Säkra upp nätverket hemma – hur?

Mattias Sjödin IT-Säkerhet

I min föregående post tog jag upp varför du behöver skydda ditt nätverk hemma. Det är naturligtvis inte helt lätt att veta hur det ska gå till, men jag hoppas på att den här artikeln kan hjälpa till med det. Riskerna kring att inte skydda sig är uppenbara om du t. ex. läst igenom föregående artikel.

Enheter

Router

Routern är ingången till ditt nätverk hemma. Jag vill vara tydlig med att med router menar jag den enhet som utgör separationen mellan Internet och ditt egna privata nätverk. Och idag när många Internetförbindelser bygger på mobila bredband är det inte helt lätt att se var separationen sker, det är trots allt i regel en pryl du bara kopplar in i ett eluttag och som du sedan kopplar upp smartphones, surfplattor och datorer mot – no questions asked.

Du behöver definitivt:
  • Ställa in ett eget starkt lösenord till webbgränssnittet. Ofta är det ett standardlösenord, men i vissa fall finns det ett förtryckt unikt lösenord som står på en etikett. Även i det fallet behöver du byta till ett eget starkt lösenord.
  • Uppdatera routerns inbyggda programvara (firmware) regelbundet. Med ”regelbundet” tänker jag att du åtminstone varje halvår (t. ex. i samband med tidsomställning?) lägger in den senaste tillgängliga programvaran. Inte nog med att nya programvaruuppdateringar ofta hanterar säkerhetsrisker och sårbarheter så dyker det ibland upp nya funktioner. Det kan alltså rentav vara kul att uppdatera. Säkerhetskopiera alltid först dock…

Wi-Fi accesspunkt

Oavsett om Wi-Fi är inbyggt i din router eller om du har en egen accesspunkt för trådlöst nätverk behöver du göra vissa åtgärder.

Du behöver definitivt:
  • Byta ut det förvalda lösenordet för Wi-Fi (SSID) till ett eget starkt lösenord.
Du borde också:
  • Sätta upp ett eget Wi-Fi (SSID) till gäster. I många routrar och accesspunkter kan man välja att skapa just gästnätverk. Poängen med detta är att gästande enheter kan ansluta till Internet men inte till någon annan av hushållets enheter.
  • Sätta upp ett eget Wi-Fi (SSID) till prylar och mojängerIoT-enheter så som robotdammsugare, Wi-Fi-strömbrytare, smarta lampor och annat som bara behöver ansluta till Internet. Poängen med det är att det inte finns risk att exempelvis en dammsugare med sårbarhet hackas och används att spionera med. Det finns vissa prylar och mojänger som fungerar dåligt på separerade nätverk, Chromecast och skrivare är exempel.
  • Aktivera Layer 2 isolation om det är möjligt för gästnätverk och för IoT-nätverk. Layer 2 isolation innebär att en enhet på ett Wi-Fi nätverk inte kan kontakta en annan enhet på samma nätverk direkt.
  • Byta lösenordet till Wi-Fi med viss regelbundenhet (kanske någon gång per år) – iallafall det Wi-Fi som används av hushållets privata enheter så som smartphones. Det kanske är stökigt att byta på ”prylar-och-mojänger-nätverket”.

Smartphones & Surfplattor

Dessa är känsliga eftersom det är på dem du (i egenskap av användare automatiskt den största risken av alla) sitter.

Du behöver definitivt:
  • Uppdatera enhetens inbyggda programvara regelbundet. För de flesta enheter med iOS eller Android kommer säkerhetsuppdateringar månadsvis. Uppdatera alltid, utan dröjsmål. Samma sak här – inte nog med att säkerhetsrisker och sårbarheter hanteras så dyker det då och då upp nya funktioner, och det kan ju vara kul. Samma sak här, säkerhetskopiera först…
  • Säkerhetskopiera det du håller kärt. Kontakter kan med fördel synkroniseras till Google-konto eller iCloud-konto. Bilder likaså, det är absolut värt att betala en liten slant för att ha foton, filmer och annat säkert kopierade från enheten.
Du borde också:
  • Ha ett antivirusprogram på enheten, åtminstone om det är en Android-enhet. Om det är en en iOS-enhet är den i dagsläget mer skyddad som standard – förutsatt att du inte utfört jailbreak eller annan mixtrande åtgärd. Det finns helt okej gratisvarianter såväl som betalvarianter som inte är allt för dyra.

Datorer

Med datorer menar jag stationära och bärbara PC- eller Mac-datorer. Precis som med smartphones och surfplattor är datorer känsliga eftersom det är på dem du som användare sitter…

Du behöver:
  • Ha ett antivirusprogram på datorn, i synnerhet om det är en PC med Windows – men gärna även om det är en Mac-dator med MacOS eller en PC med Linux. Till de senare utvecklas mer och mer skadlig kod, inte minst i takt med att användandet ökar. Better safe than sorry… Värt att nämna är att i moderna Windows finns antivirusprogram (Windows Defender) inbyggt, och det är numera tillräckligt bra för de flesta.
  • Ha (inbyggd) brandvägg aktiverad. Det kan vara lockande att slå av den ifall man är lite hemma och händig, men gör inte det. Se då hellre till att ha rätt regler i brandväggen för att åstadkomma det du vill.
  • Säkerhetskopiera det du håller kärt. Det finns idag många molntjänster för säkerhetskopiering och det kan absolut vara värt att betala en slant för en att ha dokument, foton, filmer och annat säkert kopierade från enheten och hemmet. Om olyckan är framme eller om du får in ransomware är materialet i tryggt förvar på annan plats. Tänk bara på att en synkronisering inte kan likställas med säkerhetskopiering – om du har automatisk synkronisering påslaget kommer i exemplet med ransomware även den förstörda informationen att synkroniseras…
  • Använda ett annat datorkonto än huvudadministratörskontot (Administrator, root och motsvarande). Att använda sig av huvudadministratörskontot är en jättestor säkerhetsrisk – det inbyggda kontot kan kringgå all säkerhetsfunktionalitet i datorn, får du skadlig kod genom att t. ex. råka klicka på en länk du inte borde så tar den skadliga koden snabbt all kontroll över datorn. Läskigt!
Du borde också:
  • Använda ett användarkonto helt utan administratörsrättigheter. På så sätt skyddar du på effektivast sätt datorn i sig själv från skadlig kod så som virus. Det kommer inte skydda ”normal” information så som dokument och bilder, men väl datorn i sig. Visst, det blir ett extra steg med ett extra lösenord att skriva in när t. ex. ett program ska installeras eller avinstalleras, men det är det lätt värt i slutändan.

Nätverkslagring (NAS)

Det finns egentligen hur mycket som helst som jag skulle kunna skriva om hur jag anser att en NAS med alla de tjänster och funktioner som brukar kunna följa med – men med respekt för din tid håller jag mig till det mest kritiska och det mest grundläggande.

Du behöver:
  • Ställa in ett eget starkt lösenord till webbgränssnittet. Normalt ställs lösenordet in i en konfigurationsguide, välj ett unikt och starkt lösenord som du bara använder för att administrera enheten.
  • Bestämma dig för rätt fysiska skyddsnivå (RAID) för informationen som lagras. I de allra flesta system väljer du detta under grunduppsättning av enheten; har du flera hårddiskar väljer du i regel mellan:
    • RAID0 – Inget skydd alls, men mer lagringsutrymme. Går en hårddisk sönder förlorar du i regel all information. Rekommenderas inte!
    • RAID1 – Hårddiskarna speglas – det data som lagras på en hårddisk finns även på den andra. Alltså kan en hårddisk gå sönder utan att informationen förloras.
    • RAID5 – Aktuellt om du har tre eller fler hårddiskar, all data sprids ut så att en av hårddiskarna kan gå sönder utan att informationen förloras.
    • RAID6 – En variant som liknar RAID5 men där du behöver minst fyra hårddiskar. Med RAID6 distribueras all data så att två av hårddiskarna kan gå sönder utan att informationen förloras.
    • RAID10 – Kallas också RAID0+1 och är en kombination av RAID0 och RAID1 där minst fyra hårddiskar krävs. Ett par är spegel av det andra paret, och minst en hårddisk (men upp till hälften beroende på hur mycket tur man har) kan gå sönder utan att informationen förloras.
  • Uppdatera NAS:ens inbyggda programvara (firmware) regelbundet. Helst åtminstone kvartalsvis, men som minst halvårsvis (t. ex. i samband med tidsomställning?). Kom ihåg att det även kan komma ny funktionalitet. Se till att säkerhetskopiera innan uppdatering!
  • Använda särskilda användarnamn och lösenord till tjänster – så som utdelade filytor. Allra helst bör det vara personliga konton, men eftersom jag inser att det kan vara bökigt kan delade konton användas – så länge kontot bara har tillgång till just den aktuella tjänsten. Exempelvis ett konto som används för att komma åt en CIFS-utdelning. Sätt upp ett eget konto till nästa tjänst, t. ex. AFP för Mac. Använd aldrig huvudadministratörskontot!
Du borde också:
  • Säkerhetskopiera. I just fallet med en NAS kan det förstås vara lite paradoxalt; inte sällan används en NAS för att lagra just säkerhetskopior. I normalfallet propagerar jag alltid för säkerhetskopiering, men att säkerhetskopiera säkerhetskopior är kanske överkurs i hemmet… Tänk bara på att du ska få tillbaka informationen du lagrat ifall t. ex. alla diskar skulle gå sönder. Och tro mig – det händer då och då.

IoT – Prylar & Mojänger

IoT-enheter är en enhet som är inkopplad till ditt nätverk men som du själv inte använder för att ansluta. Enheten har helt enkelt ett helt annat syfte; styra, övervaka eller utföra en uppgift av något slag. Exempel är fjärrströmbrytare, termostater, sensorer & givare, webbkameror, gateway’s, robotdammsugare- och gräsklippare och så vidare. Den gemensamma nämnaren är att enheten har en IP-adress och är uppkopplad via hemnätverket.

Den främsta risken är att man i de flesta fall helt enkelt inte har kontroll över enheten och vad som händer i den. Även ett fjärrstyrt relä har trots allt en microcontroller, ett minne och en IP-stack så rätt (ut)nyttjad kan den tjäna ett ohederligt syfte.

Jag påstår att det är just ”inte har kontroll över enheten” som är nyckeln i varför och hur den ska skyddas. Har man inte kontroll kan man inte installera vare sig brandvägg eller antivirusprogram (man kan ofta inte ens logga in i enheten) så skyddet måste man lösa från andra hållet.

Du behöver:
  • Byta ut standardlösenord mot eget unikt och starkt lösenord. Tänk på att eftersom du kanske inte har kontroll över enheten är det extra viktigt att lösenordet inte används till någonting annat än till den aktuella prylen.
  • Uppdatera prylens inbyggda programvara (firmware) regelbundet. Med ”regelbundet” tänker jag att du åtminstone varje halvår (t. ex. i samband med tidsomställning?) lägger in den senaste tillgängliga programvaran. Programvaruuppdateringar hanterar inte bara säkerhetsrisker och sårbarheter utan kan även här bjuda på ny funktionalitet.
Du borde också:
  • Isolera IoT-enheter från interna enheter – placera dem helst om det är möjligt i ett eget VLAN där inga andra av dina interna enheter står, så som smartphones & surfplattor, datorer, NAS, Chromecast osv.
  • Aktivera Layer2-isolation i Wi-Fi för IoT-enheter i accesspunkten om det är möjligt. Layer 2 isolation innebär att en enhet på ett Wi-Fi nätverk inte kan kontakta en annan enhet på samma nätverk direkt. Det är i regel inte görbart på interna nätverk, exempelvis kommer inte en smartphone inte att kunna nå en Chromecast om Layer 2 isolation är påslaget. Men för ett IoT-nätverk brukar det gå bra.

Mattias Sjödin

Jag arbetar till vardags som CISO inom finansvärlden med bakgrund både som CISO inom IT-branchen och som konsult inom informations- och cybersäkerhet, med bevisad kompetens och erfarenhet i ryggen genom bland annat CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.