valget «Gjestenett» på hovedmenyen. Skjermbilde: Digi.no
Innstillinger for gjestenett på Asus-ruteren.
Innstillinger for gjestenett på Asus-ruteren. Her bør du passe på mye av en del av det samme som med det vanlige wifi-nettet, inkludert navnet på nettet. Pass også på at tilgangen til intranett (hjemmenettet) faktisk er deaktivert. Skru gjerne på WPA2/WPA3 som godkjenningsmetode (også på hovednettverket). Ikke alle enheter støtter WPA3 ennå, så WPA2-støtte er fortsatt nødvendig. Men WPA3-støtte aktivert på ruteren gir bedre wifi-sikkerhet i kommunikasjonen med andre enheter som også støtter dette. Skjermbilde: Digi.no

Med dette alt dette på plass er sikkerheten til ruteren og alle enhetene som er koblet til den, betydelig forbedret. Det betyr ikke at det ikke er enda mer som kan gjøres på mange rutere. Men etter at du har gått gjennom denne listen, mener vi at du ha blitt erfaren nok til å utforske videre på egen hånd.

Lykke til! 

Les også
Les mer om:
FORBRUKERTEKNOLOGINETTVERKSRUTERSIKKERHET
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.