Nätverkssäkerhet är inte bara för it-proffs. Även hemanvändare behöver hålla sina nätverk säkra för att hindra obehöriga att till exempel snylta på bredbandet, installera skadeprogram som förvandlar uppkopplade prylar till robotar i botnät och spionera på vad du och familjen gör.
Förr i tiden räknades ofta det interna nätverket som säkert och det var skyddet mot hot från internet som var det viktigaste, men idag rekommenderar säkerhetsexperter att du även inom det lokala nätverket använder krypterade anslutningar så långt som möjligt.
Det kan verka krångligt, men med grundkunskaper och rätt inställningar i routern kommer du långt.
Nätverkets säkerhet börjar med rätt inställningar i routern
Ditt nätverks säkerhet bygger på att bara du, dina familjemedlemmar och besökare du vill ska ha åtkomst får det, medan alla andra stängs ute. En grundförutsättning för det är att din router är inställd så att bara du kan ändra inställningar, och ditt trådlösa nätverk så att ingen kan ansluta utan att få lösenordet av dig.
Byt lösenord på både routers inloggning och wifi-nätverket
Innan du gör något annat ska du se till att du har bytt lösenord både till routerns adminpanel och till wifi-nätverket. De flesta wifi-routrar har idag slumpmässiga lösenord, men flera tillverkare har påkommits med osäkra algoritmer och jag rekommenderar ingen att lita på dessa. Dessutom är det allt för enkelt att snabbt ta en bild på undersidan av routern där standardlösenordet oftast står utskrivet. För wifi-lösenordet passar det utmärkt med 3-4 slumpmässigt valda ord utan några siffror eller specialtecken, eftersom det är mycket enklare att skriva in för hand än en obegriplig teckensträng.
Stäng av onödiga funktioner
Många framför allt lite äldre routrar har två osäkra funktioner aktiverade som standard, som du bör stänga av om du inte säkert vet att du behöver dem: Upnp och wps. Det föregående kan behövas av vissa program som vill ta emot inkommande trafik, men det är bättre att ha det avstängt och slå på det om du senare upptäcker att du behöver det än att lämna det påslaget utifall att. Wps är ett sätt att snabbt ansluta en produkt som inte har enkel inmatning som tangentbord till det trådlösa nätverket, men det är en osäker teknik och inget som behövs idag. Moderna prylar använder qr-koder, mobilappar och andra metoder för att säkert ansluta dem till nätverket.
Stäng av fjärrinloggning
Tack och lov är inloggning till routerns adminpanel från internet normalt avstängd som standard, men det är ändå bäst att kontrollera det och stänga av det om det trots allt är påslaget.
Bättre dns än din internetleverantörs
Om du inte ändrar några inställningar kommer din router normalt skicka alla domännamnsfrågor till internetleverantörens dns-server, men det finns bättre alternativ. Du kan antingen välja någon av de stora välkända vanliga dns-servrarna, som Cloudflares 1.1.1.1, eller krypterad dns om din router har stöd för det. Med krypterad dns kan internetleverantören inte se vilka sajter du och alla dina enheter ansluter till.
Mac-filter är meningslöst
När hemmanätverk var nytt var det vanligt att rekommendera användare att begränsa åtkomst till nätverket till utvalda mac-adresser (hårdvaruadresser). Eftersom det är väldigt enkelt att kopiera en annan enhets mac-adress ger det här i praktiken ingen ökad säkerhet och är mest krångligt då du manuellt måste tillåta varje ny enhet. Stäng av mac-adressfilter om du har det igång, och lämna funktionen avstängd.
Asus
Använd https för routerinställningar
Om någon på något sätt har tagit sig in på ditt nätverk kan denne övervaka all trafik. Om du ansluter till routerns adminpanel och loggar in med en okrypterad anslutning (http://) kommer hackaren över loginuppgifterna. Därför är det alltid bäst att ansluta till routern krypterat.
Många moderna routrar har automatiskt ett självgenererat ssl/tls-certifikat och du kan ansluta genom att helt enkelt lägga till https:// framför adressen, till exempel https://www.asusrouter.com:8443 på routrar från Asus. Tyvärr har inte alla tillverkare aktiverat stöd för https, och bryr du dig mycket om säkerhet kan det vara värt att fundera på att byta upp dig om din nuvarande router inte har möjlighet att ens aktivera det i inställningarna.
På de mest genomtänkta routrarna kan du även aktivera ett certifikat utfärdat via gratistjänsten Let’s Encrypt. Det kräver att du har ett domännamn, antingen ett du har köpt eller ett du fått via en dynamisk dns-tjänst. Asus är en förebild här, med inbyggt stöd för flera tjänster, inklusive en egen som ger nätverket en domän av formen dittnätverksnamn.asuscomm.com. Sedan kan du aktivera Let’s Encrypt-funktionen som automatiskt skaffar ett certifikat och därefter kommer du åt routerinställningarna via https://dittnätverksnamn.asuscomm.com (instruktioner här)
Att ha ett domännamn och certifikat betyder inte att vem som helst kan försöka logga in från internet – normalt ska du ha routern inställd på att bara acceptera anslutningar till adminpanelen över det lokala nätverket.
Har du en nas-enhet eller någon annan server på nätverket med ett webbaserat admingränssnitt bör du ansluta även till den med https. En del tillverkare har tänkt på det och gjort det enkelt precis som Asus. Synology har till exempel instruktioner här.
TP-Link
Håll router och prylar uppdaterade
Nästan lika viktigt som att inte ha ”password” som lösenord är att hålla både routern och anslutna enheter uppdaterade. Nya säkerhetsbrister upptäcks hela tiden och om du inte uppdaterar så lämnar du enheterna öppna för attacker.
Bäst är att så många enheter som möjligt har automatiska systemuppdateringar, men för den som inte har någon sådan funktion kan det vara en bra idé att lägga in en påminnelse eller återkommande kalenderaktivitet om att kolla efter uppdateringar till exempel en gång i månaden.
Foundry
Brandvägg – i routern och i varje dator
En brandvägg är i nätverkssammanhang ett program som kontrollerar all nätverkstrafik till och från en enhet och släpper igenom eller blockerar trafik utifrån förinställda regler. Windows, Mac OS och de flesta Unix- och Linuxvarianter har en inbyggd brandvägg. I Windows ingår den i Windows-säkerhet, under Brandvägg och nätverksskydd.
Här finns inte många inställningar, men i botten hittar du en lista över genvägar till ytterligare funktioner. Tillåt en app i brandväggen är ett verktyg för att lägga till undantag för enskilda program eller ändra existerande regler. Välj Avancerade inställningar för att öppna de fullständiga kontrollerna för brandväggen, vilka ligger i ett gammaldags gränssnitt liknande exempelvis Enhetshanteraren.
I de senaste versionerna av Windows är brandväggen automatiskt på och du behöver sällan göra några inställningar, men detsamma gäller inte alla routrar. Kontrollera din egen router genom att logga in i adminpanelen och leta efter brandvägg eller firewall. Sök på nätet om du inte hittar. Aktivera brandväggen.
Ett tips om du har en Pi-hole (se nedan) är att blockera trafik på port 53 (dns) till alla adresser utom Pi-holes. På så vis hindrar du enheter att använda andra, osäkra, dns-servrar. Det går att kringgå med krypterad dns, men att stoppa det är betydligt knepigare.
Foundry
Pi-hole stoppar reklam och spårning för alla enheter
Vill du ta ditt motstånd mot reklamspårning till nästa nivå kan du ta en titt på Pi-hole, en dns-server med filterfunktion som du kan köra på till exempel en Raspberry Pi (därav namnet). Med en Pi-hole på nätverket och smarta inställningar i routern kan du se till att alla enheter på nätverket, även exempelvis tv-apparater och smarta hemmet-prylar, är skyddade mot spårning.
Pi-hole använder importerade filterlistor och blockerar anslutningar genom att inte svara med en ip-adress när en enhet försöker slå upp ett domännamn. Om någon webbplats inte fungerar som den ska kan det bero på att någon domän den använder är med på dina filterlistor. Du kan då vitlista den domänen för att tillåta den oavsett vad filterlistorna säger.
Läs mer: Blockera skadliga sajter med Raspberry Pi och Pi-Hole
Använd gästnät om din router har det
Många routrar har en smart funktion kallad gästnät. Det är ett separat trådlöst nätverk med eget lösenord som du kan ge till tillfälliga besökare, som på så vis kan komma ut på internet. Gästnätet har inte tillgång till det lokala nätverket och de som är anslutna till det kan därför inte försöka ansluta till dina andra enheter eller till andra gäster.
Kolla i din routers inställningar om den har stöd för ett gästnät och aktivera det om det inte redan är igång. Precis som för det vanliga wifi-nätet bör du välja ett säkert lösenord så att bara de gäster du faktiskt vill ska kunna ansluta kan det.
Gör ett separat nät för uppkopplade prylar
Bakom kulisserna använder gästnät en teknik kallad vlan för att skapa åtskilda virtuella nätverk, och på en del avancerade routrar kan du själv ställa in ytterligare sådana nätverk och även skapa separata wifi-nätverk som hör till ett vlan. Enheterna på ett vlan har andra ip-adresser – om det vanliga nätverket har adresser mellan 192.168.0.1 och 192.168.0.254 kan du ställa in ett vlan att använda exempelvis 192.168.100.1–192.168.100.254.
Ett utmärkt användningsområde för vlan i hemmet är ett avskilt nätverk för det smarta hemmet. Anslutna prylar som videodörrklockor, lampor och kylskåp behöver knappast kommunicera direkt med din dator och mobil.
Det här ingår inte i enklare konsumentroutrar och är ganska komplicerat. Har du installerat alternativ mjukvara i routern, som Openwrt eller Tomato, kan du söka efter guider. Ett alternativ som är enklare är att helt enkelt ansluta de smarta prylarna till gästnätet. En nackdel med det är att det kan strula med prylar som vill kommunicera med exempelvis en stryapp i mobilen via det lokala nätverket.
Håll koll på anslutna prylar
Det kan vara en bra idé att då och då kolla vad som är anslutet till nätverket, så att inga obehöriga enheter har tagit sig in trots allt. En del routrar har en funktion i adminpanelen för att lista alla anslutna enheter (heter vanligen något i stil med ”connected devices”). Saknar din router en lista kan du använda ett program för att skanna nätverket efter anslutna prylar.
Tyvärr har en del routrar ovanan att bara lista enheter som automatiskt har fått sin ip-adress via dhcp-protokollet och inte enheter som har en fast adress, så att använda ett av dessa program kan ändå vara en god idé.
För den mest fullständiga genomsökningen av nätverket rekommenderar jag programmet nmap. Det är lite mer komplicerat än andra program, men kan hitta enheter som till exempel inte svarar på ping. Windowsversionen kommer med ett grafiskt gränssnitt kallat Zenmap som ändå gör det hyfsat enkelt.
Foundry
Allt du behöver göra när programmet är igång är att fylla i vilket adressområde du vill söka igenom. Det kan till exempel vara 192.168.0.* för adresser mellan 192.168.0.1 och 192.168.0.254. Klicka sedan på Scan och vänta på resultaten. I spalten till vänster ser du de olika enheterna på nätverket och om du klickar på Host Details kan du se detaljer om till exempel vilket operativsystem den markerade enheten kör.
Hittar du något du inte känner igen behöver det inte innebära att någon har tagit sig på nätverket eller hackat dig. Det troligaste är att det är någon pryl du inte har tänkt på. Har du några smarta hemmet-prylar, uppkopplade vitvaror, smarthögtalare, moderna tv-apparater eller tv-spelskonsoler? Det är inte ovanligt att ha tiotals enheter i nätverket.
Om du hittar något som du är helt säker på inte ska vara där ska du byta lösenord på wifi-nätverket och starta om routern så att alla enheter måste ansluta igen. Det kan bli en del bök med att ändra lösenord på en del enheter, men det är bättre än att ha någon okänd på nätverket.