Artikel top billede

Routeren udgør grænsen mellem dit lokalnetværk og internettet. Derfor er det afgørende for sikkerheden, at den er ordentligt konfigureret.

Guide: Sådan sikrer du hjemmenetværket

Få bedre sikkerhed ved at ændre routerens opsætning. Læs her hvordan du gør.

Første skridt for at komme til at ændre i routerens opsætning er at logge ind på dens administrations-grænseflade.

Til en del nyere routere findes der programmer til Windows og OS X, hvorfra man kan administrere routeren. Men det mest almindelige er stadig at logge ind på routerens administrations-grænseflade via browseren.

Routeren vil normalt have IP-adressen 192.168.0.1192.168.1.1 eller 10.0.0.1. Din specifikke routers IP-adresse vil fremgå af dens dokumentation. Her finder du også brugernavn og adgangskode, der skal bruges til at logge ind.

Alternativt kan du køre kommandoen ipconfig /all fra kommandolinjen. Denne kommando vil vise en liste med information om alle pc'ens netværksforbindelser. For at finde den forbindelse, der benyttes af routeren, skal du kigge efter "Default gateway"-IP-adressen.

IP-adressen indtastes i din browsers adressefelt - på samme måde som med adressen på et hvilket som helst website.

Et godt råd: Før du begynder at eksperimentere med indstillinger du ikke helt ved, hvad gør, så læs routerens dokumentation...

Tjenester du ikke har brug for

Tidligere har vi skrevet om, hvordan mange routere fra Asus står med åben FTP-adgang. Dette handlede ikke om en teknisk fejl ved routerne, men om fejlopsætning fra brugernes side.

Omfanget af dette problem var imidlertid så stort, at det er rimeligt at sige, at Asus ikke har designet eller som standard konfigureret brugergrænsefladen ordentligt.

Mange af disse brugere er nok ikke selv klar over, at de har FTP slået til - og en del ved måske slet ikke, hvad FTP er. De kan have rodet med indstillingerne uden at vide, hvad de gjorde. Eller måske har de testet funktionen og glemt at slå den fra igen.

Mange routere har i dag en vifte af cloud-funktioner. Måske prøvede man sådan funktionalitet, lige da man havde købt routeren. Det kan også være, at der tilbydes fjernadgang til netværket via VPN, gæstenetværk, download-klienter til fildeling og så videre.

Hvis der er funktioner, man i praksis ikke anvender, så bør man deaktivere dem, for at undgå at eventuelle sikkerhedshuller i de givne funktioner udnyttes.

En del routere har en simpel firewall indbygget, der ofte beskrives som "SPI Firewall". Den bør være slået til, men vær opmærksom på, at dette ikke kan gøre det ud for en personlig firewall, der er installeret på pc'en.

Den rigtige kryptering og en god adgangskode

Vi bliver gang på gang overrasket over at se, at der stadig er folk, der kører med åbne trådløse netværk eller trådløse netværk kun beskyttet med WEP-kryptering - som kan hackes på få minutter.

Tro ikke, at funktionalitet som skjult SSID eller filtrering af MAC-adresser øger sikkerheden, hvis forbindelsen ikke er ordentligt beskyttet.

Et SSID er egentlig bare et alias for routerens MAC-adresse, som uanset hvad bliver synlig, og det er let at opsnuse MAC-adresser til andre klienter i området og opsætte en falsk MAC-adresse på den pc, man vil bruge til at hacke et netværk.

Dit trådløse netværk bør krypteres med WPA2. For en del moderne routere er det også krypteringsteknologien WPA2-AES, der giver den bedste ydeevne.

Det er ikke umuligt at hacke WPA2. Sikkerheden er blandt andet afhængig af, hvor god en adgangskode man benytter.

Det handler ikke bare om, hvorvidt nogen vil være i stand til at gætte sig frem til din adgangskode. I endnu højere grad handler det om, hvor besværligt det er for en computer at finde frem til din adgangskode.

Den adgangskode, du bruger til din router, bør bestå af minimum 12 tegn og indeholde både store og små bogstaver, tal og specialtegn. Hvis det er tilladt at bruge æ, ø og å, så kan det også være en fordel.

Standard-adgangskoden skal ændres

Mange routere har en indbygget standard-adgangskode til admin-brugeren. Ofte er denne standard-adgangskode "admin", "password" eller "1234". Den skal med det samme ændres til en ordentlig adgangskode.

I udgangspunktet skal man være forbundet til lokalnetværket for at få adgang til routerens administrations-grænseflade. Men der findes tilfælde, hvor administrator-adgangskoden er tilknyttet tjenester, der køres på routeren, som kan tilgås via internettet.

Vi har også set tilfælde med bagdøre i routere, der gør det muligt at få adgang til dem, selvom fjernadministration af routeren ellers er slået fra.

Der har også været tilfælde af malware, som har forsøgt at ændre opsætningen af routere ved at forsøge at logge ind med standard-adgangskoder.

Slå WPS fra

WPS står for Wi-Fi Protected Setup og er en teknologi, der har som formål at gøre det enklere at forbinde enheder til det trådløse netværk. I stedet for adgangskode kan der benyttes en ottecifret pinkode, en fysisk knap på routeren eller NFC til at koble en enhed på det trådløse netværk.

Der er bare det problem, at WPS ikke anses for at sikker. Allerede i 2011 stod det klart, at virkelig mange routere og adgangspunkter kunne hackes ved hjælp af WPS. En pinkode på otte cifre skulle i udgangspunktet give 100.000 mulige kodekombinationer.

Det er ikke så meget for en computer at tygge sig igennem, men værre er det, at der i praksis er tale om langt færre kombinationer.

Det sidste ciffer er nemlig kun et kontrolciffer og koden er delt op i to segmenter, hvor de første fire cifre tjekkes først, og derefter de næste tre. I praksis løber det således kun op i 11.000 kodekombinationer.

På de fleste nyere routere er det sådan, at routeren efter eksempelvis tre forsøg på login med forkert kode ikke tillader nye forsøg i eksempelvis en halv time. Det betyder, at det kan tage meget længere tid end ellers at hacke sig ind.

Der er imidlertid mange routere - heriblandt modeller der fortsat er i handlen - der tillader, at man uden ophør kan prøve den ene efter den anden forkerte kode, indtil man rammer den rigtige.

Vi anbefaler at deaktivere WPS og i stedet logge ind på traditionel vis - med en god adgangskode. Til en del routere er der dog kommet opdateringer med en meget bedre implementering af WPS.

Har du brug for UPnP?

UPnP er en teknologi, der gør det muligt for tjenester, programmer og andre apparater at sende opsætningsinstruktioner til routeren. Dette er en meget anvendt løsning, når routeren skal sættes op til at kunne tage imod trafik, som indledes udefra. Det kan for eksempel være en IP-telefon, der sender en forespørgsel via UPnP om at få åbnet en specifik port til modtagelse af samtaler.

En anden udbredt anvendelse af UPnP er i forbindelse med bittorrent-klienter, som har bedre ydeevne, hvis der opsættes en port til klienten. Det kan gøres manuelt, eller klienten kan gøre det automatisk via UPnP. Nogle webbaserede spil kan også bruge UPnP til automatisk optimering af routerens opsætning.

UPnP introducerer dog en del sikkerhedsmæssige udfordringer. Vi ser blandt andet, at mange har printere, overvågningskameraer og NAS-harddiske, der via UPnP har eksponeret sig mod internettet, ofte uden at brugeren faktisk anvender de tjenester, der er grunden til denne eksponering.

Det er også skræmmende at se, at sådanne tjenester kan være sat op helt uden adgangskode - hvilket måske endda er gjort med vilje, fordi brugeren tror, at tjenesten kun er tilgængelig på hans lokalnetværk.

Tidligere blev mange routere leveret med UPnP slået fra som standard, men det er efterhånden blevet almindeligt, at uPnP som standard er slået til.

Mulige grunde til denne udvikling kan være klager over, at fildeling via bittorrent gik langsomt, eller at andre routere var "bedre", fordi visse tjenester fungerede, uden at brugeren manuelt skulle rode med indstillingerne.

Men der har været tilfælde af malware/virus, der har udnyttet UPnP.

Alternativet til UPnP er, at man for visse tjenester manuelt må foretage port-/NAT-konfiguration i routerens administrations-grænseflade. De fleste bruger dog sandsynligvis ingen tjenester, der kræver nogen særlig opsætning af routeren, og i så fald kan UPnP uden problemer slås fra.

Opdater firmwaren

En routers styresystem kaldes "firmware". De fleste routere er baseret på en simpel Linux-løsning. Ved hjælp af opdateringer af firmwaren kan producenterne forbedre ting som ydeevne, sikkerhed og stabilitet. Det kan også være, at der introduceres ny funktionalitet.

For eksempel blev det sidste år afsløret, at en række nye routere havde alvorlige sikkerhedshuller. Der gik ikke lang tid, før flere producenter var klar med opdateret firmware, som skulle rette fejlene.

Det samme så vi for nylig, da problemerne med Asus' FTP-løsning blev afdækket - efter nogle dage havde Asus en opdatering på plads til sin nyeste model, som skulle forhindre, at brugerne lavede de fejlkonfigurationer, som mange indtil da havde gjort.

Det er forskelligt, hvad man skal gøre for at opdatere firmwaren. På mange nyere routere kan man direkte fra administrations-grænsefladen tjekke, om der er kommet nye opdateringer, ligesom man også herfra kan downloade og installere en opdatering.

Med andre routere må man manuelt finde og downloade firmware-opdateringer fra producentens website, før man så bruger routerens administrations-grænseflade til at installere opdateringen.

På nogle routere kan det ved enkle opdateringer være nødvendigt at lave en backup af routerens opsætning, før firmwaren opdateres. Efter opdateringen skal denne backup så bruges til at gendanne opsætningen.

Man skal også være opmærksom på, at nogle routere kan have forskellige firmware-versioner alt efter verdensdel.

En del producenter er ikke så gode til at komme med opdateringer, efter et produkt er udgået.

I visse tilfælde, hvor der er kendte sikkerhedsproblemer med en router, kan det være en mulighed at benytte sig af firmware fra tredjeparter såsom DD-WRTTomato og OpenWRT. Denne løsning anbefales dog kun for mere erfarne brugere.

En bedre DNS?

DNS står for Domain Name System og håndterer sammenkoblingen mellem domænenavne og servernes IP-adresser. Normalt har internetudbyderen sin egen DNS-server, som din router i udgangspunktet bliver sat op til at bruge.

Med tjenester som OpenDNS kan man dog få sikkerhedsmæssige forbedringer for alle enheder, der er tilsluttet netværket. Med en OpenDNS-konto kan man for eksempel vælge at få blokeret websites, som man ved, indeholder pornografi, piratkopieret software, vold, phishing-forsøg eller andet uønsket.

Producenter som D-Link og Netgear inkluderer i deres routeres administrations-grænseflader muligheden for at vælge at benytte OpenDNS. På andre routere skal man først oprette en konto hos OpenDNS og derefter manuelt indtaste den rette DNS-IP-adresse i routerens administrations-grænseflade.

Hvilke enheder er koblet på dit netværk?

Har du mistanke om, at der er uvedkommende enheder på dit netværk? De fleste routere har en oversigt over enheder, der er og har været koblet på netværket.

Vær opmærksom på, at en indtrængende på netværket, som også har adgang til routerens administrations-grænseflade, kan slette disse oplysninger. Herudover kan det være vanskeligt at tolke dataene.

I routerens administrations-grænseflade kan man finde en oversigt over MAC-adresser på enheder, der har været forbundet til netværket. Enhver enhed (såsom mobiltelefon, pc, tablet og så videre) har en unik MAC-adresse. Det er dog muligt at forfalske MAC-adresser.

Ud over MAC-adresse vil der stå, hvilke IP-adresser disse enheder har. I visse tilfælde vil der også være et enhedsnavn, hvilket gør det lettere at identificere enheden.

En del sikkerhedsprogrammer vil også advare om det, når nye pc'er eller andre enheder dukker op på lokalnetværket. En del routere har også funktioner til overvågning af netværkstrafikken i realtid.

Læs også:

Bøvl med Wi-Fi? Sådan toptuner du det trådløse net

Tre problemer med dit Wi-Fi: Det kan du gøre ved det

Sådan finder du nemt de bedste Wi-Fi-netværk

Sådan tredobler du Wi-Fi-hastigheden på din bærbar

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere