INNSIKT: Har du ikke skrudd til sikkerheten på wifi-ruteren din? Slik gjør du det

[Harald Brombach (digi.no)]

INNSIKT: Har du ikke skrudd til sikkerheten på wifi-ruteren din? Slik gjør du det

[olavrb]

Å skjule SSID er falsk trygghet.

Hva med WEP, UPnP, WPS, burde det være aktivert? Ikke nevnt i artikkelen.

Hva bør man unngå når det kommer til port forwarding? F.eks. eksponering av kjente porter.

Hvilke merker bør man unngå gitt historikk på å supportere produktene sine med oppdateringer? Netgear og TP-Link f.eks.

Noen merker har gjestenettverk uten client isolation, som Google Nest Wifi f.eks, uten mulighet for å skru det på. Hvorfor er det ugunstig? F.eks. om en IoT-enhet går rogue.

[mads1153]

o-l-a-v skrev (1 time siden):

Å skjule SSID er falsk trygghet.

Hva med WEP, UPnP, WPS, burde det være aktivert? Ikke nevnt i artikkelen.

Hva bør man unngå når det kommer til port forwarding? F.eks. eksponering av kjente porter.

Hvilke merker bør man unngå gitt historikk på å supportere produktene sine med oppdateringer? Netgear og TP-Link f.eks.

Noen merker har gjestenettverk uten client isolation, som Google Nest Wifi f.eks, uten mulighet for å skru det på. Hvorfor er det ugunstig? F.eks. om en IoT-enhet går rogue.

Helt enig i din kommentar.

Har allerede gjort det som i artikkelen bortsett fra bytte påloggingsnavn er ikke gjort (vurderer å gjøre det senere, men ja jeg har byttet standardpassordet med egen), skrudd av UPnP fordi jeg fant ut det er ingen forskjell på spilling og skrudd på IPv6 native.
Har ikke WPS heller aktivert. WEP ser jeg ikke når jeg sjekker i innstillinger.

Likevel måtte jeg sette til WPA2/WPA3 Personal for trådløst nettverk fordi min Macbook Pro 16" 2019 med Windows 11 Insider Preview Dev Channel BootCamp har en nettverksdriver som ikke støtter WPA3 ennå selv om jeg burde hatt på WPA3 Personal alltid. Det fører til at nedlastningshastigheten er så vanvittig lav som opp til 2MB/s eller langt lavere selv om nettet er 350/350 og det fungerer som normalt for andre enheter. macOS støtter WPA3 Personal uten problem, så den har ikke den trege nedlastningshastigheten heller. 

Min WiFi-router er ASUS RT-AX88U som har WiFi 6/802.11ax. 

[Frobe]

"og som fortsatt kommer til å holdes oppdatert av leverandøren i en god del år framover."

Det er dessverre få produsenter som kommer med oppdateringer i mer enn et år, og man kan oppleve å kjøpe rutere i butikken som er så gamle at produsenten har sluttet å lage ny firmware til dem.

Enkelte rutere har samme modellnavn, men ulike generasjoner hardware med ulik firmware. Det opplyses sjelden om hvilken generasjon som selges i butikkene, dette må man sjekke på eskene eller på merkelapper under ruteren.

[Bing123]

1 hour ago, Frobe said:

"og som fortsatt kommer til å holdes oppdatert av leverandøren i en god del år framover."

Det er dessverre få produsenter som kommer med oppdateringer i mer enn et år, og man kan oppleve å kjøpe rutere i butikken som er så gamle at produsenten har sluttet å lage ny firmware til dem.

Enkelte rutere har samme modellnavn, men ulike generasjoner hardware med ulik firmware. Det opplyses sjelden om hvilken generasjon som selges i butikkene, dette må man sjekke på eskene eller på merkelapper under ruteren.

Nettopp det,
Interessant om folk har forslag til routere som faktisk garanterer for oppdatering i mange år, for det er nesten umulig å finne.

Nærmeste jeg kommer er å velge en slik router med PfSense installert, et robust system som man faktisk får oppdateringer på.
https://teklager.se/en/products/routers/

[NULL]

Her var det mildt sagt mye feilinformasjon, generaliseringer og viktige ting som mangler, eller ting som gir en "falsk trygghet".

Som noen har vært inne på allerede, WPS-Pin og UPnP IGD er ikke engang nevnt.

Å gjemme SSID er ikke hensiktsmessig. Husk at ESSID blir brukt som salt for WPA-nøkkel! Produsent av ruteren vil man normalt også se gjennom BSSID (+ MAC Vendor-lookup).

Ingenting er nevnt rundt å eksponere tjenester annet enn at man ikke skal ha administrasjonsgrensesnittet eksponert. Skal man eksponere noe, bør man vite hva man holder på med og gjort en risikovurdering.

Det skulle overraske meg stort om det er noen rutere som ikke har SPI FW aktivert som standard, og ellers FW for IPv6. Å si at dette gjerne ikke er aktivert blir feil/skremsel. Få konsumentrutere tilbyr en brukbar trafikkanalyse. Min Asus-ruter med Bitdefender-løsningen integrert gir noe, men en del av funksjonaliteten fungerer jo kun hvis websider man besøker ikke bruker HTTPS (og mye ellers av funksjonaliteten kan man vel si vil være dekket av å bruke en DNS-tjeneste med filtrering, noe en del internettleverandører tilbyr - eks. Telenor Nettvern-tjenesten).

Asus sin løsning for automatisk oppdatering kan man ikke stole helt på. Har flere ganger opplevd at ruteren ikke finner noen oppdateringer, men går man på websidene, ligger det oppdateringer som kom for flere måneder siden og som man kunne si inneholdt kritiske sikkerhetsoppdateringer.

Ingenting om å være skeptisk til mange av de ekstra tjenestene som en del rutere har - eks. NAS-funksjonalitet, mulighet for å sette opp VPN-tilgang til hjemmenettet o.l. Og jo mer det er av slik funksjonalitet, jo høyere kompleksitet og flere angrepsflater er det. 

På det jevne tror jeg ikke internettleverandørenes rutere ligger noe bak retailprodukter når det gjelder sikkerhet. At disse ruterne på en del områder er enklere funksjonalitetsmessig kan like gjerne være en fordel. 

Å ikke ha administrasjonsgrensesnittet for ruteren eksponert er "no-brainer". Her går egentlig også flere internettleverandører litt lengre på flere måter, gjennom å ha fjernet lokale administrasjonsgrensesnitt. Svakheter knyttet til lokale administrasjonsgrensensitt har gjerne vært en gjenganger når det gjelder sikkerhetsutfordringer. Med skybaserte tjenester for dette kan man ha gevinster sikkerhetsmessig, og samtidig tilby visse fjernadministrasjonsmuligheter uten at ruteren står offentlig eksponert.

Eget isolert nett for smarte enheter/IoT er en god ide i teorien. For enkelte produkter blir det helt greit - de snakker bare med en skytjeneste. Så snart noe også skal snakke med noe annet innad i nettverket blir det mer komplekst. Gjestenett kan ellers også blir en begrensning i en del sammenhenger - eks. hvis barn som er på besøk skal spille Minecraft på nettbrett sammen, så må nettbrettene kunne snakke med hverandre via lokalnettverket. 

 

[NULL]

5 hours ago, o-l-a-v said:

Hvilke merker bør man unngå gitt historikk på å supportere produktene sine med oppdateringer? Netgear og TP-Link f.eks.

TP-Link leverer vel fortsatt produkter som der WiFi-nøkkel er en tallkode, som da blir veldig enkel å knekke.

Da kan man såklart si at det er viktig at man følger tipsene her om å bytte ut standardnøkkelen, men man kan lure på hvor mye det tenkes på sikkerhet ellers for produktene når man feiler på en del slike helt grunnleggende ting.... 

[NULL]

3 hours ago, Frobe said:

Enkelte rutere har samme modellnavn, men ulike generasjoner hardware med ulik firmware. Det opplyses sjelden om hvilken generasjon som selges i butikkene, dette må man sjekke på eskene eller på merkelapper under ruteren.

Ja, her kan det være også ganske store hw-forskjeller (eks. helt annet brikkesett) slik at det i praksis er et helt annet produkt, med eksempelvis andre ytelsesegenskaper også.

 

 

[Hymer]

3 hours ago, Frobe said:

"og som fortsatt kommer til å holdes oppdatert av leverandøren i en god del år framover."

Det er dessverre få produsenter som kommer med oppdateringer i mer enn et år, og man kan oppleve å kjøpe rutere i butikken som er så gamle at produsenten har sluttet å lage ny firmware til dem.

Nu til dags er det intet problem: gå til openwrt.org find supporteret router, køb den og installer openwrt på den, så har du support de næste 10 år. 

Jeg skulle have en ny router med “ekstra” features til campingvognen - det blev en Linksys WRT3200 med openwrt.

”ekstra” features er 12v strømforsyning og mulighed for WiFi til WiFi routing  - jeg kan så nøjes med en konto på campingpladserne til alle vores enheder.

Hjemme har jeg en noget anden løsning: firewallen er en opnsense på gammel Checkpoint hardware så alt WiFi kører på accesspunkter med WPA2 Enterprise (brugere har eget login til samme SSID), der er separate VLANs og SSID’er til de forsk. segmenter som alle termineres i firewallen.

[NULL]

46 minutes ago, Hymer said:

Nu til dags er det intet problem: gå til openwrt.org find supporteret router, køb den og installer openwrt på den, så har du support de næste 10 år. 

Jeg skulle have en ny router med “ekstra” features til campingvognen - det blev en Linksys WRT3200 med openwrt.

”ekstra” features er 12v strømforsyning og mulighed for WiFi til WiFi routing  - jeg kan så nøjes med en konto på campingpladserne til alle vores enheder.

Hjemme har jeg en noget anden løsning: firewallen er en opnsense på gammel Checkpoint hardware så alt WiFi kører på accesspunkter med WPA2 Enterprise (brugere har eget login til samme SSID), der er separate VLANs og SSID’er til de forsk. segmenter som alle termineres i firewallen.

Når blir det vel i praksis færre og færre rutere som støtter OpenWRT, DD-WRT etc. Bakgrunnen for det er vel at det i større og større grad benyttes mekanismer for at firmware som installeres må være signert. Hvilket i seg selv gir forbedret sikkerhet (dvs. vanskeligere å legge inn en "rouge" firmware på en ruter). I tillegg handler det vel om open source-drivere, spesielt når det gjelder Broadcom-baserte rutere (noe veldig mange konsumentrutere er).

Dette kunne vært løst ved at produsenten lagde en signert versjon av OpenWRT for ruteren.

[olavrb]

4 hours ago, Hymer said:

Nu til dags er det intet problem: gå til openwrt.org find supporteret router, køb den og installer openwrt på den, så har du support de næste 10 år. 

Jeg skulle have en ny router med “ekstra” features til campingvognen - det blev en Linksys WRT3200 med openwrt.

”ekstra” features er 12v strømforsyning og mulighed for WiFi til WiFi routing  - jeg kan så nøjes med en konto på campingpladserne til alle vores enheder.

Hjemme har jeg en noget anden løsning: firewallen er en opnsense på gammel Checkpoint hardware så alt WiFi kører på accesspunkter med WPA2 Enterprise (brugere har eget login til samme SSID), der er separate VLANs og SSID’er til de forsk. segmenter som alle termineres i firewallen.

3rd party firmware kan ofte gi dårligere ytelse enn original firmware, både på kabel og trådløst, pga. mangel på propriatory hardware acceleration o.l. Som på Asus f.eks.

6 hours ago, atlemag said:

Nettopp det,
Interessant om folk har forslag til routere som faktisk garanterer for oppdatering i mange år, for det er nesten umulig å finne.

Nærmeste jeg kommer er å velge en slik router med PfSense installert, et robust system som man faktisk får oppdateringer på.
https://teklager.se/en/products/routers/

Asus (dog kan enkelte modeller ha kortere livstid, så man bør gjøre litt research), Nest Wifi, AmpliFi (Ubiquiti).

PfSense er ikke realistisk for den alminnelige hjemmebruker.

[Bing123]

1 hour ago, o-l-a-v said:

PfSense er ikke realistisk for den alminnelige hjemmebruker.

Den setningen skjønte jeg ikke
Jeg sa at du får routere med pfSense ferdig installert, det er solid, enkelt og brukervennlig nok samtidig med avanserte funksjoner som artikkelen diskuterer, og man får updates.

Endret 19. februar 2022 av atlemag

[vitty]

Eneste tjenesten du bør trenge å eksponere utenifra er VPN. Alt annet bør stenges. IOT åpner for så store sikkerhetshull at produsentene av hjemmeroutere burde ha gjestenett adskilt på eget subnett "by default". Ingen som gjør det ennå meg bekjent men du kan sette det opp med riktig utstyr.

 

Stusser også på at artikkelen ikke spesifiserer sikkerhetsmekanismene på WIFI mer. 

[Hymer]

 

12 hours ago, o-l-a-v said:

3rd party firmware kan ofte gi dårligere ytelse enn original firmware, både på kabel og trådløst, pga. mangel på propriatory hardware acceleration o.l. Som på Asus f.eks.

Ja, det er kan være et problem men det skriver OpenWRT og DD-WRT i relase notes. Det er derfor at hvis man vil gøre det så skal man starte med at se hvilke routere er bedst til projektet og ikke købe en router og håbe det bedste.

Det er altid et valg - du kan vælge 3rd party firmware og have lang support eller du kan vælge en enterprise router (Cisco / HP) og have lang support eller du kan hitte lige en af de få consumer routere som har lang support. Du kan også vente på at EU’s regler slår igennem på elektronik. Uanset hvad du vælger så kan du højest regne med 5 år support på consumer routerne fra producenten, OpenWRT opgav support på Linksys WRT54G efter ca 15 år og udelukkende fordi der ikke længere var plads til firmwaren.

10% performance nedgang på 3* længere support virker for mig på en router - normalt er det alligevel forbindelsen til Internettet som er den reelle begrænsning.

[NULL]

12 hours ago, vitty said:

Eneste tjenesten du bør trenge å eksponere utenifra er VPN. Alt annet bør stenges. IOT åpner for så store sikkerhetshull at produsentene av hjemmeroutere burde ha gjestenett adskilt på eget subnett "by default". Ingen som gjør det ennå meg bekjent men du kan sette det opp med riktig utstyr. 

IoT åpner i hvert fall for store sikkerhetshull ved offentlig eksponering. Når det gjelder sikkerhetshull ut over det, handler det også mye om hvilken leverandør man velger produkter fra og hvorvidt produktene oppdateres. 

Det er kanskje ikke så mange som har det på eget subnet, men ser kanskje ikke helt hvorfor dette skulle være så viktig så lenge det ellers er regler som isolerer disse enhetene fra nettet ellers. Isoleringen er det viktige - at det er på eget subnet alene betyr nødvendigvis ikke noe.

Problemet er, som jeg var inne på i tidligere innlegg, at IoT/smarte enheter gjerne også skal kunne snakke med andre enheter i lokalnettverket. For "folk flest" vil man ikke forstå hvorfor ting ikke fungerer hvis en enhet er koblet til IoT-nettet. Og funksjonalitet på en del enheter vinner fort over de sikkerhetshensynene "folk flest" er villige til å ta.

Eksempelvis for en smarthusløsning kan det være at alt går via skyen og ingen av enhetene trenger å snakke med hverandre - helt til backend-tjenester er nede eller internett er nede. Da kan det også være fordelaktig at løsningen fungerer "offline", gjennom direkte kommunikasjon.

Evt. da trenger man en løsning der det kan settes opp spesifikke regler - "X kan snakke med Y". Men for "folk flest" blir dette "for komplisert", og det blir fort at alle enhetene skal kunne snakke med en del enheter.

Quote

Stusser også på at artikkelen ikke spesifiserer sikkerhetsmekanismene på WIFI mer.

Slik denne artikkelen var, er jeg nesten overrasket over at MAC-filter ikke ble anbefalt også  😉

[R1200CL]

https://www.asuswrt-merlin.net/

Bedre enn Asus egen firmware. 

Endret 22. februar 2022 av R1200CL

[R1200CL]

Anbefaler å ikke kjøpe router i det hele tatt. Dette er mye bedre. 
https://www.ipfire.org
Forholdsvis billig HW, som du velger selv. Nesten hvilken helst PC med minst 2 nettverk plugger. 

Endret 22. februar 2022 av R1200CL